Fragen Sie sich manchmal wofür machen Sie den ganzen Aufwand mit einem Qualitätsmanagement System, oder schlimmer, mit einem Informationssicherheitsmanagement System?
Und das Zertifikat? Kostet nur Geld, ist das nur zum Vorzeigen? Welchen Wert hat das Zertifikat überhaupt?
Zweifeln Sie selbst? Erleben Sie solche Diskussionen? Haben Sie passende Antworten?
Weltbewegende Nachrichten gingen kürzlich um die Welt, dass ein Flugzeug während eines Fluges eine „verdeckte Tür“ verlor. Es scheint sich herauszustellen, dass vergessen wurde, die Sicherungsbolzen einzusetzen. (#1) Zum Glück sind keine Menschen zu Schaden gekommen. Menschliche Fehler passieren! Es passieren auch systemische Fehler. Was ist der Unterschied?
Wahrscheinlich weniger Personen haben mitgekriegt, dass ein namhafter Automobilhersteller, plötzlich einen Teil seiner Software zur Steuerung von KFZ-Systemen, der Öffentlichkeit zugänglich gemacht hatte, weil ein Mitarbeiter, eines der Master Token öffentlich und offen ablegte, sodass andere komplett fremde Fachleute dieses benutzen hätten können. (#2)
Immer wieder gehen Nachrichten um die Welt, dass die größten und namhaftesten Konzerne Kundendaten verlieren, und oft sind die Ursachen banal, z.B.
2017 haben IT-Mitarbeiter des US Amerikanischen Unternehmens Equifax, über längere Zeit vernachlässigt Software Patches einzuspielen (Updates). Eine längst bekannte Schwachstelle wurde von fremden benutzt, und es wurden Daten von ca. 140 Millionen Personen gestohlen. Was sind die Folgeschäden? Darüber berichten die wenigsten.
Im Sommer 2023 wurde Microsoft zum wiederholten Mal Opfer von Cyber Attacken, diesmal mit wesentlich komplexerem Hintergrund (#3). Telekom ist immer wieder gerne im illustren Kreis. Was sind hier die Folgeschäden?
Wie oft haben wir über Rückruf-Aktionen gestaunt, die durch das ganze Land gehen, manchmal sogar weltweite Auswirkungen haben, zu Autos (#4), zu Lebensmittel (#5)(#6) bis hin zu Medikamenten und Medizingeräten (#7) die Tausende Menschen / Patienten in Deutschland betreffen können.
Was haben diese Fälle gemeinsam? Zum Teil waren es einfache banale Ursachen, zum Teil waren es hochkomplexe Zusammenhänge, oft systematische Fehler, die zum Versagen, zur Gefährdung von Personen geführt haben.
Es gibt leider auch die kriminelle skrupellose Gewinnsucht, die Menschen und Unternehmen dazu treibt systematisch andere Menschen zu gefährden und zu schädigen (nicht nur die Kriege, die Nigerianische Prinzen und Cyber-Hacker).
An den Skandal mit den „giftigen“ Brustimplantaten der Französischen Firma Poly Implant Prothese (PIP) erinnern sich wohl noch viele (#8).
An den Skandal mit der giftig gepanschten Baby-Milchpulver in China eher auch (#9).
Wer kennt den Skandal mit den potentiell tödlich gefährlichen Herzschrittmachern von Medtronic (USA) (#10) und deren Rückruf (#11)?
Je komplexer das Thema wird, desto schwieriger das Terrain, desto umfangreicher die Diskussion über Sinn und Unsinn eines Qualitätsmanagement Systems, eines Informationssicherheitssystems, oder ähnlichem.
Klar, man kann nicht jeder Gefahr aus dem Weg gehen, es bleiben immer Restrisiken!
Wussten Sie, dass Medizingeräte auch gehackt werden können, und dies sogar Leben gefährden kann? Nun (wieder am Beispiel Medtronic) es konnte die Fernsteuerung von Insulinpumpen, mit Cyber-Angriffsmethoden manipuliert werden, bis hin zur tödlichen Gefährdung von Patienten (#12).
Warum all diese Schreckensnachrichten?
Es gibt SEHR viele und SEHR gute Gründe, warum wir aus den Erfahrungen gelernt haben, und nach und nach Regelwerke für Qualitätsmanagement, Informationssicherheit und internationale Normen entstanden sind etc. Es steckt ein hoher Erfahrungsschatz darin!
Menschen manchen Fehler, Menschen denken nicht immer an alles, Menschen sind auch mal müde, übernächtigt, unaufmerksam, abgelenkt, unwissend, uniformiert, falsch informiert, unbedacht, gestresst.
Menschen können auch mutwillig, böswillig, kriminell und abartig gewissenlos sein.
Menschen können auch verschiedene Ansichten haben, und Gefahren schlicht übersehen, ignorieren etc.
Was betrifft uns das alles? Sind das nicht alles extreme Beispiele?
Was ist also der Sinn und Zweck eines Management Systems, oder eines Zertifikats, oder der Diskussion?
Genau das ist die richtige Frage auf dem Weg "back to the Roots":
Zu welchem Zweck haben Sie ein Management System eingeführt?
Was wollen Sie damals erreichen, was wollen uns was müssen Sie heute erreichen?
Bringen Sie sich das wieder in Erinnerung, warum Sie damit angefangen haben!
Welche Risiken wollten Sie damals verringern?
Welche Risiken wollen oder müssen Sie heute verringern? Was soll passieren? Was darf nicht passieren?
Nur darum geht es! im Großen, und im Kleinen!
Wenn Sie wirklich beantworten können, was der Sinn ihres QMS oder ISMS ist, dann haben Sie es parat vor Augen! Dann können Sie es in jeder Diskussion auf den Punkt bringen…
Wenn Sie in solch einer Diskussion geraten und in Zweifel geraten: Wozu der Aufwand? Was machen wir? Warum machen wir es? Nur Makulatur?
Wenn Sie auf Widersprüche stoßen...
Wenn Sie an dem gesamten System zweifeln, oder an einzelne Bestandteile: an Prozesse, Richtlinien, Dokumente, Arbeitsanweisungen, Testanweisungen, Verfahrensanweisungen, Kommunikation, Schulungen...
Für mich gibt es Zwei Zauberworte: "Sicherstellen" und "Zweck"
Dies ist der gemeinsame Nenner: Was muss ich sicherstellen? Was will ich sicherstellen?
Was ist der Zweck des Systems, oder eines Bestandteils?
Will ich sicherstellen, dass bei einem fliegenden Flugzeug, zu keiner Zeit, unbeabsichtigt eine verdeckte Tür einfach rausploppt, in 5000 Meter Flughöhe?
Will ich sicherstellen, dass das regelmäßige Einspielen der Software-Updates auf den aktuellsten Stand nicht von einem übermüdeten, unwilligen oder uninteressierten Mitarbeiter abhängig ist, damit meine Software möglichst auf dem aktuellsten Stand ist, damit bekannte Schwachstellen möglichst behoben sind? Will ich sicherstellen, dass auch im Krankheitsfall, sich jemand anderes qualifiziert und korrekt um die Aufgabe kümmert und diese ausführt?
Was ist ihnen so wichtig, dass Sie es nicht der Tagesform ihrer Selbst oder Ihrer Mitarbeiter überlassen wollen?
Was ist ihnen so wichtig, dass Sie es nicht dem Zufall überlassen wollen?
Und das Zertifikat?
Nun, dies symbolisiert eine objektive unparteiische Prüfung Ihres Management Systems, nach definierten akzeptierten Kriterien, um festzustellen dass Sie geplant kontinuierlich, sicherstellen, den jeweiligen Zweck zu erfüllen, und dass Ihr System lernfähig ist und regelmäßig verbessert wird.
Das Zertifikat ist nur soviel Wert, wie es auf strikte transparente und sinnvolle Akzeptanzkriterien basiert, sowohl für das Prüfobjekt, als auch für den Prüfvorgang und Auditor.
Dafür wird der Stand der Technik, Methodik und Wissenschaft benutzt, dafür werden die Internen Prüfungen immer strenger, dafür muss die Zertifizierungsindustrie sorgen.
Zertifikate sind nicht gleich Zertifikate. Siegel sind nicht gleich Prüfsiegel.
Schwarze Schafe gab und gibt es in allen Bereichen, es gab Skandale mit Bio-Getreide (#13), Bio-Olivenöl, und es gibt selbst ausgestellte, ungeprüfte Zertifikate und Siegel, es gibt Selbstdeklarationen etc.
Es liegt an uns allen zusammen, dafür zu sorgen, dass ein Zertifikat, nicht zu einem einfachen Stück Papier verkümmert, welches nur Geld kostet und nichts aussagt.
Es liegt an uns allen, dafür zu sorgen, dass ein Zertifikat den Wert hat, welchen es repräsentiert.
Mein Fazit:
Wenn Ihnen Zweifel kommen,
Viel Erfolg weiterhin, Ihr Konstantin Ziouras
Quellen zu den beschriebenen Qualen
1) Loch in Boeing 737 Max 9: Wichtige Bolzen fehlten heise online
https://www.heise.de/news/Boeing-Flugzeug-verliert-Rumpfteil-Wichtige-Bolzen-fehlten-9621493.html
2) Mercedes hat offenbar nicht aufgepasst und leakt Interna inklusive Sourcecode heise online
3) Cloud-Anwendungen - Hacker-Angriff auf Microsoft war gravierend tagesschau.de
4) Tesla: Rückruf von Elektroautos wegen Problemen mit Airbags und Rücklichtern heise Autos
5) Lebensmittelwarnung.de - Neueste Warnungen
https://www.lebensmittelwarnung.de/bvl-lmw-de/liste/alle/deutschlandweit/10/0
6) Produktrueckrufe REWE Presse
https://mediacenter.rewe.de/produktrueckrufe
7) Rückruf von Philips-Beatmungsgeräten: Schlafmediziner warnen vor... (aerzteblatt.de)
8) Skandal um Brustimplantate: Die unsichtbare Gefahr (aerzteblatt.de)
https://www.aerzteblatt.de/archiv/124347/Skandal-um-Brustimplantate-Die-unsichtbare-Gefahr
9) Skandal um Babynahrung: Chinesische Milchindustrie wird landesweit geprüft - Gesundheit - FAZ
10) Implant Files: Medtronic - Unter Schock (sueddeutsche.de)
https://www.sueddeutsche.de/projekte/artikel/politik/implant-files-medtronic-unter-schock-e311905/
11) Class 1 Device Recall Medtronic Sprint Fidelis Lead (fda.gov)
https://www.accessdata.fda.gov/scripts/cdrh/cfdocs/cfres/res.cfm?id=65383
12) Geht doch: Rückruf angreifbarer Insulinpumpen nach über zwei Jahren heise online
Die Liste lässt sich leider Kilometerlang fortführen
13) Skandal um angebliches Bio-Getreide: „Ein Fall von ’Gier frisst Hirn‘ “ - taz.de
https://taz.de/Skandal-um-angebliches-Bio-Getreide/!5027182/