Kürzlich bin ich in der FAZ auf einen in der Organisationssoziologie berühmt gewordenen Betrugsfall der Nachkriegszeit gestoßen. Arbeiter, Vorarbeiter und interne Inspekteure einer Flugzeugfabrik hatten sich nicht an Sicherheitsbestimmungen gehalten und externe Kontrolleure der Luftwaffe lange Zeit hinters Licht geführt.

Der Fall ereignete sich im Staat New York bei der Montage der Tragflächen für Kampfflugzeuge. Hierzu mussten Schrauben in vormontierte Muttern gedreht werden. Das war allerdings nicht leicht, da die Schrauben wirklich sehr eng konstruiert waren und fest sitzen sollten. So sollte verhindert werden, dass sie sich später durch die Vibration des Flugzeuges lösen. Im schlimmsten Fall könnte es sonst zum Absturz eines Flugzeuges kommen. Es war aber nicht nur anstrengend die Schrauben einzudrehen, sondern auch zeitraubend. Die strengen Zeitvorgaben konnten so ebenfalls nicht erfüllt werden.

Die Mitarbeiter nutzten daher Gewindeschneider zum Nachschneiden der Muttern. So ließen sich die Schrauben leichter und schneller festziehen. Da das allerdings der Flugsicherheit zuwider lief, wurden die Gewindeschneider verboten. Vorarbeiter und interne Inspekteure hätten die Einhaltung des Verbots kontrollieren sollen – taten Sie aber nicht. Sie hatten ebenso die Einhaltung der Zeitvorgaben zu kontrollieren und tolerierten die Nutzung der verbotenen Werkzeuge. Offensichtlich waren alle der Ansicht, dass das Nachschneiden der Gewinde nicht alzu schlimm sei. So kam es, dass irgendwann jeder Montagemitarbeiter Zugang zu einem der Gewindeschneider hatte, die Hälfte der Arbeiter im Montagebereich sogar persönlich einen besaß.

Nur die externen Kontrolleure der Luftwaffe wurden gefürchtet aber letztlich auch ausgetrickst. Tauchten sie auf, warnten die Arbeiter einander und ließen die Gewindeschneider vorübergehend verschwinden.

Was lernen wir aus diesem Fall?

1. Das Umgehen von Sicherheitsbestimmungen durch einfallsreiche Mitarbeiter ist nicht erst ein Problem unserer Zeit.
2. Wird bei unsicheren Verhaltensweisen keine Root-Cause-Analyse durchgeführt, sind diesbezügliche Verbote schnell wirkungslos. Bekämpft wird dann häufig nur das Symptom, nicht die Ursache.
3. Werden widerstrebende Ziele nicht von der Unternehmensleitung priorisiert, treffen die Entscheidung die Mitarbeiter selbst – häufig mit fatalen Folgen.
4. Verstöße gegen Sicherheitsbestimmungen resultieren häufig aus den „besten“ Absichten. Es handelt sich nur selten um eine bewusste Schädigung.
5. Sind interne Prüfer für die Kontrolle der widerstrebende Ziele verantwortlich, unterliegen sie dem gleichen Interessenkonflikt wie die Mitarbeiter selbst.
6. Auch externe Kontrollen sind wirkungslos, wenn sie an der falschen Stelle ansetzen, die Motivation der Mitarbeiter nicht berücksichtigen oder ohne Verständnis der internen Abläufe durchgeführt werden.

Wie ist das zu verhindern?

Betrachten wir nun der Reihe nach, was man aus diesen Lehren für Schlüsse ziehen kann.

1. Sicherheitsbestimmungen werden durch einfallsreiche Mitarbeiter umgangen, wenn diese nicht genügend „durchdacht“ sind. Ungenügend durchdacht sind sie dann, wenn sie nicht die Zwänge, Ziele, Prioritäten und Risiken (ZZPR) der Mitarbeiter berücksichtigen sondern nur die ZZPR der Instanz, die das Verbot erlässt. Sicherheitsmaßnahmen müssen daher individuell angepasst werden.
2. Wenn man Sicherheitsprobleme an der Wurzel packen und deren Ursache beseitigen möchte, geht kein Weg an einer Root-Cause-Analyse vorbei, die den Zusammenhang von Wirkung und Ursache aufzeigt.
3. In einer ZZPR-Analyse müssen widerstrebende Ziele und vor allem unterschiedliche Priorisierungen aller Interessengruppen berücksichtigt werden.
4. Mittels geeigneter Awareness-Maßnahmen müssen die ZZPR-Abweichungen abgemildert werden, so dass möglichst alle an einem Strang ziehen.
5. Interne Kontrollinstanzen müssen von Interessenkonflikten befreit werden und – ebenso wie externe Kontrolleure – an der richtigen Stelle ansetzen. Hierzu ist technisches Know-how ebenso unerlässlich wie vertiefte Kenntnisse der gelebten internen Prozesse.
6. Externe Kontrolleure müssen die Abläufe kennen und spezifische Eigenheiten der internen Prozesse bei der Prüfung berücksichtigen.

Das Zusammenspiel ist entscheidend

Ihr Security Management System wird nur erfolgreich sein, wenn Sie Sicherheit als Zusammenspiel aus Security Management, der gelebten Sicherheitskultur und technischer Sicherheit verstehen. Keiner der drei Aspekte kommt ohne die anderen aus. Security Management, das die Mitarbeiter nicht mitnimmt und technisch keine Wirkung entfaltet, ist ebenso nutzlos, wie die beste Technik, wenn die Mitarbeiter nicht motiviert und die Security Prozesse unwirksam sind. Und selbst die motiviertesten Mitarbeiter stehen im Regen, wenn sie sich weder auf effiziente Prozesse noch auf moderne Technik stützen können.

Vor allem macht das Beispiel eine Sache klar: Wer wirkungsvolle Sicherheitsmaßnahmen etablieren will, benötigt vertiefte Kenntnisse der gelebten internen Abläufe und Prozesse einer Organisation. Insbesondere reicht es nicht, sich nur mit den technischen Aspekten eines Sachverhalts zu beschäftigen und die beteiligten Menschen außen vor zu lassen.

Auch der Griff in die Sammlung aus vorgefertigten Musterkonzepten kommt aus diesem Grund an seine Grenzen. Man stellt auf diesem Weg vielleicht einen externen Auditor zufrieden, sorgt jedoch nur bedingt für einen tatsächlichen Anstieg des Sicherheitsniveaus. In den meisten Fällen bleiben solche aufgesetzten Regelungen ohne jede Wirkung. Fehlt die Einbeziehung der betroffenen Mitarbeiter, sind Umgehungsstrategien vorprogrammiert. Jede Organisation hat eine individuelle Sicherheitskultur, die in Konzepten zu berücksichtigen ist und diese richtig einzuschätzen, ist nur gemeinsam mit den betroffenen Mitarbeitern möglich.{:}{:en}

— Sorry, there is no English version of this blog post. Our blog is mainly written in German. Just selected blog posts with international relevance are translated to English. —

Kürzlich bin ich in der FAZ auf einen in der Organisationssoziologie berühmt gewordenen Betrugsfall der Nachkriegszeit gestoßen. Arbeiter, Vorarbeiter und interne Inspekteure einer Flugzeugfabrik hatten sich nicht an Sicherheitsbestimmungen gehalten und externe Kontrolleure der Luftwaffe lange Zeit hinters Licht geführt.

Der Fall ereignete sich im Staat New York bei der Montage der Tragflächen für Kampfflugzeuge. Hierzu mussten Schrauben in vormontierte Muttern gedreht werden. Das war allerdings nicht leicht, da die Schrauben wirklich sehr eng konstruiert waren und fest sitzen sollten. So sollte verhindert werden, dass sie sich später durch die Vibration des Flugzeuges lösen. Im schlimmsten Fall könnte es sonst zum Absturz eines Flugzeuges kommen. Es war aber nicht nur anstrengend die Schrauben einzudrehen, sondern auch zeitraubend. Die strengen Zeitvorgaben konnten so ebenfalls nicht erfüllt werden.

Die Mitarbeiter nutzten daher Gewindeschneider zum Nachschneiden der Muttern. So ließen sich die Schrauben leichter und schneller festziehen. Da das allerdings der Flugsicherheit zuwider lief, wurden die Gewindeschneider verboten. Vorarbeiter und interne Inspekteure hätten die Einhaltung des Verbots kontrollieren sollen – taten Sie aber nicht. Sie hatten ebenso die Einhaltung der Zeitvorgaben zu kontrollieren und tolerierten die Nutzung der verbotenen Werkzeuge. Offensichtlich waren alle der Ansicht, dass das Nachschneiden der Gewinde nicht alzu schlimm sei. So kam es, dass irgendwann jeder Montagemitarbeiter Zugang zu einem der Gewindeschneider hatte, die Hälfte der Arbeiter im Montagebereich sogar persönlich einen besaß.

Nur die externen Kontrolleure der Luftwaffe wurden gefürchtet aber letztlich auch ausgetrickst. Tauchten sie auf, warnten die Arbeiter einander und ließen die Gewindeschneider vorübergehend verschwinden.

Was lernen wir aus diesem Fall?

1. Das Umgehen von Sicherheitsbestimmungen durch einfallsreiche Mitarbeiter ist nicht erst ein Problem unserer Zeit.
2. Wird bei unsicheren Verhaltensweisen keine Root-Cause-Analyse durchgeführt, sind diesbezügliche Verbote schnell wirkungslos. Bekämpft wird dann häufig nur das Symptom, nicht die Ursache.
3. Werden widerstrebende Ziele nicht von der Unternehmensleitung priorisiert, treffen die Entscheidung die Mitarbeiter selbst – häufig mit fatalen Folgen.
4. Verstöße gegen Sicherheitsbestimmungen resultieren häufig aus den „besten“ Absichten. Es handelt sich nur selten um eine bewusste Schädigung.
5. Sind interne Prüfer für die Kontrolle der widerstrebende Ziele verantwortlich, unterliegen sie dem gleichen Interessenkonflikt wie die Mitarbeiter selbst.
6. Auch externe Kontrollen sind wirkungslos, wenn sie an der falschen Stelle ansetzen, die Motivation der Mitarbeiter nicht berücksichtigen oder ohne Verständnis der internen Abläufe durchgeführt werden.

Wie ist das zu verhindern?

Betrachten wir nun der Reihe nach, was man aus diesen Lehren für Schlüsse ziehen kann.

1. Sicherheitsbestimmungen werden durch einfallsreiche Mitarbeiter umgangen, wenn diese nicht genügend „durchdacht“ sind. Ungenügend durchdacht sind sie dann, wenn sie nicht die Zwänge, Ziele, Prioritäten und Risiken (ZZPR) der Mitarbeiter berücksichtigen sondern nur die ZZPR der Instanz, die das Verbot erlässt. Sicherheitsmaßnahmen müssen daher individuell angepasst werden.
2. Wenn man Sicherheitsprobleme an der Wurzel packen und deren Ursache beseitigen möchte, geht kein Weg an einer Root-Cause-Analyse vorbei, die den Zusammenhang von Wirkung und Ursache aufzeigt.
3. In einer ZZPR-Analyse müssen widerstrebende Ziele und vor allem unterschiedliche Priorisierungen aller Interessengruppen berücksichtigt werden.
4. Mittels geeigneter Awareness-Maßnahmen müssen die ZZPR-Abweichungen abgemildert werden, so dass möglichst alle an einem Strang ziehen.
5. Interne Kontrollinstanzen müssen von Interessenkonflikten befreit werden und – ebenso wie externe Kontrolleure – an der richtigen Stelle ansetzen. Hierzu ist technisches Know-how ebenso unerlässlich wie vertiefte Kenntnisse der gelebten internen Prozesse.
6. Externe Kontrolleure müssen die Abläufe kennen und spezifische Eigenheiten der internen Prozesse bei der Prüfung berücksichtigen.

Das Zusammenspiel ist entscheidend

Ihr Security Management System wird nur erfolgreich sein, wenn Sie Sicherheit als Zusammenspiel aus Security Management, der gelebten Sicherheitskultur und technischer Sicherheit verstehen. Keiner der drei Aspekte kommt ohne die anderen aus. Security Management, das die Mitarbeiter nicht mitnimmt und technisch keine Wirkung entfaltet, ist ebenso nutzlos, wie die beste Technik, wenn die Mitarbeiter nicht motiviert und die Security Prozesse unwirksam sind. Und selbst die motiviertesten Mitarbeiter stehen im Regen, wenn sie sich weder auf effiziente Prozesse noch auf moderne Technik stützen können.

Vor allem macht das Beispiel eine Sache klar: Wer wirkungsvolle Sicherheitsmaßnahmen etablieren will, benötigt vertiefte Kenntnisse der gelebten internen Abläufe und Prozesse einer Organisation. Insbesondere reicht es nicht, sich nur mit den technischen Aspekten eines Sachverhalts zu beschäftigen und die beteiligten Menschen außen vor zu lassen.

Auch der Griff in die Sammlung aus vorgefertigten Musterkonzepten kommt aus diesem Grund an seine Grenzen. Man stellt auf diesem Weg vielleicht einen externen Auditor zufrieden, sorgt jedoch nur bedingt für einen tatsächlichen Anstieg des Sicherheitsniveaus. In den meisten Fällen bleiben solche aufgesetzten Regelungen ohne jede Wirkung. Fehlt die Einbeziehung der betroffenen Mitarbeiter, sind Umgehungsstrategien vorprogrammiert. Jede Organisation hat eine individuelle Sicherheitskultur, die in Konzepten zu berücksichtigen ist und diese richtig einzuschätzen, ist nur gemeinsam mit den betroffenen Mitarbeitern möglich.