​

Du hörst und liest bestimmt öfter Sprüche wie "Kein Backup, kein Mitleid". Aber eigentlich sind sie nichts anderes als destruktive Schadenfreude.

Wenn man zum Experten in seiner Branche wird, dann vergisst man schnell alles andere. Die "Bubble", wie wir sie nennen. Ja, auch ohne IT und IT-Security wird die Welt weitergehen. Blumen werden blühen, Biber werden Dämme bauen und auch das Universum wird sich weiterhin unendlich dehnen.

Aber auch im Firmenalltag sieht es nicht anders aus. Die Geschäftsführung hat weitaus akutere Prioritäten als IT-Security, Backups oder die Brandschutzversicherung. Auch wenn die Schäden, die dabei entstehen, verheerend sein können, hat man sie nicht immer auf dem Schirm. Sonst würden wir doch auch alle kein Fast Food essen und täglich Sport machen, oder? 😉

Don't hate the game, just play by the rules

Als IT-Verantwortlicher kann man sich oft jahrelang den Mund fusselig reden und bekommt trotzdem kein Gehör bei der Geschäftsleitung und schon gar keine offene Geldbörse. Aber eins darf man nicht vergessen: Als Geschäftsführer, CFO oder COO hat man Wichtigeres zu tun, als sich mit CVSS-Scores oder Großvater-Vater-Sohn Backup-Zyklen zu beschäftigen.

Die Position kann man sich ungefähr so vorstellen: Man ist die Mama von zehn Problemkindern. Die Finanzabteilung schreit, die Personalabteilung schreit, die Produktionsleitung schreit, der Vertrieb schreit, die IT schreit, die Gesellschafter schreien. Es ist alles sehr schrill und dramatisch. Das Quartalsende naht, Pönalen drohen, Interessenten bleiben aus und die Bestandskunden sind unzufrieden.

Die Aufgabe des C-Level ist es, dafür zu sorgen, dass der Laden läuft, dass das Unternehmen wächst, Gewinne maximiert und Ausgaben reduziert werden.

Gib mir einen Hebel lang genug und ich bewege die Welt

Der Spruch ist nicht von mir, sondern von Archimedes, aber er passt trotzdem. Wenn du etwas bewegen willst, brauchst du einen Hebel, einen Meinungsverstärker. Nein, den Baseballschläger solltest du trotzdem besser daheimlassen. 🤓 Das geht auch anders, viel subtiler.

Du möchtest die IT absichern, die Verwaltung optimieren, die Kosten reduzieren und die User glücklicher machen. Schau mal zwei Absätze weiter oben, da siehst du, dass deine Wünsche eigentlich gar nicht so weit von denen der Geschäftsführung entfernt sind.

Am besten ist es, wenn du deine Wünsche und Befürchtungen in Form eines Risikomanagements niederschreibst. Du möchtest eine bessere Backup-Lösung oder ein Schwachstellen-Management einführen? Dann mach den Umkehrschluss und frag dich, exakt 5x, warum du das möchtest.

1. Ich würde gern ein Schwachstellen-Management einführen! – Warum?
2. Damit ich immer weiß, wo Schwachstellen im Netzwerk sind! – Warum?
3. Damit wir die Schwachstellen auch schließen können! – Warum?
4. Damit Angreifer keine Chance haben, Schaden anzurichten! – Warum?
5. Damit die Produktion nicht stillsteht! AHA!

Lerne eine neue Fremdsprache: Business-isch

Wenn du Budget bekommen willst, musst du deine Bedürfnisse auf das Wesentliche runterbrechen. Die Geschäftsleitung hat mit der Technik so ihre Schwierigkeiten, weil sie sich auf was ganz anderem konzentrieren muss. Wenn du aber, wie im Beispiel oben, das Fehlen eines Schwachstellen-Managements mit einem Produktionsausfall verknüpfen kannst, dann hast du deren volle Aufmerksamkeit.

Wenn du die Sprache und Wortwahl der Entscheider anpasst, wirst du mit deinem Anliegen eher erfolgreich sein. Es ist jetzt nicht nötig, sie mit deinen neuen Fremdwörtern zu imprägnieren, aber es kann hilfreich sein, die Gedanken in die gleiche Richtung zu lenken. 🤓

Wie gut etwas ankommt, hängt auch davon ab, wie es präsentiert wird. Keine Sorge, du musst kein Powerpoint-Guru werden, aber ein paar einfache Slides mit Zahlen, Daten und Fakten sollten schon dabei sein. Tortendiagramme sind auch immer gern gesehen … allein beim Gedanken daran krieg ich schon Hunger. 😬 🍰

Strukturiere die Anfrage am besten so:

1. Erstelle ein Problembewusstsein: Du musst aufzeigen, welche Risiken es im Unternehmen wirklich gibt und das Bild der potenziellen Bedrohung schärfen (Produktionsausfall, Datenverlust).
2. Präsentiere die Lösung: Du erklärst, welche Maßnahmen du ergreifen würdest, was sie kosten und wie lange es dauert, bis sie umgesetzt sind. Du kannst durchaus mehrere Optionen auflisten, um die Geschäftsführung in die Entscheidungsfindung miteinzubeziehen. So können sie zwischen Lösung A/B/C wählen, anstatt zu überlegen, ob sie überhaupt eine Lösung erwägen.
3. Zeige den Outcome: Das Wichtigste ist, dass du den Nutzen für das Business zeigst. Du kannst zum Beispiel eine stabilere Produktion, sicherere Kundendaten oder eine nachhaltigere IT anführen. Sag auch der Marketing-Abteilung Bescheid, denn vielleicht kann man die Vorteile auch nutzen, um die Außeneinwirkung der Firma zu stärken. "Wir investieren in die Sicherheit unserer Produktion und Kundendaten!"

Quick Tipp: Kleine Budgets clever nutzen

Wenn du noch nicht das nötige Budget für eine umfassende Lösung hast, aber "Futter" brauchst, um die Kanonen zu laden, kannst du das stufenweise angehen. Ich würde dir empfehlen, eine unabhängige Sicherheitsanalyse von extern zu beauftragen.

Das wirkt immer stärker, als wenn es Otto von der IT sagt, der schon 15 Jahre dabei ist und den Laden in und auswendig kennt. Leider! Wie ich schon sagte: "Don't hate the game, …" Es ist auch besser, wenn die Analyse von einer Firma durchgeführt wird, die nicht an der Umsetzung verdient. So wird mehr Aufmerksamkeit geschaffen.

Die größten Fehler bei Budgetgesprächen

Der Titel klingt nach echtem Click-Bait … aber geklickt hast du schon. Anyway … ich hab hier eine Liste mit Fehlern erstellt, die ich immer wieder bemerke.

• Quick-Wins als Lösung: Das geht in der Regel nach hinten los. Denn sobald die abgearbeitet sind und die Risiken von tiefrot auf gelb gewandert sind, glauben die Entscheider, dass der Brand gelöscht ist. Das Interesse verfliegt genauso schnell wie das geplante Budget.
• Best-Practices: "Wir brauchen das, weil man das eben so macht!" ist ein Totschlag-Argument und zeigt keinerlei Wirkung. Präsentiere zuerst das Problem, zeige dann den Graben zwischen eurer Realität und der "grünen Wiese" und schlussendlich, wie du die Brücke baust, um rüberzukommen.
• Compliance: Wenn du dich auf die Compliance berufst, dann hilft dir das nur in Branchen oder Firmen, die stark reguliert werden, oder wenn ihr kurz vor einem Audit steht. Verknüpfe das Problem am besten mit dem direkten Schaden.
• Persönlichkeit: Wenn du eine passive-aggressive Haltung einnimmst und denkst, "Dann machen wir eben gar nichts mehr", wird das Ganze schnell persönlich. Auch wenn du (genauso wie ich) mit sehr viel Herzblut dabei bist und zeigst, wie sehr du dich kümmerst, erreichst du damit nichts.

Wenn du mit allen sachlichen Argumenten nicht weiterkommst, kannst du der Geschäftsleitung trotzdem sagen, dass du das persönlich als falsche Entscheidung siehst. Du kannst auch gerne nachfragen, wer im Schadensfall die Verantwortung übernimmt.

Anstatt das Thema nie wieder anzusprechen, führe die Liste von Risiken weiter und berichte der Geschäftsleitung regelmäßig darüber – insbesondere, wenn sich die Lage verschlechtert. Ein Zyklus von 4 bis 6 Wochen ist perfekt, um Inception-mäßig eine Idee in das Gehirn zu pflanzen. 🧠

Vielleicht verkaufen sie es dir dann zwar als ihre Idee, aber mal ehrlich? Am Ende zählt nur das Ergebnis. Nicht alle Helden tragen Capes. 🦸

Fazit

Wenn du etwas erreichen willst, musst du die Sprache der Geldgeber sprechen. Auch wenn es darum geht, sie zu schützen. Wir alle haben große Verantwortung und viel zu tun. Bitte nimm es daher nicht persönlich, wenn du auf Ablehnung stößt. Du würdest bei jedem Sales-Call doch auch nicht sofort Ja und Amen sagen, oder?

Falls doch, melde dich bitte bei mir. 😂

P.S.: An die Geschäftsführer unter euch. Macht es eurer IT nicht zu schwer. Sie wollen das Richtige tun. Helft ihnen, ihre Ziele zu euren zu machen. Sie werden euch dafür mit Treue, Engagement und Fleiß belohnen.