9 Reflexive Befähigung von Mensch und Organisation
9.1. Vorbemerkung
9.2. Grundstruktur der Befähigung
9.3. Reflexive Befähigung
9.4. Ebenen der Befähigung
9.4.1. Ebene des Individuums
9.4.2. Ebene der Organisation
9.4.3. Ebene der Gesellschaft
9.5. Referenzen und Literatur
Das Kapitel in Stichworten
- Eine konkretisierte Frage für die IT-Sicherheit lautet: „Was können und müssen wir leisten, um die digitale Gesellschaft zu schützen?“ Welche Befähigung brauchen die Menschen in der IT-Sicherheit dafür?
- Befähigung betrifft sowohl die technischen als auch die ethischen Kompetenzen eines Individuums, die es benötigt, um mit dem digitalen Wandel verantwortlich umgehen zu können.
- Ein zeitgemäßes Verständnis für das reflexive Zusammenwirken von Umfeldfaktoren mit den Fähigkeiten von Menschen und Organisationen kann dabei helfen, besser mit gesellschaftlichen Entwicklungen umzugehen und diese zu gestalten.
- Man kann Organisationsentwicklung im Sinne der Entwicklung der gesamten Organisation, also beispielsweise eines Unternehmens, verstehen. Man kann sie aber auch im Sinne der Entwicklung eines bestimmten Bereichs in der Organisation sehen, also etwa den Bereich der Cybersecurity, den es zu entwickeln gilt.
- Das Unternehmen gibt seinen IT‐Sicherheitsprofis einen Rahmen und ein Verständnis von guter und effektiver IT-Security vor. Zugleich sind es aber auch die Mitarbeiter*innen selbst, die mit ihrem Tun und ihren Ansprüchen an Professionalität und Ethik das Verständnis von Cybersecurity für das Unternehmen mitprägen.
- Jede Organisation ist sowohl eine befähigende als auch eine zu befähigende Akteurin.
- Insgesamt entsteht ein komplexes reflexives Wirkungsgefüge zwischen Mensch, Organisation und Gesellschaft mit wechselseitigen Einflüssen, die verantwortungsbewusste Impulse auf die Transformationsprozesse hin zu einer informationell möglichst sicheren digitalen Gesellschaft geben können.
9.1. Vorbemerkung
Die aktuell beobachtbaren digitalen Transformationen können als ein dynamisches Geschehen begriffen werden, das weit über eine rein technische oder technologische Seite der Digitalisierung hinausreicht. Mehr oder weniger alle unsere Lebensbereiche werden nämlich mittlerweile schon oder bald von digitalen Prozessen durchdrungen und so mutmaßlich auch entsprechend verändert. Dabei handelt es sich nicht um eine einseitige lineare Neuformierung unserer Lebenswelt durch die digitalen Technologien, beispielsweise durch die Nutzung moderner Kommunikationstools oder digitaler Assistenzen in unserem Alltag, die in ein beschleunigtes Weiter-so münden. Es handelt sich vielmehr um ein reflexives Geschehen, bei dem einerseits die digital-technologische Entwicklung auf gesellschaftliche Prozesse und Strukturen einwirkt und andererseits die Weise der Akzeptanz und Nutzung der neuen digitalen Möglichkeiten die technologische Entwicklung perturbiert und triggert. Diese Zusammenhänge kann man für Gesellschaft und ihre Subsysteme allgemein sowie auch für den Bereich der IT-Sicherheit im Besonderen konstatieren.
Die digitalen Transformationen bahnen sich in der Reflexivität von digital-technologischen und analogen Entwicklungsprozessen unaufhörlich den Weg in die Zukunft. Doch – wie aus den in diesem Kapitel skizzierten Zusammenhängen hervorgeht – muss es sich dabei nicht um ein Geschehen handeln, dem Menschen sich fatalistisch ausgeliefert sehen. Denn durch die spezifisch eigene Art und Weise, wie Menschen mit den für sie wahrnehmbaren Chancen und Risiken der digitalisierten Gesellschaften umgehen, wie sie sie be/nutzen, bewerten und konstruktive Impulse setzen können, kann der Weg in die Zukunft gestaltet und ausgerichtet werden.(1)
Ein sinnstiftendes wünschenswertes Zukunftsbild, das auf die Frage „Wie wollen wir in der digitalisierten Gesellschaft leben?“ eine Antwort gibt, kann dabei Orientierung geben. Davon abgeleitet, kann die konkretisierte Frage für die IT-Sicherheit lauten: „Was können und müssen wir leisten, um diese wünschenswerte digitalisierte Gesellschaft zu schützen?“
Um mit dem gesellschaftlichen Phänomen der Digitalen Transformation konstruktiv und verantwortungsbewusst umgehen zu können, bedarf es einer entsprechenden Befähigung der Menschen. Befähigung betrifft sowohl die technischen als auch die ethischen Kompetenzen eines Individuums, die es benötigt, um mit dem digitalen Wandel verantwortlich umgehen zu können. Man könnte sagen, dass in einer pragmatischen Hinsicht die Bereiche Ethik und IT-Sicherheit in der Befähigung eines sowohl technologisch als auch ethisch verantwortungsbewussten Fachmannes bzw. einer Fachfrau der IT-Sicherheit zusammengeführt werden.
Doch auch Organisationen – egal welcher Art – bedürfen einer entsprechenden Befähigung: Denn sie bilden in der Regel den Rahmen, in dem die Fähigkeiten ihrer IT-Profis zur Anwendung kommen. Schließlich kann die Befähigung der einzelnen Akteur*innen, seien sie auf individueller oder organisationaler Ebene, zu einer gesamtgesellschaftlichen Befähigung führen, die in einen verantwortungsbewussten und gestaltenden Umgang mit der Digitalisierung führt.
Im Folgenden wird ein praktikables Verfahren zur reflexiven Befähigung von Mensch und Organisation in modernen ausdifferenzierten Gesellschaften skizziert.(2) Die Überlegungen sind von den Befähigungsansätzen (Capability Approach) inspiriert, die auf Sen (2002) und Nussbaum (2006) zurückgehen.(3) Deren Ansätze sind vor dem Hintergrund von Gerechtigkeitsüberlegungen in Ländern des globalen Südens entstanden, wobei die Verwirklichungschancen von Menschen für ein menschenwürdiges Leben im Fokus ihrer Überlegungen standen. Wenngleich die hochentwickelten Industrienationen des globalen Nordens nicht die existenziellen Herausforderungen des blanken Überlebens und der existenziellen Teilhabe wie die Menschen im globalen Süden haben, können dennoch die Grundüberlegungen des Capability Approach für die Entwicklung und den informationellen Schutz moderner Gesellschaften fruchtbar gemacht werden.
9.2. Grundstruktur der Befähigung
Die Befähigung, die zur Bildung und Verwirklichung von Fähigkeiten beispielsweise eines Menschen führt, entsteht aus dem Zusammenwirken dessen, was dieser Mensch zu leisten vermag, mit den kontextuellen Umständen, in denen er sich befindet. Die nachfolgende Abbildung 9.1 verdeutlicht die grundlegende Struktur der Befähigung von Mensch und Organisation.
Abbildung 9.1: Befähigung von Mensch und Organisation (Schmidt 2016: 94).
Ein Mitglied einer Organisation kann durch das Zusammenspiel seiner eigenen Kompetenzen mit den formellen und informellen organisationalen Rahmenbedingungen (Umstände), die es vorfindet, dazu befähigt werden, seine Fähigkeiten in der Organisation zu verwirklichen. Idealerweise geschieht dies in einer konstruktiven Weise, die dem Erreichen der Ziele und Zwecke der Organisation dient, wodurch sich die Organisation, aber auch der in diesen Prozess involvierte Mensch weiterentwickelt. Damit ändert sich die angenommene Ausgangssituation dieses Befähigungsprozesses. Das weiterentwickelte individuelle Vermögen des Organisationsmitglieds trifft auf Umstände, die sich aufgrund des Prozesses ebenfalls verändert haben. Der Prozess startet erneut, und die Befähigung verstetigt sich. In einer ganz elementaren Form kann das bedeuten, dass ein neu eingestellter Cybersecurity-Experte mit seinem Arbeitsbeginn auf eine bestimmte IT-Infrastruktur trifft, die schon lang vor ihm da war. Mit der Aufnahme seiner Tätigkeit verändert er im Laufe der Zeit diese Gegebenheiten. Er hat – z. B. nach einem Jahr – hinzugelernt und die Infrastruktur verändert, woraufhin sich auch seine Befähigung verändert. Diese rein technischen Veränderungen können noch um ethische Aspekte und Anforderungen an die IT-Sicherheit, die in sie einfließen, ergänzt werden. Das heißt, dass sich auch das ethische Verständnis im Laufe der Zeit verändert bzw. im Laufe und mit den Anforderungen verändern kann.
9.3. Reflexive Befähigung
Das bis jetzt beschriebene Verfahren einer Befähigung von Mensch und Organisation richtet sich auf die interne Organisationsentwicklung. Dabei kann man Organisationsentwicklung im Sinne der Entwicklung der gesamten Organisation, also beispielsweise eines Unternehmens verstehen. Man kann die Befähigung aber auch im Sinne eines bestimmten Bereichs in der Organisation verstehen, also auch hinsichtlich des Bereichs der Cybersecurity, den es zu entwickeln gilt.
In der Pluralität einer Organisation mit mehreren Mitgliedern, die über unterschiedliche individuelle Vermögen verfügen und auf unterschiedlichste Weise zusammenwirken, potenziert sich dieser Prozess hin zu einem dynamischen und vielfach reflexiven Geschehen.(4) So kann insgesamt ein Verfahren der internen Organisationsentwicklung beschrieben werden, das allerdings nur dann in eine gewünschte, für die Organisation zielorientierte Richtung läuft, wenn entsprechende konstruktive Umstände hergestellt werden.(5) Es können aber auch destruktive Dynamiken entstehen, etwa dann, wenn ungünstige Umstände verfestigt sind und als organisationale Hemmnisse auf die verfügbaren Vermögen oder Unvermögen von einzelnen Menschen stoßen. Befähigung muss also orientiert sein, ansonsten besteht die Gefahr von unerwünschten Entwicklungen (in) der Organisation.
Das Verfahren zur reflexiven Befähigung kann sich ebenso auf die externe Organisationsentwicklung richten. Denn analog zu den bisherigen Überlegungen kann man das Verfahren für eine individuelle Organisation beschreiben, die selbst über ein spezifisches Vermögen verfügt, das im Zusammenspiel mit gesellschaftspolitischen Rahmenbedingungen als allgemeine Umstände die Organisation auf besondere Weise zur Verwirklichung ihrer Fähigkeiten in ihren externen wirtschaftlichen und gesellschaftlichen Zusammenhängen befähigt. So findet eine Veränderung der Organisation, aber auch ihres Umfelds statt, die nach und nach zu einer gesellschaftlichen Werteverschiebung führen kann.(6) Die nachfolgende Abbildung 9.2 veranschaulicht die reflexiven Zusammenhänge mit Blick auf IT-Sicherheit sowie Ethik und Verantwortung als exemplarische Aspekte zur Befähigung einer Organisation für den Umgang mit der Digitalen Transformation.
Mit bestimmten historisch-konkreten Konstellationen sind gesellschaftliche (und damit auch wirtschaftliche und technologische) Strukturen gegeben, die bestimmte Befähigungen fördern bzw. erfordern, um die gegebenen Herausforderungen zu meistern. Dabei stellen solche Strukturen Entwicklungspfade dar, die die weiteren Entwicklungsmöglichkeiten bedingen.(7) Dennoch sind Veränderungen möglich, was nicht zuletzt im Begriff der Transformation, die es mitzugestalten gilt, zum Ausdruck kommt. Das bedeutet, dass der Pfad, den die Entwicklung – in unserem Zusammenhang die digitale Transformation – nimmt, im Zusammenwirken von IT-Sicherheit und Ethik beeinflusst werden kann. Die Vorstellung eines „Zielkorridors“, der den Bereich möglicher und wünschenswerter zukünftiger Zustände der Organisation und ihres Umfelds beschreibt, kann dabei helfen und Orientierung geben.(8)
Abbildung 9.2: Befähigung von Mensch und Organisation (Schmidt 2016: 94).
9.4. Ebenen der Befähigung
9.4.1. Ebene des Individuums
Für Ihre Mitglieder stellt die Organisation selbst ein spezifisches Gefüge von formellen und informellen Strukturen dar; solche Gefüge sind etwa die festgeschriebenen Regelwerke der Governance-Strukturen oder die ungeschriebenen, aber dennoch präsenten Werte, Symbole und Verhaltenserwartungen, die aus der Unternehmenskultur resultieren. Wenngleich die jeweiligen Strukturen die Verhaltens- und Handlungsweisen der Organisationsmitglieder beeinflussen und steuern, so wirken auch die in der Organisation tätigen Menschen auf die Strukturen und die Kultur der Organisation zurück. In dem zugrundliegenden reflexiven Verständnis bedeutet das, dass das Unternehmen seinen IT-Sicherheitsprofis einen Rahmen und ein Verständnis von guter und effektiver IT-Security vorgibt. Zugleich sind es aber auch die Mitarbeiter*innen selbst, die mit ihrem Tun und ihren Ansprüchen an Professionalität und Ethik in der IT-Sicherheit das Verständnis von Cybersecurity in ihrem Unternehmen mitprägen.
9.4.2. Ebene der Organisation
Betrachtet man eine Organisation unter der Perspektive, welche Befähigungen sie aufweisen sollte, um bestimmte Anliegen oder Interessen zu realisieren, dann stellt man eine gewisse Doppel-Rolle fest.(9) Einerseits steht beispielsweise ein Unternehmen selbst in bestimmten Umständen und verfügt über bestimmte organisationsspezifische Vermögen (im Sinne von organisationalen Potenzialen) und Kompetenzen. Aus deren Zusammenspiel resultiert – wie wir aus der Grundstruktur der Befähigung erkennen können – eine Befähigung der Organisation.
Andererseits bildet die Organisation selbst wiederum diejenigen Umstände aus, in denen die Mitarbeiter ihre individuellen Vermögen und Kompetenzen einbringen. Daraus wiederum resultieren die spezifischen Befähigungen der Mitarbeiterinnen, wie bereits auf der Ebene des Individuums beschrieben.
„Dieser Doppelaspekt ist zentral: Jede Organisation ist sowohl eine befähigende als auch eine zu befähigende Akteurin. Nach außen, in Bezug auf die komplexe wirtschaftliche, gesellschaftliche und politische Umwelt, in die sie eingebunden ist, muss das Interesse einer Organisation darin bestehen, bestmöglich für die Verwirklichung von organisationalen Fähigkeiten zu sorgen, um die eigenen unternehmerischen Vorhaben effektiv verfolgen zu können. Nach innen, in Bezug auf das komplexe Zusammenspiel der Mitarbeiter und organisationalen Einheiten (wie etwa Abteilungen oder Bereiche), muss das Interesse der Organisation darauf gerichtet sein, optimale Umstände zu schaffen und auch die individuellen Kompetenzen der Mitarbeiter zu verbessern und sie so zu befähigen, dass sie ihre Aufgaben effektiv umsetzen können. Denn grundsätzlich gilt: Ohne entsprechende Umstände, in denen wir wirken können, nützt uns (und anderen) das größte persönliche Vermögen nichts.“(10)
Aus diesen Zusammenhängen resultiert für Organisationen eine besondere Verantwortung, nicht zuletzt auch hinsichtlich der IT-Sicherheit. Nach innen kann beispielsweise ein Unternehmen besondere ethische Standards und Schulungen in Fragen der IT-Sicherheit umsetzen. Nach außen kann es rahmenpolitisch aktiv werden und sich für die Verbesserung der Umstände, in denen es agiert, einsetzen. Je größer dabei die Expertise im Bereich der Cybersecurity, desto größer die Verantwortung dafür, aus fachlicher Expertise und ethischer Kenntnis heraus auch gesellschaftspolitischen Einfluss wahrzunehmen und Entwicklungen verantwortlich mitzugestalten. Aufgrund der reflexiven Zusammenhänge kann so auch die Befähigung von IT-Profis mit ethischer Kompetenz nach innen und außen hin wirksam werden. Das gilt umso mehr für Unternehmen, deren Kerngeschäft die Cybersecurity ist.
9.4.3. Ebene der Gesellschaft
Jede Organisation ist in ein für sie spezifisches Gefüge von gesellschaftlichen, wirtschaftlichen und politischen Strukturen eingebettet, das die Möglichkeiten zur Erreichung ihrer Ziele maßgeblich beeinflusst. Zugleich sind Organisationen aber auch selbst in der Lage, unterschiedliche Impulse in dieses Gefüge zu geben. So stellen beispielsweise Unternehmen „als ökonomische Akteure Arbeitsplätze zur Verfügung, als gesellschaftspolitische Akteure nehmen sie in unterschiedlichem Maße Einfluss auf politische Entscheidungen, und über ihre Produkte, Dienstleistungen und Kommunikationsakte können sie Themen setzen und die gesellschaftliche Werteverschiebung – mehr oder weniger zielgerichtet – beeinflussen“.(11) So ist beispielsweise ein Telekommunikationsunternehmen beim Ausbau seiner Netze und Standards vom politischen Umfeld und der Qualität der Standortfaktoren abhängig. Zugleich kann es sich in den politischen Diskurs einbringen und auch versuchen, über Lobbyarbeit auf die politischen Entscheidungen einzuwirken, und es kann über seine Produktangebote und Sicherheitsansprüche den Standort und die digitalen Transformationsprozesse mitgestalten.(12) Die Organisation ist mit ihrem Umfeld reflexiv – also in einer Wechselwirkung – verwoben und hat somit auch eine strukturgebende Funktion.(13)
Darüber hinaus ist zu bedenken, dass die einzelnen Organisationsangehörigen auch in anderen Rollen als ihrer Mitarbeiterschaft an der Gesellschaft teilhaben und dort in weiteren formellen und informellen Strukturen stehen. Eine Expertin der Cybersecurity könnte also beispielsweise nach Dienstschluss in einem Computerclub mitarbeiten oder der Schule ihres Sohnes beim Datenschutz behilflich sein. In jede dieser Rollen und Tätigkeiten fließen unweigerlich auch die Erfahrungen und Kenntnisse aus anderen Rollen und Tätigkeiten ein und umgekehrt. Insgesamt entsteht so ein komplexes reflexives Wirkungsgefüge zwischen Mensch, Organisation und Gesellschaft mit wechselseitigen Einflüssen, die verantwortungsbewusste Impulse auf die Transformationsprozesse hin zu einer informationell möglichst sicheren digitalen Gesellschaft geben können.
9.5. Referenzen und Literatur
- Bührmann/Schmidt (2021: 32).
- Vgl. Bührmann / Schmidt (2014).
- Vgl. Sen (1999) und Nussbaum (2010).
- Vgl. Bührmann/ Schmidt (2014: 39, 44) sowie Schmidt (2018: 91f).
- Vgl. Schmidt (2018: 15).
- Vgl. Bührmann/ Schmidt (2014: 42, 44).
- Vgl. Pfriem (2015: 198f.).
- Vgl. Schmidt (2016: 88).
- Vgl. Schmidt (2016: 94).
- Ebd. 95.
- Bührmann/ Schmidt (2014: 43).
- Vgl. Kopf (o.J.) exemplarisch für die Deutsche Telekom.
- Vgl. Giddens (1997: 36ff.).
Bührmann, Andrea D./ Schmidt, Matthias (2014): Entwicklung eines reflexiven Befähigungsansatzes für mehr Gerechtigkeit in modernen ausdifferenzierten Gesellschaften, in: Friedrich-Ebert-Stiftung (Hrsg.): Was macht ein gutes Leben aus? Der Capability Approach im Fortschrittsforum, Friedrich-Ebert-Stiftung Berlin, 37-46.
Bührmann, Andrea D./ Schmidt, Matthias (2021): Gerechte digitalisierte Gesellschaften brauchen Zugang und Befähigung. Technologische Bildung, ethisch und moralisch verankert, in: Gibson-Kunze, Martin et al (Hrsg.): Wirtschaften für eine gerechtere Zukunft. Die Social Development Goals, UVG Verlag Berlin, 32-39.
Giddens, Anthony (1997): Die Konstitution der Gesellschaft, 3. Aufl., Campus Verlag Frankfurt am Main/ New York.
Kopf, Wolfgang (o.J.): Im Dialog mit Politik und Gesellschaft, in: Homepage Deutsche Telekom, https://www.telekom.com/de/konzern/themenspecials/special-politik-und-regulierung/detail/im-dialog-mit-politik-und-gesellschaft-607978, letzter Abruf am 7.2.2021.
Nussbaum, Martha C. (2010): Die Grenzen der Gerechtigkeit. Behinderung, Nationalität und Spezieszugehörigkeit, Suhrkamp Verlag Berlin.
Pfriem, Reinhard (2015): Kulturalistische Unternehmensethik. Ein theoretischer Bezugsrahmen für Unternehmen als Akteure möglicher gesellschaftlicher Transformation, in: van Aaken, Dominik/ Schreck, Philipp (Hrsg.): Theorien der Wirtschafts- und Unternehmensethik, Suhrkamp Verlag Berlin, 187-208.
Schmidt, Matthias (2016): Reichweite und Grenzen unternehmerischer Verantwortung. Perspektiven für eine werteorientierte Organisationsentwicklung und Führung, Springer Gabler Verlag Wiesbaden.
Schmidt, Matthias (2018): Befähigen – Gestalten – Verantworten. Die Verantwortung von Hochschulen in der Flüchtlingssituation. Rainer Hampp Verlag München und Mering.
Sen, Amartya (1999): Ökonomie für den Menschen. Wege zur Gerechtigkeit und Solidarität in der Marktwirtschaft, Carl Hanser Verlag München und Wien.