Ich sag, wie's ist: Die besten IT-Lösungen beginnen nicht mit der Frage „Welches Tool kaufen wir?“. Sie beginnen mit einer unspektakulären, aber wirksamen Frage:
Was brauchen die Menschen, die damit arbeiten können?
Klingt simpel. Und deshalb wird es im Alltag so oft übersehen.
Wenn IT-Projekte schieflaufen, liegt das meistens nicht daran, dass die Technik zu schwach war – sondern, dass sie an den Menschen vorbeigeplant wurde. Dann gibt es zwar ein neues System, aber niemand nutzt es gern. Oder richtig. Oder überhaupt.
Das ist ungefähr so, als würde man ein hochmodernes Sicherheitsschloss einbauen – und dann niemandem den Schlüssel geben.
Bei aixpedIT sind wir überzeugt: IT funktioniert nur dann wirklich gut, wenn sie menschliche Bedürfnisse erfüllt. Wenn sie Sicherheit schafft, ohne zu überfordern. Wenn sie Prozesse vereinfacht, statt neue Hürden aufzubauen. Und wenn Beratung nicht mit der Lösung startet, sondern mit Zuhören.
Viele IT-Entscheidungen entstehen noch immer aus einer technischen Perspektive: Funktionen, Schnittstellen, Lizenzen, Sicherheitslevels, Roadmaps. Klar, das alles ist wichtig. Keine Frage.
Aber die Wirkung einer Lösung entscheidet sich an einem anderen Punkt: im Alltag der Menschen, die damit arbeiten.
NIST beschäftigt sich genau mit diesem Thema unter dem Begriff Human-Centered Cybersecurity. Der Kern dahinter: Gute Sicherheits- und IT-Entscheidungen müssen den menschlichen Faktor mitdenken – also das Verhalten, das Verständnis, den Nutzungskontext und die tatsächlichen Bedürfnisse der Anwender.
Ziel ist es, Menschen nicht als Störfaktor zu behandeln, sondern als aktive, informierte Partner.
Das klingt wissenschaftlich. In der Praxis heißt es schlicht:
Wer die Menschen nicht versteht, baut an ihnen vorbei.
Ein klassisches Beispiel: Ein Unternehmen führt neue Sicherheitsmaßnahmen ein. Die Richtlinie ist sauber formuliert, das Tool ist marktführend, die IT ist zufrieden. Nur die Mitarbeitenden nicht.
Warum?
Weil der Login-Prozess plötzlich doppelt so lange dauert.
Weil die Freigaben unverständlich sind.
Weil Warnmeldungen eher Angst erzeugen statt Aufklärung.
Weil sich niemand gefragt hat, wie hektisch der Arbeitsalltag im Vertrieb, in der Produktion oder in der Geschäftsführung tatsächlich aussieht.
Dann passiert etwas sehr Menschliches: Die Leute suchen Abkürzungen.
An dieser Stelle beginnt das Problem. Microsoft verweist in seiner Shadow-IT-Dokumentation darauf, dass 80 Prozent der Mitarbeitenden nicht freigegebene Apps nutzen, die vorher niemand auf Sicherheit oder Compliance geprüft hat. Nicht, weil alle heimlich rebellieren wollen – sondern weil sie arbeiten wollen und nach dem schnellsten Weg suchen.
Anders gesagt:
Wenn offizielle IT zu kompliziert ist, baut sich der Alltag seine eigene IT.
Auch NIST formuliert das erstaunlich praktisch: Sicherheitsmaßnahmen sollten Menschen mit umsetzbaren, erreichbaren Handlungsanweisungen in verständlicher Sprache unterstützen. Sicherheit muss also zuverlässig sein – zusätzlich aber auch leicht zu bedienen und nachvollziehbar.
Viele Sicherheitsprobleme entstehen nicht aus bösem Willen, sondern aus Überforderung, Zeitdruck oder unklarer Kommunikation.
Ein paar typische Symptome kennst du vielleicht:
So wird Sicherheit zur Pflichtübung. Und Pflichtübungen haben bekanntlich denselben Charme wie kalter Kaffee im Montagmorgen-Meeting.
Zuhören heißt für uns nicht, nett zu nicken und danach doch das Standardpaket auszurollen.
Zuhören heißt:
Die Geschäftsführung hat andere Erwartungen an IT als ein Servicetechniker. Die Personalabteilung arbeitet anders als der Vertrieb. Und ein IT-Leiter braucht andere Informationen als jemand, der einfach nur will, dass der Zugriff von unterwegs endlich funktioniert, ohne jedes Mal drei Stoßgebete zu sprechen.
Gute Beratung erkennt diese Unterschiede – und übersetzt sie in Lösungen, die technisch sauber und alltagstauglich sind.
Im Security-Umfeld ist die Versuchung groß, den Menschen vor allem als Risikoquelle zu betrachten. Das ist nachvollziehbar – aber zu kurz gedacht.
CISA verfolgt beispielsweise das Prinzip Secure by Design. Dahinter steckt die Forderung: Die Verantwortung für sichere Produkte und sichere Nutzung darf nicht einfach auf Endanwender abgewälzt werden.
Hersteller und Anbieter sollen Sicherheit so gestalten, dass Kunden nicht permanent mit Monitoring, Spezialwissen, manuellen Workarounds und Schadensbegrenzung belastet werden.
Das ist für mich einer der wichtigsten Gedanken überhaupt:
Gute IT macht Menschen nicht zum Sicherheitsproblem. Sie entlastet sie.
Zuhören ist kein Kuschelfaktor, sondern ein Qualitätsmerkmal. Wer versteht, wie Menschen arbeiten, kann Sicherheit so integrieren, dass sie schützt, ohne auszubremsen.
Ein Unternehmen führt ein neues Filesharing-System ein, weil es sicherer ist als die bisherige Lösung. Technisch stimmt das. Im Alltag dauert das Teilen von Dateien aber länger, Freigaben sind unübersichtlich, mobile Nutzung ist mühsam.
Die Folge: Mitarbeitende weichen wieder auf private Tools aus.
Die technische Entscheidung war nicht falsch.
Sie war nur nicht zu Ende gedacht.
Ein Regelwerk für Zugriffe und Passwörter ist mustergültig dokumentiert. Leider versteht es außerhalb der IT kaum jemand. Mitarbeitende speichern sich Anleitungen lokal ab, nutzen einfache Muster oder fragen ständig beim Support nach.
Das Problem ist dann nicht mangelnde Disziplin, sondern fehlende Anschlussfähigkeit.
Eine neue Plattform wird eingeführt, weil sie nahezu alles abdeckt. Nur leider ist die Oberfläche so komplex, dass Teams weiterhin mit Excel, E-Mail und Zuruf arbeiten. Das Tool ist da, der Nutzen nicht.
Zusätzlicher Funktionsumfang nutzt nichts. Hier hilft ein nur ehrlicher Blick auf das, was Menschen tatsächlich brauchen.
Wenn du IT verantwortest, musst du nicht jedes technische Detail selbst beherrschen. Aber du solltest sehr genau hinschauen, wie Entscheidungen getroffen werden.
Ein paar gute Prüffragen sind:
NIST betont beim Cybersecurity Framework 2.0, dass Cybersecurity für Organisationen jeder Größe verständlich kommuniziert werden sollte, damit Führungskräfte Cyber-Risiken verstehen und steuern können.
Das gleiche gilt für IT allgemein:
IT darf fachlich stark sein, aber sie muss Führung, Fachbereiche und Anwender anschlussfähig bleiben.
Bei aixpedIT glauben wir an Lösungen, die Menschen weiterbringen.
„Cloud. Einfach. Persönlich.“ ist für uns der Anspruch an unsere Arbeit.
In der Beratung zeigt sich das: Wer vorschnell Tools empfiehlt, verkauft Technik. Wer erst zuhört, entwickelt Lösungen.
So entsteht der Unterschied zwischen einer IT, die eingeführt wurde, und einer IT, die erfolgreich funktioniert.
Am Ende ist es eigentlich simpel:
Menschen arbeiten nicht für Tools. Tools sollen für Menschen arbeiten.
Deshalb ist Zuhören in der IT keine nette Begleitmusik, sondern die Grundlage guter Entscheidungen. Wer Bedürfnisse versteht, kann Prozesse vereinfachen, Sicherheit erhöhen und Akzeptanz schaffen.
Wer nur auf Features schaut, bekommt am Ende womöglich eine beeindruckende Lösung – die niemand lieben wird.
Darum hören wir zu. Damit Menschen gerne arbeiten – statt sich über die IT aufzuregen.