theNet von CLOUDFLARE

Cyber-Resilienz erschließen

Welche Rolle spielt die Führungsebene bei der Gestaltung der Unternehmenskultur?


In den 1980er Jahren sah sich das Unternehmen General Motors einem harten Wettbewerb mit japanischen Autoherstellern ausgesetzt. Die Japaner waren im Gegensatz zu GM in der Lage, sparsamere Autos mit weniger Mängeln in kürzerer Zeit zu produzieren. Um dem entgegenzuwirken, eröffnete GM zusammen mit Toyota eine gemeinsame Produktionsstätte, in der japanische Managementtechniken mit amerikanischen Arbeitskräften kombiniert wurden. Das Management bemühte sich zwar, verschiedene Probleme zu lösen, die zur Ineffizienz der Produktion beitrugen, aber es gab vor allem ein Problem, das sie als schnellen Erfolg ansahen: die pünktliche Anwesenheit der Arbeitnehmer.

Vor der Zusammenarbeit gab es bei GM ein großes Problem mit Fehlzeiten. Bei Toyota hingegen spielte jeder Mitarbeitende in der Fertigungslinie eine entscheidende Rolle und wurde auf die Sekunde genau getaktet. Wenn ein Arbeitender zu spät kam, wurde die gesamte Fertigungslinie gestört. Also führte GM bei diesem Joint Venture eine vermeintlich einfache Änderung ein: Jeder Arbeitende musste sich pünktlich melden und anfangen, sonst wurde ihm der Lohn abgezogen.

Die Änderung war jedoch alles andere als einfach. Man erwartete von den Arbeitenden, die an laxe Arbeitsbeginnzeiten ohne Durchsetzung oder Konsequenzen gewöhnt waren, dass sie ihr Verhalten über Nacht ändern würden. Die Führungskräfte hatten nicht verstanden, dass die Gründe für chronische Fehlzeiten vielfältig und facettenreich waren und von tiefem Misstrauen gegenüber dem Management bis hin zu Gruppenzwang reichten. Was als Änderung der Unternehmensrichtlinien begann, wurde für GM auf einmal zu einem Versuch, die gesamte Unternehmenskultur zu reformieren.

Unternehmen können viele Lehren aus den Erfahrungen der GM/Toyota-Partnerschaft ziehen. Unternehmen, die Aspekte ihres Geschäfts verbessern oder verändern wollen, müssen nicht nur Menschen, Prozesse und Technologien bewerten, sondern auch ihre Grundwerte und die Kultur, die das Verhalten der Mitarbeitenden bestimmt, genau unter die Lupe nehmen. In diesem Artikel soll untersucht werden, welche Rolle die Führung bei der Schaffung und schließlich bei der Veränderung von Unternehmenskulturen spielt und welche Lehren daraus für die Veränderungsbemühungen Ihres Unternehmens gezogen werden können, um widerstandsfähiger gegen Cyberangriffe zu werden.


Die Rolle der Führungsebene bei der Steuerung des Organisationsverhaltens

Im Laufe meiner Karriere habe ich den Einfluss von Führungskräften auf die Dynamik von Unternehmen untersucht – von traditionellen Öl- und Gasriesen bis hin zu rasanten Tech-Start-ups. Diese Erkenntnisse sind in der Regel nützlich, wenn es darum geht, die Auswirkungen der Führungskräfte auf die Geschäftsergebnisse oder das Engagement der Beschäftigten zu verstehen.

Die Unternehmensführung hat jedoch weitreichende und tiefgreifende Einflüsse auf die Art und Weise, wie sich die Menschen in einem Unternehmen verhalten – vom richtigen Handeln bis zur Verherrlichung der Gier, von der Priorisierung der Nachhaltigkeit bis zur Massenproduktion und zum Konsumverhalten.

Die Führung kann als die Gesamtheit der Werte, Verhaltensweisen und Dynamiken definiert werden, die für die Umsetzung der Unternehmensstrategie erforderlich sind. Während viele davon ausgehen, dass sich Führung einfach auf Personen auf der Führungsebene bezieht, umfasst sie im weiteren Sinne auch die Grundwerte des Unternehmens. Unternehmen formulieren oft, was sie unter Führung verstehen, in Form einer Reihe von Kompetenzen und/oder Eigenschaften, die sie von ihren Führungskräften erwarten.

Die Werte des Unternehmens sind oft geprägt von der Branche und den Märkten, in denen sie tätig sind. Einzelhandelsunternehmen legen Wert auf Kundenzentriertheit. Technologieunternehmen legen Wert auf Geschwindigkeit und Innovation. Wenn sich ein Unternehmen über seine Werte im Klaren ist, dann wird die Führungsebene zum Träger, der die interne Kultur des Unternehmens durch den Einfluss der Führungskräfte prägt. Die Führungskräfte vermitteln die Vision, leben Verhaltensweisen vor, stärken die Unternehmenswerte und treffen Entscheidungen, die die Zukunft des Unternehmens bestimmen. Wie Schein* feststellt, „beeinflussen Führungskräfte nicht nur die Kultur, sie sind auch die primären Gestalter der Kultur“.

Was bedeutet das nun im Hinblick auf die Unternehmenskultur? Schein definiert Unternehmenskultur hilfreich als „ein Denkmuster, das eine Gruppe bei der Lösung von Problemen gelernt hat und das anschließend neuen Gruppenmitgliedern als korrekte Methode vermittelt wird, um diese Probleme wahrzunehmen, darüber nachzudenken und zu empfinden“. Diese Denkmuster führen dann zu bestimmten Verhaltensweisen, die wiederum verstärkt werden, wenn andere in der Gruppe diese Verhaltensweisen an den Tag legen.

Das nachstehende Modell veranschaulicht, dass das, was für andere sichtbar ist (Verhaltensweisen), viel tiefere Wurzeln und eine viel größere Bedeutung für ein Unternehmen hat als das Verhalten an sich.


Die Art und Weise, wie Sie wahrnehmen und denken, führt letztendlich dazu, wie Sie sich verhalten und reagieren werden. Auf diese Weise beeinflusst die Kultur Verhaltensweisen, die dann zur zweiten Natur werden und daher schwer zu ändern sind.


Unternehmenskultur ändern

Was können wir also von General Motors im Hinblick auf den Kulturwandel lernen?

Erstens: Erkennen Sie, dass Verhaltensänderungen nicht nur durch das Verbot von bestimmten Verhaltensweisen erreicht werden können. Ein Blick auf die Fehlzeiten bei GM zeigt, dass die Wurzeln dieses Verhaltens sehr tief liegen und zunächst verstanden und behandelt werden müssen. Geschieht dies nicht, könnte der Einzelne schließlich wieder in sein altes Verhalten zurückfallen.

Zweitens: Versöhnen Sie konkurrierende Wertvorstellungen. Es hilft, mögliche Konflikte zwischen der Kultur des Unternehmens und den neuen Verhaltensweisen, die das Unternehmen einführen möchte, zu untersuchen. Stellen Sie sich vor, die Kultur des Unternehmens ist geprägt von Schnelligkeit, Agilität und „Entschuldigungen statt nach Erlaubnis fragen“. Könnte die Einführung von noch mehr Regeln, Verfahren und Bürokratie als Widerspruch zu dieser Kultur angesehen werden?

Drittens: Gehen Sie den Wandel von allen Seiten an. Das bedeutet, dass das Unternehmen nicht nur das Verhalten, sondern auch die Denkweise der Mitarbeitenden ändern muss. Wenn man das Modell des Eisbergs betrachtet, würde das bedeuten, dass Initiativen sowohl oberhalb als auch unterhalb der Wasseroberfläche ansetzen müssen:

  • Oberhalb der Wasseroberfläche müssen sich die Unternehmen im Klaren darüber sein, welche Verhaltensweisen sie von ihren Mitarbeitenden erwarten und diese Erwartungen klar und häufig zum Ausdruck bringen.

  • Unterhalb der Oberfläche müssen die Unternehmen ihre Grundwerte definieren und in die Denkweise der Beschäftigten einbeziehen und somit Teil dessen werden, was es bedeutet, eine Führungskraft im Unternehmen zu sein.

Viele Unternehmen kümmern sich um den ersten Punkt, aber nicht so viele um den zweiten.


Cybersicherheit in der Kultur verankern


Die Idee, Cybersicherheit von einer Abteilung in eine Kultur zu verwandeln, hat sich durchgesetzt.

Laut dem Bedrohungsdatenindex von IBM Security ist menschliches Versagen für 95 % der Cyber-Sicherheitsverletzungen verantwortlich. Da Menschen so komplex und unberechenbar sind, ist der menschliche Faktor viel schwieriger zu berücksichtigen als die Implementierung von Prozessen und Technologien.

Um die Cyberresilienz in der Unternehmenskultur zu verankern, sind daher sowohl eine Änderung der Denkweise als auch des Verhaltens erforderlich. Hier finden Sie 8 Ideen, die Führungskräften dabei helfen, Cybersicherheit als Kultur zu stärken, und die auf den Grundprinzipien erfolgreicher Initiativen zum Kulturwandel basieren:

  1. Ihre Führungskräfte können Ihre Bemühungen um die Schaffung einer Kultur der Cybersicherheit entweder unterstützen oder behindern. Wenn sie das Thema nicht ernst nehmen, die Botschaften untergraben oder unsicheres Verhalten an den Tag legen, wird Ihre Arbeit unendlich viel schwieriger. Wenn Sie einflussreiche Führungspersönlichkeiten dazu bringen, jede Gelegenheit zum Gespräch über Cybersicherheit zu nutzen, hat dies exponentielle Auswirkungen auf die Wirksamkeit der Maßnahmen. Finden Sie Ihre Fürsprecher und arbeiten Sie eng mit ihnen zusammen, damit sie sichtbare Botschafter werden.

  2. Man sagt, dass die Dinge, die gemessen werden, auch umgesetzt werden. Überlegen Sie, welche Kennzahlen zur Cybersicherheit offen mit der Organisation geteilt werden können, und teilen Sie sie häufig mit konkreten Beispielen und Berichten.

  3. Um ein altes Denkmuster zu ändern, muss man durch ein neues Denkmuster hindurchgeführt werden. Achten Sie bei der Bewertung von Schulungen auf Optionen, die es den Teilnehmern ermöglichen, komplexe Szenarien durchzuarbeiten und Diskussionen und Dilemmas zuzulassen, und nicht nur E-Learnings durchzuklicken. Es heißt, dass man nur 10 % des Gehörten behält, aber 90 % des Geübten.

  4. Ermutigen Sie die Führungskräfte, Berichte und Beispiele von Cybervorfällen zu erzählen und über das menschliche Verhalten zu berichten, das dabei eine Rolle gespielt hat, sowohl in positiver als auch in negativer Hinsicht. Führungskräfte sollten bei jedem Vorfall an vorderster Front stehen, Outcomes kommunizieren und das Verhalten vorleben, das sie bei anderen sehen möchten. Ziehen Sie All-Hands-Meetings oder Town Halls als großartige Foren für den Austausch dieser Berichte in Betracht.

  5. Verändern Sie den Blickwinkel von negativen Verhaltensweisen auf positive Verhaltensweisen. Psychologische Studien haben gezeigt, dass positive Verhaltensweisen oder solche, die positiv formuliert sind, eher mit einem positiven Selbstkonzept übereinstimmen und daher mit größerer Wahrscheinlichkeit befolgt werden (z. B. negative Formulierung:„Das sollten Sie nicht tun ...“ vs. positive Formulierung: „Das sollten Sie tun ...“)

  6. Erkennen Sie Personen, die potenzielle Bedrohungen oder Sicherheitslücken melden, aktiv an und belohnen Sie sie, insbesondere wenn sie außerhalb der Sicherheitsfunktion arbeiten. Dadurch unterstreichen Sie, dass die Cybersicherheit in der Verantwortung aller liegt.

  7. Das Onboarding ist in der Regel ein wichtiger Moment, um ein Gefühl der Zugehörigkeit zu schaffen, und ein guter Zeitpunkt, um die Unternehmenskultur zu präsentieren. Neuen Mitarbeitern können wir vom ersten Tag an die Richtlinien zur Cybersicherheit präsentieren, sodass sie deren Bedeutung und die erwarteten Verhaltensweisen sofort verstehen.

  8. Überlegen Sie, wie das Wissen und die Praxis der Cybersicherheit während des Einstellungsprozesses bewertet werden können. Führungskräfte, die in das Unternehmen kommen und bereits ein hohes Maß an Risikobewusstsein besitzen, werden auch die richtigen Verhaltensweisen in ihren Teams verstärken.

Während meiner Zeit bei Cloudflare habe ich aus erster Hand erfahren, wie sich diese Grundsätze in der Praxis auf ein Unternehmen auswirken können. Nehmen Sie zum Beispiel die Unterweisung. Ich habe schon Horrorgeschichten von Kollegen gehört, die sich mit Führungskräften verabredet haben, um bei der jährlichen Schulung zum Sicherheitsbewusstsein daneben zu stehen. Bei Cloudflare sind unsere Führungskräfte jedoch in der Regel die ersten, die die Schulung absolvieren. Mit gutem Beispiel voranzugehen, trägt dazu bei, dass die Richtlinien effektiver werden.



Unternehmenskultur überdenken

Veränderungen brauchen Zeit, um Wurzeln zu schlagen. Nachdem die GM/Toyota-Partnerschaft anfängliche Rückschläge erlitten hatte, begannen viele der eingeführten Kulturveränderungen schließlich zu greifen und positive Auswirkungen zu entfalten.

Die Hartnäckigkeit von GM angesichts dieser anfänglichen Herausforderungen sollte eine positive Lehre für CISOs sein, die sich vielleicht entmutigt oder frustriert fühlen – wenn Verhaltensweisen leicht zu ändern wären, wäre ihr Job (und offen gesagt auch meiner) viel einfacher. Wenn es um die menschliche Seite der Cybersicherheit geht, muss man tiefer gehen als nur an die Oberfläche. Man muss in den Kern des Unternehmens hineinschauen.

Bei Cloudflare haben wir Cybersicherheit zu einem Grundwert gemacht und sowohl Führungskräfte als auch Angestellte werden befähigt und ermutigt, sich an der Sicherheitskultur zu beteiligen. Da die Prozesse und Technologien bereits vorhanden sind, können sich die Führungskräfte auf den menschlichen Aspekt konzentrieren und die Chancen nutzen, die diese Cyberresilienz geschaffen hat.

Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.


*Schein, E.H. (2010). Organizational Culture and Leadership

Autor

Xiaolu Coenen – @xiaolucoenen
Head of Global Leadership Development, Cloudflare



Wichtigste Eckpunkte

Folgende Informationen werden in diesem Artikel vermittelt:

  • Wie Sie den sozialen Aspekt des organisatorischen Veränderungsmanagements angehen

  • Die Rolle der Führung bei der Umstellung von Einstellung und Verhalten, um den Wandel zu erreichen

  • 8 Ideen, um die Kultur der Cyberresilienz zu stärken



Verwandte Ressourcen:


Erhalten Sie eine monatliche Zusammenfassung der beliebtesten Internet-Insights!