Dienstag, 19. März 2024

Der moderne Arbeitsplatz ist gut geschützt und komplett digital. Aber: «Es braucht Spielregeln»

Die zurichnetgroup ist ein Premium Partner von Gryps für die Bereiche IT-Services und Cloud-Computing. Im Interview erklärt CEO Michael Müller, was eine moderne Arbeitsumgebung wirklich auszeichnet.

Jeder Kommunikationskanal muss seinen Zweck erfüllen, sagt Michael Müller: «Wenn es brennt, schreibe ich der Feuerwehr keine SMS, sondern rufe an.» (Bild: Alain Noguez)

Michael Müller, wie digital sind Schweizer KMU im Jahr 2024?

Es gibt alles, von 0 bis 100. Wir haben mit Unternehmen zu tun, die noch per Hand rapportieren, aber auch mit solchen, die so viel und so schnell digitalisiert haben, dass ein Durcheinander entstanden ist. Gerade während der Coronakrise ist es zu einem «überschnellen» Digitalisierungsschub gekommen. Mit überschnell meine ich, dass viele Unternehmen ihre Prozesse und ihre Kommunikation digitalisiert haben, ohne ein Konzept dafür zu haben.

Die Unternehmen wurden allerdings dazu gezwungen …

Natürlich. Es war eine turbulente Zeit. Es musste schnell gehen. Teilweise sind wir aber noch heute daran, das digitale Chaos aus dieser Zeit aufzuräumen.

Haben Sie ein Beispiel für dieses digitale Chaos?

Wir sind Unternehmen begegnet, die ihre Dateien an 1000 verschiedenen Orten abgelegt haben. Wer soll da noch die Übersicht behalten? Sie kennen sicher Dateien, die mit _final_final_v2_v3_final.docx beschriftet sind … Ist das nun wirklich final? Wer kümmert sich um die Ordnung, wer räumt auf? Diese Zuständigkeiten, so trivial es klingen mag, müssen geklärt sein. «Digital sein» ist nur die halbe Miete.

Es gibt auch Unternehmen, die einfach alle Dokumente auf die Dropbox geladen haben, weil es ein Kollege genau so machte. Wenn keiner dafür verantwortlich ist, dann gibt es erstens keine Struktur in dieser Dropbox und zweitens sind die Daten alles andere als sicher.

Gibt es noch andere Orte, die «überschnell» digitalisiert wurden?

Viele Unternehmen nutzen seit der Coronakrise zu viele digitale Kommunikationskanäle. Es gibt Microsoft Teams, es gibt Slack, es gibt Zoom, Trello, Google Meet … und so weiter. Für jedes Programm muss klar definiert sein, was sein Zweck ist und wie es genutzt werden soll. Damit es die Arbeit aller erleichtert und nicht noch komplizierter macht.

Wie schafft ihr bei euch Ordnung?

Wir haben einen Kommunikationsplan, der festlegt, wann welches Tool genutzt werden soll. Wenn es brennt, schreibe ich der Feuerwehr keine SMS, sondern rufe an ... Nach demselben Prinzip funktioniert auch ein solcher Plan: Wenn es wirklich dringend ist, nehme ich den Telefonhörer in die Hand. Wir sind bei zurichnetgroup sehr gut darin, uns mit neuen Technologien und neuen Programmen zu befassen – das ist schliesslich eine unserer Kernkompetenzen. Aber auch wir kamen nicht umhin, klare Regeln festzulegen.

Was für Regeln habt ihr für die verschiedenen Kommunikationskanäle?

Wir nutzen den Chat von Microsoft Teams für den normalen Alltag und für die informelle Kommunikation. Wenn ich dort keine Bestätigung erhalte, beispielsweise mit einem Daumen-hoch-Emoji, gilt meine Nachricht als nicht gelesen. Das ist eine wichtige Regel. Wenn ich eine E-Mail schreibe, hat das einen offiziellen Charakter – dort hat der Empfänger ein paar Stunden oder Tage Zeit, um zu antworten. Dann gibt es noch Programme für die Projektplanung, die stark auf das Abarbeiten verschiedener Aufgaben fokussieren. Aber wenn etwas wirklich dringend ist, sollte man anrufen.

Wer ist bei diesem Thema eigentlich im Lead? Die IT-Abteilung?

Unser klassischer Kunde ist ein Schweizer KMU, dieses hat in der Regel keine eigene IT-Abteilung. Meistens kümmert sich ein IT-Verantwortlicher um die wichtigsten Belange – und dieser ist in der Regel dankbar um Unterstützung. Schlussendlich muss im Unternehmen klar sein, dass die IT selbst keine Probleme lösen kann. Sie ist ein Hilfsmittel, um die Businessziele zu erreichen.

Ein einflussreiches Hilfsmittel …

Die IT muss richtig eingesetzt und bei allen relevanten Projekten involviert werden. Es ist sicherlich zwingend, dass IT und Business nahe beisammen sind. Hier können zum Beispiel Onboarding-Workshops hilfreich sein, die wir auch bei zurichnetgroup anbieten. In solchen Workshops analysieren wir die Struktur eines Unternehmens und entwickeln eine Strategie, um neue Tools wirklich gewinnbringend einzusetzen.

«Eine Schreibmaschine ist zwar ausserordentlich gut vor Angriffen geschützt, aber in unserer modernen Arbeitswelt nicht mehr zu gebrauchen.»

Michael Müller, CEO von zurichnetgroup

Ein anderes Thema, das stark beschäftigt, ist die IT-Sicherheit. Wie gut sind KMU vor Angriffen geschützt?

Die meisten Unternehmen sind geschützt, haben aber Schwächen. Viele wiegen sich in falscher Sicherheit. Wir propagieren eine 360-Grad-Betrachtung, damit alle möglichen Schwachstellen berücksichtigt werden.

Was meinen Sie damit?

Damit ein Unternehmen gut geschützt ist, müssen viele Bedingungen erfüllt sein. Im Zentrum steht das Gerät, es muss zum Beispiel beim Anti-Viren-Schutz auf dem neuesten Stand sein. Dann gilt es Fragen zu klären wie: Wann und wo kann sich ein Nutzer anmelden? Nur in der Schweiz oder auch im Ausland? Und weshalb ist beides notwendig? Was muss ein Nutzer wirklich können, welche Berechtigungen und Zugriffe sind vonnöten? Auch braucht es gute Firewall-Lösungen, um das Netzwerk zu schützen. Wenn Sie eine Cloud nutzen, wird es komplexer: Wer hat Zugriff auf welche Dateien und weshalb? Hier ist das Monitoring zentral: Die Systeme und die Zugriffe müssen laufend geprüft werden.

Das ist die technische Seite. Was ist mit dem Benutzer selbst?

Der Benutzer – oder die menschliche Firewall, wie wir sie nennen – ist sicherlich die grösste Schwachstelle. Die beste Technologie nützt nichts, wenn die Nutzerinnen und Nutzer nicht gut geschult sind und nicht wissen, wie ein Angriff aussehen kann oder wie sie eine Phishing-Mail erkennen. Zudem muss die Verwendung sicherer Passwörter vorgeschrieben und die Zwei-Faktor-Authentifizierung überall aktiviert sein.

IT-Sicherheit ist also ein Zusammenspiel zwischen Technologie und Benutzer…

Genau. Ein Unternehmen ist nur dann so gut wie möglich gesichert, wenn die Technologien auf dem neuesten Stand und die Benutzer optimal für Gefahren sensibilisiert sind.

Wie schafft man es, die Mitarbeitenden zu sensibilisieren?

Die Prävention umfasst zum Beispiel simulierte Phishing-Attacken. Die Mitarbeitenden, die auf den Link klicken, werden anschliessend zusätzlich geschult oder nochmals getestet. Eine einmalige Schulung reicht ohnehin nicht, weil das Thema erstens schnell vergessen geht und zweitens immer wieder neue Mitarbeitende ins Unternehmen eintreten. Am Sicherheitsbewusstsein muss laufend gearbeitet werden – denn auch Phishing-Attacken finden laufend statt. Manchmal sind sie perfide, manchmal schlampig – aber sie finden statt.

Trotz allem ist es wichtig, die Mitarbeitenden nicht zu verängstigen. Es gilt, einen guten Mittelweg zu finden zwischen Usability und Security. Ich nenne ein extremes Beispiel: Eine Schreibmaschine ist zwar ausserordentlich gut vor Angriffen geschützt, aber in unserer modernen Arbeitswelt nicht mehr zu gebrauchen.

Auch das Thema Berechtigungen sorgt immer wieder für Diskussionen in Unternehmen. Was sind Gründe, um hier zurückhaltend zu sein?

Ich verstehe, dass es für viele Nutzerinnen und Nutzer mühsam ist, regelmässig bei der IT nach Berechtigungen zu fragen. Aber hier gilt der Grundsatz: Geben Sie nur die Berechtigungen, die wirklich gebraucht werden. Das gilt für den Praktikanten ebenso wie für den CEO. Muss der CEO auf alle Kundendaten zugreifen können? Nein, höchstwahrscheinlich nicht. Wenn er mal etwas wissen will, kann er nachfragen.

«Ein Unternehmen ist nur dann so gut wie möglich gesichert, wenn die Technologien auf dem neuesten Stand und die Benutzer optimal für Gefahren sensibilisiert sind.»

Michael Müller, CEO der zurichnetgroup

Man sollte also so wenig Risiko eingehen wie möglich …

Auch hier ein Beispiel aus der Praxis: Lernende wechseln immer wieder die Abteilung. Nach zwei Jahren haben sie mehr Berechtigungen als alle anderen im Unternehmen. Weshalb? Berechtigungen werden oft sorglos erteilt und anschliessend nicht mehr entfernt. Das gilt es zu vermeiden.

Das Thema Phishing ist noch immer in aller Munde. Sehen Sie noch andere Gefahren?

Phishing wird bleiben, solange es funktioniert. Dank künstlicher Intelligenz werden die Angriffe immer perfider, hier gilt es, wachsam zu sein. In diesem Zusammenhang wird auch das Thema Social Engineering weiter zunehmen, mit KI lassen sich die Mimik und die Stimme eines Menschen schon sehr gut nachahmen. Letztendlich braucht es nur einen einzigen Klick – und das Tor ist offen.

Was hilft? Wie können sich Unternehmen auf solche und weitere Risiken vorbereiten?

In einer idealen Welt würden Unternehmen ohne Störungen operieren, aber die Realität konfrontiert uns oft mit unvorhergesehenen Krisen wie Cyberangriffen, sonstigen technischen Ausfällen oder Naturkatastrophen. Genau hier wird Business Continuity Management, oder kurz BCM, unverzichtbar.

Was genau umfasst diese Vorgehensweise?

BCM ist unsere strategische Antwort auf solche Bedrohungen. Es zielt darauf ab, Unternehmen auf derartige Ereignisse vorzubereiten, um sicherzustellen, dass ihre Geschäftsprozesse auch unter schwierigsten Bedingungen weiterlaufen können. Durch Workshops zur Risikobewertung und Identifizierung wichtiger Prozesse helfen wir, Unternehmen widerstandsfähig zu machen. So können sie auch in Krisenzeiten operativ bleiben, finanzielle Verluste minimieren und ihr Image schützen. Kurz gesagt, BCM ist ein unverzichtbares Werkzeug, um auf eine Vielzahl von Bedrohungen vorbereitet zu sein.

Was sind andere Trends für die kommenden Jahre?

Künstliche Intelligenz ist sicherlich ein Megatrend. Die Möglichkeiten dieser Technologie für jeden Einzelnen sind immens. Richtig eingesetzt, kann KI die Art und Weise, wie wir arbeiten, revolutionieren. Es ist nicht so, dass KI massenhaft Jobs ersetzen wird, aber sie kann uns vieles erleichtern.

Zum Beispiel das Schreiben von Texten?

Nicht nur. Ich habe eine Anwendung gesehen, die automatisiert Termine findet und unter den Teilnehmenden koordiniert. Eine Arbeit, die bisher eher mühsam war. Auch die Integration einer KI-Anwendung wie Microsoft Copilot in die Arbeitsplatzumgebung ist vielversprechend. Sie kann helfen, in wenigen Sekunden eine Präsentation zu erstellen oder ein Meeting vorzubereiten.

Bald dürfte die Nutzung von KI-Tools so selbstverständlich sein wie die Nutzung von E-Mails. Das war noch vor zwei Jahren undenkbar.