Direkt zum Hauptbereich

Notizen zum Lean Coffee Informationssicherheit in Verwaltungen, Nr. 1

Informationssicherheit ist die Voraussetzung für die weitere Digitalisierung in  Verwaltungsbereichen. Wenn Ihr Euch austauschen wollt, gibt es jetzt ein monatliches Lean Coffee, in dem Ihr Eure Fragen loswerdet und in dem Ihr Erfahrungen teilen könnt. Wenn Ihr wissen wollt, was ein rosa High Heel mit Informationssicherheit zu tun hat, kommt gern zum nächsten Online-Lean-Coffee am 27.04.2022.

Zum ersten Lean Coffee am 30.03.2022 trafen sich 5 Pioniere zu früher Stunde im Zoom-Land. Manche Kamera war noch von der Nacht ganz blau. Aber die Farbe kam zurück, als die interessanten Fragen auf dem Board erschienen.

Foto: Fahmi Fakhrudin auf Unsplash
Wer die Einladung zum nächstenTermin nicht verpassen will, meldet sich entweder in der Xing-Gruppe an oder meldet sich direkt bei den Organisatoren Niklas Hirsch oder Jan Fischbach. Wir nehmen Euch dann in den Verteiler auf. 

https://www.xing.com/communities/groups/austausch-informationssicherheit-in-kommunen-und-der-verwaltung-46cb-1152817/

In dieser Runde favorisieren wir eine agile Herangehensweise an das Thema Informationssicherheit in Verwaltungen.

Wie baut man ISMS auf?

In einem Informationssichheitsmanagementsystem (ISMS) definiert eine Organisation Regeln und Verfahren, um ihre Informationen vor dem Zugriff Unbefugter zu schützen. Das betrifft nicht nur IT-Systeme, sondern grundsätzlich alle schützenswerten Daten, mit denen in der Verwaltung gearbeitet wird. Deswegen sprechen wir auch nicht von IT-Sicherheit, sondern von Informationssicherheit. 

Nach dem Sammeln der Themen bekam an diesem Morgen die Frage "Wie baut man ein ISMS auf?" die meisten Stimmen. Die Teilnehmenden tauschten sich über Erfahrungswerte und gute erste Schritte aus.

Es ist hilfreich, sich ein System als Basis zu nehmen, um daraus Arbeitspakete abzuleiten. Die bekanntesten Systeme sind:

Der Grundschutzkatalog ist vielleicht etwas praktischer, aber auch umfangreicher als die ISO-Norm. 

Ein Startpunkt bildet die Verabschiedung einer Informationssicherheitleitlinie, die als übergeordnetes Dokument den Rahmen für alle weiteren Arbeiten in der Organisation gibt.

Eine Top-Down-Herangehensweise bietet den Vorteil, alle Bereiche der Informationssicherheit systematisch zu erfassen. Allerdings zieht sich das Ganze auch, weil meist andere Themen noch wichtiger sind.

Eine andere Herangehensweise orientiert sich an den operativen Problemen. Sie ist am Anfang erst einmal Stückwerk. Aber die Maßnahmen werden schneller umgesetzt, weil jeder die Dringlichkeit der Maßnahme versteht.

Nützen IT-Systeme wie CMDBs etwas? Der wichtigste Baustein von Informationssicherheit ist das Verständnis der Mitarbeitenden über ihren eigenen Beitrag. So sind viele Maßnahmen auch eher organisatorischer als technischer Natur. Ein IT-System kann unterstützen, sollte aber nicht von den eigentlichen Maßnahmen ablenken.

Wie erstelle ich Sicherheitskonzepte?

Der Themengeber stellte die Frage in die Runde, wie man den hohen initialen Aufwand für das Erstellen von Sicherheitskonzepte reduzieren könne. 

Ein Sicherheitskonzept braucht definierte, dokumentierte Prozesse. Es gibt Prozesse. Aber jeder Bereich macht es vielleicht etwas anders. Und nicht alle Schritte sind dokumentiert.

Ein Teilnehmer aus der Runde berichtete, dass er die Konzepte stets mit den betroffenen Mitarbeitenden erstellte. Er ließ sich die Abläufe vor Ort zeigen und füllte das Dokument mit den Kolleg:innen zusammen aus. Dabei fällt den Prozessexpert:innen oft selbst auf, wie sie ihre eigenen Abläufe verbessern können.

Der IT-Grundschutzkatalog kann Ideen und Leitfragen liefern. Aber die Fachleute vor Ort haben die Antworten. Das Zirkulieren lassen von Dokumenten ist da nicht die Lösung und würde sehr lange dauern. Technische Administratoren schreiben z. B. ungern.

In manchen Situationen könnte es interessant sein, einen großen Open Space mit allen Beteiligten zu veranstalten. Bei dieser Großgruppenmethode erstellen die Teilnehmenden selbst zu Beginn die Agenda. Das könnte eine gute Gelegenheit, Dokumente direkt und gemeinsam mit Interessierten zu erstellen.

Wie nimmt man (alle) Mitarbeitenden mit?

Die Themengeberin fragte nach den Erfahrungen beim Bewusstmachen für dieses Thema. Es reicht zum Beispiel nicht, einfach E-Learnings ins Intranet zu stellen. Zu viele Informationen können zudem schnell überfordern. Was sind also gute Kanäle und wie kann man das Programm ausgewogen gestalten?

Eine Teilnehmerin berichtete aus ihren Besuchen in Führungsrunden. Sie hat erst einmal nachgefragt: Welche Veranstaltungen brauchen Sie? Was wollen sie auf keinen Fall? Was sind die Erwartungen der Lernenden? Aus den Antworten lassen sich eigene Pakete für verschiedene Zielgruppen packen.

Alle Teilnehmer:innen in diesem Lean Coffee waren sich einig, dass man Informationssicherheit nicht mit dem erhobenen Zeigefinger präsentieren dürfe. 

Es gab die Frage, ob es in hierarchischen Organisation gut wäre, wenn es eine Anweisung von oben zur Umsetzung gäbe? Es ist immer gut, wenn die Leitung dahintersteht. In hierarchischen Organisation hilft das immer etwas. Aber vertrauen die Mitarbeitenden den Chefs?

Ein Teilnehmer ergänzte, dass er Sitzungen mit Führungskräften vorher vorbereitete. Überlicherweise berichtet jede Führungskraft, dass es in ihrem Bereich keine Probleme mit Phishing-Mails oder Passwörtern auf Haftnotizzetteln gäbe. Der Teilnehmer war vorher deshalb durch das ganze Gebäude gegangen und hat mögliche Angriffspunkte markiert. Zudem hat er über einen sicheren Dienst Phishing-Mails erzeugt, um zu zeigen, dass es eben doch Leute gibt, die in der eigenen Organisation solche E-Mails öffnen.

Die Stunde war schnell vorbei und es waren noch ein paar Themen offen. Aber die können wir ja beim nächsten Mal, am 27.04.2022 von 8-9 Uhr besprechen.


Kommentare

Beliebte Posts aus diesem Blog

Outlook-Aufgabenliste: bitte nicht die Aufgaben des ganzen Teams!

Am Tag der Arbeit kommt eine Lösung, nach der ich schon so oft gefragt wurde: Wie schaffe ich es, dass meine Outlook-Aufgabenliste nur meine eigenen Aufgaben anzeigt und nicht auch die E-Mails, die meine Kollegen gekennzeichnet haben oder Aufgaben, die einfach in einem gemeinsamen Postfach stehen?

Psychologische Sicherheit: Das Geheimrezept hoch performanter Teams

  Psychologische Sicherheit ist ein Konzept, das hoch performante Teams auszeichnet.    In Zeiten zunehmender Ausfälle aufgrund psychischer Belastungen am Arbeitsplatz findet das Thema immer mehr Beachtung in der Gesellschaft und Wirtschaft. Psychologische Sicherheit beschreibt einen Zustand, in dem Teammitglieder in einem als persönlich sicher empfundenen Umfeld, produktive Ergebnisse erzielen. Verantwortung, Vertrauen und Verletzlichkeit bilden das Fundament gemeinsamer Zusammenarbeit.   Indikatoren für eine geringe psychologische Sicherheit im Team: ·         der Status quo wird nicht offen hinterfragt ·         Ideen oder Fehler werden nicht offen kommuniziert ·         Teammitglieder scheinen mehr Energie darauf zu verwenden, "das Gesicht zu wahren" ·         Meetings ufern regelmäßig aus - Diskussionen statt Ergebnisse und Entscheidungen ·         nach einem Meeting fragen sich Kollegen regelmäßig, wieso sie überhaupt an dem Termin teilgenommen haben ·  

Und jetzt alle zusammen! Teams - OneNote - Aufgaben - To Do

Ein Meeting jagt das nächste. Sich da nicht zu verzetteln, wird  im Zeitalter virtueller Besprechungen  noch anspruchsvoller. Kein Wunder, dass  im Zusammenhang mit Microsoft 365  zwei Fragen besonders häufig auftauchen: Wie dokumentiert man Besprechungen gut? Was hilft, offene Aufgaben nachzuhalten? Eine gute Lösung: Das in MS Teams integrierte OneNote-Notizbuch als gemeinsame Plattform auch für den Aufgabenüberblick zu nutzen.

Kategorien in Outlook - für das Team nutzen

Kennen Sie die Kategorien in Outlook? Nutzen Sie diese? Wenn ja wofür? Wenn ich diese Fragen im Seminar stelle, sehe ich oft hochgezogene Augenbrauen. Kaum jemand weiß, was man eigentlich mit diesen Kategorien machen kann und wofür sie nützlich sind. Dieser Blogartikel stellt sie Ihnen vor.

E-Mail-Vorlagen gemeinsam nutzen (Outlook)

Mittlerweile wird praktisch alle Routine-Korrespondenz in Outlook erledigt. Was liegt da näher, als ein gutes Set von Vorlagen zu erstellen und diese gemeinsam in Team zu nutzen? Leider hat Microsoft vor diesen – an sich simplen – Wunsch einige Hürden gebaut.

Protokolle in OneNote - neue Ideen für's neue Jahr

Protokolliert Ihr Team seine Besprechungen in OneNote? Das geht einfach, schnell ist teamfähig und hat eine exzellente Suchfunktion. Die beliebte Fragen "Wann haben wir eigentlich beschlossen, dass..." ist so schnell beantwortet. Darum wird OneNote an dieser Stelle immer beliebter. In meinen Seminaren dazu sind gute Ideen entstanden, die ich hier weitergeben will.

Das Ubongo Flow Game

Spiele bieten eine gute Gelegenheit, zeitliche Erfahrungen zu verdichten und gemeinsam zu lernen. Karl Scotland und Sallyann Freudenberg haben im Mai 2014 das Lego Flow Game veröffentlicht. Wir haben die Spielidee übernommen, aber das Spielmaterial gewechselt. Statt Legosteinen benutzen wir Material aus Grzegorz Rejchtmans Ubongo-Spiel. Hier präsentieren wir die Anleitung für das Ubongo Flow Game.

Beispiel für eine Partyplanung mit Scrum

Wer sich neu mit Scrum beschäftigt, ist vielleicht überwältigt von den ganzen Fachbegriffen. Dann sieht man vielleicht gar nicht, wie einfach die einzelnen Elemente von Scrum sind. Deshalb hier ein einfaches Beispiel für die Vorbereitung einer Party mit Hilfe von Scrum.

Wie liest man sich in Scrum und Agilität ein?

Nehmen wir an, Sie hätten keine Ahnung von Scrum und Agilität. Aber Sie spüren bei Ihren (Beratungs-) Kunden immer wieder, dass sie diese Themen bewegen. Wer sind die Player, welche Bücher sind wichtig? In diesem Artikel versuche ich einen Überblick zu geben.

Teambarometer und mehr mit Microsoft Updates/Microsoft Aktualisierungen

In der Zusammenarbeit ist ja immer besonders wichtig zu wissen, wie es im Team so läuft. Wenn das Team virtuell arbeitet, ist das eine besondere Herausforderung. Microsoft bietet hierzu neuerdings mit der  App "Updates" ( deutsch: Aktualisierungen)  eine besonders komfortable Hilfe an, die automatisiert  turnusmäßige Abfragen ermöglicht.