Unternehmen und Behörden investieren enorme Energie, um ihre IT-Systeme vor Angriffen zu schützen, vor Viren, Trojanern, Phishing und anderen Gefahren aus dem Netz. Die Bedrohungslage ist real, und der Schutz sensibler Daten bleibt zweifellos eine Kernaufgabe der IT-Abteilungen. Doch zunehmend geraten sie dabei in eine selbstgebaute Falle: Sicherheit wird zum Selbstzweck, auf Kosten der Arbeitsfähigkeit.
Immer häufiger behindern Sicherheitsmaßnahmen den eigentlichen Auftrag der Beschäftigten. Webseiten, die für die tägliche Arbeit nötig sind, werden blockiert. Der Austausch von Dateien über Institutionsgrenzen hinweg scheitert an Firewalls. Gemeinsame Projekte mit externen Partnern werden von restriktiven Regeln ausgebremst. Die Folge: Statt effizient zu arbeiten, verbringen Beschäftigte Zeit damit, Umwege zu suchen oder technische Sperren zu umgehen. Die aktuelle Sicherheitsphilosophie setzt auf Misstrauen gegenüber den Nutzenden statt auf intelligente Technik. Moderne Ansätze wie Zero-Trust-Architekturen, Single Sign-On und adaptive Authentifizierung könnten Sicherheit und Bedienbarkeit zugleich verbessern.
Besonders deutlich zeigt sich die Schieflage beim Thema Passwörter. 16 Zeichen, Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen, die Anforderung wächst, der Nutzen sinkt. Selbst gut geschulte Mitarbeitende greifen schließlich zum Zettel unter der Tastatur, weil das System in der Praxis versagt. Das ist kein Zeichen von Bequemlichkeit, sondern von Überforderung. Eine Sicherheitsarchitektur, die Menschen in die Regelverletzung treibt, ist gescheitert. Außerdem fördern Übermäßige Beschränkungen die Schatten-IT, Mitarbeitende weichen auf private Geräte oder Cloud-Dienste aus, was die Sicherheitslage paradoxerweise verschlechtert.
Wenn IT-Sicherheit auf Kosten der Usability geht, verliert sie ihre Legitimation. Sicherheit darf nicht bedeuten, dass der Arbeitsalltag zum Hindernislauf wird. IT-Abteilungen müssen Lösungen finden, die beides leisten: Sicherheit und Nutzbarkeit. Und wenn es dafür an Ressourcen fehlt, ist es ihre Pflicht, den Entscheidern klarzumachen, dass hier an der falschen Stelle gespart wird. Sicherheit muss als Teil der Arbeitskultur verstanden werden, nicht als Gegenspieler produktiver Arbeit.
So, wie es jetzt läuft, geht es jedenfalls nicht weiter!
