Erstellt am 10.11.2020 / Überarbeitet 2023.
In jedem Unternehmen stehen von Zeit zu Zeit Veränderungen an. Hierbei kann es sich z. B. um neue Software handeln, um neue Zutrittssysteme oder ein neues Security Awareness-Projekt. Gemeinsam haben alle Projekte, dass die Veränderung von den Mitarbeitenden angenommen und umgesetzt werden muss. Damit dies gelingt, hilft eine Change Management-Strategie bei der Planung und Umsetzung des Projekts.
In diesen Beitrag zeigen wir Ihnen, was eine Change Management-Strategie ist, weshalb diese sinnvoll ist, wie man eine Change Management-Strategie entwickelt und wie diese hilft, die Security Awareness in Ihrem Unternehmen zu verbessern.
Eine Change Management-Strategie hilft dabei, den Veränderungsprozess, den ein neues Projekt mit sich bringt, zu verfolgen und erfolgreich umzusetzen. So liefert die Strategie Grundlagen für Entscheide und sie beschreibt die Art und Weise der Veränderung sowie welche Gruppen davon betroffen sind. Anschliessend hilft sie, die Veränderung zum Leben zu bringen.
Damit eine Veränderung verstanden, akzeptiert und umgesetzt wird, muss man sich ein paar Fragen stellen, um zu verhindern, dass die Veränderung nicht oder nur teilweise umgesetzt wird. Man muss verstehen …
Der Prozess hilft dabei, die Veränderung konsistent und erfolgreich in einem Unternehmen zu etablieren.
Damit Mitarbeitende eine gewünschte Veränderung nicht ablehnen und sich ihr widersetzen, braucht es Strategien und Massnahmen, um die Veränderung anzunehmen und umzusetzen. Am Anfang ist es immer schwer, sich auf etwas Neues einzulassen. Es gibt verschiedene Möglichkeiten, damit dies einfacher und schneller gelingt. Damit keine Zielgruppe und Projektdetails vergessen gehen, sollte eine Change Management-Strategie entwickelt werden.
Die Vorteile, welche die Erarbeitung einer Change Management-Strategie mit sich bringen, sind Folgende:
Folgende Punkte müssen bei der Erarbeitung der Change Management-Strategie berücksichtigt werden:
Bei jeder Veränderung kann es passieren, dass sich Widerstände bilden. Daher ist es wichtig, sich vorab Gedanken zu machen, wie diese Widerstände aussehen könnten und wie man sie bereits im Vorfeld verhindern oder lösen kann.
Je nach Problem oder Zielgruppe kann es unterschiedliche Widerstände und Lösungsansätze geben. Auch kann ein Problem unterschiedliche Lösungsansätze erfordern, da beispielsweise eine Abteilung stärker von der Veränderung betroffen ist, als eine andere, und sich daher der Veränderung auch mehr widersetzt.
Erstellen Sie für die vorab aufgelisteten Widerstände eine Risikokarte (Risk Map) und erfassen Sie die Risiken nach allgemeinen Risiken und spezifische Risikofaktoren. Erfassen Sie auch die möglichen Zielgruppen. So haben Sie bereits im Vorfeld eine Übersicht, was Sie an Widerständen erwarten könnten.
Die Open Mind Academy (1) sieht in ihrem Artikel «Wie man Menschen überzeugt, Ihr Verhalten zu ändern» 5 Punkte, die Veränderung verhindern können:
Achten Sie daher auf oben genannte Punkte und versuchen Sie, diese zu vermeiden.
Sie fragen sich nun vielleicht, wie eine Change Management-Strategie die Security Awareness in Ihrem Unternehmen verbessern soll? Nun, Security Awareness und entsprechende Massnahmen sind jeweils kleinere oder grössere Projekte mit mehr oder weniger Einfluss auf die Mitarbeitenden. Damit ein sicheres Verhalten gelernt, umgesetzt und gelebt werden kann, bedarf es Veränderung im Verhalten der Mitarbeitenden.
Deshalb macht es Sinn, bei der Planung einer Security Awareness-Strategie, einer Kampagne oder einzelner Massnahmen nach den Prinzipien der Change Management-Strategie vorzugehen. So kann man vorab mögliche Herausforderungen und Widerstände feststellen, definieren ob unterschiedliche Zielgruppen anders geschult werden müssen, festlegen, wer als Veränderungs-Ambassadoren im Unternehmen mithelfen soll, die Veränderung voranzutreiben und vorzuleben.
Schauen wir uns das Vorgehen für die Umsetzung einer Change Management-Strategie anhand des Beispiels der Planung einer Security Awareness-Kampagne an.
Eine Change Management-Strategie ist im Prinzip ein Projektplan, jedoch mit dem Fokus auf die Verhaltensveränderung der Menschen.
Die Planung einer solchen Kampagne und somit der Change Management-Strategie, wird durch das Sicherheitsteam geführt. Vorzugsweise ist bereits eine verantwortliche Person für Security Awareness vorhanden oder wird dafür definiert. Diese Person oder sogar ein Team fungieren in dem Fall auch als Change Manager und Change Management-Team, welche das Projekt leiten, vorantreiben und überprüfen. Hilfe für die Umsetzung erhält das Team idealerweise auch aus anderen Abteilungen, wo die Sicherheitsbeauftragten helfen, das Thema zu verbreiten und bei der Umsetzung und dem Veränderungsprozess unterstützen.
Im Projektteam sollten Sie sich vorgängig folgende Fragen stellen:
Zudem findet Change Management auf drei Ebenen in einem Unternehmen statt, welche alle berücksichtigt werden sollten:
Jede Ebene bedarf anderer Massnahmen und Vorgehensweisen. Einige der oben genannten Fragen können beispielsweise mit unserem Security Awareness Radar® herausgefunden werden. Die Mitarbeiterbefragung wird an jegliche Mitarbeitergruppen und Abteilungen versendet. So sieht man, welche Abteilungen und Mitarbeitersegmente auf welchen Themen einen höheren Schulungsbedarf haben. Zudem wird ersichtlich, auf welcher Ebene die Massnahmen ergriffen werden sollten.
Wichtig bei der Erarbeitung einer Change Management-Strategie und dem dazugehörigen Projekt ist es, möglichst einfach und leicht verständlich zu bleiben. Gegebenenfalls sollten die einzelnen Schritte der Veränderung nochmals in kleinere Schritte unterteilt werden, damit sie leichter umgesetzt werden können.
Aus diesem Grund ist es wichtig, die gewünschte Veränderung klar zu definieren und eine einfache Sprache zu verwenden. Auch sollen, je nach Zielgruppe und Umfang, alle Mitarbeitersegmente berücksichtigt werden. Hören Sie sich auch Bedenken, Ängste und Wünsche an und versuchen Sie bereits im Vorfeld, diese abzuholen. Fühlen sich die Mitarbeitenden ernst genommen, sind sie auch eher bereit, Veränderungen anzunehmen. Vermeiden Sie dabei angstmachende und bedrohliche Kommunikation.
Beachten Sie auch die Unternehmenskultur. Lebt das Unternehmen beispielsweise von starken Hierarchien, sollten Sie zuerst das Management für Security Awareness-Massnahmen gewinnen und das Management die Massnahmen vorleben und vorgeben lassen, damit sie einfacher durch die Mitarbeitenden umgesetzt und akzeptiert werden.
Heben Sie auch jegliche Vorteile der Strategie respektive des Awareness-Projekts hervor. Verpacken Sie mögliche negativ aufgefasste Aspekte positiv. Es ist einfacher, sich mit positiven Veränderungen zu identifizieren und diese anzufangen zu leben, als mit negativen Veränderungen.
In einem Artikel der Initio Organisationsberatung (2) werden 14 Erfolgsfaktoren für ein erfolgreiches Change Management aufgelistet. Aus unserer Sicht sind besonders folgende Punkte davon hervorzuheben und zu ergänzen.
Die Kommunikation sollte einfach und verständlich sein und die gewünschte Verhaltensveränderung klar und deutlich vermitteln. Diese Wichtigkeit wird auch im «Influence Model» von McKinsey hervorgehoben (3). Das Ziel der Massnahmen soll klar sein und in kleinen Schritten erreicht werden können. Auch die ENISA (4) empfiehlt, bei der Kommunikation auf eine positive Sprache und Formulierung zu achten. Kommunizieren Sie jeweils offen über die Ziele, den Status, die Erfolge und Herausforderungen des Projekts und des Veränderungsprozesses. Eine klare und offene Kommunikation hilft den Mitarbeitenden, Veränderung und dazugehörende Projekte besser zu verstehen, zu akzeptieren und umzusetzen.
Ein weiterer wichtiger Erfolgsfaktor in Bezug auf das Verändern von Verhalten ist die Vorbildfunktion der Führungsebene und anderer Mitarbeitenden. Zu diesem Schluss kommen ebenfalls der ENISA Report (4) sowie McKinsey (3), welche diesen Aspekt in ihrem «Influence Model» beschreiben. Es fällt den Menschen leichter, ein neues Verhalten zu adaptieren, wenn andere, besonders solche zu denen man aufschaut, mit gutem Beispiel vorangehen.
Hören Sie sich Kritiken und Ängste an und nehmen Sie sie ernst. Daraus können durchaus neue Sichtweisen und Ideen entstehen, welche man vorher nicht bedacht hat. Arbeiten Sie daher auch mit anderen Stakeholdergruppen, Abteilungen und Sicherheitsbeauftragten zusammen. Sie sind näher an den betroffenen Mitarbeitenden und können deren Bedenken, Ängste und Kritikpunkte weitergeben und ggf. auch bereits Lösungsansätze bieten.
Die Open Mind Academy (1) empfiehlt u. a. auch, keinen Druck auf die betroffenen Personen auszuüben, um die Veränderung durchzusetzen. Druck erzeugt mit hoher Wahrscheinlichkeit Widerstände und Ablehnung und ist daher kontraproduktiv. Zudem hilft es, Veränderung in kleinen Schritten zu implementieren, anstelle von einem grossen Schritt. Veränderung wird leichter angenommen, wenn die Distanz kleiner ist.
Möchten Sie mehr über dieses Thema erfahren? Laden Sie das Whitepaper «Change Management-Strategie als Erfolgsfaktor» herunter.
Erfahren Sie mehr darüber, wie Sie den Change Management-Prozess in Bezug auf Security Awareness und Sicherheitsstrategie anwenden können.
Anhand eines fiktiven Beispiels wird erläutert, wie eine Change Management-Strategie zur Planung von Security Awareness Massnahmen eingesetzt werden kann.
Abonnieren Sie jetzt unseren Newsletter und verpassen Sie keine Neuigkeiten und Blogs mehr zum Thema Informationssicherheit und Security Awareness. Das Anmeldeformular erscheint nach dem Literaturverweis.
(1) Open Mind Academy: https://www.open-mind-academy.ch/wie-man-menschen-ueberzeugt-ihr-verhalten-zu-aendern/
(2) Initio Organisationsberatung: Die 14 wichtigsten Change Management Erfolgsfaktoren. https://organisationsberatung.net/change-management-erfolgsfaktoren/
(3) McKinsey: The four building blocks of change. https://www.mckinsey.com/business-functions/organization/our-insights/the-four-building-blocks--of-change
(4) ENISA Report: Cybersecurity Culture Guidelines: Behavioural Aspects of Cybersecurity. https://www.enisa.europa.eu/publications/cybersecurity-culture-guidelines-behavioural-aspects-of-cybersecurity
Inspiration von folgenden Blogbeiträgen