Fehlerkultur in Unternehmen: Bitte nicht den Kopf in den Sand stecken!

Täglich stehen wir vor dem Risiko Fehler zu machen. Aber Fehler ist nicht gleich Fehler. Es gibt kleine und große, reversible und irreversible, produktive und destruktive.

Einen Fehler zu machen, der dem Unternehmen einen Schaden zuführt, ist für keinen leicht einzugestehen. Aber es fällt leichter, wenn es eine offene Fehlerkultur gibt, die nicht vorrangig die Schuldfrage thematisiert, sondern konstruktiv mit dem Fehler umgegangen wird.

Fehler ist nicht gleich Fehler

Viele Angriffe, die auf menschliches Fehlverhalten abzielen, leiten zu wiederholten Fehlern an, initiiert durch Methoden des Social Engineering.

Fehler können nicht immer vermieden oder umgangen werden. Die Angriffe schleichen sich in unseren alltäglichen Arbeitsprozess ein und wir können uns per se nicht davor schützen – aber wir können uns dafür sensibilisieren und daraus lernen.

Welche Fehlerkultur herrscht in Ihrem Unternehmen?

Die Fehlerkultur in Unternehmen spielt eine wichtige Rolle, wenn das Thema IT-Security-Awareness aufgegriffen wird. Eines der zentralen Ziele von IT-Security-Strategien, ist, dass Personen im Unternehmen die Sicherheit haben für ein Fehlverhalten, das durch Social Engineering ausgelöst wurde, nicht bestraft zu werden. Egal ob öffentliches an den Pranger stellen, oder arbeitsrechtliche Sanktionen – beides kann dazu führen, dass Fehler unter den Teppich gekehrt und verschwiegen werden.

Wie gehen Sie persönlich mit Fehlern um, die Ihnen in Ihrem professionellen Alltag unterlaufen? Wie beurteilen Sie den Umgang mit Fehlern in Ihrem Team / Ihrer Organisation?

Die folgenden Aussagen helfen, um sich die Fehlerkultur im eigenen professionellen Umfeld bewusst zu machen. Zudem können sie dazu beitragen, die eigene Einstellung zu Fehlern zu reflektieren:

Trifft zu Teils/teils Trifft nicht zu
Bei uns herrscht ein transparenter Umgang mit Fehlern: sie werden offen im Team besprochen.
Wenn in unserem Betrieb ein Fehler passiert, wird überlegt, wie es dazu kam.
In meiner Organisation empfinde ich es als belastend, wenn ich einen Fehler mache.
In meiner Organisation habe ich nur Nachteile, wenn ich meine Fehler zugebe.

Der produktive Umgang mit Zwischenfällen durch Human Hacking

Es geht zum einen um eine Strategie, wie Fehler vermieden werden können und zum anderen, wie der Umgang mit Fehlern verbessert werden kann. Hierbei spielt die Fehlerkultur, die in Organisationen herrscht, eine zentrale Rolle.

Der Fokus sollte auf die Untersuchung der Rahmenbedingungen gelegt werden, die einen Fehler ermöglicht haben. Das ist die wesentliche Voraussetzung, um überhaupt auf Verbesserungsmaßnahmen für fehleranfällige Strukturen, Prozesse und Systembedingungen zu kommen.

Zwischenfälle müssen analysiert werden, um sie erneut verhindern zu können. Jede Analyse hat nicht nur einen problembezogenen Lerneffekt, sondern auch einen Sensibilisierungs- und Multiplikatoreneffekt. Damit trägt sie zur Entwicklung der Sicherheitskultur bei, indem in den Köpfen der Mitarbeiter Verständnis für Risiken, methodisches Wissen und Achtsamkeit wachsen.

Awarenessmaßnahmen und Trainings bringen MitarbeiterInnen erst in die Lage, Angriffe als solche wahrnehmen zu können

Mögliche Angriffsszenarien müssen in einen Lernzusammenhang gestellt werden, um sie reflektieren zu können. Eine Person, die Fehler macht, muss erkennen können, was falsch ist und welche Folgen daraus resultieren. Sie muss die Ursache des Fehlers erkennen. Die Ursachen liegen meist in folgenden Faktoren begründet, die die Erfolgsrate des Human Hackings begünstigen:

Generelle Faktoren:

  • Fehlendes Bewusstsein für die Methoden des Human Hackings
  • Sorglosigkeit
  • Fehlende Selbstwirksamkeit (Hilflosigkeit)
  • Fehlende Ausdauer, Sicherheitsmaßnahmen konsequent umzusetzen

Psychologische Faktoren:

  • Vertrauen
  • Pflichtbewusstsein/Engagement
  • Anerkennung von Autorität
  • Angst

u.a.

Fazit

Die IT-Security-Kompetenz von MitarbeiterInnen wird immer wichtiger. Diese wird über eine Entwicklung individueller Handlungskompetenz erreicht. Die genannten Faktoren werden durch Awareness-Maßnahmen und Trainings bewusstgemacht und können so in geschütztem Rahmen reflektiert werden.

Es können nicht alle Angriffe vermieden werden, aber es ist unabdingbar Menschen in Organisationen dazu zu befähigen, Social Engineering-Angriffe als solche wahrnehmen zu können und das Handwerkszeug zum richtigen Handeln zu vermitteln.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA *