Berichtskultur

What Is Berichtskultur?

Bei den meisten Sicherheitsverstößen, die schwerwiegende Schäden verursachen, ist ein Mitarbeiter betroffen, der etwas Ungewöhnliches bemerkt hat und beschlossen hat, es nicht zu melden. Die Gründe sind vorhersehbar: Angst vor Schuldzuweisungen, Peinlichkeit wegen eines Fehlers, Unsicherheit über den Prozess oder der Glaube, dass jemand anderes damit umgehen wird. Diese Übung verfolgt einen anderen Ansatz als ein typisches Sicherheitstraining. Anstatt Ihnen beizubringen, was Sie melden sollen, konzentriert es sich darauf, warum Menschen nicht melden und wie Organisationen das beheben können. Sie schlüpfen in drei Rollen. Erstens sind Sie ein Mitarbeiter, der auf einen Phishing-Link geklickt hat, und müssen entscheiden, ob er es jemandem mitteilen möchte. Zweitens sind Sie ein Manager, der einen Bericht von einem direkt unterstellten Mitarbeiter erhält, der einen Sicherheitsfehler begangen hat. Drittens sind Sie ein Mitglied des Sicherheitsteams, das Berichte überprüft und entscheidet, wie mit der Organisation kommuniziert wird. Jede Rolle offenbart einen anderen Teil der Berichtskette und zeigt, wo das Vertrauen zusammenbricht. Die Übung stützt sich auf Forschungsergebnisse aus dem Rahmenwerk „Crew Resource Management“ der Luftfahrtindustrie, bei dem tadellose Berichterstattung die Sicherheitsergebnisse veränderte. Sie üben das Geben und Empfangen von Vorfallmeldungen auf eine Art und Weise, die zukünftige Meldungen fördert, anstatt sie zu unterdrücken.

What You'll Learn in Berichtskultur

• Erkennen Sie die psychologischen Barrieren, die Mitarbeiter davon abhalten, Sicherheitsvorfälle zu melden, einschließlich der Angst vor Bestrafung und sozialer Peinlichkeit
• Wenden Sie unschuldige Kommunikationstechniken nach einem Vorfall an, die an Flugsicherheitsmodellen angelehnt sind
• Reagieren Sie auf den Sicherheitsfehler eines direkt unterstellten Mitarbeiters so, dass das Vertrauen und das künftige Meldeverhalten gestärkt werden
• Identifizieren Sie organisatorische Signale, die von der Berichterstattung abhalten, wie etwa öffentliche Schuldzuweisungen, bestrafende Reaktionen oder mangelndes Feedback
• Entwerfen Sie Feedbackschleifen, die den Berichtszyklus schließen, indem Sie die Ergebnisse an die Mitarbeiter weiterleiten, die Berichte eingereicht haben

Berichtskultur — Training Steps

1. Ein typischer Dienstag

   Heute erfahren Sie etwas über die Berichtskultur – die organisatorische Denkweise, die Mitarbeiter dazu ermutigt, Sicherheitsbedenken anzusprechen, ohne Angst vor Schuldzuweisungen oder Strafen haben zu müssen.

2. Etwas scheint nicht zu stimmen

   Während der Arbeit bemerkt Alice, dass ihr Kollege Marcus frustriert auf seinen Computer schaut. Er klickt auf einen E-Mail-Link und schließt dann schnell mit besorgter Miene den Browser. Er blickt sich nervös um, sagt aber nichts. Alice fragt sich, ob sie etwas sagen sollte. Vielleicht war es nichts. Vielleicht hat Marcus einfach einen Fehler gemacht.

3. Das Zögern

   Alices interne Debatte: - „Vielleicht überreagiere ich – es könnte nichts sein.“ - „Ich möchte Marcus nicht in Schwierigkeiten bringen.“ - „Was ist, wenn ich falsch liege und IT-Zeit verschwende?“ - „Es ist wahrscheinlich nicht meine Aufgabe, etwas zu sagen.“ Diese Gedanken kommen häufig vor, können jedoch schwerwiegende Folgen haben.

4. Berichtskultur verstehen

   Eine gesunde Meldekultur besteht aus drei Schlüsselelementen: Psychologische Sicherheit – Mitarbeiter fühlen sich sicher, wenn sie ihre Meinung äußern, ohne Angst vor Bestrafung zu haben Keine Vergeltungsmaßnahmen – Das Unternehmen schützt Reporter vor negativen Folgen Wertschätzung – Berichte werden geschätzt, auch wenn sie sich als Fehlalarme herausstellen Sicherheitsteams untersuchen lieber zehn Fehlalarme, als eine echte Bedrohung zu übersehen.

5. Das Engagement des Unternehmens

   Alice erhält vom Sicherheitsteam eine Erinnerungs-E-Mail über die Melderichtlinie von Sentinel. Durch die Lektüre wird deutlich, dass die Berichterstattung gefördert und geschützt wird.

6. Die Entscheidung treffen

   Nachdem sie die E-Mail gelesen hat, fühlt sich Alice sicherer. Sie beschließt, ihre Beobachtung zu melden – nicht um Marcus in Schwierigkeiten zu bringen, sondern um dem Sicherheitsteam zu helfen, das Unternehmen zu schützen.

7. Anmelden am Portal

   Alice nutzt ihren Passwort-Manager, um sich sicher beim Meldeportal anzumelden.

8. Übermittlung des Berichts

   Im Meldeformular wird nach einer Beschreibung des Anliegens gefragt. Alice liefert sachliche Details über das, was sie beobachtet hat, ohne Spekulationen oder Vorwürfe. Das Formular betont, dass Berichte vertraulich sind und die Identität des Reporters geschützt ist.

9. Das Sicherheitsteam antwortet

   Innerhalb weniger Minuten erhält Alice eine Antwort vom Sicherheitsteam, in der sie sich für den Bericht bedankt. Sie bestätigen, dass sie die Ermittlungen diskret durchführen werden.

10. Das Ergebnis

    Später am Nachmittag erfährt Alice das Ergebnis. Das Sicherheitsteam stellte fest, dass Marcus tatsächlich auf einen Phishing-Link geklickt hatte. Da Alice es schnell meldete, konnten sie Marcus‘ Zugangsdaten zurücksetzen, bevor ein Schaden entstand. Marcus dankte später Alice. Er war erleichtert, dass es frühzeitig erkannt wurde, und dankbar, dass das Unternehmen ohne Vorwürfe damit umgegangen ist – nur ein kurzes Zurücksetzen des Passworts und eine Erinnerung an das Phishing-Bewusstsein.