Informationssicherheit & Datenschutz
Unsere Anliegen ist es, Sicherheit und Resilienz in einer zunehmend angespannten Umgebung zu gewährleisten.
Unser Anliegen
Wir sind darauf spezialisiert, Veränderungsprozesse zu gestalten, um Organisationen zukunftsfähig zu machen. In diesem Kontext ist das Thema Informationssicherheit von entscheidender Bedeutung, da viele Organisationen mit personenbezogenen und vertraulichen Daten arbeiten und ihre Geschäftsmodelle sowie Prozesse digitalisiert haben. Diese Digitalisierung bringt neue Abhängigkeiten und Verletzlichkeiten mit sich, die wir adressieren möchten.
Unsere Lösungsansätze zeichnen sich durch zwei Kernelemente aus. Erstens verfolgen wir eine klare Systematik, um sicherzustellen, dass die Informationssicherheit effektiv umgesetzt wird. Zweitens legen wir großen Wert darauf, dass unsere Lösungen für die Menschen in der Organisation anschlussfähig sind, um deren Akzeptanz und Engagement sicherzustellen.
Unsere Arbeit basiert auf folgenden Aspekten:
Wir bringen umfassende Erfahrungen aus der permanenten Weiterentwicklung unseres eigenen Informationssicherheitsmanagementsystems (ISMS) mit. Dadurch sind wir in der Lage, bewährte Praktiken und aktuelle Erkenntnisse in unsere Arbeit einzubringen.
Wir gestalten ein ISMS, das exakt auf die Unternehmensgröße, Branche und den Schutzbedarf zugeschnitten ist. Dies gewährleistet Effektivität und Akzeptanz.
Wir bringen umfangreiche Expertise für Veränderungen mit. Das ist hilfreich, weil die Implementierung eines höheren Niveaus an Informationssicherheit oft einen Veränderungsprozess erfordert.
Wir integrieren die Perspektiven von Rechtssicherheit, Alltagstauglichkeit und Einfluss der Organisationskultur in unsere Arbeit, um eine umfassende und ausgewogene Lösung zu schaffen.
Unsere umfangreichen Erfahrungen als Dienstleister für Mitarbeitendenbefragungen und Führungsfeedbackprojekte haben uns gezeigt, wie sensibel der Umgang mit Daten sein kann. Daher sind wir besonders sensibilisiert für den Schutz und die Sicherheit von Daten in unseren Projekten.
Unser Ziel
Unser Ziel ist es, Organisationen dabei zu unterstützen, ihre Daten sicher und widerstandsfähig zu halten und gleichzeitig eine Kultur der Informationssicherheit in der gesamten Organisation zu fördern. So können sie den Herausforderungen einer digitalen und vernetzten Welt erfolgreich begegnen.
Unsere Pakete
Wir übernehmen die Rolle eines Externen Datenschutzbeauftragten oder eines Externen Beauftragten für Informationssicherheit. Ihr Vorteil ist, dass Sie das erforderliche Knowhow nicht selbst aufbauen müssen. Und dennoch eine professionelle Lösung haben.
Im Fokus stehen Checks und die unbedingt erforderliche Umsetzung von Sofort-Maßnahmen. Ziel ist, zum einen rechtliche Anforderungen zu erfüllen. Und zum anderen, die Verletzlichkeit Ihrer Organisation zu reduzieren. Wir richten unsere Unterstützung so aus, dass perspektivisch der Aufbau eines ISMS (Informationssicherheits-Managementsystem) möglich ist.
Ziel dieser Form der Unterstützung ist ein Managementsystem. Der Weg dahin kann ein tiefgreifender Veränderungsprozess sein. Dieser betrifft natürlich die IT-Infrastruktur und Prozesse. Daneben braucht es häufig auch einen kulturellen Wandel. Denn Gewohnheiten und Verhaltensmuster müssen sich verändern. Hier bringen wir unsere Expertise für die Gestaltung von Veränderungsprozessen mit ein.
Was wir mitbringen
Als Organisationsberater arbeiten wir in faktisch allen unseren Themen mit personenbezogenen Daten oder vertraulichen Informationen. Und natürlich haben wir seit jeher eine Menge getan für Datenschutz und Informationssicherheit. Aber irgendwann so um 2015 war uns das zu unsystematisch. Also haben wir beschlossen ein ISMS, also ein Informationssicherheitsmanagementsystem, aufzubauen. Wir haben dabei eine Menge erlebt: Erstens: Freude über Fortschritte. Zweitens: Frustration über Rückschläge, Irrtümer und Sackgassen. Drittens: immer wieder auch Zweifel. Viertens: haben wir uns iterativ vorgetastet. Und zwar mit Ausprobieren, Auswerten und Nachjustieren. In 2019 haben wir dann als eines der ersten KMU in Deutschland eine Zertifizierung nach dem Standard ISIS12 geschafft. Diese lehrreiche Selbsterfahrung und mehrere Zertifizierungen als Berater für Datenschutz und Informationssicherheit bringen wir in unsere Projekte ein.
Gibt es eine Definition für Informationssicherheit?
Informationssicherheit bezeichnet einen Zustand, in dem die Risiken für die Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit von Daten und IT-Systemen durch angemessene Maßnahmen auf ein akzeptierbares Maß reduziert sind. Die Informationssicherheit umfasst neben der Sicherheit der IT-Systeme und der darin gespeicherten Daten auch die Sicherheit von nicht elektronisch verarbeiteten und gespeicherten Daten und Informationen. Von herausgehobener Bedeutung ist hierbei das Ziel Verfügbarkeit der IT-Systeme. Hierunter fallen alle Vorkehrungen und Maßnahmen, um Fortgang der alltäglichen Arbeit auch in Krisen und Notfällen zu sichern.
Wie können wir künftig Informationssicherheit gewährleisten?
Im Zuge der Digitalisierung braucht es Vorsorge zu Informationssicherheit und Datenschutz. Und zwar in viel größerem Umfang als bisher. Mittlerweile haben der regulatorische Rahmen und damit auch gesetzliche Haftungsregelungen eine neue Stufe erreicht. Manche Organisationen tun sich schwer damit. Aus unserer Sicht kann dies kaum verwundern, da es an praxistauglichen Anleitungen und Vorbildern mangelt. Demgegenüber mangelt es jedoch nicht an mahnenden Zeigefingern. Wir möchten davon abraten, eine Organisation in einem Zug auf ein „hohes“ Niveau von Informationssicherheit zu heben. Das würde Hürden und Aufwand komplett ignorieren und damit zu einer Überdehnung der Ressourcen führen. Die Folgen wären u.a. ausgebrannte und frustrierte Mitarbeitende. Wir empfehlen ein schrittweises Vorgehen mit einem ausbaufähigen Fundament und einem fortlaufenden Verbesserungszyklus.
Was hat Prozessmanagement mit all dem zu tun?
Viele Organisationen (also Unternehmen, Behörden und NGO’s) sind noch weitestgehend funktional ausgerichtet. Dies manifestiert sich an Organigrammen, Organisationsanweisungen, Stellenbeschreibungen u.a.m. Dagegen ist die Ausrichtung nach Prozessen oft nur rudimentär ausgeprägt. So sind selbst wichtige Prozesse häufig unzureichend geklärt oder auf ein Team bzw. eine Abteilung beschränkt. Die Folgen werden dann an Schnittstellen sichtbar. Das sind denkbar ungünstige Voraussetzungen für Informationssicherheit.
Wie können wir alle Mitarbeitenden mitnehmen?
Generell ist ein partizipativer Ansatz zu empfehlen. Von enormer Bedeutung ist es, alle Mitarbeitenden für die Risiken bei Informationssicherheit und Datenschutz zu sensibilisieren. Und dies mit nachvollziehbaren Beispielen aus dem Arbeitsalltag. Weiter braucht es Transparenz über Ziele, Analyseergebnisse, Vorgehen und Maßnahmen. Das schafft Vertrauen und Orientierung für alle. Die Einbeziehung der jeweils Betroffenen in Analysen und Lösungsarbeit fördert Akzeptanz und bindet die Feldkompetenz der Mitarbeitenden ein.