UNITEDINTERIM Blog

Case-Studies und Blogbeiträge von professionellen Interim Managern und Interim Managerinnen

​Thema: IT Sicherheit im chinesischen Homeoffice


Stellen Sie sich vor: 

Ihr Auftraggeber fordert, es dürfen keine sensiblen Daten und Informationen nach draußen gehen.

Was sagen Sie dazu?

Ich muss da schmunzeln. Sicher: Datenklau kann im Homeoffice passieren. Aber das machen Leute im Unternehmen auch. Beispielsweise habe ich ein Handy, mit dem kann ich alles machen, abfotografieren, Screenshots machen. Wenn die Dropbox auf ist im Unternehmen, kann ich alles herüberladen.

Ich will damit sagen, es ist ein wichtiges, ein richtiges Thema und Argument, aber die Frage ist: An welcher Stelle entsteht ein Schaden? Wenn man seinen Mitarbeitern nicht vertraut, weckt das Begehrlichkeiten.

Beispielsweise hat die Zentrale eine Software aufgespielt, um die Arbeiten am Bildschirm zu verfolgen, und hat in China festgestellt, dass online manche Videos oder Spiele aufgerufen werden. Man muss wissen, diese Art von Spionage-Software ist auch in China noch legal. Aber die Mitarbeiter wissen nichts davon. Die Grundstruktur des Vertrauens in den Mitarbeiter wird damit ganz stark in Frage gestellt.

Wenn Mitarbeiter nicht motiviert sind, kommen sie nur zur Arbeit, um die Zeit abzusitzen. Sagen ja zu den Terminen und finden hinterher eine Ausrede, weshalb es nicht geklappt hat. Verbringen aber die ganze Arbeitszeit mit Spielen, auch in den Meetings. Sie fühlen sich sicher, die chinesischen Gerichte helfen allen Mitarbeiter, egal was sie verbrochen haben. Das bestätigen die Statistiken der Auslandshandelskammer AHK, „European Chamber" und einige internationale Rechtsanwaltskanzleien.

Die Frage ist, in welchem Umfeld arbeite ich. Wie schütze ich Betriebsgeheimnisse? Was glauben Sie, wie viele CRMs eine Exportfunktion haben? Der Vertriebler hat alle Daten dabei, sie sind nicht geschützt.

In einem von der Familie abgeschirmten Homeoffice wird viel mehr gearbeitet. Das Unternehmen hat so viel davon. Man muss eigentlich aufpassen, dass die motivierten und loyalen Leute nicht zu viel arbeiten und sich kaputt arbeiten und eine psychische Gefährdung erleiden. Und das meine ich ernst. In China gilt das 20:80 Prinzip. 20% der Leute erledigen 80% der notwendigen Arbeiten. Die meisten Leute sind Statisten, wurden und werden gar nicht gebraucht.

Meine Devise lautet deshalb, die Organisation in Hierarchie und Mitarbeiterzahl sehr schlank halten und alle Mitarbeiter mit allen zur Verfügung stehenden Mitteln täglich motivieren und trainieren. Meine Betriebsergebnisse können sich sehen lassen und bestätigen meine Vorgehensweise.

HQ fordert, der deutsche General Manager hat die Verantwortung für die Datensicherheit.

Was sagen Sie dazu?

Ich bin als Mentor für digitale Prozesse unterwegs. Ich zünde Organisationen mit ditigalen Mitteln an, diese weiterzuentwickeln. Ich bringe Menschen mit Lösungen zusammen. Deswegen habe ich auch einen etwas anderen Blickwinkel auf das Thema IT-Strategie, rein fachlich im Kundensinne gedacht.

Bevor ich in Lösungen einsteige muss ich Hausaufgaben machen. Mein IT-ler ist idealerweise Techniker und Consultant gleichzeitig, erklärt den Mitarbeitern und Chefs wie man weiter kommt und die Wettbewerbsposition verbessert.

  1. Man hat ja IT nicht zum Selbstzweck eingeführt, sondern weil wir einen Wettbewerbsvorteil haben wollten aus den gigantischen Investititionen. Ich muss es besser und schneller können, ich habe die bessere Qualität.
  2. Ich muss selbstverständlich auch die Unternehmensfortführung sichern. IT darf nicht der Grund sein, dass der Laden schiefhängt.
  3. Dann ist IT dafür da, Datenverlust und Diebstahl zu verhindern. Dass die Informationen in der Cloud nicht verloren gehen und auch keine Füße kriegen. Kein unwichtiges Thema.
  4. Um eine sichere Kommunikation im Homeoffice zu ermöglichen, wählen sich alle Arbeitnehmer über eine sichere VPN-Verbindung ins Netzwerk des Arbeitgebers ein. Das ist der Standard in China.

Daraus werden die Handlungen abgeleitet. Diese vier Themen sind mein Kompass. Dabei gehe ich nach dem bewährten Management Cycle PDCA vor. P steht für Plan der IT Management Systeme wie IDIL, SAP, Kingdee, MES, QM, Messmaschinen-Backups, KVP, etc.

Dann kommen wir zum wichtigen Punkt Datenverlust und Datenklau. Jeder im HQ hat Angst davor, vor allem im weit entfernten China.

Wie gehen Sie hier vor?

- Ich kann „Data Loss" and „Leak Prevention" bis in die Perfektion treiben. Wir können die Kameras an den privaten Handies abkleben oder ganz einsammeln, Überwachungskameras aufstellen, Hinweisschilder anbringen, Mitarbeiter unterschreiben lassen, Bestrafungen im Employee Handbook festlegen. Die 100%ige Verlässlichkeit gibt es da nicht als eine technische Lösung.
- Die zusätzliche Lösung ist Mitarbeiterzufriedenheit und Motivation. Dann ist die Wahrscheinlichkeit hoch, dass ein sich mit dem Unternehmen identifizierender Mitarbeiter die Sachen nicht wegnimmt.
- Wegen Datensicherheit gilt es Hausaufgaben im technisch-organisatorischen Bereich zu machen. Ein technisch-versierter Datenschutzbeauftragter kann die ISO 27001 anstreben. Die technisch organisatorischen Maßnahmen, TOM, legen fest, was sie wie machen, wie Verschlüsselung, Authentifizierung, Identifizierung, Zugriffsrechte, Lösch-Rhythmus, Datensparsamkeit, Schlüsselliste, das ist durch die Bank vernünftig und bietet einen Mehrwert. Machen Sie sich selbst ein Ampelsystem und arbeiten sie es ab, bis alles gelb oder grün ist. So pragmatisch würde ich es angehen.

Wie sieht die Wirklichkeit aus in den chinesisch-deutschen Unternehmen?

Der Einkäufer ist eng mit dem Verkäufer verbunden. Maverick-Buying der IT und anderen Abteilungen muss verhindert werden, doch der im Einkauf sitzende Einkäufer für IT-Hard- und Software hat keine Ahnung und fragt den IT-Mann, was er wo kaufen soll.

Interne Trainings und Schulungen helfen hier, um folgende Hauruck-Aktionen zu vermeiden und das Budget besser zu steuern:

„Chef, der Schalter ist bald defekt. Wir brauchen bald einen neuen. Hier ist das Angebot. Bitte hier unterschreiben."

„Die Software ist zu alt und jetzt aus dem Support gelaufen. Da müssen wir schnell migrieren. Wir brauchen was neues. Hier ist das Angebot. Bitte hier unterschreiben."

„Da gibt es eine Sicherheitslücke. Da sollten wir schnell ein neue Version kaufen."

Keine IT-Investitionen aus der Hüfte heraus schießen. Folgende Aussage nicht hinnehmen:

„Das war nicht abzusehen, das das mal kaputt geht. Das ist alternativlos, oder wir bleiben stehen."

„Alle wussten, dass das ganz dringend ist. Nur der Geschäftsführer nicht."

Der GM ist somit oftmals gezwungen, Entscheidungen zu treffen. Nicht wie in anderen Bereichen, z.B. in der Produktion, in Vertrieb oder Personalplanung, wo man einen straffen Plan und klare Anforderungen hat, ein klares Budget und klare Ergebnisse. Meist ist es mehr Incrementalismus. 

Wie lässt sich der Zustand in China verbessern?

Der IT-ler braucht aus meiner Sicht in China folgende Trainings und Follow up:

  1. IT und Entscheider zusammenbringen. Ich mache das über einen wöchentlichen Coaching-Termin und monatlichen HQ-IT-Termin.
  2. Die wichtigesten Aufgaben der IT, von Job Description" bis IT Strategien und Weiterbildung.
  3. Den Weg zu einer vernünftigen IT-Entscheidung aufzeigen, von Status-Aufnahme bis Zielsetzung
  4. IT aus der Sicht des Risikomangements betrachten.
  5. Digitale Prozesse und Dokumentenablage brauchen keine teuren Ad-ons. Mit Windows-Programmen auskommen.
  6. Kenntnisse der Best Practise Handlungsemfehlungen, wie ich den Management-Zyklus in der IT einführen kann.
  7. Output der internen IT messbar machen
  8. Den IT-Bedarf aus dem Geschäftsmodell entwickeln. Der IT-ler fragt beispielsweise den Chef: "Wieviel neue Mitarbeiter kommen dieses Jahr?"
  9. Die Technik, die Infrastruktur vom Informationsmanagement, der Informationsverarbeitung trennen. Ich als GM habe endliche IT-Ressourcen und möchte das Maximum herausholen. Mache ich es selbst oder kaufe ich es fertig zu? Wo ich Spezialwissen brauche, mache ich es im eigenen Haus. Alles andere Standardisierbares, Server, Switching, Drucker, kaufe ich ein.
  10. Angst ist kein guter Ratgeber. Hackerangriffe, löschbare Profile, kann nicht die Basis einer Entscheidungsfindung sein. Wenn ein Dienstleister zu teuer ist und kein Ergebnis bringt, oder zu billig ist und nur Mist baut, dann muss ich einen „Cut" machen. „Oh, bloss nicht, was passiert, wenn der weg ist?" Dann leben wir damit und kriegen es hin.
  11. Erpressung ist kein gutes Geschäftsverhältnis. Gerade, wenn sich die Welt schnell verändert und die Abhängigkeiten größer werden.
  12. Kosten Management. Beispielsweise, Vor- und Nachteile der Cloud-Vertragsverhältnisse SaaS und IaaS
  13. Faktische Grundlagen des Datenschutzes verstehen. Die einen IT-ler wollen und können der Firma technisch helfen, die anderen produzieren nur Papier.
  14. Die aktuelle Bedrohungslagen verstehen. Beispielsweise kann ich nachlesen, was waren die Sicherheitslücken der Firmen, die gehackt worden sind. Selber lernen, was könnte in unserem Unternehmen sein.
  15. Welche Varianten eines IT-Arbeitsplatzes gibt es und wie kann ich ihn anderen zur Verfügung stellen?
  16. Wie kann ich sinnvoll außerhalb der Firma arbeiten? Homeoffice, mobiles Arbeiten, an andere Arbeitsplätze wechseln. Altertümlicher Fernzugriff hat einen anderen IT-Standard als über VPNs. Wie kann ich verhindern, das ich im angetrunkenen Zustand zuhause den Firmenrechner platt mache und neu formatiere?

Also mit diesen 6 Tipps arbeiten Sie datensicher im Homeoffice:

1.Software aktuell halten. Gutes Antiviren-Programm.

2.Sichern Sie Ihr WLAN. VPN für eine geschützte Verbindung.

3.Geschäfts-IT nur für die Arbeit nutzen.

4.Daten sicher aufbewahren.

5.Schaffen Sie (Homeoffice-)Firmenrichtlinien und befolgen sie diese für Online-Banking, E-Mail & Co.

6.Datenübertragung auf externe USB oder Festplatten verweigern.

Wenn Ihr Unternehmen in China Unterstützung benötigt, um die Kommunikation, digitale Prozesse und das Gewinnwachstum zu verbessern, schreiben Sie bitte eine E-Mail an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! oder vereinbaren Sie ein Zoom-Meeting unter www.calendly.com/karlheinzzuerl

Karlheinz Zuerl

Profil bei UNITEDINTERIM

GTEC German Technology & Engineering Cooperation

Berggasse 4
96277 Beikheim

Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

+86 134 8243 8080

Hotels: Transformation einer internen Support-Einh...
Best Practice: Umsetzungskompetenz schlägt Branche...
 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Gäste
Samstag, 13. August 2022

Sicherheitscode (Captcha)