Deutschland
 

Die Objectives-and-Key-Results-Methode

Wie OKRs Security-Programme auf Kurs halten

Die Methode Objectives and Key Results (OKR) kann IT-Sicherheitsteams dabei helfen, sich auf ihre Prioritäten zu konzentrieren. Um erfolgreich zu sein, müssen unterstützende Praktiken aber auch verpflichtend umgesetzt werden.
Von 
CSO | 19. September 2022 05:58 Uhr
Objectives and Key Results (OKRs) können auch IT-Security-Teams dabei helfen, eine klare Strategie zu verfolgen und sich nicht zu verzetteln.
Objectives and Key Results (OKRs) können auch IT-Security-Teams dabei helfen, eine klare Strategie zu verfolgen und sich nicht zu verzetteln.
Foto: SFIO CRACHO - shutterstock.com

Als Michael Gregg als IT-Sicherheitsbeauftragter zum Bundesstaat North Dakota kam, brachte er ein Konzept mit, das er gerne verwendete, um sein Security-Programm auf Kurs zu halten: die Festlegung von Objectives and Key Results (OKRs) und die Verfolgung des Fortschritts anhand dieser Ziele. Da sich diese Methoden in der Vergangenheit bewährt hatten, glaubte Gregg, dass die Einführung dieser Methoden für das Security-Programm des Bundesstaates ebenfalls nützlich sein könnte: "Es war eine gute Möglichkeit für das Security-Team, fokussiert zu bleiben. Es hilft mir und den Teams, Prioritäten zu setzen, es sorgt für eine Abstimmung zwischen den Teams. Zudem erhalten wir eine Nachverfolgung und Rechenschaftspflicht", sagt Gregg, der Ende 2021 zum CISO des Bundesstaates ernannt wurde.

Auf diese Weise setzt er die OKRs um: Jedes seiner fünf Teams legt jährlich drei bis fünf Ziele fest. Sie entwickeln diese Ziele auf der Grundlage der strategischen Vision des Unternehmens. "Die Festlegung von Zielen zwingt uns zu sagen: 'Können wir uns darauf einigen, welche drei, vier oder fünf Dinge für uns am wichtigsten sind?'", erklärt Gregg. "Jedes Team listet dann drei bis fünf umsetzbare Punkte auf, die für jedes identifizierte Ziel angestrebt werden - dies sind die wichtigsten Ergebnisse."

"Ich arbeite mit jedem Teamleiter zusammen", berichtet der CISO. "Sie kennen unsere Ziele für das Jahr, und ich lasse sie die wichtigsten Ergebnisse für das Quartal formulieren. Danach, wenn alles abgestimmt ist, kommen wir zu einer Sitzung zusammen, in der jedes Team über die OKRs spricht, damit jeder Bescheid weiß." Die Teams treffen sich dann alle zwei Wochen, um ihre Fortschritte bei den Schlüsselergebnissen zu bewerten. Dabei verwenden sie wichtige Leistungsindikatoren (KPIs) und wichtige Zielindikatoren (KGIs), um ihre Arbeit zur Erreichung dieser Key Results zu messen, die auf das Gesamtziel einzahlen. Gregg gibt ein einfaches Beispiel, um zu veranschaulichen, wie diese Teile zusammenpassen:

  • Wenn die strategische Vision des Staates darin besteht, die IT-Security weiter zu verbessern, könnte ein Ziel zur Unterstützung dieser Mission darin bestehen, innerhalb eines Jahres ein neues Tool zur Netzwerk- und Endpunktüberwachung in der gesamten staatlichen Organisation einzuführen.

  • Die vierteljährlichen Schlüsselergebnisse der Teams spiegeln dazu den Arbeitsaufwand wider, den sie alle drei Monate leisten müssen, um dieses Ziel innerhalb eines Jahres zu erreichen.

  • Die Teams verwenden KPIs und KPGs, um den Fortschritt bei der Erreichung dieser Schlüsselergebnisse zu messen, wobei die Messwerte alle zwei Wochen gemeldet werden.

"Wenn ich also am Jahresende 100 Prozent erreichen will, brauche ich bis zur Jahreshälfte 50 Prozent. Die Key Results geben an, wie viel ich in einem Quartal erreiche, um auf Kurs zu bleiben, und die KPIs geben an, wie gut ich abschneide", erklärt Gregg. Obwohl solche Beispiele die OKRs nur als eine Möglichkeit der Arbeitseinteilung und -planung erscheinen lassen, glaubt Gregg, dass ihre Verwendung tatsächlich große Vorteile für das Management und die Führungskräfte mit sich bringt. "OKRs helfen mir, die Vision und die Mission, die vom Team des Gouverneurs festgelegt werden, mit unserem Maßnahmenplan zu verbinden, damit ich weiß, wie wir das Ziel erreichen werden. Und OKRs helfen mir, Kultur und Ressourcen auf diesen Plan abzustimmen", sagt der CISO

Mit anderen Worten: OKRs helfen ihm, die Richtung vorzugeben, auf Kurs zu bleiben und das gewünschte Tempo einzuhalten. So ist es weniger wahrscheinlich, dass Teams Projekte verfolgen, die nicht zu den Prioritäten gehören. Sie können zu dringenden Arbeiten hinzugezogen werden oder in Versuchung geraten, sich auf einen neuen Vorschlag einzulassen, aber OKRs führen sie zurück zu den festgelegten Prioritäten. Die Verwendung von OKRs binde die Teams auch zusammen, so Gregg. "Sie können sehen, wie sich ihre Arbeit auf die Arbeit anderer Teams auswirkt. In einer Welt, in der der Zeitplan und der Erfolg eines Teams oft davon abhängt, dass andere Teams ihren Teil pünktlich erledigen, helfen OKRs dabei, sicherzustellen, dass jedes Team das tut, was es tun muss, und diese Arbeit zum richtigen Zeitpunkt erledigt."

OKRs aus der Sicht von Google Security

Manager verwenden OKRs schon seit Jahrzehnten, nachdem Andy Grove in den 1970er Jahren den Zielsetzungsrahmen bei Intel einführte. Auch andere Führungskräfte haben dieses Konstrukt im Laufe der Jahre übernommen, wobei John Doerr bei Google oft dafür verantwortlich gemacht wird, dass OKRs populär wurden. Heute verwendet Google OKRs in seiner gesamten Organisation. Dazu gehört auch das Google Cybersecurity Action Team (GCAT) bei Google Cloud, wo Merrill Miller Leiterin der Geschäftsaktivitäten ist.

Laut Miller gibt es einen guten Grund für die weite Verbreitung von OKRs: "Sie helfen dabei, Strategie und Vision mit einer praktischen Linse zu versehen und Prioritäten zu setzen. Die Zielsetzung entspricht einer inspirierenden Mission; die Schlüsselergebnisse sind messbare Resultate". Miller verwendet OKRs auf ähnliche Weise wie Gregg. So führe Google einen jährlichen Planungsprozess durch, in dem die Führungskräfte die Ziele, die sie im kommenden Jahr erreichen wollen, umreißen und die wichtigsten Ergebnisse, die sie zum Erreichen dieser Ziele erzielen müssen, aufschlüsseln. Das von ihr geleitete Security-Team verwende dazu Metriken, um den Fortschritt beim Erreichen der Schlüsselergebnisse und letztendlich der Ziele zu messen, erklärt Miller.

Zur Verdeutlichung nennt sie ein Beispiel aus der Praxis: Die Google-Führungskräfte haben erklärt, dass die Aufgabe von GCAT darin besteht, ein erstklassiges Sicherheitsberatungsteam zu sein. "Aber das ist ein ziemlich umfassender Auftrag. Wie können wir das also sinnvoll und umsetzbar gestalten?" fragt Miller und beantwortet direkt: "Eine Möglichkeit, das zu tun, ist über das 'O' - die Ziele - und die Verfolgung der Key Results." Miller und ihr Team entwickeln also mehrere Ziele, die sich an der Vision der Organisation und ihren übergreifenden Prioritäten orientieren. Und wie es bei der Entwicklung und Verwendung von OKRs üblich ist, hat GCAT für jedes Ziel mehrere Schlüsselergebnisse erstellt. Laut Miller besteht ein Ziel darin, "sicherzustellen, dass das Google Cybersecurity Action Team sein Ziel erreicht, das weltweit führende Sicherheitsberatungsteam zu sein". Ein Schlüsselergebnis dafür ist die "Steigerung des Kundenengagements um x Prozent durch das POD Engagement Model des Google Cybersecurity Action Teams".

Der Google-Managerin zufolge verdeutlicht dieses Beispiel auch die Vorteile von OKRs: Sie liefern ein klares Bild von den Prioritäten, so dass sich Sicherheitsteams auf diese konzentrieren können, anstatt sich zu verzetteln und Ressourcen für weniger dringende Projekte abzuzweigen. "Wenn ich aber OKRs habe, kann ich Prioritäten auf der Grundlage dessen setzen, was geliefert werden muss. So kann ich der Unternehmensleitung, den Teammitgliedern und den beteiligten Parteien effektiv vermitteln, warum wir die Entscheidungen treffen, die wir treffen, und wie wir die Ziele unterstützen", sagt Miller.

OKRs hätten ihr und ihrem Team auch dabei geholfen haben, "Nein" zu Initiativen zu sagen, fügt sie hinzu. "Ich habe eine laufende Liste aller Projekte, einschließlich der aktuellen und zukünftigen, die den OKRs zugeordnet sind. Wenn also etwas Neues auf die Liste kommt und nicht mit den OKRs übereinstimmt, wird es vielleicht nicht priorisiert oder es könnte bedeuten, dass wir über die Erstellung einer neuen OKR sprechen müssen. Das ist ein guter Check für das Bauchgefühl", erklärt sie. Auch hierzu ein typisches Beispiel: Miller und ihr Team haben vor kurzem die Aktualisierung der Inhalte des GCAT-Servicekatalogs verschoben, weil sie in diesem Jahr nicht zu ihren OKRs gehörte. "Diese [neue] Version wird zu einem späteren Zeitpunkt erscheinen, aber wir müssen zuerst anderen Dingen Priorität einräumen", sagt Miller.

So bringen Sie OKRs zum Fliegen

Das Interesse an OKRs wächst, bestätigt Paul Proctor, Vizepräsident und angesehener Analyst bei Gartner. Er und andere Managementexperten zügeln jedoch ihren Enthusiasmus und weisen darauf hin, dass OKRs zwar eine effektive Zielsetzungsmethode für Security-Teams sein können. Ihr Wert sei jedoch begrenzt, wenn sie nur zu diesem Zweck verwendet werden. Laut Proctor geht es bei OKRs vor allem um folgende Fragen:

  • Was versuche ich zu erreichen? Das ist das Ziel.

  • Wie werde ich es erreichen? Das ist die Liste der wichtigsten Ergebnisse.

  • Und wie will ich das messen? Dies bestimmt die zu verwendenden Metriken.

"Der Zweck eines OKR ist es, den Fortschritt in Richtung einer Strategie zu messen", erklärt Proctor. CISOs - oder auch alle anderen Führungskräfte - müssten also ihre Strategie verstehen, um die Ziele und Schlüsselergebnisse zu erstellen. An diesem Punkt hätten die Manager oft Schwierigkeiten, weil nichts in den OKRs etwas über die Strategie aussage, so der Gartner-Mann, und die meisten von ihnen hätten keine Strategie. "OKRs sind integraler Bestandteil der Entwicklung und Umsetzung Ihrer Strategie, und wenn Sie sie nicht auf diese Weise betrachten, nutzen Sie OKRs nicht wirklich."

Proctor betont außerdem, dass OKRs nur dann wertvoll sind, wenn Teams ihre Arbeit an den wichtigsten Ergebnissen und an der Erreichung ihrer Ziele tatsächlich messen. Er habe die Erfahrung gemacht, dass "Menschen schrecklich sind, wenn es um Metriken geht". Er werde häufig von Unternehmensleitern gefragt 'Welche OKRs soll ich im Sicherheitsbereich messen?', berichtet der Gartner-Analyst, oder sie bezeichnen die vorhandenen Metriken als OKRs. Dennoch sieht Proctor den Wert von OKRs und stimmt mit den Aussagen von Gregg und Miller über ihre Vorteile überein. Wenn Unternehmen OKRs richtig einstuften und einsetzten, würden sie tatsächlich helfen, Teams auf das Erreichen von als wichtig eingestuften Zielen zu fokussieren.

"OKRs können sicherlich ein effektives Mittel sein, um die Ziele der CISO-Funktion zu formulieren", bestätigt auch Andrew Retrum, Managing Director in der Security and Privacy Practice bei der Unternehmensberatungsfirma Protiviti. "Ich denke aber, dass die OKRs am aussagekräftigsten sind, wenn sie mit dem Rest des Unternehmens verbunden sind. Im Security-Bereich etwa, wenn ein Bezug zum gemanagten Risiko besteht und die verwendeten Messgrößen quantifizierbar sind."

Auch North-Dakota-CISO Gregg räumt ein, dass die richtige Auswahl der Ziele der Schlüssel zum Nutzen der OKRs ist. Teams hätten oft damit zu kämpfen, die Anzahl der Ziele zu begrenzen, insbesondere wenn sie das OKR-System zum ersten Mal anwenden: " Wenn sie versuchen, zu viele Ziele zu erreichen, werden nicht erfolgreich sein." Auch Gregg ist der Meinung, dass es für den Erfolg auf die Umsetzung ankomme - allein die Ziele und die wichtigsten Ergebnisse aufzulisten, reiche nicht aus: "Man muss den Fortschritt messen, diese Metriken bewerten und die OKRs bei Bedarf anpassen und optimieren. Um das zu erreichen, ist jedoch ein Kulturwandel erforderlich - etwas, das Zeit und Investitionen erfordert, wenn man es richtig machen will." (mb)

Dieser Artikel basiert auf einem Beitrag der US-Schwesterpublikation CSO Online.

Mary K. Pratt ist freiberufliche Journalistin in Massachusetts.
Folgen: