www.alexander-merz.com | Alexander Merz

Das Kantinen-Dilemma Teil 1

Für das Wissensmanagement ist ein funktionierendes Rechtssystem genauso entscheidend wie für jede andere Unternehmensanwendung. Dieser Artikel beginnt eine Serie, die sich mit dem Rechtesystemen zur Regulierung von Zugriffsrechten im Wissensmanagement auseinandersetzt.

12 Uhr Mittags. Die Belegschaft strömt in die Kantine. Man trifft seine Kollegen, sitzt zusammen, tauscht sich aus. Ute vom Marketing spricht über den Erfolg des letzten Messe-Auftrittes, Bernd erzählt vom letzten Treffen mit dem Kunden und Walter berichtet vom geplanten Umbau der Produktionsstrasse.

13 Uhr. Alle sitzen wieder an ihren Arbeitsplätzen und jeder wird zum Beinahe-Eremiten, zumindest wenn es nach dem Computer geht. Ute findet im Dokumenten-Management-System zwar die aktuelle Kataloge und Reporte der Kollegen, aber welche Kontakte hat eventuell Bernd schon befragt oder betreut? Bernd findet im Computer zwar die Liste der Kunden und ihre Kontakthistorie, aber welche Kontakte hat eigentlich Ute auf der Messe geschlossen? Und Walter erfährt trotz eines umfangreichen Kommunikationssystem eigentlich nichts, was er nicht schon weiß. Doch er würde gerne wissen, mit welche Kunden und welchen Aufträgen er zu rechnen hat. Schließlich könnte er dann die Umbauarbeiten zielgerichteter durchführen.

Das Beispiel demonstriert perfekt wie die Rechtesysteme heutiger Unternehmens-Anwendungen funktionieren - und zu welchen Problemen es führt, und wie sie eigentlich zwischen 12 und 13 Uhr ausgehebelt werden.

Kantine-Dilemma ist die griffige Kurzformel für das Problem, dass heutige Rechtesysteme zwar perfekt funktionieren, aber auch das perfekteste System in der Kantine, der Betriebsküche oder der Raucherecke ausgehebelt wird.

Hier sei angemerkt, dass es in dieser Artikelserie nicht um den Schutz sensibler Daten geht innerhalb der Buchhaltung oder um vertrauliche Personaldaten, sondern um typische Unternehmensdaten wie Sie in CMS, DMS&Co zu finden sind.

Das Kantinen-Dilemma findet sich auch in abgewandelter Form wieder. Für manche eine fast alltägliche Situation: Sie arbeiten an einer Sache und denke sich, so was muss es doch schon geben: sei es ein Text, oder eine Vorlage, eine Graphik, vielleicht eine Beschreibung einer Lösung eines früheren Problems. Sie sind sich sicher, ja sie wissen, es existiert. Dann starten Sie Ihre Suche im DMS/CMS/CRM/etc... - und finden nichts. Dann überlegen Sie: Das ist doch wahrscheinlich von Abteilung X gemacht wurde. Sie rufen also eine Kollegin oder einen Kollegen an und fragen ihn/sie. Und ihre Vermutung wird bestätigt! Schnell wirft Ihr Kollege/ Ihre Kollegin die interne Suchmaschine an, findet was Sie suchen und schickt es ihnen per Email zu.

Das Rechtesystem funktioniert auch hier perfekt und wird doch überwunden. Diese Form das Rechtesystem zu überwinden, wird auch als social engineering bezeichnet. Zumeist eher assoziiert mit Hackern, findet es doch quasi legal in vielen Firmen statt.

Werfen wir einen Blick auf unsere hilfsbereite Kollegin bzw. unseren Kollegen. Hat er etwas Verbotenes getan? Schließlich hat er uns Zugriff auf etwas gewährt, worauf wir laut Rechtesystem nicht zugreifen dürfen. In der Praxis würde niemand annehmen etwas Verbotenes getan zu haben. Denn würde es sich um eine vertrauliche Information handeln, wären die meisten unserer Kolleginnen und Kollegen - und hoffentlich auch Sie und ich - clever genug die Information nicht herauszurücken. Übrigens, wenn Sie Chef sind und diese Behauptung verneinen, sollten Sie sich vielleicht nach neuen Mitarbeitern umsehen.

Versuchen Sie eine grobe Schätzung: Wieviel Prozent der Daten und Dokumente im DMS/CMS/CRM/etc. ihres Unternehmens sind tatsächlich vertraulich? Wenn Sie nicht gerade beim Geheimdienst arbeiten, dann werden es kaum mehr als 20 Prozent sein.

Sie mögen jetzt einwerfen, dass auch in den restlichen 80 Prozent genügend Informationensplitter liegen, die auf diese geheimen 20 Prozent schließen lassen. Das stimmt, aber wenn jemand tatsächlich die Energie aufbringt, um die 80 Prozent nach diesen Splittern zu durchsuchen, dann nützen Ihnen kein Rechtesystem und Arbeitsanordnungen mehr. Er oder Sie wird an die Information kommen (und versuchen, die 20 Prozent direkt zu bekommen).

Wenn aber viele Information aber nicht sonderlich schutzwürdig ist, warum sind sie dann gesichert? Diese Frage steht in engen Zusammenhang mit dem Kantinen-Dilemma. Denn: Rechtesysteme gelten erst dann perfekt, wenn selbst Belangloses mit einem Passwort geschützt ist. Das bedeutet, dass selbst zur Einholung belangloser Informationen viel Zeit verloren gehen kann.

Im nächsten Teil schauen wir uns an, wie die heutigen Rechtesysteme entstanden sind und welche negativen Auswirkungen dies auf die tägliche Arbeit hat.

Zum 2. Teil
Zum 3. Teil