Kapitel 03
People Power
Die Mitarbeitenden einer Organisation sind zugleich die erste Verteidigungslinie und das schwächste Glied in der Sicherheitskette. Selbst wenn ein potenzieller Partner behaupten kann, einen Best-Practice-Ansatz bei der Auswahl und Anwendung von Tools und Prozessen zu verfolgen oder die richtigen Zertifizierungen und eine geeignete Sicherheitsabteilungsstruktur vorzuweisen, sollte er nicht als geeigneter Kandidat für die Bereitstellung Ihrer CX in Betracht gezogen werden, wenn er nicht auch nachweisen kann, dass er über eine ausgeprägte Sicherheitskultur verfügt.
Was ist eine Sicherheitskultur?
Wenn nicht jede Mitarbeiterin und jeder Mitarbeiter innerhalb einer Organisation die Bedeutung von System- und Informationssicherheit erkennt und aktiv zur Risikominderung beiträgt, kann ein potenzieller Partner weder von einer echten Sicherheitskultur sprechen noch behaupten, einer „Security by Design“-Philosophie zu folgen.
Eine Sicherheitskultur geht über die Kompetenz und Größe des Sicherheits-teams einer Organisation hinaus. Ganz gleich, wie gut ausgestattet dieses Team ist – wenn es isoliert agiert, wird es stets in einem reaktiven Modus agieren und nur auf Brände reagieren können. Im schlimmsten Fall führt dies zu einer Entkopplung innerhalb des Unternehmens, bei der sich Mitarbeitende von den Konsequenzen ihrer Handlungen abgeschirmt fühlen und Tools oder Prozesse, die zur Risikominderung dienen, als Hindernisse für Produktivität oder Geschäftswachstum wahrnehmen.
Eine Sicherheitskultur beseitigt diese isolierten Arbeitsweisen und ersetzt sie durch individuelle und kollektive Verantwortlichkeit. Mitarbeitende verstehen, dass die Einhaltung von Sicherheits-Best-Practices zentral für die Ausführung ihrer Aufgaben ist, und fühlen sich – was besonders wichtig ist – befähigt, im Falle eines Fehlers diesen sofort zu melden, um potenzielle Auswirkungen zu minimieren.
Woran erkennt man, ob ein potenzieller Partner über eine Sicherheitskultur verfügt?
Der erste Blick sollte in den Vorstand gerichtet werden. Die Führungsebene und die Sicherheitsteams müssen aufeinander abgestimmt sein und dieselbe Sprache sprechen. Trotz der zunehmenden Reputations- und finanziellen Schäden, die eine Sicherheitsverletzung für eine Organisation nach sich ziehen kann, gibt es immer noch Führungskräfte, die Sicherheit lediglich als Betriebskosten oder als einfache Maßnahme zur Risikoreduktion betrachten, anstatt sie als zentralen Bestandteil der Geschäftsstrategie und als entscheidenden Punkt positiver Differenzierung zu sehen.
Über die Vorstandsebene hinaus bieten Mitarbeitendenmetriken wie Mitarbeiterbindung, Fluktuationsraten und eNPS-Werte (Employee Net Promoter Score) aussagekräftige Hinweise darauf, ob eine Sicherheitskultur in der Praxis tatsächlich das hält, was sie in der Theorie verspricht. Selbst mit der Unterstützung durch das Management können Maßnahmen zur Steigerung des Sicherheitsbewusstseins in einer Organisation scheitern, wenn diese die Mitarbeitererfahrung eher beeinträchtigen als bereichern.
Es gibt immer noch Führungskräfte, die Sicherheit lediglich als Kostenfaktor oder als einfache Maßnahme zur Risikominderung betrachten, anstatt sie als zentralen Bestandteil der Geschäftsstrategie und als entscheidenden Punkt positiver Differenzierung zu sehen.
Die Wechselwirkung zwischen dem Mitarbeitererlebnis und Sicherheitsrisiken
Die Raffinesse und Häufigkeit von Angriffen nimmt zwar von Jahr zu Jahr zu, aber eines bleibt konstant: In den meisten Fällen ist ein erfolgreicher Sicherheitsvorfall auf menschliches Versagen zurückzuführen. Wenn Menschen unter übermäßigem Stress oder Druck stehen, keinen Zugang zu den richtigen oder ausreichenden Ressourcen haben oder in einem negativen oder nicht unterstützenden Umfeld arbeiten, sind sie weniger fokussiert und engagiert. Dadurch steigt die Wahrscheinlichkeit, Fehler zu machen, die Angreifern Tür und Tor öffnen.
In der aktuellen wirtschaftlichen Lage stehen viele Organisationen unter erhöhtem Druck – sei es durch die Suche nach nachhaltigem Wachstum oder die Notwendigkeit, Betriebskosten zu senken. Wenn keine Möglichkeiten geschaffen werden, diesen Druck zu verringern, steigt das Risiko, Opfer eines erfolgreichen Angriffs zu werden. Genau deshalb bewerten und vergleichen viele Unternehmen Outsourcing-Experten: um den Druck auf die internen Abläufe zu mindern und gleichzeitig die Kosten unter Kontrolle zu bringen.
Deshalb sollte bei jeder Bewertung eines potenziellen Partners auch der Nachweis für langfristige Investitionen in die Mitarbeitererfahrung berücksichtigt werden. Aus Sicht der Cybersicherheit trägt eine positive Mitarbeitererfahrung dazu bei, Risiken zu minimieren. Engagierte Mitarbeitende sind fokussierter, machen seltener Fehler aufgrund von Ablenkung oder mangelnder Sorgfalt und halten sich eher an Protokolle und Prozesse. Besonders wichtig: Sie bleiben dem Unternehmen eher treu und haben im Arbeitsalltag die Sicherheit, Fehler, falls sie passieren, sofort zu melden.
Dies ist ein wesentlicher Differenzierungspunkt. Organisationen, die stark auf Sicherheit fokussiert sind, können unabsichtlich ein Arbeitsumfeld schaffen, in dem Fehler stigmatisiert werden oder Verantwortung und Schuld vermischt werden. Der Schlüssel zur Minimierung von Cyberrisiken liegt jedoch darin, ein unterstützendes, inklusives Arbeitsumfeld zu schaffen, das positive Verstärkung mit der konsequenten Durchsetzung von Konsequenzen in Balance bringt.
Machen Sie Ihre Hausaufgaben
Die Mitarbeitererfahrung ist daher auch ein entscheidender Bestandteil des Ansatzes jeder Organisation, eine sichere Arbeitsumgebung im Homeoffice zu gewährleisten.
Anders als in der breiteren Geschäftswelt, wo großflächiges Remote-Arbeiten ein relativ neues Phänomen ist, ist es in der BPO-Branche seit vielen Jahren ein zentraler Bestandteil der Ressourcennutzung und der effektiven Bereitstellung von Customer Experience, ein flexibles und sicheres Netzwerk von Remote-Mitarbeitenden aufrechtzuerhalten.
Heute hat seine Bedeutung – sowohl als Aspekt der CX-Bereitstellung als auch für die Gewinnung und Bindung der richtigen Talente – jedoch erheblich zugenommen. Jeder potenzielle Partner muss nachweisen können, dass er in der Lage ist, Remote-Betriebe in großem Maßstab über verschiedene Geschäftsbereiche hinweg zu unterstützen, ohne das Sicherheitsrisiko zu erhöhen.
Schutz vor potenziellen Risiken in der Remote-Arbeit
Im Bereich digitaler Tools oder Protokolle wird jeder führende BPO-Anbieter einen etwas anderen Ansatz verfolgen, um Remote-Arbeit abzusichern. Das Ergebnis muss jedoch dasselbe sein: eine Best-Practice-Lösung.
Neben der Bereitstellung eines sicheren Netzwerks mit Ende-zu-Ende-Datenverschlüsselung – unabhängig davon, ob die Daten geteilt oder gespeichert werden – bedeutet dies ein Endpoint-Management, das jedes Gerät, das mit dem Netzwerk verbunden ist, bei Bedarf in einen reinen Zugriffsterminal (dumb terminal) umwandeln kann. Konkret würde dies die automatische Deaktivierung von Funktionen wie Kopieren und Einfügen, Dateiübertragung, Browserzugriff, Festplatten- oder USB-Port-Nutzung bedeuten.
Die IT-Abteilung der Organisation sollte zudem in der Lage sein, eigenständig den Zustand aller mit dem Netzwerk verbundenen Geräte zu überwachen und Software-, Anwendungs- oder Antivirus-Updates zwangsweise auszuführen.
Ein weiteres zentrales Element sollte ein robustes System zur Identifizierung von Mitarbeitenden sein. Idealerweise erfolgt dies über einen mehrstufigen, multifaktoriellen Authentifizierungsprozess, der zusätzlich Geo-Fencing umfasst und die Zugriffsberechtigung oder -verweigerung an historische Schichtmuster anpasst.
Kulturelle Kontinuität aufrecherhalten
In diesem Zusammenhang muss jeder potenzielle Partner nachweisen, wie er Führung, Unterstützung und Anerkennung für Mitarbeitende gewährleistet, die dauerhaft oder überwiegend remote arbeiten, damit diese genauso kulturell eingebunden sind und die Protokolle ebenso engagiert einhalten wie ihre Kollegen vor Ort. Wenn vollständig remote oder hybrid arbeitende Modelle zentrale Bestandteile der Geschäftstätigkeit sind, können diese nur dann als aus Sicherheitsaspekten ausreichend robust und nachhaltig angesehen werden, wenn es keine Unterschiede in der Mitarbeitererfahrung zwischen vor Ort und remote Arbeitenden gibt.
Checkliste
Überprüfen Sie die Implementierung und Unterstützung einer starken Sicherheitskultur.
Prüfen Sie die direkte Berichterstattung von Sicherheitsfunktionen an die Unternehmensleitung und die Priorisierung von Sicherheitsstrategien.
Überprüfen Sie langfristige Mitarbeiterkennzahlen wie Mitarbeiterbindung und eNPS, um die Zufriedenheit am Arbeitsplatz zu bewerten.
Finden Sie heraus, ob die Organisation als führend in der Mitarbeitererfahrung anerkannt ist.
Evaluieren Sie Methoden zur Durchführung von Sicherheitsschulungen für Mitarbeitende.
Stellen Sie sicher, dass bewährte Praktiken zur Sicherung von Remote-Arbeitenden eingehalten werden.
Prüfen Sie die Skalierbarkeit von Remote-Betriebsmodellen über verschiedene Geschäftsbereiche hinweg.
Erforschen Sie Managementstrategien für überwiegend externe Teams und Mitarbeitende.