Zukunftsfähigkeit braucht wirksame Informationssicherheit
Warum wir uns mit Informationssicherheit befassen
staffadvance gestaltet Veränderungsprozesse, damit Organisationen zukunftsfähig sind. Und dabei kommt niemand am Thema Informationssicherheit vorbei. Viele Organisationen arbeiten mit personenbezogenen und vertraulichen Daten. Und noch mehr haben ihr Geschäftsmodell oder ihre Prozesse digitalisiert. Das schafft Abhängigkeiten und neue Verletzlichkeiten. Wir sind überzeugt davon, dass es dafür Lösungen braucht, die zwei Kriterien erfüllen sollten. Erstens eine klare Systematik zu haben. Und zweitens anschlussfähig zu sein für die Menschen in der Organisation.
Mit welchen Leistungen wir Sie unterstützen können

Digital Check
Sie möchten heraus finden, wie „gut“ die Digitalisierung in Ihrer Organisation ist? Dann nutzen Sie unser Self Service Tool Digital Check – kostenfrei und unverbindlich.
Externer Beauftragter für Datenschutz oder Informationssicherheit
Ein Mitarbeitender von staffadvance übernimmt die Rolle eines Externen Datenschutzbeauftragten oder eines Externen Beauftragten für Informationssicherheit. Ihr Vorteil ist, dass Sie das erforderliche Knowhow nicht selbst aufbauen müssen. Und dennoch eine professionelle Lösung haben.
Implementierung eines Basisschutzes
Im Fokus steht, zum einen rechtliche Anforderungen zu erfüllen. Und zum zweiten, die Verletzlichkeit Ihrer Organisation zu reduzieren. Wir richten unsere Unterstützung so aus, dass perspektivisch der Aufbau eines ISMS (Informationssicherheits-Managementsystem) gut vorbereitet ist.
Aufbau eines ISMS
Ziel dieser Form der Unterstützung ist ein Managementsystem. Der Weg dahin kann ein tiefgreifender Veränderungsprozess sein. Dieser betrifft natürlich die IT-Infrastruktur und Prozesse. Daneben braucht es häufig auch einen kulturellen Wandel. Denn Gewohnheiten und Verhaltensmuster müssen sich verändern. Hier bringen wir unsere Expertise für die Gestaltung von Veränderungsprozessen mit ein.
Was wir mitbringen
Als Organisationsberater arbeiten wir in faktisch allen unseren Themen mit personenbezogenen Daten oder vertraulichen Informationen. Und natürlich haben wir seit jeher eine Menge getan für Datenschutz und Informationssicherheit. Aber irgendwann so um 2015 war uns das zu unsystematisch. Also haben wir beschlossen, ein ISMS also ein Informationssicherheitsmanagementsystem aufzubauen. Wir haben dabei eine Menge erlebt: Erstens Freude über Fortschritte. Zweitens Frustration über Rückschläge, Irrtümer und Sackgassen. Drittens immer wieder auch Zweifel. Viertens haben wir uns iterativ vorgetastet. Und zwar mit ausprobieren, auswerten und nachjustieren. In 2019 haben wir dann als eines der ersten KMU in Deutschland eine Zertifizierung nach dem Standard ISIS12 geschafft. Diese lehrreiche Selbsterfahrung und mehrere Zertifizierungen als Berater für Datenschutz und Informationssicherheit bringen wir in unsere Projekte ein.
Ein paar Fragen und hoffentlich hilfreiche Antworten

Gibt es eine Definition für Informationssicherheit?
Informationssicherheit bezeichnet einen Zustand, in dem die Risiken für die Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit von Daten und IT-Systemen durch angemessene Maßnahmen auf ein akzeptierbares Maß reduziert sind. Die Informationssicherheit umfasst neben der Sicherheit der IT-Systeme und der darin gespeicherten Daten auch die Sicherheit von nicht elektronisch verarbeiteten und gespeicherten Daten und Informationen.
Von herausgehobener Bedeutung ist hierbei das Ziel Verfügbarkeit der IT-Systeme. Hierunter fallen alle Vorkehrungen und Maßnahmen, um Fortgang der alltäglichen Arbeit auch in Krisen und Notfällen zu sichern. Das erwies sich im Moment der Corona-Krise als Achillesferse so mancher Organisation.
Wie können wir künftig Informationssicherheit gewährleisten?
Im Zuge der Digitalisierung braucht es Vorsorge zu Informationssicherheit und Datenschutz. Und zwar in viel größerem Umfang als bisher. Mittlerweile haben der regulatorische Rahmen und damit auch gesetzliche Haftungsregelungen eine neue Stufe erreicht. Manche Organisationen tun sich schwer damit. Aus unserer Sicht kann dies kaum verwundern, da es an praxistauglichen Anleitungen und Vorbildern mangelt. Demgegenüber mangelt es jedoch nicht an mahnenden Zeigefingern. Wir möchten davon abraten, eine Organisation in einem Zug auf ein „hohes“ Niveau von Informationssicherheit zu heben. Das würde Hürden und Aufwand komplett ignorieren und damit zu einer Überdehnung der Ressourcen führen. Die Folgen wären u.a. ausgebrannte und frustrierte Mitarbeiter*innen. Wir empfehlen ein schrittweises Vorgehen mit einem ausbaufähigen Fundament und einem fortlaufenden Verbesserungszyklus.
Was hat Prozessmanagement mit all dem zu tun?
Viele Organisationen (d.h. Unternehmen, Behörden und NGO’s) sind noch weitestgehend funktional ausgerichtet. Dies manifestiert sich an Organigrammen, Organisationsanweisungen, Stellenbeschreibungen u.a.m. Dagegen ist die Ausrichtung nach Prozessen oft nur rudimentär ausgeprägt. So sind selbst wichtige Prozesse häufig unzureichend geklärt oder auf ein Team bzw. eine Abteilung beschränkt. Die Folgen werden dann an Schnittstellen sichtbar. Das sind denkbar ungünstige Voraussetzungen für Informationssicherheit.
„Ein unzureichendes Verständnis für die Prozesse ist eine denkbar ungünstige Voraussetzung für angemessene Informationssicherheit.“
Prozessmanagement kann große Verbesserungen bei Produktivität, Kosten, Qualität, Wissensnutzung, Durchlaufzeiten, Kundenfokussierung u.a.m. ermöglichen. Die konsequente Einführung von bzw. Ausrichtung der ganzen Organisation auf Prozessmanagement ist eine echte Herausforderung. Sie erfordert eine Denkweise, die gänzlich konträr zu jener ist, mit der die meisten von uns sozialisiert sind. Denn Prozessmanagement ändert Führung, Zusammenarbeit und Entscheiden fundamental. Hat eine Organisation alle ihre Prozesse beschrieben, dann lassen sich Risiken für Datenschutz und Informationssicherheit identifizieren. Und zwar systematisch und lückenlos. Übrigens … wir können sie beim Thema Prozessmanagement unterstützen.
Wie können wir alle Mitarbeiter*innen mitnehmen?
Generell ist ein partizipativer Ansatz zu zu empfehlen. Von enormer Bedeutung ist es, alle Mitarbeitenden für die Risiken bei Informationssicherheit und Datenschutz zu sensibilisieren. Und dies mit nachvollziehbaren Themen aus dem Arbeitsalltag. Weiter braucht es Transparenz über Ziele, Analyseergebnisse, Vorgehen und Maßnahmen. Das schafft Vertrauen und Orientierung für alle. Die Einbeziehung der jeweils Betroffenen in Analysen und Lösungsarbeit fördert Akzeptanz und bindet die Feldkompetenz der Mitarbeiter*innen ein.
