#16 DIN SPEC 27076 Part 2

[René]

Moin Michael!

[Michael]

Guten Mor­gen René!

[René]

Heute geht es dann weit­er mit der 27.076, wo wir let­ztes Mal schon all­ge­mein mit ges­tartet sind. Ich würde sagen, ver­lieren wir gar nicht allzu viel Zeit, starten direkt rein, weil ich glaube, dass das auch schon einen gewis­sen Umfang hat, der erste Teil. Beim let­zten Mal hat­te ich ja gesagt, dass wir da gar nicht so genau drauf einge­hen auf den Punkt Organ­i­sa­tion und Sen­si­bil­isierung. Ich glaube aber, dass wir trotz­dem die Punk­te, oder haben wir auch darüber gesprochen, dass wir die Punk­te, die dort enthal­ten sind, trotz­dem besprechen.

Sage ich nur schon mal vor­weg, da geht es viel auch um IT-Com­pli­ance, aber die wer­den wir, also dann darüber hin­aus, über die 27.076 hin­aus, wer­den wir dann noch später in anderen Episo­den besprechen, nochmal genauer. Aber das, was jet­zt eben in dieser, in der DIN-SPEC drin­ste­ht, das besprechen wir qua­si heute.

[Michael]

Genau. Und heute gibt es einen Überblick dazu. Wir haben ja gese­hen von der Sache her, wenn wir über den ersten Bere­ich reden, dann gibt es in Summe 16 Fra­gen zu diesem The­menge­bi­et und ich denke, wir besprechen mal kurz, was so dieser grobe Inhalt der 16 Fra­gen sind, beziehungsweise was uns diese 16 Fra­gen so als Resümee und als Out­put dann für das Unternehmen entsprechend hin­ten raus­geben.

Genau. Möcht­est du mit rel­a­tiv weit oben begin­nen? Möcht­est du ein­leit­en oder darf ich weit­er­ma­chen?

[René]

Zu Anfang kann ich, glaube ich, starten, das ist dann noch ein­fach. Ja, ist auch genau dein The­ma, genau. Ja, genau.

Also die ersten, der erste Punkt ist, wer trägt die Gesamtver­ant­wor­tung für die IT- und Infor­ma­tion­ssicher­heit im Unternehmen? Da ist wichtig, diese Ver­ant­wor­tung sollte bei der Geschäfts­führung oder muss bei der Geschäfts­führung liegen. Klar, darunter sind dann noch weit­ere Per­so­n­en oder auch Unternehmen­di­en­stleis­ter betrof­fen, aber am Ende des Tages, die Gesamtver­ant­wor­tung liegt in der Geschäfts­führung.

[Michael]

Und das ist wichtig, dass man das auch mal trans­par­ent macht, dass man im Unternehmen auch mal klar hat, wer trägt denn die Ver­ant­wor­tung für die Infor­ma­tion­ssicher­heit und das ist eben nicht, und da kom­men wir jet­zt gle­ich wun­der­schön über­lei­t­end zu, die Gesamtver­ant­wor­tung trägt eben nicht der Mitar­beit­er, der vor 20 Jahren im Unternehmen ange­fan­gen hat und jet­zt in der Lage ist, mal eben schnell einen Mon­i­tor oder Maus aufzubauen oder sich darum küm­mert, dass die Serv­er richtig laufen, son­dern die Gesamtver­ant­wor­tung trägt halt die Geschäft­sleitung. Und das muss halt ein­mal an ein­er Stelle auch mal sauber com­mit­ted und kom­mu­niziert wer­den für alle Mitar­beit­er im Unternehmen und darum geht es ganz am Anfang von der Sache, dass man halt ein­fach raus­ge­ht, rüber zu Punkt zwei, dass man braucht einen im Unternehmen, der sich um die IT-Com­pli­ance küm­mert, in der Regel die IT-Abteilung, aber die sind halt eben nicht in Summe gesamtver­ant­wortlich für die gesamte IT im Unternehmen oder für die Sich­er­stel­lung der Cyber-Sicher­heit, son­dern das ist die Geschäft­sleitung und die Geschäft­sleitung muss sich eben darum küm­mern, dass es Per­so­n­en gibt, die sie beauf­tragt mit dem The­ma, küm­mer dich mal drum.

Das ist so das, was damit gemeint ist.

[René]

Das Prob­lem da wäre ja auch, wenn man jet­zt die Ver­ant­wortlichkeit, also nehmen wir mal an, Gesamtver­ant­wortlichkeit würde jet­zt der Unternehmer, der Geschäfts­führer in die Hände eines IT-Leit­ers meinetwe­gen leg­en, extern. Zum einen, was ist, wenn diese Per­son das Unternehmen ver­lässt? Wer hat dann die Gesamtver­ant­wor­tung?

Geht sie dann an jeman­den über? Dann bei extern genau das Gle­iche. Endet die Geschäfts­beziehung, hat man ja auch so ein Prob­lem.

Deswe­gen, also über­ge­ord­net muss es immer die Geschäfts­führung sein, weil diese eben für das eigene Unternehmen natür­lich die Gesamtver­ant­wor­tung trägt und entsprechend auch dann eben für die IT und für die Infor­ma­tion­ssicher­heit.

[Michael]

Ja, das ist wichtig. Also das ist das erste Com­mit­ment, damit geht das halt auch bei der Richtlin­ie los und damit startet der ganze Zer­mann, dass man sagt, wer ist denn über­haupt der Chef im Ring? Wer trägt denn die Ver­ant­wor­tung für alles das, was wir in nach­fol­gen­den The­men haben, was wir nach­fol­gend befol­gen?

Genau. Und in der Regel, gelebte Prax­is, macht natür­lich die Geschäft­sleitung nicht die IT, son­dern es gibt Mitar­beit­er im Unternehmen, die sich zu dem The­ma IT ausken­nen, die sich um das The­ma IT küm­mern und die sind die, die dann auch wirk­lich ins Doing gehen. Und das ist so ein Klas­sik­er und da kannst du jet­zt aus dein­er gelebten Prax­is ganz ganz viel mit Sicher­heit bericht­en.

Diese Per­son muss, um das vor­wegzu­greifen, im Prinzip drei Dinge erfüllen und drei Dinge haben. Das erste, was sie haben muss oder was sie erfüllen muss, ist, sie muss kom­pe­tent sein. Also ohne irgen­deinem zu nahe zu treten, aber in der heuti­gen Secu­ri­ty-Welt und in der heuti­gen IT-Welt ist halt eben nicht mehr getan damit, wenn ich weiß, wie ich einen Com­put­er auf­stelle, wie ich eine USB-Maus hin­ten in den Com­put­er rein­stecke und wie ich mit einem LPT1-Kabel einen Druck­er dazu bringe, zu druck­en oder einen Farb­band zu wech­seln, son­dern IT in der heuti­gen Welt ist wesentlich kom­plex­er, das heißt, die Per­son, die das macht, sollte auch in der Lage sein, das umzuset­zen. Und dann braucht sie, abge­se­hen von der Kom­pe­tenz, natür­lich auch die zwei Fak­toren, die über­all wichtig sind.

Sie muss die Zeit dafür haben, also es muss aus­re­ichend Ressource-Zeit für die Per­son zur Ver­fü­gung ste­hen, dass sie Zeit hat, das in aller Ruhe und vernün­ftig im Unternehmen umzuset­zen. Und die zweite Sache ist auch, was ein absoluter Klas­sik­er ist, sie muss halt in irgen­dein­er Art und Weise auch in der Lage sein, über finanzielle Mit­tel zu ver­fü­gen. Das heißt, es bringt mir jet­zt nichts, wenn ich einen IT-Admin­is­tra­tor habe und der IT-Admin­is­tra­tor darf nichts kaufen, hängt finanziell an einem Tropf von ein­er Geschäft­sleitung dran, wird an ein­er kurzen Leine gehal­ten etc. pp., sodass er eben nicht das umset­zen kann, was notwendig ist im Unternehmen, um eine vernün­ftige IT-Sicher­heit herzustellen. Und da ist es halt eben ganz wichtig, neben der Kom­pe­tenz spielt Zeit, die Gele­gen­heit, sich in Ruhe mit Din­gen zu beschäfti­gen, nicht alles mal schnell und neben­her und hast es nicht gese­hen zu tun, spielt Zeit eine große Rolle und halt auch die Kom­pe­tenz und die Ressource, Geld, dass er halt ein­fach von der Geschäft­sleitung so unter­stützt wird, dass wenn er sagt, wir müssen jet­zt mal Geld für was aus­geben und es ist jet­zt fol­gen­des Prob­lem und wir müssen mal, dass dann halt auch da ste­ht, der küm­mert sich drum und entsprechend kann er die Hard­ware, Soft­ware etc. pp. bestellen oder halt auch mal Geld in einen anderen Dien­stleis­ter investieren.

[René]

Genau. Also da auch, du hast ger­ade gesagt, extern­er Dien­stleis­ter, kann ich auch außer Prax­is erzählen. Wir haben auch Kun­den, da ist es so, dass die sel­ber einen IT-Leit­er im Haus haben, das heißt, der macht sich Gedanken um Konzep­tion­ierung, was wäre jet­zt der richtige Weg für uns und so weit­er und so fort, plant auch so ein paar Sachen, führt es aber am Ende des Tages nicht sel­ber aus, son­dern holt uns dann ins Boot und lässt es dann durch uns umset­zen.

Das heißt, die benan­nte interne Per­son, die eben zuständig ist, bleibt der IT-Ver­ant­wortliche, also der IT-Leit­er im Haus und dieser weist uns qua­si an. Und da kom­men wir näm­lich genau da zu Kapaz­itäten. Das Bud­get ist da natür­lich auf jeden Fall ein Punkt, weil er muss ja auch pla­nen, was diese Umset­zung dann let­zten Endes mit dem Dien­stleis­ter kosten wird, was ist dafür notwendig und so weit­er und so fort.

Auch welch­er Zeitrah­men ist dafür über­haupt vorge­se­hen, wie schnell muss es umge­set­zt sein oder eben nicht. Also von daher, das bestätigt eigentlich genau das, was du ger­ade gesagt hast und von daher passt das ganz gut. Und dann würde ich den näch­sten Punkt auch sofort mit rein­nehmen, über welche Ken­nt­nisse eben diese Per­son, die zuständi­ge Per­son ver­fügt.

Es ist natür­lich schwierig, dass eine Per­son, wenn sie diese Ken­nt­nisse nicht hat, irgend­wie Konzepte über­haupt erar­beit­et. Ist sie nicht am Zahn der Zeit, kann sie natür­lich nicht berück­sichti­gen, was es so am Markt gibt, welche Lösun­gen wir über­haupt in Betra­cht ziehen kön­nen und wie das Konzept der Zukun­ft für diese Unternehmung ausse­hen kann und wie sich­er dieses Konzept danach auch ist.

[René]

lso das ist auf jeden Fall ein Punkt, wenn wir auch ein­fach sehen, wenn da jemand irgend­wie im Unternehmen ist, der sich zwar so ein biss­chen ang­ießt, ja hier, wir haben, da gibt es dies und dieses Sys­tem, aber dann eben nicht berück­sichtigt, was die Sicher­heitsmech­a­nis­men und so weit­er dahin­ter sind.

Das ist natür­lich auch recht schlecht fürs Unternehmen, weil diese Lück­en dann nach­her noch zu schließen, ist halt schwierig und es führt halt dazu, dass ich dann noch mehr Ressourcen, also Zeit und Bud­get von extern zum Beispiel benötige.

[Michael]

Da finde ich aber, da finde ich die SPECs sehr char­mant, wenn man sich das anguckt, was in dem Annex drin­ste­ht und was so als Hin­weis, Bemerkung zu den Fra­gen ste­hen und was uns als Berater und als die, die es bew­erten kön­nen, mit an die Hand gegeben wird, die wird ja sehr konkret an dieser Stelle. Also da ste­ht ja drin, wenn der Chef sagt, oh der Gün­ther macht bei uns der ITler, der hat vor 20 Jahren mal bei IBM gel­ernt, wie man Com­put­er zusam­men­schraubt, deswe­gen ist das unser ITler, son­dern die Norm oder die SPEC wird ja sehr spez­i­fisch. Die sagt ja schon auch, wie gesagt, in den Bemerkun­gen drin, dass die Halb­w­ert­szeit bzw.

wie lange ist denn Tech­nolo­gie, tech­nol­o­gis­ch­er Fortschritt max­i­mal so anderthalb Jahre anhält und deswe­gen jährliche Schu­lun­gen bzw. jährliche Auf­frischun­gen und Erweiterung der Ken­nt­nisse notwendig sind. Und das finde ich ziem­lich gut, weil das sehr char­mant ist, weil du dir die Diskus­sion mit dem Chef oder auch mit dem ITler sparst, also gib­st dem ITler was an die Hand, was ein Mehrw­ert ist und dem auch Argu­men­ta­tio­nen der Geschäft­sleitung gegenüber, dass du sagen kannst, pass auf, das ste­ht schwarz auf weiß.

Also wir sagen zwar immer, jährlich wäre cool, aber guck mal, da ist mir nochmal eine drin­gende Hand­lungsempfehlung und nen­nt es mal von offizieller SPEC-Stelle, wo halt wirk­lich drin ste­ht, wir gehen von ein­er Halb­w­ert­szeit von anderthalb Jahren aus und wir empfehlen drin­gend, oder wir sagen, jährliche Schu­lun­gen sind notwendig, um halt da halt ein­fach ein biss­chen Pul­ver in die Num­mer reinzule­gen, dass der ITler auch wirk­lich auf eine Schu­lung gehen kann und die Möglichkeit und die Ressource für ihn geschaf­fen wird, dass er das eben umset­zen kann.

Und das ist super.

[René]

Defin­i­tiv, also ich glaube ger­ade im IT-Bere­ich, bei intern­er IT stelle ich auch immer wieder fest, dass die Per­son, bevor jet­zt Kun­den von uns zuhören und sagen, was hat er da gesagt, so ist es nicht gemeint, aber ich stelle halt schon hier und da ein­fach fest, dass Per­so­n­en, die zum Beispiel in einem Unternehmen seit zehn Jahren arbeit­en und da so für IT zuständig sind, entwed­er vol­lum­fänglich oder teil­weise, dass diese teil­weise auch ein­fach gar nicht auf Schu­lun­gen fahren, son­dern ein­fach nur von den Erfahrun­gen, ja sich an diesen Erfahrun­gen lang­hangeln, die sie aus einzel­nen Pro­jek­ten ziehen. Das ist es halt hin­ten raus nicht immer, weil ich kann ja nur ein Pro­jekt anschieben oder über­haupt ins Auge fassen, wozu ich mich auskenne. Ich kann ja schlecht sagen, hier, ich habe da was gele­sen, lass uns das mal machen, son­dern ich muss ja schon wis­sen, was brin­gen diese Dinge mit sich und das kann ich halt nur leis­ten, wenn ich wirk­lich auch mich mit diesen The­men auseinan­derge­set­zt habe und das inten­siv.

Und da sind eben diese Schu­lun­gen auch notwendig. Also da soll­ten Unternehmen dann auch nicht sparen, an den Stärken der Mitar­beit­er dann auch zu arbeit­en.

[Michael]

Ja, wobei man hier auch nochmal ganz klar her­vorheben muss, wenn wir davon sagen, regelmäßig geschult, Ken­nt­nis, auf­frischen etc. pp. Hier geht es nicht darum, dass der Mitar­beit­er ein­mal im Jahr für sechs Wochen zu Microsoft nach den USA fliegt, um sich irgen­dein Zer­ti­fikat zu holen, son­dern hier geht es darum, Wis­sen aufrecht zu erhal­ten beziehungsweise auf neue Mark­tan­forderun­gen zu reagieren und das heißt halt ein­fach am Zahn der Zeit zu sein, in ein Infor­ma­tions­fo­rum reinzuge­hen, Aus­tausch zu haben, Newslet­ter zu haben, mal guck­en, was gibt es denn in mein­er Gegend an Schu­lungsmöglichkeit­en, an Weit­er­bil­dungsmöglichkeit­en.

Also hier reden wir nicht davon, für Zer­ti­fizierungslehrgänge für tausende von Dol­lars jedes Jahr, son­dern wir reden davon, dass wir einen kom­pe­ten­ten und einen dauer­haft kom­pe­ten­ten am Zahn der Zeit agieren­den IT-Admin­is­tra­tor im Unternehmen benöti­gen.

[René]

Abso­lut. Ich meine auch da, ich habe es jet­zt schon ein paar mal in ver­schiede­nen Fol­gen gesagt, man muss ja ein­fach mal guck­en, was ist denn, wenn ich jet­zt wirk­lich jeman­den habe, der da gefährlich­es Halb­wis­sen hat. Der­jenige hat, keine Ahnung, jet­zt zehn Jahre in der IT gear­beit­et, ist dann in dieses Unternehmen gewech­selt, macht da jet­zt seit, keine Ahnung, beschäftigt sich auss­chließlich, also alleine als Leit­er meinetwe­gen, eben mit der IT, ist aber gar nicht mehr auf Schu­lung unter­wegs und so weit­er und so fort, ken­nt sich also mit den Maß­nah­men, die zu ergreifen sind, um die Sicher­heit zu gewährleis­ten, nicht aus­giebig aus. Die Fir­ma, also das Unternehmen, spart sich meinetwe­gen, nehmen wir mal an, 5.000 Euro im Jahr, weil er ver­schiedene Schu­lun­gen besuchen kön­nte, müsste. Das spart sich jet­zt das Unternehmen und dann haben wir einen Sicher­heitsvor­fall.

Keine Ahnung, Ran­somware, irgendwelche Angriffe, egal in welch­er Form. Wie hoch sind denn meine Kosten dafür? Also am besten noch pro­duzieren­des Gewerbe, wo ich dann Aus­fal­lzeit­en habe, wo ich nach­her Strafzahlun­gen leis­ten muss, weil ich nicht im Zeitrah­men wirk­lich geliefert habe und so weit­er.

Also das heißt, die Kosten dafür sind ja ein­fach viel höher und das ist dann wirk­lich am falschen Ende ges­part, weil am Ende des Tages ist die Per­son, die da sitzt und diese Konzepte ausar­beit­et, ein­fach, das ist mein Schutzschild nach außen und wenn ich das Schutzschild nicht aufrechter­halte, dann habe ich nach­her ein viel größeres Prob­lem.

[Michael]

Ja, das ist so, du passt das schön an, das ist so die erste Front, so die erste Vertei­di­gungslin­ie, aber die muss gestärkt sein, beziehungsweise muss das Wis­sen haben und in Zeit­en, wo sich die Tech­nik ändert, ich will jet­zt gar nicht mit KI und Kram und Zeug und Cyber Secu­ri­ty und die Welt wird schlecht und die Angriffe wer­den höher.

[Michael]

Das Brett will ich gar nicht bohren und das Fass will ich gar nicht auf­machen, aber es geht halt ein­fach darum, dass auch ein intern­er IT-Admin­is­tra­tor die Möglichkeit kriegen muss, neue Tech­nolo­gien mal zu sehen, um zu guck­en, passt das bess­er, matcht das bess­er auf mein Unternehmen, gibt es vielle­icht bessere Her­steller, bessere Möglichkeit­en, bessere Chan­cen, wie das, was wir aktuell haben. Und da, finde ich, gehört auch mal ein Messebe­such oder ein Fach­fo­rum für irgend­was mit dazu, dass er ein­fach sieht, was gibt es denn auf dem Markt und wie kann ich es machen, weil ich kriege es ja gar nicht gecovert.

Ich meine, wir bei­de als Externe, selb­st wir haben uns auf Kern­bere­iche spezial­isiert, selb­st ihr habt nur ein Reper­toire an Möglichkeit­en für Fire­walls etc. dran und bietet nicht das kom­plette Spek­trum an, weil es ein­fach viel zu viel wäre. Und da muss man aber auch immer guck­en und dann hat man die Mühe, am Zahn der Zeit zu bleiben und zu guck­en, wie es los ist.

Und das geht halt nur mit Kom­pe­tenz und Weit­er­bil­dung.

[René]

Ja, genau, das ist es auf jeden Fall. Es bringt halt nichts, immer aus dem gesamten Blu­men­strauß irgend­wie zu greifen, son­dern wir müssen halt wirk­lich immer, ja, Fire­walls ist halt ein gutes Beispiel, die Ken­nt­nisse müssen da ein­fach so gut sein, dass wir wirk­lich alle Lück­en, die sich da auf­tun kön­nten, auch schließen, im besten Fall schon vor­ab oder durch Erken­nt­nisse halt. Und anson­sten, also, um diese Admin­is­tra­tion oder auch die Erken­nt­nisse über­haupt zu haben, also die Admin­is­tra­tion leis­ten zu kön­nen und Erken­nt­nisse zu haben, also ich muss ja in bes­timmten Din­gen, nehmen wir mal jet­zt, ja, nee, dann schweife ich wahrschein­lich ab.

Ich tue es trotz­dem. Ja, lassen Sie sich zu weit abschweifen. Ich tue es aber trotz­dem ganz kurz, um das Beispiel zu brin­gen.

Ein Microsoft-Mitar­beit­er hat ja jet­zt vor Kurzem Unregelmäßigkeit­en im Lin­ux fest­gestellt. Das kön­nte er nicht, wenn er nicht die Ken­nt­nisse dazu hätte, also er hat es erkan­nt anhand dessen, dass die Daten­pakete verzögert oder Anfra­gen verzögert ver­ar­beit­et wur­den. So, das hätte er ja nicht gese­hen, hätte er ja die Ken­nt­nisse dazu nicht.

Das heißt, man muss so nah dran sein an dem The­ma, dass man über­haupt die Möglichkeit hat, auch kleine Abwe­ichun­gen zu erken­nen. Und das kann ich ja nicht, wenn ich mich damit nie beschäftige. Das heißt, ich muss wirk­lich auf einem gewis­sen Lev­el sein und auf jeden Fall auch bleiben, damit ich da eben das auch leis­ten kann.

[Michael]

Super, jet­zt hast du zu zwei Din­gen rüber geschwenkt. Jet­zt müssen wir mal guck­en, welchen Pfad wir aufnehmen. Ich würde sagen, wir nehmen kurz den Pfad von exter­nen Ver­ant­wortlichkeit­en, exter­nen Part­nern auf.

Und zwar ist ja klar, je nach­dem, intern holt euch ein­fach Hil­fe. Holt euch mal einen Sup­port von draußen, holt euch einen Hantier­di­en­stleis­ter rein. Wenn ihr keine 100%-Stille habt, wenn ihr merkt, das ist ein biss­chen knapp mit den zeitlichen Ressourcen, dann muss halt die Gel­dres­source ein biss­chen größer wer­den.

Und holt euch Kom­pe­tenz rein, lasst euch unter­stützen. Und selb­st, wenn die Hard­ware-Entschei­dung getrof­fen wor­den ist, so eine Kon­fig­u­ra­tion, wie es René ger­ade auch beschrieben hat, von ein­er Fire­wall, das ist nicht zu triv­ial und nicht zu unter­schätzen. Nicht sel­ten sieht man Leute, also es ist nicht zu ver­gle­ichen mit, ich stelle mir mal eben, oder ich richte mir mal eben eine Fritzbox ein zu Hause.

Und selb­st beim The­ma Fritzbox zu Hause gibt es noch viele, die an dem The­ma Sicher­heit scheit­ern und selb­st eine Fritzbox nicht so sauber und so sich­er ins Inter­net brin­gen, dass es für daheim aus­re­ichen würde. Von daher, es sind echt kom­plexe The­men. Und wie gesagt, ihr braucht die Zeit dazu, ihr müsst die Ressourcen haben, ihr müsst die Fähigkeit­en dazu haben.

Und ein drin­gen­der Tipp, wenn es an irgen­dein­er Stelle so ein biss­chen kneipt und das Rud­er in eine andere Rich­tung auss­chlägt, holt euch immer einen ver­lässlichen, zuver­läs­si­gen Exter­nen mit rein und lasst euch unter­stützen und erweit­ert so auch euer internes Wis­sen, indem ihr über die Schul­ter guckt oder lasst euch von dem ein­fach mal zeigen, wie es funk­tion­iert. Das wäre so der Tipp für uns. Und rüber schwenk­end zum exter­nen Dien­stleis­ter, das ist auch das, was das Kapi­tel behan­delt, das hat auch so das externe Dien­stleis­ter-The­ma drauf.

Und natür­lich müssen da bei dem The­ma die exter­nen Dien­stleis­ter entsprechende Verträge mit dem Unternehmen geschlossen haben, dass es daten­schutzrechtlich und infor­ma­tion­srechtlich ein­fach eine sichere Kom­mu­nika­tion und ein ver­trauensvoller Aus­tausch stat­tfind­en kann. Ganz klas­sisch The­ma, The­ma Ver­schwiegen­heit.

[René]

Genau.

[Michael]

Das ist super wichtig.

[René]

Also in den Verträ­gen sollte genau das eben fest­gelegt sein. Wie gehen wir mit welchen Dat­en um? Ich meine, das berührt natür­lich auch noch viele andere Punk­te, aber grund­sät­zlich, wie soll ich es aus­drück­en?

[René]

So wie du es eigentlich jet­zt schon ein paar Mal gesagt hast, vieles davon ist ein­fach gesun­der Men­schen­ver­stand. Dass wenn ich mit Dat­en von Part­nern arbeite, dass ich da natür­lich die Ver­schwiegen­heit ein­halte. Ist aber nicht nur extern, son­dern auch intern.

Also Ver­schwiegen­heit, denke ich, ist intern genau­so zu sehen.

[Michael]

Ja, nehmen wir gle­ich mit. Auch das ist natür­lich ein The­ma, was in diesem Kapi­tel betra­chtet wird. Auch interne Mitar­beit­er müssen zur Ver­schwiegen­heit verpflichtet sein und entsprechende Vorkehrun­gen müssen getrof­fen wer­den.

Das muss reg­u­la­torisch klar sein, dass eigentlich alle natür­lichen Per­so­n­en, die in einem Zusam­men­hang mit dem Unternehmen ste­hen, intern oder extern, eine entsprechende Ver­schwiegen­heit­sun­terk­lärung unter­schrieben haben, sodass for­mal sichergestellt ist, dass die Infor­ma­tio­nen da bleiben, wo sie hinge­hören, näm­lich im Unternehmen.

[Michael]

Genau. Damit schließe ich das. Gehe nochmal ein­mal zurück zu den Zuständi­gen, wo wir zu Anfang drüber gesprochen haben.

Sollte auch den Beschäftigten im Unternehmen bekan­nt sein, wer wofür zuständig ist. Die Mitar­beit­er müssen halt wis­sen, an wen sie sich in welchem Fall wen­den sollen. Wenn ich jet­zt ein Prob­lem mit mein­er IT habe, ist es eine Sache.

Dazu kom­men aber auch ein­fache Sachen wie, ich bemerke jet­zt irgend­wie komis­che Vorkomm­nisse in meinem Sys­tem, in der Soft­ware, in E‑Mails. Irgend­was ist merk­würdig. Da muss ein­fach klar sein, an wen muss ich mich dann wen­den, damit der das dann genauer unter­suchen kann.

Das muss ein­fach klar sein. Michael, sei mir nicht böse, wenn ich das Beispiel drüber bringe, aber ich finde es sehr gut.

[René]

Ihr habt mal Stick­er raus­geschickt, die an die Arbeit­splätze gek­lebt wer­den, damit eben die Mitar­beit­er auch wis­sen, wenn wir jet­zt ein Prob­lem im Daten­schutzbere­ich haben, oder mir ist aufge­fall­en, wir haben jet­zt irgend­wie einen Angriff gehabt, mein Rech­n­er ist infiziert, da passiert irgend­was Merk­würdi­ges, dass man diese Mel­dung an euch machen kann.

Das ist natür­lich ein sehr ele­gan­ter, ein­fach­er Weg. Was ich damit sagen will, ist, es muss ein­fach nur für alle klar sein, wer ist jet­zt mein Ansprech­part­ner für diese Sache, damit wir da nicht Gefahr laufen, Schiff­bruch zu erlei­den.

[Michael]

Schön, dass du das ansprichst. Der kle­in­ste gemein­same Nen­ner von einem Not­fal­lkonzept ist ein­fach ein Stück Papi­er, wo ganz klar drin ste­ht, wen kon­tak­tiere ich, wenn was passiert. Wenn es bren­nt, rufe ich die Feuer­wehr.

Wenn ein­er einen Unfall hat, rufe ich den Notarzt. Wenn das Wasser­rohr bricht, rufe ich die Wasser­w­erke an. Wenn der Strom aus­fällt, die ERM.

Wenn ich einen Daten­schutzvor­fall habe, meinen Daten­schutzbeauf­tragten. Wenn die IT komis­che Dinge macht, meinen ISB, meinen ITler, meinen what­ev­er. Mit klaren Meldewe­gen, das heißt, was passiert, wen rufe ich an.

Das muss super, mega wichtig, trans­par­ent sein. Und du weißt, ich liebe dig­i­tal. Das wäre so ein Ding, wo ich sage, drück es aus, häng es ans schwarze Brett, häng es irgend­wo hin, dass es die Mitar­beit­er sehen kön­nen.

Weil, wenn dir die IT abstirbt, macht es keinen Sinn, auf dem Server­laufw­erk zu guck­en, mit welchem PDF du drin­ste­hen hast, wen du anzu­rufen hast. Also das ist so was, wo ich echt ein Fre­und von Ana­log bin und sage, häng es plaka­tiv an XY-Stellen dran.

[René]

Weißt du was Tolles? Ich habe ger­ade erkan­nt, wie gut wir uns tat­säch­lich ver­ste­hen, weil ich wollte auch sagen, ich bin ein Riesen­fan von Dig­i­tal­isierung, aber in dem Fall druck­en wir es tat­säch­lich bess­er aus. Also schön, dass du es genau so gesagt hast.

[Michael]

Und das ist auch der Grund, und es muss nieder­schwellig sein, es muss ein­fach sein. Das ist auch der Grund, warum wir mal so Stick­ers geprint­et haben, wo halt ein­fach drauf­ste­ht, Daten­schutzvor­fall, Frageze­ichen, Betrof­fe­ne­nan­frage, Frageze­ichen. Dann ein­fach nur unsere Melde­plat­tform mit drauf, dass es halt wirk­lich easy ist und das an jed­er Zeit so ver­füg­bar ist, dass es halt ein­fach präsent und da ist.

Dass man in ein­er Not­fall­si­t­u­a­tion, wir driften ganz kurz ins Not­fall­man­age­men­tamt, das müssen wir uns auch irgend­wann mal vornehmen, aber dass man ein­fach in ein­er Not­fall­si­t­u­a­tion nicht noch groß über­legen muss, wo finde ich denn irgendwelche Infor­ma­tio­nen oder wie greife ich mir denn das oder wie war es denn jet­zt, was ist denn jet­zt, son­dern in ein­er Not­fall­si­t­u­a­tion habe ich in der Regel andere Prob­leme, wie mir Gedanken darüber zu machen, wo ich jet­zt finde, wen ich anrufe, son­dern das bitte muss ein­fach und schnell gehen.

Und das muss auch gek­lärt sein, das sind die Meldewege, das ist auch das, wo sich das Kapi­tel mit beschreibt. Das heißt, das Kapi­tel fragt ab, gibt es im Unternehmen saubere Meldewege, ist das geregelt, gibt es irgend­was, wo ich nach­le­sen kann, wen ich wann irgend­wann anzu­rufen habe oder zu melden habe. Anrufen ist in der Regel, glaube ich, das Mit­tel der Wahl bei dieser Stelle.

Genau, das ist super wichtig.

[René]

Ja, dann näch­ster Punkt, sicher­er Umgang mit der IT. Da sollte es auch eine Regelung für geben.

[Michael]

Das heißt, dass man irgend­wo dann auch beschrieben hat, wie man eben sich­er mit der IT umge­ht.

Das muss auch niedergeschrieben sein bzw. es muss irgend­wo bere­it­gestellt wer­den, weil auch da, es geht nicht immer nur um die inter­nen Per­so­n­en, die eige­nen, also die eige­nen Mitar­beit­er, son­dern es geht auch darum, dass dieser Umgang mit der IT nach extern kom­mu­niziert wird, nicht an Kun­den, son­dern dass man zum Beispiel, wenn man eben exter­nen Dien­stleis­ter hat, dass der auf dem gle­ichen Stand ist. Wie sind die Richtlin­ien?

Weil alle müssen sich ja, das sollte ein­heitlich sein. Also dann soll nicht eine ITler ins Haus kom­men und sagen, wieso, du hast deine Dat­en, auch gutes Beispiel von vorhin, hat­ten wir uns ja so ein­mal drüber unter­hal­ten. Ich als ITler sage ja, du hast deine Dat­en doch alle in der Cloud liegen, dann brauchst du keine lokale Sicherung.

Du sagst, nee, ich mache nochmal zusät­zlich eine Sicherung, dann habe ich mein Betrieb­ssys­tem auch nochmal weg­gesichert. Also the­o­retisch reicht das aus, was ich gesagt habe, aber du für dich sagst, okay, um schneller wieder ver­füg­bar zu sein, mache ich die zusät­zliche Sicherung. Das muss ja nur ein­mal kom­mu­niziert wer­den, dann ist es für bei­de Seit­en klar und dann ist alles wun­der­bar.

Also das ist wichtig, dass man sich da wirk­lich aus­tauscht.

[René]

Genau und das ist auch das, was auch in diesem SPEC-Punkt mit abge­früh­stückt wird, ist halt ein­fach auch nochmal, dass da schon das erste Mal erwäh­nt wird, ver­schriftliche, was du getan hast. Also die schreiben zwar von ein­er Richtlin­ie, die da sein muss, ich sage aber, es ist am Ende ein Hand­buch. Am Ende sind es für mich, kle­in­ster gemein­samer Nen­ner, zwei Hand­büch­er, die du haben musst.

Das eine ist ein Hand­buch für die Mitar­beit­er, wo drin ste­ht, hey, wir nutzen die Sys­teme, wir brauchen, wir wollen bitte, wenn möglich, zwei Fak­tor haben. Hier hast du einen Pass­wort­man­ag­er, den kannst du so nutzen. Da ist das nicht möglich, haben wir die Pass­wortlänge.

Du fährst bitte abends deinen Rech­n­er sauber runter. Im Falle eines Daten­schutzvor­fall­es etc. pp.

Guck dir bitte das Form­blatt an. Hier sind nochmal Infor­ma­tio­nen aufge­lis­tet. Also so ein Regel­w­erk oder ein Hand­buch, was den Mitar­beit­er an die Hand gibt, wie ich mit der IT im Unternehmen umzuge­hen habe, weil ich bin mir sehr sich­er, dass man nicht von jedem Mitar­beit­er voraus­set­zen kann, dass er weiß, wie es funk­tion­iert und weiß, wie der IT-Admin­is­tra­tor sich das denkt.

Das ist halt ein­fach ein ein­fach­es Babbeldenken und ein Denken von der Sache her, der IT-Admin­is­tra­tor richtet das. Das passiert mir auch regelmäßig, dass ich denke, ich habe das alles ein­gerichtet, das ist doch vol­lkom­men klar, was ich mir damit vorstelle und wie ich das gerne hätte, dass es umge­set­zt wird. Und der Mitar­beit­er sitzt da und guckt mich an und sagt, was willst du denn jet­zt von mir?

Und deswe­gen muss man das irgend­wo mal run­ter­schreiben, muss es auf Blatt Papi­er brin­gen. Und die andere Seite und die zweite Sache ist das, was du ger­ade gesagt hast, ist so ein internes IT-Hand­buch. Wir haben die Serv­er-Sys­teme, wir haben die Serv­er-Struk­tur, wir set­zen eine Sofa-Fire­wall zur Gefahren­ab­wehr ein, ver­ant­wortlich für die IT, intern, extern ist die und das etc. pp., dass das ein­fach mal niedergeschrieben ist und klar ist. Genau.

[Michael]

Das sind ja auch ein­fach Sachen, die führen einem das ja auch nochmal. Also man kann diese Infor­ma­tio­nen ja immer in viele Rich­tun­gen auch ver­wen­den. Ein­mal für die Mitar­beit­er, ein­mal für externe Parteien und natür­lich für mich intern, um immer wieder zu reflek­tieren, hey, was haben wir eigentlich?

[René]

Dann kom­men ja nochmal neue Per­so­n­en ins Unternehmen, dass die sich auch daran ori­en­tieren kön­nen. Also diese Infor­ma­tio­nen, man denkt immer ganz oft irgend­wie, jet­zt muss ich es extra dafür nochmal irgend­wie notieren, darstellen, wie auch immer. Aber ich habe halt die Möglichkeit, diese Infor­ma­tio­nen in ganz, ganz viele Rich­tun­gen zu ver­wen­den.

Je nach­dem, wie mod­u­lar und gut man das auf­baut, kann man es halt wirk­lich immer aufeinan­der beziehen lassen und sieht dann halt wirk­lich die Zusam­men­hänge zwis­chen den Sachen. Und dann ist es gar nicht so viel, wie man meint. Man muss es halt nur machen und leben.

Und dann erfüllt sich das eigentlich von alleine Stück für Stück.

[Michael]

Und auch hier mal so der Tipp beziehungsweise der Zaun­fall. Hier kommt kein Audi­tor, der die For­mal­is­mus prüft und sagt, ja, jet­zt hast du da zwar was niedergeschrieben, aber welche Ver­sion ist es dann? Man hat es freigegeben, hat es freigegeben.

Wo ist die Lenkung? Wo ist der ganze, der ganze Riesen­sache, die ja manch­mal bei ein­er 27 oder bei ein­er TSACS hat auch einen riesen Bestandteil, ist der For­mal­is­mus, der einge­hal­ten ist. Son­dern hier reden wir davon, gibt es sowas und hat sich darüber ein­er Gedanken gemacht.

Und die Form ist ja auch nicht definiert. Also ich sage jet­zt ein­fach mal, wir haben hier ein Wiki, in dem Wiki haben wir einen Ord­ner drin, da ist unser Hand­buch drin und da schreiben wir mit kurzen präg­nan­ten Sätzen rein, wie wir uns das denken. Dann ist die Welt möglich.

Also hier geht es nicht darum, dass das per­fekt zu haben in der fün­ften Kom­mas­telle mit Strichen, Freiga­beregelun­gen etc. pp. Son­dern hier geht es darum, habe ich was?

Ist etwas vorhan­den, was brauch­bar ist, wom­it ich arbeit­en kann und sind die Infor­ma­tio­nen, die da drin­ste­hen auch ver­w­ert­bar? Das ist halt ein­fach ein gerin­geres Lev­el, aber trotz­dem für den sicheren Betrieb von einem Unternehmen aus­re­ichend. Weil erst­mal ist ja der Fokus darauf, was ste­ht denn wo und welche Infor­ma­tio­nen habe ich ver­wurstelt und nicht welch­er For­mal­is­mus hängt hin­ter dem Inhalt, den ich habe.

[René]

Ja, dann haben wir noch Home­of­fice. Home­of­fice wird eben­falls in diesem Dienst­werk abge­fragt. Das heißt ein­mal zum einen nur der Sta­tus.

Habe ich Per­so­n­en, die wirk­lich im Home­of­fice oder mobil halt arbeit­en? Und des weit­eren, dann gibt es Richtlin­ien in Bezug auf Sicher­heits­maß­nah­men, die sich eben genau darauf beziehen. Also sprich auf Home­of­fice und mobiles Arbeit­en.

Ja, ist eigentlich das gle­iche. Es gibt ja Sicher­heit­srichtlin­ien oder Sicher­heits­maß­nah­men, also wenn man im Unternehmen arbeit­et. Da sind die Maß­nah­men aber sicher­lich schon getrof­fen.

Also meis­tens sollte es so sein, wie zum Beispiel Fire­wall und so weit­er.

[René]

Aber wenn jemand zu Hause arbeit­et, dann müssen die Richtlin­ien oder diese Maß­nah­men, Richtlin­ien müssen dann halt entsprechend auch erweit­ert wer­den, weil im Home­of­fice kön­nen wir, also kann das Unternehmen ja nicht dafür sor­gen, dass der Mitar­beit­er dann auch eine Fire­wall hat. Also eine Hard­ware-Fire­wall und so weit­er.

Das heißt, da muss man nochmal schauen. Also da wird sie nochmal speziell genau darauf aus­gelegt, wie die Sicher­heits­maß­nah­men da an der Stelle ausse­hen. Öffentlich­es WLAN zum Beispiel ist ja auch so ein Punkt.

Zum Beispiel, dass man das unter­sagt, das zu nutzen, wo wir wieder zum mobilen Hotspot und so weit­er kom­men. Weil dann kann ich mich wieder auf meine eigene IT-Hard­ware ver­lassen, was ich bei einem öffentlichen WLAN zum Beispiel nicht kann.

[Michael]

Ja, aber das ist ja sin­nvoll. Ich meine, brech es mal runter. Das ist ein wichtiger Punkt.

Also erset­zt erst­mal…

[René]

Ich wollte nicht sagen, dass es nicht so ist.

[Michael]

Genau, erset­zt erst­mal Richtlin­ien durch Spiel­regeln. Dann ist es vielle­icht das erste Mal schon mal. Und erset­zt Home­of­fice durch jegliche Ver­ar­beitung außer­halb des Fir­menge­bäudes.

Und dann ist klar, natür­lich brauchst du Spiel­regeln, wenn Dat­en aus deinem Unternehmen raus­ge­hen. Und das geht halt los. Das geht halt nicht damit los, dass du Mitar­beit­ern einen Home­of­fice-Platz zur Ver­fü­gung stellst, son­dern es geht halt damit los, dass ein­er mobil arbeit­et.

Er hat ein Fir­men­handy, wo sich vielle­icht ein Exchange-Kon­to mit syn­chro­nisiert, wo sich irgen­deine Cloud mit syn­chro­nisiert, dass er irgendwelche Dat­en auf dem Handy hat. Ja, natür­lich ist es sin­nvoll, sich Gedanken darüber zu machen und Spiel­regeln zu definieren, wie ich mit diesen Endgeräten umge­he und was ein Mitar­beit­er mit diesen Endgeräten machen kann. Es bringt mir ja die größte und toll­ste Sophos-Fire­wall und Abschot­tung im Unternehmen bringt mir ja nichts, wenn er mit seinem Note­book irgen­deine lokale OneDrive-Kopie mit sich rum­dreht.

Das Note­book ist unver­schlüs­selt und es hängt kein Pass­wort dahin­ter. Also, das ist das Ver­hält­nis. Und deswe­gen sagt halt hier die SPEC halt auch, guck dir das The­ma Home­of­fice, das The­ma mobile Arbeit­en an und tre­ffe Regelun­gen und tre­ffe Spiel­regeln, wie du das umset­zt.

Und wir kön­nen, glaube ich, bei­de aus der Prax­is plaud­ern und kön­nen Anek­doten darüber erzählen, wie Fir­men einen sehr hohen Fokus auf die interne Kon­fig­u­ra­tion ein­er Fire­wall haben, auf Umgang mit Dat­en in dem Unternehmen und auf der anderen Seite mit Mobile-Device-Geräten und Endgeräten im Home­of­fice und Lap­tops, Note­books, Tablets etc. pp. Wie Daten­schleud­ern durch die Gegend getra­gen wer­den, wo Sche­unen­tore an Risiken auf sind, wo sich die Geschäft­sleitung oder die, die das bes­tim­men oder auch stel­len­weise die Artikel, sich über­haupt nicht bewusst sind, was sich da für Türen auf­machen, wo sie doch im Unternehmen sagen, die müssen auf jeden Fall zubleiben.

[René]

Das trifft es ganz gut. Also, der Weg geht ja immer weit­er hin zum mobilen Arbeit­en, Home­of­fice und so weit­er. Also, da geht der Trend ja ein­fach hin oder jet­zt vielle­icht zum Teil auch wieder zurück.

Aber, ja, bitte?

[Michael]

Lass mich dich mal ganz kurz crashen. Habt ihr in der Beratung noch einen einzi­gen Kun­den, der nicht mobil arbeit­et? Also, ein Kunde, der einen lokalen Serv­er ste­hen hat, wo nur Desk­top-Endgeräte drauf sind, kein Mitar­beit­er über ein Fir­men­handy oder son­st irgend­was ver­fügt und die Dat­en im Unternehmen bleiben und kein­er mit mobil­er Hard­ware raus­ge­ht?

Habt ihr noch einen einzi­gen Kun­den? Ich habe keinen.

[René]

Doch, haben wir schon noch. Aber wirk­lich ver­schwindend ger­ing und es wird immer weniger. Also, es sind jet­zt vielle­icht noch fünf, aber man merkt halt auch da, wenn spätestens ein Gen­er­a­tionswech­sel in so einem Unternehmen stat­tfind­et, du weißt, worauf ich hin­aus will, dann ist es schon so, bis dahin, wir haben es immer so gemacht, wir machen es jet­zt erst mal so weit­er, bis wir irgend­wann dann aufhören.

Aber spätestens dann, wenn das Unternehmen übergeben wird, dann kommt dann die neue Geschäfts­führung und sagt, komm, wir ändern das sofort. Das ist schon so, aber am Ende des Tages ist es ein­fach so, man muss die Sicher­heits­maß­nah­men auf dem Endgerät auf jeden Fall anpassen, damit man halt da Sicher­heit­en schafft. Also, ger­ade wenn der Weg immer weit­er aus dem Unternehmen raus­ge­ht, dann ist es ja so, dann bringt es mir ja gar nichts, umso mehr immer mehr Maß­nah­men irgend­wie im Unternehmen umzuset­zen, wenn da ein­fach kein­er mehr sitzt.

Dann muss ich mich natür­lich auch mal auf die andere Schiene fokussieren und sagen, okay, das gehen wir jet­zt haupt­säch­lich an. Weil ich meine, im Unternehmen selb­st, jet­zt kann man es mal ganz, ganz krass sagen, was ist denn der Unter­schied, wenn ich meine Soft­ware und meine Dat­en alle in der Cloud liegen habe? Wo ist der Unter­schied, ob ich dann in der Fir­ma sitze oder zu Hause?

Warum tre­ffe ich also in der Fir­ma andere Maß­nah­men als zu Hause? Dann müsste ich die Maß­nah­men ja eigentlich anpassen, angle­ichen, sodass sie an bei­den Stellen gle­ich sind, weil meine Dat­en liegen ja eh nicht bei mir im Haus. Das heißt, ich schütze bei mir ja nichts vom Raus­holen.

Also, ich schütze ja nicht den Zugriff von außen ins Net­zw­erk, klar, meine Geräte, aber an sich schütze ich ja eher den Zugriff auf die Endgeräte, weil die die Dat­en ja aus der Cloud entschlüs­seln kön­nen. Also, das sind so Sachen, da müsste man mit den Maß­nah­men natür­lich dann ganz anders range­hen und diese eben angle­ichen. Also, da muss man eigentlich, klar, Fire­wall bin ich trotz­dem ein Fan von, aber man muss halt die Maß­nah­men entsprechend eigentlich eher auf die Endgeräte dann schon fast fokussieren.

Aber es liegt auch immer an der umge­set­zten Infra­struk­tur, das muss man ein­fach sagen.

[Michael]

Ja, super. Ich glaube, damit haben wir so den ersten Kapi­tel. Einen haben wir noch.

Einen haben wir noch. Einen haben wir noch. Dann auch, wenn wir einen noch haben.

[René]

Einen haben wir noch. Genau. Ein­mal die Richtlin­ien, also die Richtlin­ien, dass die unter­schrieben zurück­kom­men ans Unternehmen.

Das heißt, man lässt sich den Emp­fang dieser Richtlin­ien zu den Sicher­heits­maß­nah­men von den Mitar­beit­ern tat­säch­lich auch bestäti­gen per Unter­schrift.

[René]

Ja. Händigt gegebe­nen­falls oder sollte man auch nochmal eine Kopie aus, sodass wirk­lich vor­liegt.

Und dann der wichtig­ste Punkt, wann erfol­gt eine Prü­fung der Richtlin­ien im Hin­blick auf die Aktu­al­ität? Das, glaube ich, ist schon ein richtiger Punkt, haben wir ja ganz oft schon darüber gesprochen, ger­ade im Daten­schutzbere­ich. Es bringt halt nichts, ein­mal zu doku­men­tieren, wech­selt zwis­chen­durch sieben­mal die Soft­ware, hat seinen Datenbe­stand woan­ders hin ver­schoben und so weit­er, aber hat nie irgend­wie die Richtlin­ien mal angepasst auf die neuen Sys­teme.

Und da sollte man für sich auch fest­gelegt haben, wann man eben so eine Prü­fung durch­führt, also dass man es aktu­al­isiert, wie beispiel­sweise jedes Mal, wenn eine Soft­ware gewech­selt wird, wenn wir, wie ich ger­ade schon gesagt habe, Dat­en irgend­wie an einen anderen Ort ver­schieben, wenn wir meinetwe­gen auch schon die Fire­wall tauschen. Also all diese Sachen, die soll­ten dann wirk­lich auss­chlaggebend dafür sein, dass wir diese gesamte Richtlin­ie entsprechend anpassen und aktu­al­isieren.

[Michael]

Ja, das spielt halt klas­sisch bei mir jet­zt in das Man­age­ment rein, wo ich sage, ja, mach es halt dig­i­tal, also leg dir ein Wiki an, hab es halt irgend­wo ver­füg­bar, sodass die Mitar­beit­er regelmäßig rein­guck­en und du mit dem Doku­ment auch arbeitest, weil dann ist es wesentlich ein­fach­er für dich, dass du es bear­beitest und somit hast du eine wesentlich höhere Aktu­al­ität. Dann schreib­st du dir die Richtlin­ie mit der Schreib­mas­chine, ja, und heftest dir in den Leitz-Ord­ner und stellst es oben rechts ins Regal rein. Dann musst du natür­lich wesentlich öfter in das Regal rein­guck­en und wenn eine Änderung drin ist, müsstest du es neu schreiben, dann hast du eine entsprechende Hürde, dass du sagst, ah, muss es jet­zt wirk­lich sein, ist es jet­zt wirk­lich eine Änderung etc. pp., sodass es wirk­lich Sinn macht, das Ganze in ein Kon­strukt reinzu­ver­pack­en oder in einem Medi­um zur Ver­fü­gung zu stellen, was alle Mitar­beit­er sehr schnell zur Ver­fü­gung haben und wo du sehr kon­trol­liert Änderun­gen dran vornehmen kannst.

[René]

Im schlecht­esten Fall wirk­lich Papi­er jedes Mal wieder neu abschreiben, aktu­al­isieren und wieder aus­druck­en und dann jeden aussenden. Das wäre der schlecht­este Fall.

[Michael]

Das ist kick it. Das ist aber auch ein guter Punkt, wo du jet­zt an der Sache dran bist, wo du genau an dieser Stelle, wo sich eben das Unternehmen, was ein Self-Assess­ment macht, tren­nt von, es kommt ein extern­er Berater rein, der Dun­st von der Materie hat und das entsprechend zu bew­erten weiß. Weil genau an dieser Stelle, wenn ich als Berater reinkomme und mir ein­er sagt, hier pass auf, ich werfe jet­zt ein­fach mal ein paar Sachen durch die Gegend, wir haben Kon­fluenz, da haben wir unsere Richtlin­ien alle drin, der Gün­ther ist der IT-ler, der kann das bear­beit­en, der gibt das entsprechend frei und bei ein­er neuen Freiga­be wer­den alle Mitar­beit­er informiert, dass diese Richtlin­ien geän­dert wur­den und sie kön­nen sich am Ende noch anguck­en, was funk­tion­iert. Also was so ein typ­is­ches Man­age­ment-Sys­tem kann oder der sagt, hier pass auf, ich habe wegen mir in OneNote ein Ding rein, ich schicke eine E‑Mail an alle raus, bitte OneNote rein, bestätigt mir das rüber, was auch immer.

Also wenn der mir sowas zeigt, ja, dann werde ich auf gar keinen Fall sagen, ja, aber du bist nicht com­pli­ant zu der Richtlin­ie, weil da ste­ht, es muss unter­schrieben zurück­laufen und weiß mir mal nach, wie du es regelmäßig prüf­st. Also das sind genau an dieser Stelle, das sind halt ein­fach Punk­te, wo du halt ein­fach Leute mit Erfahrung brauchst, die Infor­ma­tio­nen, die in einem Inter­view aufgenom­men wer­den, so zu bew­erten, dass du eine entsprechende Ein­schätzung tre­f­fen kannst. Und das ist jet­zt so, an dem Punkt ist das so ein Klas­sik­er, wo ich sage, da braucht es die, die es entsprechend bew­erten kön­nen, um halt hier an diesem Punkt in der Bew­er­tung von der Erfül­lung entsprechend was sagen zu kön­nen.

[René]

So, aber jet­zt.

[Michael]

Aber jet­zt.

[René]

Das war der erste Teil.

Ja. Heißt, jet­zt sind wir wirk­lich Organ­i­sa­tion und Sen­si­bil­isierung kom­plett durchge­gan­gen, wür­den dann beim näch­sten Mal auf Iden­titäts- und Berech­ti­gungs­man­age­ment einge­hen. Und ja, damit würde ich es für heute ein­fach mal deck­eln und dann hören wir uns beim näch­sten Mal wieder.

Bis dahin, wie immer, gerne auf allen Social-Media-Plat­tfor­men fol­gen, bei den Pod­cast-Plat­tfor­men auch gerne rein­hören. Anson­sten bei Fra­gen, Anre­gun­gen, Ideen zu The­men, die besprochen wer­den sollen, gerne per Mail oder per Ins­ta, ja, Ins­ta meinetwe­gen auch, LinkedIn, an Michael und mich schick­en oder an einen von uns und dann schauen wir, was wir dazu machen kön­nen. Und anson­sten würde ich sagen, erst­mal schönes Woch­enende und wir hören uns dann beim näch­sten Mal wieder.

[Michael]

Okay, auch von mir vie­len Dank. Grüße aus Hes­sen. Bis zum näch­sten Mal.

Tschüss.

[René]

Tschüss.

[Michael]

Bis zum näch­sten Mal.

Tschüss.