Was kann HR zu einer reibungslosen IT-Situation im Unternehmen beitragen? Warum kann eine IT-Abteilung ohne klare Ansagen aus dem HR-Bereich nur suboptimal arbeiten? Und wie kann ein harmloser USB-Stick die Technik gehörig aus den Angeln heben?

F_55173919breit

Im dez2013 habe ich auf HRweb die Frage aufgeworfen, warum der Einsatz von Freelancern gelegentlich an den HR-Abteilungen vorbei geht und habe Beispiele geliefert, wie skurril die Folgen sein können (siehe HRweb-Artikel „Sind Freelancer Personal“). Daran anknüpfend liefere ich Ihnen heute Beispiele, warum HR sich aus IT-Themen nicht heraus halten darf.

Eigentlich weiß es jeder, dass die gefährlichste und schwierigste Schnittstelle in der EDV die Schnittstelle zum Benutzer ist oder – krasser ausgedrückt – das größte Problem Ihrer EDV sitzt vor dem Bildschirm – und falls da auch bei Ihnen Menschen sitzen, dann ist IT dann wohl doch ein HR-Thema.

Stellen Sie sich vor…

Stellen Sie sich vor, Sie sollen über die Rechtevergabe auf einem Server entscheiden, – weil Ihre IT-Abteilung natürlich nur Freigaben für Datenzugriffe erteilt, die von „irgendwo“ im Unternehmen legitimiert werden – entweder von der HR-Abteilung oder von der Geschäftsleitung direkt.

Dabei geht es um Lese- und Schreibrechte, die teilweise für die Arbeit eines Nutzers unbedingt nötig sind – und sich teilweise  aber sogar verbieten – z.B. bei Geheimhaltungsthemen. Denken Sie einfach mal an Ihre Personalakten. Da soll z.B. niemand dran, der keine Freigabe dafür hat – und es kann aber sein, dass Teile der Personalakten für disziplinarisch verantwortliche Vorgesetzte zugänglich sein müssen – dann aber jeweils nur für die Personalakten für die sie mitverantwortlich sind. Schon ist HR an IT-Themen interessiert … und in allen anderen Abteilungen dürfte es ähnlich sein. IT kann nur optimal zuverlässig Zugriffe freigeben oder nicht verweigern – aber entscheiden muss das jemand anderes!

Stellen Sie sich als zweites Beispiel vor, dass Ihre Entwicklungsabteilung Daten vorhält, die patentrechtlich relevant sind – und die gleichzeitig von der Marketingabteilung für Produktinformationen benutzt werden … Spätestens dann ist klar, dass keine IT-Abteilung das Problem der Rechtevergabe auf Servern allein lösen kann. Das muss Hand in Hand mit den fachlichen und disziplinarischen Entscheidern im Unternehmen erledigt werden.

Gedankensprung … IT-Sicherheit …

Stellen Sie sich vor, Ihre IT-Ausstattung ist gegen Schadsoftware (Viren, Trojaner, Spyware) vollständig sicher – was übrigens nicht sehr wahrscheinlich ist! Stellen Sie sich ferner vor, Ihre Mitarbeiter haben alle ein eigenes Passwort für den Zugriff auf das Firmennetzwerk, ein eigenes eMail-Konto und sie dürfen zu beruflichen Zwecken im Internet surfen. Ihre Mitarbeiter werden regelmäßig von den Fachvorgesetzten belehrt, welche Gefahren im Internet auf sie lauern.

Wer hat diese Belehrung veranlasst? Welche personalrechtlichen Verpflichtungen ergeben sich aus diesen Belehrungen? Werden die dokumentiert? Wenn ja: Wie? Werden diese Belehrungen ständig aktualisiert? Von wem? Welchen Einfluss nimmt die HR-Abteilung?

Kann etwa Ihre IT-Leitung die personalrechtlichen Gesamtumstände ausreichend einschätzen? Denken Sie dabei an Schadenersatz bei Vorsatz oder grober Fahrlässigkeit sowie an verhaltensbedingte Kündigungen …

Der harmlose USB-Stick hat’s faustdick hinter den Ohren

Und nun stellen Sie sich bitte noch einen konkreten Vorgang vor: Ihre Produktmanager gehen auf eine Messe und kommen mit 2 Säcken voller Werbegeschenke wieder. Darunter sind auch USB-Sticks von Firmen, mit denen Sie jahrelang zusammenarbeiten, – die also generell erstmal vertrauenswürdig sind. Aber wo wurden die USB-Sticks mit Werbung bedruckt? Wo wurden die Werbe-Dateien hinzugefügt? Wo und von wem wurden die Dateien hergestellt? Wer hat sichergestellt, dass nur die erwünschten Dateien auf dem Stick waren, als er auf der Messe an Ihre Mitarbeiter verschenkt wurde? Und wer hat deren Virenfreiheit sichergestellt?

Wer hat das bei Ihrem Lieferanten sichergestellt – und wer hat es bei Ihnen kontrolliert? Nicht nötig? Dann haben Sie sich soeben mit einer Schadsoftware infiziert, die entweder vom Hersteller der USB-Sticks oder von der Siebdruckerei oder von Ihrem Lieferanten/Partner/Wettbewerber eingebracht wurde – oder vom Hersteller der Chips in dem USB-Stick. Und nichts gegen konkrete Regionen auf dieser Welt – aber vielleicht kommen ja gerade solche Werbegeschenke aus Ländern, die für Wirtschaftsspionage besonders bekannt sind …

Das alles ist ein Thema, das auf der IT-Ebene nur durch die konsequente Sperrung von USB-Schnittstellen lösbar ist (über die übrigens auch Mäuse, Tastaturen, Lautsprecher etc. betrieben werden). Falls Sie das für unrealistisch halten, dann hat das alles schlagartig sehr viel mit Ausbildung zu tun – damit Ihre Mitarbeiter ausreichend problembewusst und sensibel mit z.B. externen Datenträgern umgehen. Und Ausbildung ist dann wieder ganz klar Aufgabe der HR-Abteilung: Vermittlung von Problembewusstsein, Handlungsanweisungen, Verbote und Gebote, Haftungsthemen u.s.w. … bis hinein in die Arbeitsverträge – also ein HR-Thema!

Ich würde mich sehr über Ihr Feedback freuen – und wenn Sie möchten schreibe ich Ihnen im nächsten Monat, warum das Thema Social Media von HR-Abteilungen komplett unterschätzt wird.