Deutsch
english
GRATIS
Whitepaper
Wie man das Sicherheitsverhalten ändert
XDOWNLOAD

Blog: Change-Management-Strategie als Erfolgsfaktor - Teil 1

Um das Sicherheitsbewusstsein der Mitarbeitenden langfristig zu schulen und zu verbessern, sollten 5 Schritte beachtet werden, um eine Cyber Security Kultur aufzubauen und zu pflegen. Im Laufe dieser Blog-Serie stellen wir Ihnen diese 5 Schritte vor, inklusive ausgewählter Taktiken, die zum Erfolg führen werden. Teil fünf behandelt das Thema der Change-Management-Strategie als Erfolgsfaktor.

In jedem Unternehmen stehen von Zeit zu Zeit Veränderungen an. Hierbei kann es sich z. B. um neue Software handeln, um neue Zutrittssysteme oder ein neues Security Awareness Projekt. Gemeinsam haben alle Projekte, dass die Veränderung von den Mitarbeitenden angenommen und umgesetzt werden muss. Damit dies gelingt, hilft eine Change-Management-Strategie bei der Planung und Umsetzung des Projekts.

In diesen Beitrag zeigen wir Ihnen, was eine Change-Management-Strategie ist, weshalb diese sinnvoll ist, wie man eine Change-Management-Strategie entwickelt und wie diese hilft, die Security Awareness in Ihrem Unternehmen zu verbessern.

Was ist eine Change-Management-Strategie?

Eine Change-Management-Strategie hilft dabei, den Veränderungsprozess, den ein neues Projekt mit sich bringt, zu verfolgen und erfolgreich umzusetzen. So liefert die Strategie Grundlagen für Entscheide und sie beschreibt die Art und Weise der Veränderung sowie welche Gruppen davon betroffen sind. Anschliessend hilft sie, die Veränderung zum Leben zu bringen.

Damit eine Veränderung verstanden, akzeptiert und umgesetzt wird, muss man sich ein paar Fragen stellen, um zu verhindern, dass die Veränderung nicht oder nur teilweise umgesetzt wird. Man muss verstehen…

  • … was sich verändert
  • … wie die Veränderung aussieht (was ist neu?)
  • … weshalb die Veränderung notwendig war
  • … welches die Vorteile der Veränderung sind

Der Prozess hilft dabei, die Veränderung konsistent und erfolgreich in einer Firma zu etablieren.

Weshalb macht eine Change-Management-Strategie Sinn?

Damit Mitarbeitende eine gewünschte Veränderung nicht ablehnen und sich ihr wiedersetzen, braucht es Strategien und Massnahmen, um die Veränderung anzunehmen und umzusetzen. Am Anfang ist es immer schwer, sich auf etwas Neues einzulassen. Es gibt verschiedene Möglichkeiten, damit dies einfacher und schneller gelingt. Damit keine Zielgruppe und Projektdetails vergessen gehen, sollte eine Change-Management-Strategie entwickelt werden.

Die Vorteile, welche die Erarbeitung einer Change-Management-Strategie mit sich bringen, sind folgende:

  • Negative Effekte werden vermindert. Durch die Change-Management-Strategie werden sie frühzeitig erkannt und behoben. Zudem hilft die Strategie, mögliche Lösungen bereit zu haben.
  • Die Strategie unterstützt eine Firma und deren Mitarbeitenden durch den Prozess der Veränderung, bis neue Tools, Arbeitsweisen oder Prozesse akzeptiert und gelebt werden.
  • Die Veränderungen werden richtig angewendet und gepflegt.

Folgende Punkte müssen bei der Erarbeitung der Change-Management-Strategie berücksichtigt werden:

  • Erstellen eines Planes, wie man sich reorganisieren muss.
  • Wie soll die Veränderung genehmigt und angenommen werden?
  • Wie soll die Veränderung implementiert und umgesetzt werden? Soll dies über die ganze Firma geschehen oder nur in gewissen Abteilungen und Bereichen?
  • Wie soll die Veränderung überwacht, überprüft, gemessen oder verfolgt werden, um das Eintreten der erwünschten Effekte zu sehen?

Widerstände gegenüber der Veränderung

Bei jeder Veränderung kann es passieren, dass sich Widerstände bilden. Daher ist es wichtig, sich vorab Gedanken zu machen, wie diese Widerstände aussehen könnten und wie man sie bereits im Vorfeld verhindern oder lösen kann.

Je nach Problem oder Zielgruppe, kann es unterschiedliche Widerstände und Lösungsansätze geben. Auch kann ein Problem unterschiedliche Lösungsansätze erfordern, da beispielsweise eine Abteilung stärker von der Veränderung betroffen ist, als eine andere, und sich daher der Veränderung auch mehr widersetzt.

Erstellen Sie für die vorab aufgelisteten Widerstände eine Risikokarte (Risk Map) und erfassen Sie die Risiken nach allgemeinen Risiken und spezifische Risikofaktoren. Erfassen Sie hier auch die möglichen Zielgruppen. So haben Sie bereits im Vorfeld eine Übersicht, was Sie an Widerständen erwarten könnten.

Die Open Mind Acadamey (1) sieht in ihrem Artikel «Wie man Menschen überzeugt, Ihr Verhalten zu ändern» 5 Punkte, die Veränderung verhindern können:

  1. Widerstand: aufgrund vor der Angst von Kontrollverlust
  2. Anhaftung: Verbundenheit gegenüber der Art und Weise, wie man Dinge bereits tut
  3. Distanz: neue Ideen, welche zu weit weg sind vom eigenen Denken und Handeln, werden eher abgelehnt
  4. Unsicherheit: Was bringt Veränderung, insbesondere als Nutzen für einen selbst
  5. Bestätigende Beweise: sind auch andere von der Idee überzeugt?

Achten Sie daher auch auf oben genannte Punkte und versuchen Sie, diese zu vermeiden.

Wie verbessert eine Change-Management-Strategie die Security Awareness im Unternehmen?

Sie fragen sich nun vielleicht, wie eine Change-Management-Strategie die Security Awareness in Ihrem Unternehmen verbessern soll? Nun, Security Awareness und entsprechende Massnahmen sind jeweils kleinere oder grössere Projekte mit mehr oder weniger Einfluss auf die Mitarbeitenden. Damit ein sicheres Verhalten gelernt, umgesetzt und gelebt werden kann, bedarf es Veränderung im Verhalten der Mitarbeitenden.

Deshalb macht es Sinn, bei der Planung einer Security Awareness Strategie, Kampagne oder einzelner Massnahmen nach den Prinzipes der Change-Management-Strategie vorzugehen. So kann man vorab mögliche Herausforderungen und Widerstände feststellen, definieren ob unterschiedliche Zielgruppen anders geschult werden müssen, festlegen, wer als Veränderungsambassadoren im Unternehmen mithelfen soll, die Veränderung voranzutreiben und vorzuleben.

Wie entwickeln Sie eine Change-Management-Strategie?

Schauen wir uns das Vorgehen für die Umsetzung einer Change-Management-Strategie anhand des Beispiels der Planung einer Security Awareness Kampagne an.

Eine Change-Management-Strategie ist im Prinzip ein Projektplan, jedoch mit dem Fokus auf die Veränderung von Verhalten von Menschen.

Die Planung einer solchen Kampagne und somit der Change-Management-Strategie, wird durch das Sicherheitsteam geführt. Vorzugsweise ist bereits eine verantwortliche Person für Security Awareness vorhanden oder wird dafür definiert. Diese Person oder sogar ein Team fungieren in dem Fall auch als Change-Manager und Change-Management Team, welche das Projekt leiten, vorantreiben und überprüfen. Hilfe für die Umsetzung erhält das Team idealerweise auch aus anderen Abteilungen, wo die Sicherheitsbeauftragten helfen, das Thema zu verbreiten und bei der Umsetzung und dem Veränderungsprozess unterstützen.

Im Projektteam sollten Sie sich vorgängig folgende Fragen stellen:

  • Was soll die Veränderung in Bezug auf Security Awareness beinhalten?
  • Wie viele Mitarbeitende sind vom Projekt betroffen?
  • Welche Abteilungen und Mitarbeitersegmente (Führungsebene, Team Leader, Mitarbeitende) sind betroffen?
  • Sehen die gewünschten Veränderungen im Verhalten für alle gleich aus oder gibt es je nach Abteilung oder Mitarbeitersegment Unterschiede?
  • Was soll genau verändert werden? Nur Verhalten oder erfordert es auch technische oder organisatorische Veränderungen?
  • In welchem Zeitraum soll die Veränderung stattfinden?

Zudem findet Change-Management auf drei Ebenen in einem Unternehmen statt, welche alle berücksichtigt werden sollten:

  • Organisationsebene: auf Ebene des Unternehmens
  • Gruppen Ebene: auf Ebene der Abteilungen
  • Individuelle Ebene: auf Ebene der Person

Jede Ebene bedarf anderer Massnahmen und Vorgehensweisen. Einige der oben genannten Fragen, können beispielsweise mit unserem Security Awareness Radar® herausgefunden werden. Die Mitarbeiterbefragung wird an jegliche Mitarbeitergruppen und Abteilungen versendet. So sieht man, welche Abteilungen und Mitarbeitersegmente auf welchen Themen einen höheren Schulungsbedarf haben. Zudem wird ersichtlich, auf welcher Ebene die Massnahmen ergriffen werden sollten.

Wichtig bei der Erarbeitung einer Change-Management-Strategie und dem dazugehörigen Projekt, ist es, möglichst einfach und leicht verständlich zu bleiben. Gegebenenfalls sollten die einzelnen Schritte der Veränderung nochmals in kleinere unterteilt werden, damit sie leichter umgesetzt werden können.

Aus diesem Grund ist es wichtig, die gewünschte Veränderung klar zu definieren und eine einfache Sprache zu verwenden. Auch sollen, je nach Zielgruppe und Umfang, alle Mitarbeitersegmente berücksichtigt werden. Hören Sie sich auch Bedenken, Ängste und Wünsche an und versuchen Sie bereits im Vorfeld, diese abzuholen. Fühlen sich die Mitarbeitenden ernst genommen, sind sie auch gewillter, Veränderung anzunehmen. Vermeiden Sie dabei angstmachende und bedrohliche Kommunikation.

Beachten Sie auch die Firmenkultur. Lebt die Firma beispielsweise von starken Hierarchien, sollten Sie zuerst das Management für Security Awareness Massnahmen gewinnen und das Management die Massnahmen vorleben und vorgeben lassen, damit sie einfacher durch die Mitarbeitenden umgesetzt und akzeptiert werden.

Heben Sie auch jegliche Vorteile der Strategie respektive des Awareness-Projekts hervor. Verpacken Sie mögliche negativ aufgefasste Aspekte positiv. Es ist einfacher, sich mit positiven Veränderungen zu identifizieren und diese anzufangen zu leben, als mit negativen.

Change-Management Erfolgsfaktoren

In einem Artikel der Initio Organisationsberatung (2) werden 14 Erfolgsfaktoren für ein erfolgreiches Change-Management aufgelistet. Aus unserer Sicht sind besonders folgende Punkte davon hervorzuheben und zu ergänzen.

Die Kommunikation sollte einfach und verständlich sein und die gewünschte Verhaltensveränderung klar und deutlich kommunizieren werden. Diese Wichtigkeit wird auch im «Influence Model» von McKinsey hervorgehoben (3). Das Ziel der Massnahmen soll klar sein und in kleinen Schritten erreicht werden können. Auch die ENISA (4) empfiehlt, bei der Kommunikation auf eine positive Sprache und Formulierungen zu achten. Kommunizieren Sie jeweils offen über die Ziele, den Status, die Erfolge und Herausforderungen des Projekts und des Veränderungsprozesses. Eine klare und offene Kommunikation hilft den Mitarbeitenden, Veränderung und dazugehörende Projekte besser zu verstehen, zu akzeptieren und umzusetzen.

Ein weiterer wichtiger Erfolgsfaktor in Bezug auf das Verändern von Verhalten ist die Vorbildfunktion der Führungsebene und anderer Mitarbeitenden. Zu diesem Schluss kommen ebenfalls der ENISA-Report (4) sowie McKinsey (3), welche diesen Aspekt in ihrem «Influence Model» beschreiben. Es fällt den Menschen leichter, ein neues Verhalten zu adaptieren, wenn andere, besonders solche zu denen man aufschaut, mit gutem Beispiel voran gehen.

Hören Sie sich Kritiken und Ängste an und nehmen Sie sie ernst. Daraus können durchaus neue Sichtweisen und Ideen entstehen, welche man vorher nicht bedacht hat. Arbeiten Sie daher auch mit anderen Stakeholdergruppen, Abteilungen und Sicherheitsbeauftragten zusammen. Sie sind näher an den betroffenen Mitarbeitenden und können deren Bedenken, Ängste und Kritikpunkte weitergeben und ggf. auch bereits Lösungsansätze bieten.

Die Open Mind Academy (1) empfiehlt u.a. auch, keinen Druck auf die betroffenen Personen auszuüben, um die Veränderung durchzusetzen. Druck erzeugt mit hoher Wahrscheinlichkeit Wiederstände und Ablehnung und ist daher kontraproduktiv. Zudem hilft es, Veränderung in kleinen Schritten zu implementieren anstelle von einem grossen Schritt. Veränderung wird leichter angenommen, wenn die Distanz kleiner ist.

Der zweite Teil unseres Blogbeitrags behandelt die Thematik, wie eine Change-Management in Bezug auf Security Awareness und Sicherheitsstrategie angewendet werden kann. Dieser wird mit dem nächsten Newsletter publiziert.

Literatur:

(1) Open Mind Academy: https://www.open-mind-academy.ch/wie-man-menschen-ueberzeugt-ihr-verhalten-zu-aendern/

(2) Initio Organisationsberatung: Die 14 wichtigsten Change Management Erfolgsfaktoren. https://organisationsberatung.net/change-management-erfolgsfaktoren/

(3) McKinsey: The four building blocks of change. https://www.mckinsey.com/business-functions/organization/our-insights/the-four-building-blocks--of-change

(4) ENISA Report: Cybersecurity Culture Guidelines: Behavioural Aspects of Cybersecurity. https://www.enisa.europa.eu/publications/cybersecurity-culture-guidelines-behavioural-aspects-of-cybersecurity

Inspiration von folgenden Blogbeiträgen

Aufgrund der aktuellen Situation bietet TreeSolution Ihnen Unterstützung und spezielle Angebote für das sichere Arbeiten im Homeoffice und andere Awareness-Themen an.

Vielen Dank.
Oops! Something went wrong while submitting the form.