Direkt zum Hauptbereich

Notizen zum Lean Coffee Informationssicherheit in Verwaltungen, Nr. 1

Informationssicherheit ist die Voraussetzung für die weitere Digitalisierung in  Verwaltungsbereichen. Wenn Ihr Euch austauschen wollt, gibt es jetzt ein monatliches Lean Coffee, in dem Ihr Eure Fragen loswerdet und in dem Ihr Erfahrungen teilen könnt. Wenn Ihr wissen wollt, was ein rosa High Heel mit Informationssicherheit zu tun hat, kommt gern zum nächsten Online-Lean-Coffee am 27.04.2022.

Zum ersten Lean Coffee am 30.03.2022 trafen sich 5 Pioniere zu früher Stunde im Zoom-Land. Manche Kamera war noch von der Nacht ganz blau. Aber die Farbe kam zurück, als die interessanten Fragen auf dem Board erschienen.

Foto: Fahmi Fakhrudin auf Unsplash
Wer die Einladung zum nächstenTermin nicht verpassen will, meldet sich entweder in der Xing-Gruppe an oder meldet sich direkt bei den Organisatoren Niklas Hirsch oder Jan Fischbach. Wir nehmen Euch dann in den Verteiler auf. 

https://www.xing.com/communities/groups/austausch-informationssicherheit-in-kommunen-und-der-verwaltung-46cb-1152817/

In dieser Runde favorisieren wir eine agile Herangehensweise an das Thema Informationssicherheit in Verwaltungen.

Wie baut man ISMS auf?

In einem Informationssichheitsmanagementsystem (ISMS) definiert eine Organisation Regeln und Verfahren, um ihre Informationen vor dem Zugriff Unbefugter zu schützen. Das betrifft nicht nur IT-Systeme, sondern grundsätzlich alle schützenswerten Daten, mit denen in der Verwaltung gearbeitet wird. Deswegen sprechen wir auch nicht von IT-Sicherheit, sondern von Informationssicherheit. 

Nach dem Sammeln der Themen bekam an diesem Morgen die Frage "Wie baut man ein ISMS auf?" die meisten Stimmen. Die Teilnehmenden tauschten sich über Erfahrungswerte und gute erste Schritte aus.

Es ist hilfreich, sich ein System als Basis zu nehmen, um daraus Arbeitspakete abzuleiten. Die bekanntesten Systeme sind:

Der Grundschutzkatalog ist vielleicht etwas praktischer, aber auch umfangreicher als die ISO-Norm. 

Ein Startpunkt bildet die Verabschiedung einer Informationssicherheitleitlinie, die als übergeordnetes Dokument den Rahmen für alle weiteren Arbeiten in der Organisation gibt.

Eine Top-Down-Herangehensweise bietet den Vorteil, alle Bereiche der Informationssicherheit systematisch zu erfassen. Allerdings zieht sich das Ganze auch, weil meist andere Themen noch wichtiger sind.

Eine andere Herangehensweise orientiert sich an den operativen Problemen. Sie ist am Anfang erst einmal Stückwerk. Aber die Maßnahmen werden schneller umgesetzt, weil jeder die Dringlichkeit der Maßnahme versteht.

Nützen IT-Systeme wie CMDBs etwas? Der wichtigste Baustein von Informationssicherheit ist das Verständnis der Mitarbeitenden über ihren eigenen Beitrag. So sind viele Maßnahmen auch eher organisatorischer als technischer Natur. Ein IT-System kann unterstützen, sollte aber nicht von den eigentlichen Maßnahmen ablenken.

Wie erstelle ich Sicherheitskonzepte?

Der Themengeber stellte die Frage in die Runde, wie man den hohen initialen Aufwand für das Erstellen von Sicherheitskonzepte reduzieren könne. 

Ein Sicherheitskonzept braucht definierte, dokumentierte Prozesse. Es gibt Prozesse. Aber jeder Bereich macht es vielleicht etwas anders. Und nicht alle Schritte sind dokumentiert.

Ein Teilnehmer aus der Runde berichtete, dass er die Konzepte stets mit den betroffenen Mitarbeitenden erstellte. Er ließ sich die Abläufe vor Ort zeigen und füllte das Dokument mit den Kolleg:innen zusammen aus. Dabei fällt den Prozessexpert:innen oft selbst auf, wie sie ihre eigenen Abläufe verbessern können.

Der IT-Grundschutzkatalog kann Ideen und Leitfragen liefern. Aber die Fachleute vor Ort haben die Antworten. Das Zirkulieren lassen von Dokumenten ist da nicht die Lösung und würde sehr lange dauern. Technische Administratoren schreiben z. B. ungern.

In manchen Situationen könnte es interessant sein, einen großen Open Space mit allen Beteiligten zu veranstalten. Bei dieser Großgruppenmethode erstellen die Teilnehmenden selbst zu Beginn die Agenda. Das könnte eine gute Gelegenheit, Dokumente direkt und gemeinsam mit Interessierten zu erstellen.

Wie nimmt man (alle) Mitarbeitenden mit?

Die Themengeberin fragte nach den Erfahrungen beim Bewusstmachen für dieses Thema. Es reicht zum Beispiel nicht, einfach E-Learnings ins Intranet zu stellen. Zu viele Informationen können zudem schnell überfordern. Was sind also gute Kanäle und wie kann man das Programm ausgewogen gestalten?

Eine Teilnehmerin berichtete aus ihren Besuchen in Führungsrunden. Sie hat erst einmal nachgefragt: Welche Veranstaltungen brauchen Sie? Was wollen sie auf keinen Fall? Was sind die Erwartungen der Lernenden? Aus den Antworten lassen sich eigene Pakete für verschiedene Zielgruppen packen.

Alle Teilnehmer:innen in diesem Lean Coffee waren sich einig, dass man Informationssicherheit nicht mit dem erhobenen Zeigefinger präsentieren dürfe. 

Es gab die Frage, ob es in hierarchischen Organisation gut wäre, wenn es eine Anweisung von oben zur Umsetzung gäbe? Es ist immer gut, wenn die Leitung dahintersteht. In hierarchischen Organisation hilft das immer etwas. Aber vertrauen die Mitarbeitenden den Chefs?

Ein Teilnehmer ergänzte, dass er Sitzungen mit Führungskräften vorher vorbereitete. Überlicherweise berichtet jede Führungskraft, dass es in ihrem Bereich keine Probleme mit Phishing-Mails oder Passwörtern auf Haftnotizzetteln gäbe. Der Teilnehmer war vorher deshalb durch das ganze Gebäude gegangen und hat mögliche Angriffspunkte markiert. Zudem hat er über einen sicheren Dienst Phishing-Mails erzeugt, um zu zeigen, dass es eben doch Leute gibt, die in der eigenen Organisation solche E-Mails öffnen.

Die Stunde war schnell vorbei und es waren noch ein paar Themen offen. Aber die können wir ja beim nächsten Mal, am 27.04.2022 von 8-9 Uhr besprechen.


Kommentare

Beliebte Posts aus diesem Blog

Wie lassen sich Ergebnisse definieren? - Drei Beispiele (WBS, CBP und BDN)

Ich habe schon darüber geschrieben, warum das Definieren von Ergebnissen so wichtig ist. Es lenkt die Aufmerksamkeit des Projektteams auf die eigentlichen Ziele. Aber was sind eigentlich Projektergebnisse? In diesem Beitrag stelle ich drei Methoden vor, um leichter an Ergebnisse zu kommen.

Teamleitungen gesucht

Was macht Teams erfolgreich? Kann man das lernen? Ab Herbst starten unsere Kurse für aktuelle und künftige Teamleitungen. Jetzt gibt es die Gelegenheit, den Kurs zu testen.

Microsoft Teams: Die neuen Besprechungsnotizen - Loop-Komponenten

  Haben Sie in letzter Zeit in einer Teams-Besprechung die Notizen geöffnet? Dort sind inzwischen die Loop-Komponenten hinterlegt. Die sind zwar etwas nützlicher als das, was zuvor zur Verfügung stand. Trotzdem ist noch Luft nach oben. Und es gibt sogar einige ernstzunehmende Stolperfallen. Hier ein erster, kritischer Blick auf das was Sie damit tun können. Und auch darauf, was Sie besser sein lassen.

Microsoft Copilot - Notebook, Pages, Agents und mehr

Es tut sich sehr viel an der Copilot Front. Gefühlt entwickelt Microsoft mit aller Kraft die KI-Anwendung weiter. Mit dem letzten Update hat sich die Microsoft-Startseite stark verändert. Hier zeige ich, was sich hinter all den Begrifflichkeiten verbirgt und was davon alltagstauglich ist.

Nachschau zum Lean Coffee-Spezial "Agil einfach machen" (Interaktive Buchvorstellung)

Bei unserem Lean Coffee-Spezial Ende Mai waren wir von Lean Coffee Karlsruhe/Frankfurt Zeugen einer Buchvorstellung, doch nicht nur das – natürlich gab es auch einen nicht unbeträchtlichen Anteil an eigener Aktion, denn bei unseren Spezialterminen ist traditionell „Teilgabe“ angesagt. Das Autorenduo Christian Baron und Janick Oswald zeigte uns, was es mit „Agil einfach machen“ auf sich hat.  

Wenn es mal gerade etwas schwierig bei Kund:innen wird… Zwei Fragen, die uns helfen, unsere Strategie mit unseren Kund:innen abzusprechen.

Seit 2024 organisieren Bob Galen und ich eine Masterclass für agile Coaches. Wir möchten die Ausbildung von agilen Coaches verbessern und ihnen Techniken mitgeben, mit denen sie bei ihren Kund:innen etwas einfacher haben. Bisher haben wir in vier Durchgängen mit jeweils 14 Modulen ungefähr 70 Extraordinarily Badass Agile Coaches ausgebildet (/1/). In diesem Blogpost möchte ich ein paar Erfahrungen und simple Techniken aus der Masterclass teilen, wie wir unsere Strategie besser abstimmen können. Sie beschränken sich nicht auf agiles Coaching – das ist nur das Setting.

Schätzungen sind schätzungsweise überschätzte Schätze

"Wer viel misst, misst viel Mist." Zumindest ist diese Gefahr gegeben. Entweder misst man z. B. Mist, weil man zu früh zu KPIs zur Messung von Ergebnissen greift, oder aber man greift zu den falschen KPIs, die gar nicht das messen, was man wissen möchte. Einst war agiles Arbeiten der alternative Ansatz, aber inzwischen gibt es auch für einige Details dessen, was in Konzernen als "agil" praktiziert wird, einleuchtende alternative Ideen, die bis heute noch nicht so richtig auf die große Bühne vorgedrungen zu sein scheinen. 

Kleine Organisationsveränderungen, die direktes Feedback erzeugen

Große Veränderungen sind in einer Organisation schwer zu messen. Oft liegt zwischen Ursache und Wirkung ein langer Zeitraum, sodass die Umsetzer:innen nicht wissen, was genau gewirkt hat. Hier ist eine Liste mit kleinen Maßnahmen, die schnell etwas zurückmelden.

Wie Agilität den Kundennutzen steigert - Einige Argumente für Berater:innen

In Zeiten wirtschaftlicher Unsicherheit fragen sich viele, ob agile Beratung noch eine Zukunft hat. Die Antwort liegt in der konsequenten Orientierung am Kundennutzen. Qualität setzt sich durch, wenn sie messbare Verbesserungen bei Umsatz, Kosten und Leistungsfähigkeit bewirkt, anstatt sich in Methoden und zirkulären Fragen zu verlieren. Dieser Artikel zeigt, wie agile Beratung nachhaltige Veränderungen in Unternehmen schafft und warum gerade jetzt gute Berater:innen gebraucht werden, um Organisationen widerstandsfähiger zu machen.