Meine IT-Firefighter Werkzeugkiste – Das Resistenzmodell

Methoden, Vorgehen, Werkzeugkiste
Rene Leupold

Jede wirklich neue Idee ist eine Aggression. – Meret Oppenheim

Letzten Monat war ich mit meiner Familie in einem thailändischen Restaurant essen. Ich bestellte mir ein thailändisches Bier und mein jüngster Sohn sagte zu mir: Ich will auch mal probieren. Ich schaute ihn an und er erwiderte: «Ja Papa ich weiss, darüber sprechen wir in zehn Jahren.»

Vor mehr als zehn Jahren war ich auf Mandatsbasis in einem Unternehmen zur Entwicklungsunterstützung. Während der Entwicklung mit deren Bibliotheken fielen mir Sicherheitslücken auf. Die häufigsten Fehler waren dabei HTML, LDAP, SQL – Injection und Cross Site Scripting (XSS). Ich wies auf diese Fehler hin und zeigte Wege auf, wie man diese mit geringen Aufwand korrigieren könnte. Leider half dies nichts, ich hatte den Eindruck als ob ich mich mit einer Wand unterhielte. Die Antworten, die ich bekam, waren meist Gründe warum es aktuell nicht möglich sei.

Mich nervte das und während ich in der Unternehmenskantine bei Kollegen meinen Unmut bekundete, setzte sich eine Person an unseren Tisch. Sie fragte mich in welcher Abteilung ich tätig sei. Die Person stellte sich mir vor und sagte sie sei von der operativen Sicherheit des Unternehmens. Sie werde diesen Sachverhalt überprüfen. Von da an war die Situation wie ausgewechselt, es entwickelte sich ein Interesse für meine Vorschläge. Teilweise entstand Hyperaktivismus.

Die Resultate der operativen Sicherheit bestätigten am Ende meine Aussage. So durfte ich einen Security Lunch halten und den Lernenden anhand von realen Beispielen mein Wissen vermitteln. Der Weg dorthin war jedoch nicht einfach und ich entschied mich dazu mein Mandat zu beenden. Trotz dieses Erfolgs überwog in mir die Enttäuschung. Es ging erst vorwärts, als die operative Sicherheit eingriff. Den Gründen des Nichtstuns wurden mit grossflächigen Sicherheitstests der Anwendungen und einer höheren Instanz im Organigramm ein Ende gesetzt.

Solche Situationen begegneten mir im Laufe der Zeit immer wieder. Mit einen grossen ERP-Hersteller hatte ich ein ähnliches Erlebnis. Hier war der Sinneswandel eine Vorführung der Sicherheitslücken auf einer Messe, auf Wunsch eines Telekommunikationsanbieters. Zum Ausgleich baute ich mit Kollegen die .NET User Group Bern auf. Was mir dabei auffiel war der offene Austausch und das Vorantreiben von Ideen innerhalb dieser Community.

Eines Abends, als ich das Buch «Das neue und seine Feinde» von Gunter Dueck las, hatte ich die Erklärung für meine vorher geschilderten Erlebnisse mit dem Widerstand. Das Verhalten der Anderen wurde mir erst mit dieser Beschreibung so richtig bewusst. Es ist sehr kurz und knapp in einem Resistenzmodell zusammengefasst, eine Abwandlung des Innovationsadaptionsmodells von Everett Rogers.

Die Abbildung zeigt ein Diagramm mit Glockenkurve und einer Einteilung der Parteien in Protogonisten, Open Minds, Closed Minds und Antagonisten. Zwischen jeder Partei gibt es eine Hürde, die überwunden werden muss. Die erste Hürde ist zwischen Protagonist und Open Minds. Die zweite Hürde zwischen Open Minds und Closed Minds. Die dritte Hürde zwischen Closed Minds und Antagonist. Die Parteien Protagonist und Open Minds sind zur Gruppe der Growth Mindsets zusammengefasst. Die Parteien Closed Minds und Antagonisten zur Kategorie der Fixed Mindsets.

Es unterteilt die Parteien in vier Kategorien. Der Protagonist ist in diesem Fall eine Person bzw. Personengruppe, welche eine Idee vorantreiben will. Dabei muss sich der Protagonist drei Hürden stellen, die es zu überwinden gilt. Die Art und Weise wie eine Diskussion verläuft, gibt dabei auch Aufschluss über eine Partei. Satya Nadella fasst diese Parteien in seinem Buch «Hit Refresh» in zwei Mindsets zusammen. Die Parteien Protagonisten und Open Minds in Growth Mindset, die Parteien Close Minds und Antagonisten in Fixed Mindset.

Mein erstes Aha-Erlebnis war in diesem Zusammenhang die Zusammenarbeit in der Community, wie die .NET User Group Bern und der .NET User Group Zentralschweiz. Das funktioniert so gut, weil hier ausschliesslich Personen in der Kategorie «Growth Mindset» anzutreffen sind. Es gibt konstruktive Kritik und einen offenen Austausch. Das beschäftigte mich lange Zeit – warum funktioniert das in der Community so gut, während im beruflichen Umfeld der Widerstand so ungewöhnliche Dimensionen annehmen kann? Ich hatte nun die Antwort.

Eine weitere Erkenntnis war, dass die Ratschläge von Führungskräften wie: «Du musst an das Wohlwollen der anderen appellieren» und Lippenbekenntnisse ohne Unterstützung aus dem Management den Protagonisten viel mehr Energie abverlangen als nötig. Auf der anderen Seite ist es wichtig die Bedenken anzuhören und die konstruktiven Punkte zu berücksichtigen. In der Kategorie der «Fixed Mindsets» benötigt es jedoch einiges an Übung, um aus dem Getöse die wichtigen Informationen herauszuhören.

Mir kam mein Erlebnis in den Sinn, dass von mir so viel Energie abverlangte – weil ich Secure Coding vorantreiben wollte. Die damals beteiligten Personen konnte ich gedanklich sehr gut in die einzelnen Bereiche einordnen.

Im Übergang zur ersten Hürde, den Open Minds, findet die Diskussion meist auf der fachlichen und sachlichen Ebene statt. Es werden Punkte hinterfragt und Verbesserungsvorschläge angebracht. Eine Idee hat die Chance, mit den Open Minds noch besser zu werden. Der Energieaufwand, um ein Thema voranzutreiben ist ausgewogen. Gelegentlich kann es jedoch vorkommen, dass sich Ideen konkurrenzieren. In solch einer Situation bevorzuge ich Entwurfsentscheide.

Im Übergang zur zweiten Hürde, wenn eine Idee auf Close Minds trifft, findet die Diskussion auf einer ganz anderen Ebene statt. Hier überwiegt die destruktive Kritik, Killerphrasen und Emotionen. Eine Idee, auch wenn sie noch so gut ist, wird in diesem Bereich eher zum Stillstand gebracht.

Dabei gibt es aktive und passive Widerstandsformen im verbalen und nonverbalen Bereich, auf die ein Protagonist vorbereitet sein muss.

Die Abbildung unterteilt die Widerstandsformen in Aktiv und Passiv, jeweils im verbalen und nonverbalen Bereich. Im aktiv verbalen Bereich gibt es als Beispiel Widerspruch, Formalismus, Polemik, Vorwürfe und Gegenargumente. Im aktiven noverbalen Bereich gibt es als Beispiel Aufregung, Unruhe, Streit, Intrigen und Gerüchte. Im passiven verbalen Bereich gibt es als Beispiel ausweichen, schweigen, unwichtiges debattieren, heucheln und ins lächerliche ziehen. Im passiven nonverbalen Bereich gibt es als Beisspiel Lustlosigkeit, Unaufmerksamkeit, Müdigkeit, fernbleiben und die innere Kündigung.

Eine Idee im Übergang zu den Close Minds wird häufig mit verschiedenen Widerstandsformen kritisch abgewehrt. Eine der heftigsten Widerstände ist die Heuchelei, die Worte sind wohlwollend, die Taten das Gegenteil. Heftig deshalb, weil sich ein Antagonist als Open Mind tarnt. Überzeugung entsteht dann durch Druck oder Standardisierung.

Um auf mein Erlebnis in Bezug auf Sicherheit und Secure Coding zurückkommen: In diesem Modell war ich der Protagonist. Die Person aus der operativen Sicherheit gehörte zu den Open Minds und die Personen mit den Gegenargumenten und Killerphrasen zu den Close Minds. Das sich die Close Minds am Ende doch noch für die Sicherheit interessierten, lag daran, dass Druck von der operativen Sicherheit kam und anschliessend mit regelmässigen Sicherheitstests die Beseitigung der Sicherheitslücken überprüfte. Es wurde so zum Standard und die Personen begannen es zu akzeptieren.

Was habe ich in all den Jahren in meiner Vorgehensweise angepasst? Als erstes betrachte ich meine Ideen aus drei Dimensionen:

  • Die erste Dimension ist die Wirtschaftlichkeit, wenn diese zu viele Ressourcen benötigt (Kosten/Nutzen) dann wird die Umsetzung sehr schwierig. Widerstand ist dann auch gerechtfertigt.
  • Die zweite Dimension ist die Machbarkeit, ist es überhaupt realisierbar, haben die Beteiligten die entsprechenden Fähigkeiten. Natürlich muss man die Auslastung berücksichtigen. Personen, die bereits am Limit laufen, haben nicht die nötigen Kapazitäten. Es wäre nicht fair, diese als Close Minds zu kategorisieren. In den Worten von Gunter Dueck: «Ist der Stresslevel gerade gering genug, sodass die Leute überhaupt noch bereit sind, Energie für das Neue zu mobilisieren – oder seufzen sie nur überanstrengt?»
  • Die dritte Dimension ist die Wünschbarkeit, kann die Idee ein Bedürfnis wecken.

Kann meine Idee in einer dieser Dimensionen nicht punkten, verwerfe ich sie wieder. Das braucht Übung, anfangs war das nicht leicht für mich.

Als zweites betrachte ich die Ziele aus den vier Zielgruppen-Perspektiven Blau, Gelb, Grün und Rot. Hierbei handelt es sich um die Typisierung nach dem Myers-Briggs-Typindikator (MBTI). Dieser Test ist zwar nicht frei von Kritik, aber Ziele aus der Perspektive der jeweiligen Zielgruppe zu betrachten und die Vorteile aufzuzeigen, kann auch Ängste und damit den Widerstand lösen.

So lege ich den Schwerpunkt bei der blauen Zielgruppe auf die Machbarkeit. Es interessieren die Details. Bei der gelben Zielgruppe liegt der Schwerpunkt auf der Wünschbarkeit primär aufbereitet in Bildern. Bei der grünen Kategorie liegen die Ziele aus der Perspektive der Machbarkeit und Wünschbarkeit im Schwerpunkt. Im Mittelpunkt steht dabei der Mensch. Bei der roten Zielgruppe ist dagegen die Wirtschaftlichkeit der absolute Schwerpunkt.

Fixed Mindsets müssen in diesem Zusammenhang nicht schlecht sein. Es ist hilfreich, diese mit einzubeziehen. Die Fragen, die sich mir dabei immer wieder stellen sind:

  • Wann ist der passende Zeitpunkt?
  • Wie ist das passende Verhältnis zwischen Growth und Fixed Mindset?

Dem Protagonisten können sie helfen, sich vor dem Overconfidence Bias und der Fokussierungs-Illusion zu schützen.

Wie gehst du mit Widerstand um? Dein Feedback interessiert mich.

Softwareentwicklung

Datenaufbereitung

Beratung und Unterstützung

Hier gehts direkt zu den Dienstleistungen