Zukunftsfähigkeit braucht wirksame Informationssicherheit

Auf dieser Seite erläutern wir, wie wir zu unserer These Zukunftsfähigkeit braucht wirksame Informationssicherheit kommen. Dazu erläutern wir, was Informationssicherheit umfasst und wo die Stolpersteine liegen. Und natürlich, was wir für unsere Kunden tun.

Digitalisierung ist für viele Organisationen der aktuell wichtigste Treiber für Zukunftsfähigkeit. Unsere Erfahrung ist: Es braucht weitgehende Digitalisierung, ein bisschen davon macht eine Organisation nicht automatisch zukunftsfähig. Im Gefolge der Digitalisierung kommt ein weiteres Thema auf die Agenda: Informationssicherheit.

Unsere Leistungen:

Digital Check

Sie möchten heraus finden, wie „gut“ die Digitalisierung in Ihrer Organisation ist? Dann nutzen Sie unser Self Service Tool Digital Check – kostenfrei und unverbindlich.

Zukunftsfähigkeit braucht weitgehende Digitalisierung

Informationssicherheit – was ist das?

Informationssicherheit bezeichnet einen Zustand, in dem die Risiken für die Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit von Daten und IT-Systemen durch angemessene Maßnahmen auf ein akzeptierbares Maß reduziert sind. Die Informationssicherheit umfasst neben der Sicherheit der IT-Systeme und der darin gespeicherten Daten auch die Sicherheit von nicht elektronisch verarbeiteten und gespeicherten Daten und Informationen.
Von herausgehobener Bedeutung ist hierbei das Ziel Verfügbarkeit der IT-Systeme. Hierunter fallen alle Vorkehrungen und Maßnahmen, um Fortgang der alltäglichen Arbeit auch in Krisen und Notfällen zu sichern. Das erwies sich im Moment der Corona-Krise als Achillesferse so mancher Organisation.

Wie können wir künftig Informationssicherheit gewährleisten?

Im Zuge der Digitalisierung braucht es Vorsorge zu Informationssicherheit und Datenschutz. Und zwar in viel größerem Umfang als bisher. Mittlerweile haben der regulatorische Rahmen und damit auch gesetzliche Haftungsregelungen eine neue Stufe erreicht. Viele Organisationen tun sich schwer damit, angemessene Maßnahmen zu ergreifen. Aus unserer Sicht kann dies kaum verwundern, da es an praxistauglichen Anleitungen und Vorbildern mangelt. Demgegenüber mangels es jedoch nicht an mahnenden Zeigefingern. Es macht u.E. wenig Sinn, eine Organisation in einem Zug auf ein „hohes“ Niveau Informationssicherheit und Datenschutz zu heben. Das würde Hürden und Aufwand komplett ignorieren und damit zu einer Überdehnung der Ressourcen führen. Die Folgen wären u.a. ausgebrannte und frustrierte Mitarbeiter.
Wir empfehlen daher ein schrittweises Vorgehen mit einem ausbaufähigen Fundament und einem fortlaufenden Verbesserungszyklus.

Was braucht es für ein angemessenes Niveau an Informationssicherheit?

Damit Digitalisierung gelingt, braucht es einen 360° Fokus auf die gesamte Organisation. Wichtige Perspektiven sind Prozesse, IT-Systeme, Risiken, Führung, Zusammenarbeit, Struktur und Geschäftsmodell. Die Annahme, dass Digitalisierung sich nur auf Teilbereiche auswirken würde, kann zum Beispiel zu erheblichem Widerstand bei Betroffenen oder schleppendem Vorankommen der Projekte führen.

Was sind typische Hindernisse auf dem Weg zu mehr Informationssicherheit?

Es gibt zwei falsche Annahmen, die erstaunlich verbreitet sind. Erstens ist da die Annahme, es handele sich eigentlich nur um eine Softwareeinführung. Und zweitens gibt es den Glauben an eine Planbarkeit. Häufige Stolpersteine sind fehlende Einbindung der Mitarbeiter*innen, unterbleibende Nachjustierung von Zielen, die Bereitstellung unzureichender personeller und zeitlicher Ressourcen für die Implementierung, das Ignorieren der Auswirkungen auf Psyche und Arbeitsbeziehungen, … und noch einiges mehr.

Wie lange dauert es, bis ein ISMS implementiert ist?

Das lässt sich kaum vorhersagen. Eine passende Metapher für Digitalisierung ist ein unbekannter Weg. Man entscheidet sich für eine Richtung (Ziele). Es ist nicht bekannt, wie lang der Weg ist. Und auch nicht, welches Höhenprofil er hat. Deshalb ist ein Vorgehen in Iterationen mit regelmäßigen Reviews und Reflexionen sinnvoll.

Was hat Prozessmanagement mit Informationssicherheit zu tun?

Viele Organisationen (d.h. Unternehmen, Behörden und NGO’s) sind noch weitestgehend funktional ausgerichtet. Dies manifestiert sich an Organigrammen, Organisationsanweisungen, Stellenbeschreibungen u.a.m. Dagegen ist die Ausrichtung nach Prozessen oft nur rudimentär ausgeprägt. So sind selbst wichtige Prozesse häufig unzureichend geklärt oder auf ein Team bzw. eine Abteilung beschränkt. Die Folgen werden dann an Schnittstellen sichtbar. Das sind denkbar ungünstige Voraussetzungen für Informationssicherheit.

„Ein unzureichendes Verständnis für die Prozesse ist eine denkbar ungünstige Voraussetzung für angemessene Informationssicherheit.“

Prozessmanagement kann große Verbesserungen bei Produktivität, Kosten, Qualität, Wissensnutzung, Durchlaufzeiten, Kundenfokussierung u.a.m. ermöglichen. Die konsequente Einführung von bzw. Ausrichtung der ganzen Organisation auf Prozessmanagement ist eine echte Herausforderung. Sie erfordert eine Denkweise, die gänzlich konträr zu jener ist, mit der die meisten von uns sozialisiert sind. Denn Prozessmanagement ändert Führung, Zusammenarbeit und Entscheiden fundamental.

Hat eine Organisation alle ihre Prozesse beschrieben, dann lassen sich Risiken für Datenschutz und Informationssicherheit identifizieren. Und zwar systematisch und lückenlos.

Wie können wir alle Mitarbeiter*innen mitnehmen?

Generell ist ein partizipativer Ansatz zu zu empfehlen. Von enormer Bedeutung ist es, alle Mitarbeitenden für die Risiken bei Informationssicherheit und Datenschutz zu sensibilisieren. Und dies mit nachvollziehbaren Themen aus dem Arbeitsalltag. Weiter braucht es Transparenz über Ziele, Analyseergebnisse, Vorgehen und Maßnahmen. Das schafft Vertrauen und Orientierung für alle. Die Einbeziehung der jeweils Betroffenen in Analysen und Lösungsarbeit fördert Akzeptanz und bindet die Feldkompetenz der Mitarbeiter*innen ein.

Was sind typische Risiken bei Datenschutz und Informationssicherheit?

Auflistung

Zukunftsfähigkeit braucht weitgehende Digitalisierung

Welchen Blick haben unsere Kunden und Partner auf Informationssicherheit?

Unternehmen, deren Kunden zu den Branchen sogenannter kritischer Infrastrukturen fallen, müssen damit rechnen, demnächst Fragen und Auflagen zur Informationssicherheit von ihren Kunden zu erhalten. Wer frühzeitig in dieses Thema investiert, dürfte sich einen wettbewerblichen und zeitlichen Vorteil sichern.

Was bringt staffadvance mit?

staffadvance ist selbst einen langen Weg zu Datenschutz und Informationssicherheit gegangen. Wir haben dabei eine Menge erlebt: Erstens Freude über Fortschritte. Zweitens Frustration über Rückschläge, Irrtümer und Sackgassen. Drittens immer wieder auch Zweifel. Viertens haben wir uns iterativ vorgetastet. Und zwar mit ausprobieren, auswerten und nachjustieren. Seit mehreren Jahren ist unser ISMS zertifiziert.

Daneben verfügen wir über mehrere Zertifizierungen als Berater für Datenschutz und Informationssicherheit.

Zukunftsfähigkeit braucht weitgehende Digitalisierung

Relevante Blogposts