Petra Haferkorn  war nach ihrem Studium der Mathematik mit dem Nebenfach Informatik bei der Bundesanstalt für Finanzdienstleistungsaufsicht tätig und leitete internationale Vor-Ort-Prüfungen des Risikomanagements von Kredit­insti­tuten, Versiche­rungen und anderen Finanz­dienstleistern. In den letzten Jahren führte sie IT-Prüfungen mit den folgenden Schwerpunkten durch: IT‑Gover­nance, Informa­tions­sicherheits­management- und Informationsrisikomanagement­systeme.

Die Prüfungstätigkeit stellte sie vor Herausforderungen, für deren Bewältigung sie im herkömm­lichen Prüfungswesen und in der klassischen Managementtheorie keine befriedigenden Strate­gien fand. Daher machte sie sich Konzepte der Neueren Soziologischen Systemtheorie und ihren Anwendungen in der systemischen Organisationsberatung zu eigen und wandte sie auf ihre Prüfungsgespräche und auf die Analyse der Funktionsweisen der IT-Sicherheitsmanagementsysteme an.

Systemische Ansätze unterscheiden zum Beispiel lebende von toten Systemen, was bei einer Einschätzung der Funktionsweise der sozio-technischen Systeme „Informationssicher­heits­management“ und „Informationsrisikomanagement“ sehr hilfreich ist:

• Während Informationstechnologie sich an vorgegebene Regeln hält und mathematisch determiniert ist, lassen sich die sozialen Interaktionen ihrer Benutzer(innen), Programmier­er(innen) und anderer Mitarbeiter(innen)­ einer Organisation nicht genau vorherbestimmen. So führt z. B. die Addition von Zahlen zu einem eindeutigen Ergebnis, der Erfolg einer Fortbildung zur Informationssicherheit bei den Mitarbeitern einer Organisation bleibt jedoch ungewiss.
• Während Naturgesetze in den rein technischen Systemen ihre Gültigkeit behalten, verändern sich die (Informations-) Risiken von Organisationen permanent. So werden Leitungskabel in einem technischen System bei einer zu großen elektrischen Span­nung immer durchschmoren und entsprechende Experimente sind für jedermann jederzeit wiederholbar. Dagegen ist z. B. das Verhalten der Mitarbeiter unterschied­lich, mal wählen sie ein sicheres Passwort und ein anderes Mal halten sie das nicht für nötig.

Die neuere soziologische Systemtheorie bezweifelt demnach, dass soziale Systeme in dem Sinne wie Maschinen gesteuert werden können; die Reaktion der lebenden Systeme auf einen äußeren Reiz ist nicht exakt prog­nosti­zierbar. Dieses Postulat stellt die traditionelle Auffassung von dem wie (IT-)Prüfungen und IT-Sicherheitsmanagementsysteme funktionieren in Frage und schafft ein neues Verständnis von Begriffen wie IT-Risiko und Informationssicherheit.

Es geht der Systemtheorie jedoch nicht einfach darum, zu irritieren! Auch möchte sie nicht den Sinn von Prüferteams oder Manager(innen) in Frage stellen. Ganz im Gegenteil! Die Vorteile dieses theoretischen Ansatzes sind von hoher praktischer Relevanz: Erst eine Theorie, die die Steuerbarkeit von lebenden Systemen gedanklich verneint, erlaubt es, Mittel und Wege aufzuzeigen, wie man soziale Systeme „führen“ kann.

Dies gilt sowohl für Prüferteams in Bezug auf (IT-)Prüfungsprozesse als auch für andere Informationssicherheits­teams in Bezug auf (IT-)Managementprozesse. So wird man zum Beispiel die komplexe Frage, wie die Aufmerksamkeit einer Organisation hinsichtlich ihrer Informationsrisiken aufrechterhalten werden kann, nicht durch (zu) simple Lösung beantworten können. (Wie z.B. die zu simple Antwort, dass die Mitarbeiterinnen eine Informations­sicherheits­schulung machen und dann wissen sie alle für immer, was sie für die Informationssicherheit der Organisation zu tun haben.)

Die Systemtheorie zeigt, dass es keine kontextfreien, allgemeingültigen Antworten auf die komplexen Herausforderungen des IT-Sicherheitsmanagements gibt und bewahrt uns vor zu einfachen Antworten. Folgt man den Erkennt­nissen agiler und systemischer Vorgehensweisen, lernen Prüfungen und Organisationen den Umgang mit (immer neuen) Risiken durch schrittweises, zirkuläres Vorgehen. Unsicherheiten und Risiken werden dabei von den sozialen Systemen durch Lern- und Entscheidungsprozesse bearbeitet.

Demnach wird eine Organisation immer wieder ausloten, wie derzeit der Arbeitsmarkt für IT‑Fachkräfte aussieht (Lernprozess) und sich daraufhin überlegen, ob sie z. B. einstellt oder ausbildet (Entscheidungsprozess). Jede dieser Entscheidungen wird bezüglich ihrer Auswirkungen auf die anderen Mitarbeiter, die Lieferanten und die Kundinnen abgeklopft und die dann getroffene Entscheidung angemessen kommuniziert. Erkennt die Organisation später, dass sich der Arbeits­markt oder die Wünsche der Mitarbeiterinnen ändern, wird sie sich erneut vor diese Entscheidung stellen.

Verallgemeinert gesprochen erkundet der Lernprozess in der Sachdimension ganz bewusst das Nichtwissen der Organisation über das IT-Sicherheitsmanagement. Der Entscheidungs­prozess bestimmt auf Basis des bislang Gelernten über das weitere Vorgehen. Gleichzeitig behält die Organisation in der Sozialdimension die Betroffenen und die Kritikerinnen der aktuellen Entwicklungen im Auge, um die Perspektiven aller Interessen­gruppen einzubeziehen und ihnen gegenüber gesprächsbereit zu bleiben. Erst einem dynamischen Informationssicher­heits­manage­­ment­­system gelingt es, eine ausreichende Handlungs­varietät aufrechtzuerhalten, um auf die unvorhergesehene Veränder­ungen reagieren zu können.