#25 IT-Compliance

[René]

Guten Mor­gen, her­zlich willkom­men wieder zurück in der users lounge, heute wie immer mit mir, René und meinem Daten­schutz-Fuzzi, dem Michael. Moin, Michael.

[Michael]

Moin, René. Mit meinem trotz­dem Fre­und, dem Daten­schützer.

[René]

Ja, natür­lich.

[Michael]

Schön, schön aus­ge­drückt. Es freut mich doch, dass ich regelmäßig, dass du mich hier noch ein­lädst und ich noch kom­men darf, obwohl ich doch immer reg­u­la­torisch ein biss­chen so der Nein­sager bin, aber vie­len Dank.

[René]

Ich habe ja keine Wahl, das ist ja unser gemein­sames For­mat. Das ist natür­lich nur Spaß. Ich bin froh, dass du dabei bist.

[Michael]

Wie wir das eben schon gesagt haben, wir machen das ja für uns, weil wir ein­fach Spaß haben, über Dinge zu reden, die doch eher eine Rand­gruppe betr­e­f­fen und eher für Nerds sind und eher für Leute, die eine Affinität dafür haben.

[René]

Genau und genau da bewe­gen wir uns heute auch wieder. Dies­mal, wir hat­ten jet­zt schon oft darüber gesprochen, dass wir auf das The­ma einge­hen wollen, also auf das The­ma IT Com­pli­ance und ja, wir haben das The­ma halt schon sehr oft irgend­wie angeschnit­ten, sind aber dann schnell wieder ein biss­chen davon weg, haben es umschifft, denn ja, das ist halt schon ein großes The­ma, sehr umfan­gre­ich und entsprechend. Ja, jet­zt ist es aber soweit, jet­zt gehen wir genau darauf ein.

Wir wer­den uns jet­zt auch einige Episo­den damit beschäfti­gen und ich glaube, mit dir, Michael, haben wir auch genau die richtige Per­son dabei. Ich sage mal, was Richtlin­ien und sowas ange­ht, da kann ich natür­lich auch eine ganze Menge schon zu sagen, aber ger­ade wenn es um den reg­u­la­torischen Teil geht, dann wird Michael oder wirst du, Michael, genau der richtige Ansprech­part­ner sein, weil da bist du natür­lich noch viel, viel weit­er im The­ma, als ich jet­zt aus tech­nis­ch­er Sicht. Von daher glaube ich, dass wir da uns auch wieder gut ergänzen kön­nen und entsprechend da sehr viel Infor­ma­tio­nen liefern kön­nen.

Ger­ade aus dem reg­u­la­torischen Teil oder aus dem reg­u­la­torischen Bere­ich kom­men ja auch die aller­meis­ten Dinge, also die, die mit der Com­pli­ance dann am Ende des Tages auch zu tun haben und ich denke, Michael, du hast mit all diesen Bere­ichen ja auch ständig zu tun, also mit all diesen The­men und da wirst du uns auf jeden Fall sehr viele Infor­ma­tio­nen geben kön­nen und ja, dann schauen wir mal. Ich denke, dass wir das ganze The­ma entsprechend umfan­gre­ich gestal­ten kön­nen.

[Michael]

Ja, ich glaube auch. Du trig­gerst mich an. Ich werde meinen Senf immer gerne mit dazugeben und so kön­nen wir das gerne tun.

[René]

Ja, starten wir mal rein. Also grund­sät­zlich, die IT Com­pli­ance set­zt sich aus mehreren Din­gen zusam­men. Man kann in jedem oder zu jedem Bere­ich eigene Com­pli­ance-Richtlin­ien erstellen.

Allerd­ings spie­len immer drei unter­schiedliche Dinge eine Rolle, aus der diese Richtlin­ien betra­chtet und dann entsprechend erstellt wer­den soll­ten.

[René]

Bei diesen drei Bere­ichen, da han­delt es sich ein­mal um den rechtlichen Rah­men, das heißt in dem rechtlichen Rah­men sind so Dinge wie die DSGVO, das Bun­des­daten­schutzge­setz, stattge­fun­dene Recht­sprechung oder eben auch Verord­nung drin. Der näch­ste Bere­ich ist halt der unternehmen­sex­terne Rah­men.

Das bedeutet sowas wie Branchen- und Ver­bandsvor­gaben und der dritte Bere­ich ist der unternehmensin­terne Rah­men. Das heißt, das bet­rifft wirk­lich mein eigenes Unternehmen und darin wer­den Dinge wie Richtlin­ien, Stan­dards, Anweisun­gen und auch andere Poli­cies berück­sichtigt. Das heißt, egal zu welchen The­men, also ob das jet­zt Home­of­fice oder son­st was ist, wenn wir jet­zt sagen, wir möcht­en dafür eine IT Com­pli­ance erstellen, dann soll­ten diese drei Bere­iche immer berück­sichtigt wer­den, sodass man da eben entsprechend alles mit ein­fließen lässt, um eben ja alles zu berück­sichti­gen.

[Michael]

Genau, du hast im Prinzip das Gesamt­bild aus genau diesen drei The­men, die du bildest, das bildet diesen Über­be­griff. Ich habe, wie wir uns ein­ge­le­sen haben in das The­ma, wie du das erste Mal mit, wir müssen mal über IT Com­pli­ance reden. Erst­mal, was will er denn jet­zt von mir und habe auch erst nochmal durchguck­en müssen, weil wir von kom­plett zwei unter­schiedlichen Seit­en kom­men.

Ich komme halt von der nor­ma­tiv­en, reg­u­la­torischen, geset­zlichen Seite rüber. Für mich ist das klar, du kommst als IT-Dien­stleis­ter von der IT-Seite rüber, wenn du von IT Com­pli­ance triff­st und denke ich erst mal, wo will er denn über­haupt hin mit mir, worum geht es? Aber genau, nach Einar­beitung ist es genau diese Sache, die halt ein­fach am Ende geht es um die Com­pli­ance beziehungsweise um das kor­rek­te Arbeit­en von einem Unternehmen nach gewis­sen Vor­gaben.

Das heißt, diese Vor­gaben ist das, was du dir gesagt hast. Ich gebe mir entwed­er sel­ber Vor­gaben, ich hätte es gerne so, dann muss ich das so machen, damit ich com­pli­ant bin oder ich habe geset­zliche Regelun­gen, DSGVO, BDSG, IT-Sicher­heits­ge­setz etc. pp.

Oder ich habe halt eben reg­u­la­torische Kisten, die dafür sprechen, dass ich in irgen­deinem Ver­band bin, dass ich unter Kri­tis falle, dass ich son­st irgendwelche Regelun­gen habe, die mich dazu trig­gern und dazu zwin­gen, was zu machen. Das heißt, wenn ich es richtig ver­standen habe und kor­rigiere mich gerne, dass ich dieses IT Com­pli­ance wirk­lich aus diesen drei Bausteinen zusam­menset­ze und das ist ein Teil für mich Selb­stverpflich­tung und ich über­lege mir, wie was ich will, aber es wird auch zum Teil von extern her­aus getrig­gert und bringt mich dazu, in Umset­zung reinzuge­hen und halt eben IT Com­pli­ance bei mir im Unternehmen einzuführen, zu berück­sichti­gen, zu imple­men­tieren, zu leben.

[René]

Auf jeden Fall. So kann man es so ziem­lich zusam­men­fassen. Ein ganz großer Teil ist natür­lich unternehmensin­tern.

Das heißt, ich gucke erst mal, wo will ich mit dem Ganzen hin und was ist das Ziel der ganzen Sache? Dann schaue ich mir die rechtliche Seite an, schaue, was gibt es da für grund­sät­zliche Dinge, die ich wis­sen muss, die ich dann eben damit ein­fließen lasse. Auch, was gibt es für Vor­gaben aus der Branche oder auch die Daten­schutz­grund­verord­nung und so pflechtet man dann alles so nach und nach miteinan­der ein.

Man kann es natür­lich auch genau aus der anderen Rich­tung machen. Also sprich, dass man als Basis eben die rechtliche Seite nimmt und dann eben seine Ziele darüber legt. Aber da muss man halt guck­en, dass man dann zu einem per­fek­ten Ergeb­nis kommt.

[Michael]

Ja, aber ich glaube, du hast intu­itiv genau das Richtige gesagt. Es startet, wenn es richtig gemacht wird und wenn es gut läuft, startet es damit, dass ich mir Gedanken mache, was brauche ich dann für mein Unternehmen? Also wenn du dich mit dem The­ma IT Com­pli­ance schon nur beschäftigst, weil wir nehmen das jet­zt mal als Beispiel, dass du dich jet­zt mit IT Com­pli­ance nur beschäftigst, weil das ist ja DSGVO und ich muss und ich habe ja.

Das heißt, wenn du dich nur von äußeren Trig­gern beschäftigst, musst du auf­passen, dass du nicht ein falsches Mind­set in die ganze Num­mer reinkriegst und dass du das nicht in eine Rich­tung entwick­elst, die dir am Ende vielle­icht was hil­ft, aber wo du nicht wirk­lich einen Mehrw­ert von hast und wo du nicht wirk­lich Gas geben kannst. Son­dern der ure­igen­ste Antrieb sollte ja sein, ich, mein Unternehmen, meine Dat­en, meine Infor­ma­tion­ssicher­heit, meine IT, meine Com­pli­ance. Und wenn ich mir klar geregelt habe, was ich will, dann stimme ich mich ab.

Ich weiß, was ich will, ich weiß, was ich brauche, das möchte ich so und so haben, das stelle ich mir so und so vor und dann tickere ich im näch­sten Schritt, was muss ich denn geset­zlich noch oben drauf machen, was erfülle ich schon von welchen Geset­zen, also was trig­gert mich von draußen und was muss ich vielle­icht nor­ma­tiv oder reg­u­la­tiv noch oben rein­set­zen. Aber der Trig­ger zu sagen, ich habe Bock auf die Num­mer auf deutsch gesagt und ich für mich, mir ist das bewusst, dass ich das tun muss, ist glaube ich genau der richtige Ansatz an der Kiste.

[René]

Das macht es defin­i­tiv ein­fach­er. Nehmen wir mal an, man würde jet­zt nur die Recht­s­texte sich zur Hand nehmen und würde dann anfan­gen, dazu was zu bauen, dann ver­liere ich ein biss­chen die Fan­tasie, etwas Schönes daraus zu machen. Die Recht­s­texte haben natür­lich alle ihre Daseins­berech­ti­gung, aber sie nehmen mir auch ein biss­chen den Raum, wenn ich mich wirk­lich nur daran halte, nach links und rechts zu schauen, ein­fach mal über den Teller­rand hin­aus.

Und wenn ich mich nur daran halte, dann habe ich natür­lich so einen gewis­sen Fokus. Ich habe immer so ein paar Vor­gaben und würde dann anfan­gen, irgend­wie diese Vor­gaben nur noch zu erfüllen. Deswe­gen ist es halt bess­er, wirk­lich von der anderen Seite zu begin­nen, wirk­lich mit den eige­nen Zie­len und dann zu sagen, okay, und mit diesen Zie­len bringe ich halt den Rest übere­in.

[Michael]

Ja, und wir merken es ja auch in der Beratung. Also wenn ich zum Kun­den komme, heute zum Glück, wir sind 2024, 6 Jahre DSGVO, heute nicht mehr, aber Anfangszeit­en früher, hier da ist doch jet­zt was hier mit Daten­schutz, was muss ich denn jet­zt hier unbe­d­ingt machen? Ich habe ja eigentlich keine Lust auf die Sache, was ist denn hier das, was ich unbe­d­ingt machen muss, damit ich nicht in irgendwelche Bußgälle rein­laufe?

Das heißt, da war die Inten­tion gar nicht, Dat­en zu schützen, sage ich jet­zt mal. Also sich Gedanken darüber zu machen, wie halt mit den Dat­en im Unternehmen umge­gan­gen wird, son­dern der Trig­ger war halt ein­fach, boah, da gibt es ein Gesetz, die wollen schon wieder was von mir, die pen­etri­eren mich schon wieder in eine Rich­tung rein, ich habe da eigentlich gar keine Lust zu. Mach irgend­was, lass mich mit dem Kram in Ruhe, mach es dir zu, dass du irgend­wie Min­i­malan­forderun­gen und dann haben die sich vorgestellt, stellst denen irgend­wie ein Buch dahin, schreib­st denen so ein Ver­fahren­shand­buch, schreib­st ihnen ein paar IT-Regeln, da stellst dir in die Ecke, was wenn mal die Behörde kommt, kön­nen sie es rausziehen, kön­nen es vor­legen, dass sie for­mal was getan haben, aber das eigentliche Leben und das Doing im Unternehmen war davon über­haupt nicht tang­iert, das hat nicht gejuckt, auf deutsch gesagt, son­dern das war denen die Anspruch und wenn du auf solche Kun­den stößt, musst du damit begin­nen, das Mind­set zu drehen und erst­mal in eine Beratung reinzuge­hen und genau den Start­punkt da hinzule­gen, den du ger­ade gesagt hast, näm­lich ich muss das wollen oder ich muss wis­sen, dass ich es brauche für mich, für mein Unternehmen, ich muss den Mehrw­ert erken­nen, IT-Sicher­heit, auch gerne Ein­hal­tung reg­u­la­torisch­er Vorschrift und Ver­mei­dung von Bußgeldern, aber der Antrieb muss ein ander­er sein vom Mind­set her. Ja, defin­i­tiv.

Und dann ist es leichter.

[René]

Genau und es ist ja auch so, da haben wir jet­zt ja mehrfach schon drüber gesprochen, wir tun halt immer oft so und das ist ja genau das, worauf du ger­ade anspielst, dass man die Dinge tun muss, aber ganz so ist es ja eigentlich gar nicht, weil alle Infor­ma­tio­nen und Dat­en, die wir dann da entsprechend schon zusam­men­stellen, lassen sich ja nach­her in ganz viel­er­lei Hin­sicht irgend­wie in andere Bere­iche mit über­tra­gen oder eben auch genau an dieser Stelle vernün­ftig nutzen, sodass man dann irgend­wie dann, ja, also es ist ja nicht so, dass ich jet­zt irgend­wie anfange, das Rad neu zu erfind­en und jedes Mal was ganz eigenes mache.

Wir haben diese Dat­en und die Infos und die kön­nen wir halt ein­fach nach­her auch ver­wen­den.

[Michael]

Ja.

[René]

Und es ist ja auch ein­fach so, also ger­ade wenn man so eine Com­pli­ance zusam­mengestellt hat, dann ist es ja nicht so, dass wir jet­zt da irgend­wie uns ein­fach unnötig Arbeit gemacht haben, denn am Ende des Tages brin­gen solche Reg­u­lar­ien ja ein­fach mit sich, dass wir eine klare Steigerung an Sicher­heit haben, dass wir klare Vor­gaben haben, sodass ein ein­heitlich­es und ein stan­dar­d­isiertes Arbeit­en möglich ist.

Also da sollte man ja grund­sät­zlich auch so ein biss­chen so einen Anspruch an sich selb­st haben und es ist halt nicht ein­fach nur eine Pflicht, denn ich habe einen entsprechen­den Mehrw­ert dadurch und es bringt einen wirk­lich voran. Also von daher darf man das ein­fach nicht immer so neg­a­tiv sehen und sollte es ein­fach anpack­en.

[Michael]

Ja und ich glaube ein plaka­tives Beispiel, was wir hier mal brin­gen kön­nen an dieser Stelle ist, sich im Unternehmen und das ist was, was jedes Unternehmen machen kann, ganz egal, DSGVO, NIS-Richtlin­ien, Infor­ma­tion­ssicher­heit, alles, ein­fach mal sich in einem Unternehmen auf einem ganz kleinen Niveau die Vor­gaben zu geben, ein Pass­wort hat min­destens zwölf Zeichen und ich stelle die Soft­ware so ein, dass sie min­destens zwölf Zeichen hat und ich trig­ger alle meine Mitar­beit­er an, du nimmst keine Pass­wörter, die kürz­er sind.

[Michael]

Du log­gst dich nicht mit 1, 2, 3, 4 irgend­wo ein, weil es vielle­icht tech­nisch geht, auch wenn es tech­nisch geht, wir nehmen min­destens zwölf Zeichen. Ja, BSI aktuell noch bei 8, ich sage so ab 12, 14 geht es los, Länge ste­ht Kom­plex­ität, haben wir alles schon mal drüber gesprochen, aber auch das ist eine eine Com­pli­ance, die du dir intern geben kannst und geben soll­test, wom­it du Rich­tung Infor­ma­tion­ssicher­heit, also wenn wir Rich­tung NIS 2 gehen, gehen wir in die ISO 27001 rein, gehen nach TSACS, gehen nach BSI Grund­schutz, gehen nach DSGVO, das streut dir nach­her in so viele Kisten rein, weil du Zugriffe regelst und Zugriffe auf Sys­teme eben absich­erst mit genau solchen in Anführungsstrichen ein­fachen prim­i­tiv­en Regeln, die du dem Unternehmer ein­set­zt. Und da geht es los, das ist, ich glaube, es ist ein sehr ein­fach­es, plaka­tives Beispiel, wom­it man das rüber­brin­gen kann.

Gebt euch selb­st im Unternehmen, auch wenn ihr es nicht müsst, trotz­dem um die IT-Sicher­heit zu erhöhen und um eben für euch einen Mehrw­ert zu haben, gebt euch solche Hausauf­gaben auf. Nutzt nicht, nur weil die Soft­ware jet­zt sagt, Soft­ware as a Ser­vice Anbi­eter sagt, ich habe keine fest­gelegten Regeln, wegen mir mach vier Buch­staben oder mach vier Zahlen rein, ist das Pass­wort gut und dann sei nicht glück­lich als User und als Unternehmer und sag, gib ihr, hey, endlich mal eine Soft­ware gefun­den, wo nicht viel Aufwand ist, 1, 2, 3, 4 funk­tion­iert und Voll­gas. Und genau das sind so Dinge, ja.

[René]

Ja, also da gibt es auch viele Möglichkeit­en, das eben auch entsprechend sicherzustellen, also nicht nur auf dem Papi­er. Nehmen wir mal das ein­fach­ste Beispiel, Pass­wort­man­ag­er, ich denke, das ist rel­a­tiv sim­pel, dass man halt über­haupt ver­hin­dert, dass dort drin ein Ken­nwort gespe­ichert wer­den kann, was nicht meinen Richtlin­ien entspricht. Also das kann ich darin ja ver­hin­dern.

Ja. Wenn ich jet­zt zum Beispiel sage, okay, es soll zwölf Zeichen haben, dann kann ich den Pass­wort­man­ag­er auch, also nicht jeden, aber wenn ich mir einen passenden suche, kann ich den eben so kon­fig­uri­eren, dass eben keine Ken­nwörter gespe­ichert wer­den kön­nen, die eben weniger als zwölf Zeichen haben.

[Michael]

Ja, aber das ist, bevor wir wieder ins Pass­wort­the­matik abdriften, worüber wir tage­lang philoso­phieren kön­nten. Nein, das war jet­zt auch nur ein Beispiel. Das ist aber, wenn wir über IT-Com­pli­ance reden, ist das genau das Mind­set, was du ins Unternehmen rein­brin­gen musst, als ver­ant­wortliche Per­son von dem Unternehmen und auch vernün­ftig vor­leben musst, dass du halt ein­fach dir über solche Dinge Gedanken machst und dich drum küm­merst.

Ja. Und da kannst du der Man­ag­er sein, sor­ry, wenn ich crashe, da kannst du der Man­ag­er sein, da kannst du die Lösung sein, sich über eine AD-Anmel­dung auf Soft­ware-Sys­teme draufzu­binden, über was auch immer du machen kannst, aber du musst dir erst­mal The­matiken bewusst sein. Abso­lut.

Empfehle ich unsere Pod­cast-Folge Risiko­man­age­ment, glaube ich. Da haben wir, glaube ich, auch darüber gesprochen, dass du dir Gedanken machen soll­test als Chef oder ver­ant­wortliche Per­son über Risiken im Unternehmen und wie man sich darüber mal bewusst wer­den kann und sollte und das kann ein Ein­stieg sein, der unter­stützt auch für was es muss ich mir an Com­pli­ance geben.

[René]

Also, ich sage mal so, IT-Sys­temhäuser, also aus unser­er Sicht, wenn man da von Pass­wort­man­agern spricht, deswe­gen war das The­ma ger­ade für mich so sehr präsent. Es ist halt so, wir sel­ber sind aktuell am Wech­seln, also den Anbi­eter des Pass­wort­man­agers. Als MSP ist es halt nicht ganz so ein­fach, weil du ver­wal­test halt nicht nur deine eige­nen Ken­nwörter, also die unternehmensin­ter­nen Ken­nwörter, son­dern du ver­wal­test natür­lich auch die Ken­nwörter dein­er Kun­den und Geschäftspart­ner entsprechend und ja, da brauchst du halt einen ziem­lich großen Funk­tion­sum­fang.

Es ist ja zum einen so, dass wir eine Doku­men­ta­tion führen als MSP. Es gibt aber davon noch einen los­gelösten Teil, den wir zum Beispiel dann eben dem Kun­den auch bere­it­stellen. Als MSP hat man immer so einen kleinen Teil der Ken­nwörter für sich selb­st.

Es hat ein­fach damit zu tun, dass diese Ken­nwörter niemals geän­dert wer­den dür­fen, außer von uns selb­st und dementsprechend gibt es da zwei unter­schiedliche Bere­iche, sodass wir dem Kun­den auch eben auf seinen, also auf den, öffentlich wäre jet­zt falsch, aber auf den für ihn öffentlichen Bere­ich, dann eben einen Zugriff geben. Dafür hat man dann mein­er Weise schon eine gute Lösung gefun­den, aber dann kommt halt zum Beispiel eine ganz spezielle Anforderung. Wir als MSP oder als IT-Dien­stleis­ter generell haben uns immer aufer­legt, dass wir die Dat­en so sich­er wie möglich hal­ten.

Das heißt, ich muss natür­lich auch die inter­nen Prozesse damit berück­sichti­gen. Wenn jet­zt ein Mitar­beit­er von uns das Unternehmen ver­lässt, dann muss ich ja dafür sor­gen, dass alle Ken­nwörter, die diese Per­son ange­fasst hat, dass die mir ken­ntlich gemacht wer­den, sodass wir diese Ken­nwörter dann nach­her anpassen kön­nen, also ändern kön­nen, damit wir da nicht Gefahr laufen. Ich meine, das unter­stelle ich nie­man­den, aber es kann immer mal sein, dass da mal jemand dabei ist und sagt, okay, ich nehme die ganzen Ken­nwörter mit und möchte dann danach irgend­wie was weiß ich was damit betreiben.

Damit genau das eben nicht passiert und unsere Kun­den da keine Gefahr laufen, nur weil wir fahrläs­sig gehan­delt haben, ist eben genau so eine Funk­tion zum Beispiel wichtig. Und das ist das, was ich meine. Du hast es ja ger­ade auch schon gesagt.

Es ist halt so, man muss sich dem Prob­lem bewusst wer­den und man muss so tief in dem The­ma drin sein, dass man eben auch diese Dinge erken­nt. So ober­fläch­lich wird man natür­lich ganz schnell, ganz oft irgend­wie zu ein­er Lösung kom­men, aber man muss irgend­wann dann auch wirk­lich in die Tiefe gehen und da die spezielleren Dinge her­ausstellen und eben dann dafür Lösun­gen find­en.

[Michael]

Genau, aber da gibt es ja zum Glück nicht nur die Selb­stan­forderun­gen, das war das Erste von diesen drei The­men, die du ange­sprochen hast, son­dern zum Glück, muss man sagen, gibt ja auch der Geset­zge­ber gewisse Trig­ger ins Unternehmen rein, nach dem Mot­to, du soll­test dir mal darüber Gedanken machen. Stich­wort bleiben wir bei DSGVO, das ist ja auch ein Mord­strig­ger gewe­sen. Da auch der Bere­ich tech­nis­che und organ­isatorische Maß­nah­men und da kriegst du ja von außen schon auch einen richti­gen Trig­ger rein, dich in Ruhe mit dem Ding zu beschäfti­gen und wenn du dich da nicht durch das Gesetz wühlen willst und willst den Spiel­raum nicht richtig aus­loten und willst da nicht tief mit rein, vol­lkommenes Ver­ständ­nis.

Ich habe auch ab dem ersten Tag mein­er Selb­st­ständigkeit einen Steuer­ber­ater gehabt, der hat gesagt, pack das The­ma nicht an, das war für mich eine rote Fahne und dann muss ich mir halt eben einen holen, der es kann, beziehungsweise ich muss mich unter­stützen lassen, ich muss der Sache bewusst sein, muss sagen, hier, stell mir mal ein paar Richtlin­ien auf oder sag mir mal, was Best Prac­tice ist, ich habe da ein The­ma, ich möchte das und das Prob­lem haben und ab dafür. Ja, genau.

[René]

Wichtige Punk­te, die in der Com­pli­ance halt enthal­ten sind, Daten­schutz, Daten­sicher­heit, das sind sicher­lich die größten Punk­te, die neben natür­lich meinen eige­nen Anforderun­gen damit drin sind. Auch da, wir hat­ten schon eine Folge zu den bei­den The­men, also da gerne nochmal ein­mal rein­hören. Und was genau­so noch ein Punkt ist, über den wir auch schon mal gesprochen hat­ten, ist die Infor­ma­tion­ssicher­heit.

Da würde ich jet­zt gerne nicht zu tief drauf einge­hen, weil son­st wäre es halt eine Wieder­hol­ung, dann wäre es nicht mehr ganz so inter­es­sant. Da, wie gesagt, gerne nochmal in die entsprechen­den Episo­den rein­hören. Da ist eben auch schon eine ganze Menge dazu gesagt, also dementsprechend gegebe­nen­falls dort nochmal ein­mal auf­frischen.

Die Imple­men­tierung und das Man­age­ment, das ist sicher­lich auch nochmal ein The­ma. Ich denke grund­sät­zlich Imple­men­tierung ist klar, das ist halt das Ausar­beit­en und nach­her auch die Ein­führung dieser Richtlin­ien. Gehen wir mal davon aus, dass die Ausar­beitung schon stattge­fun­den hat, dann käme ja dann dahin­ter die Ein­führung eben mit den Mitar­beit­ern zusam­men.

Michael, was würdest du, also wie wäre deine Vorge­hensweise, welche Maß­nah­men würdest du ergreifen, damit das eben in der Belegschaft angenom­men wird und danach auch wirk­lich gelebt wird? Nicht ein­fach nur auf dem Papi­er ste­ht, son­dern dass es auch wirk­lich gelebt wird.

[Michael]

Was total ver­rückt ist, ich habe das let­zte Woche bei ein­er Net­zw­erkver­anstal­tung von der DGQ, hat­ten wir auf ein­mal den Hash gemacht, Kom­mu­nika­tion schafft Langeweile. Das heißt, was ich damit sagen will, reden, Mitar­beit­er abholen, reden. Man kann das auch sagen, ich schule, aber schulen ist halt auch, ich gehe mit denen in einen Raum rein, ich rede mit denen, ich sage denen, hier passt mal auf, fol­gen­des The­ma, wir haben uns das und das über­legt, das muss jet­zt nicht sein, ich set­ze mir so 20 Leute wie die Orgelpfeifen in den Schu­lungsraum rein, gebe denen alle ein Stück Papi­er in die Hand und sage, jet­zt schreibt mal eine Stunde auf, was ich euch erzäh­le, son­dern reden, reden, Mitar­beit­er abholen, Kom­mu­nika­tion reden, Fra­gen beant­worten und auch bei solchen Din­gen immer gle­ich guck­en, wer in so einem Dia­log und in so ein­er Gruppe und beim Reden immer so ein biss­chen zurückscheut oder der Ruhig­ste ist.

[Michael]

Meis­tens gibt es im Unternehmen immer noch mal Leute, die das entwed­er nicht gle­ich ver­ste­hen, weil sie aus einem anderen Meti­er kom­men, ich kann mir das bei euch sog­ar sehr gut vorstellen, ihr seid eine IT-Fir­ma, ihr habt 25 oder 10, 15 IT-Nerds da sitzen, die reden über Bits und Bytes und schub­sen jeden Tag 001 hin­ter­her und ihr habt Leute im Büro sitzen, die sich um die Finanzen, um die Buch­hal­tung und das Admin­is­tra­tive küm­mern.

Wenn ihr, ihr seid glaube ich ein Parade­beispiel dafür, wenn ihr euch als Nerds unter­hal­tet, dann muss selb­st ich auf­passen, dass ich nicht aussteige, wie wird es denn der Dame im Büro gehen, die nur die Rech­nun­gen schreibt, gar nicht böse gemeint, das liegt halt ein­fach drum. Ja, dafür ist, wenn die Dame im Büro mit irgendwelchen Skon­tierungskreisen durch die Gegend ren­nt und irgendwelche Steuer­belege und Gram­mar hast du nicht gese­hen, da ste­ht ihr auf dem Schrank. Das heißt, was ich sagen will ist, in so einem Dia­log alle abholen, nicht in so eine Spezial­sprache, Nerd­sprache was rein ver­fall­en, son­dern wirk­lich Schritt zurück, Leute abholen, anguck­en, fol­gen die mir jet­zt noch oder haben die schon lange abgeschal­tet und reden.

[René]

Ja, das sehe ich genau­so. Also es ist am Ende ja so etwas wie eine Prozes­sop­ti­mierung und bei Prozessen, da nimmt man immer das ganze Team mit. Also alle betrof­fe­nen Per­so­n­en sollte man in diese Prozessen, Neustruk­turierung oder Weit­er­en­twick­lung sollte man sie mit rein­nehmen, damit man eben da wirk­lich das ganze Team mit­nimmt.

Also die Akzep­tanz muss ja möglichst hoch sein. Das heißt, daran soll­ten sich auch alle beteili­gen, damit es dann nach­her auch so ist, dass alle damit leben kön­nen. Und im besten Fall leben nicht alle ein­fach damit, son­dern ja, wenn es dann eben diese Besprechun­gen zu diesen The­men gibt, dass man sich wirk­lich offen darüber aus­tauscht.

Jed­er darf sich sel­ber, also darf sich äußern, darf auch sagen, hey, das gefällt mir ger­ade, das gefällt mir eben nicht. Also dann kommt man dann nach­her zu einem Ergeb­nis, was wirk­lich für alle entsprechend passend ist oder vielle­icht nicht für ganz alle, aber im weitesten Sinne. Und man muss es ja auch so sehen, wenn sich jet­zt da zehn Leute hin­set­zen und die wür­den jet­zt einen Prozess erstellen, dann kann es sein, dass eine Elfte der Per­so­n­en, die das dann ein­mal vorgestellt bekommt, dass alleine die schon Ein­wände hat, die man vorher so nicht erkan­nt hat.

Das heißt, der Input von den Mitar­beit­ern aus dem Team her­aus, der ist halt Gold wert, weil die am Ende des Tages ja auch damit arbeit­en. Und ja, so hat man halt nochmal einen weit­eren Blick­winkel oder weit­ere Blick­winkel eben genau auf dieses The­ma. Und das Gute ist, wenn sich dann wirk­lich alle zu diesem The­ma geäußert haben und man wirk­lich eine Lin­ie gemein­sam gefun­den hat, ist es halt so, die Akzep­tanz ist ein­fach höher.

Die Chance, dass sowas erfol­gre­ich wirk­lich umge­set­zt wird, ist ein­fach viel, viel höher. Also da irgend­wie was auf Papi­er zu brin­gen und nach­her wird es nicht gelebt, das wäre wirk­lich ver­schwen­dete Zeit. Aber an der Stelle, wenn man mit dem ganzen Team dabei ist und das Team dann nach­her sagt, hey cool, wir haben eine gute Lösung gefun­den, die ist für uns super, die ist für das Unternehmen super, dann bess­er kann das ja dann nicht ablaufen.

[Michael]

Das kann ich dir sagen, das ist mein Tages­geschäft, wenn ich Man­age­ment per Sys­teme berate, kom­men wir in den näch­sten Kapiteln dazu, ISO 9001, 13485, 27001, wenn ich in so eine Beratung reinge­he, bei jed­er Prozess­gestal­tung, bei jed­er Besprechung von irgendwelchen Richtlin­ien und Prozessen, du musst natür­lich die abholen, die mit dem Kram arbeit­en sollen und am besten dir die holen, die wis­sen, wie es geht. Du kannst nicht von oben runter irgen­deinen Prozess bes­tim­men und dir irgend­was aus­denken, kannst sagen, pass auf, ich habe mir was Tolles aus­gedacht, der Chef hat es freigegeben, genau so machen wir es jet­zt und die unten guck­en dich an und sagen, was willst du mit dem Kram, das haben wir noch nie so gemacht. Also das ist genau dein The­ma, was du auch ger­ade gesagt hast, hol die Leute ab an ein­er gewis­sen Stelle, beziehe sie mit ein, frag sie, mit­nehmen und nicht vor die Nase set­zen.

[René]

Genau, weit­er im Text, zur Imple­men­tierung gehört nach­her auch die Doku­men­ta­tion, klar man muss halt ganz ganz viel über dieses The­ma sprechen, also immer auch die Kom­mu­nika­tion oben hal­ten, aber was halt auch wichtig ist, dass nach­her diese Prozesse doku­men­tiert sind und klar auch ein­se­hbar sind, sodass im Nach­gang auch immer noch ein Zugang oder eine Möglichkeit ist, diese Sachen nachzu­vol­lziehen.

[René]

Das heißt, wenn wir jet­zt Richtlin­ien ausar­beit­en, dann müssen wir natür­lich darüber sprechen, aber sie wer­den ganz klar auch niedergeschrieben. Also diese Nieder­schrift, diese Doku­men­ta­tion, die muss auf jeden Fall jed­erzeit zur Ver­fü­gung ste­hen den Mitar­beit­ern und die Mitar­beit­er müssen auch klar haben, wo finde ich die Infor­ma­tion über­haupt.

Also da, das muss auf jeden Fall klar sein, so ein Prozess oder auch so eine Richtlin­ie ist ja nie final, sie wird sich ja immer über die Zeit ein biss­chen entwick­eln und man führt dann ja nicht immer ein Gesamt­teamge­spräch, um jet­zt nochmal diese kleinen Änderun­gen zu besprechen, son­dern es muss halt zum Beispiel ein Por­tal geben, wo ich eben diese Infor­ma­tio­nen finde und dann dort ja auf Änderun­gen vielle­icht nur noch hingewiesen wird. Ja, sodass dann ja jed­er Mitar­beit­er das so wie die Zeit da ist und wie die ja, wie es einen auch bet­rifft, dass, dass diese Mitar­beit­er eben das dort nach­le­sen kön­nen und eben nachvol­lziehen kön­nen. Und im besten Fall ist das ein ein­heitlich­es Sys­tem, das heißt, dass ich ja auch dort wirk­lich doku­men­tiere, klar mit Berech­ti­gung, aber dass ich ver­mei­de, dass man sowas dop­pelt pfle­gen muss, dass ich habe das schon oft genug gese­hen, dass dann ja Änderun­gen durchge­führt wer­den.

Es gibt interne Doku­mente, diese Doku­mente wer­den aber nicht veröf­fentlicht, weil dann vergessen wird, diese dort hochzu­laden oder dort bere­itzustellen. Deswe­gen auf jeden Fall bess­er auch gle­ich dort doku­men­tieren, die gle­iche ein­heitliche Plat­tform nutzen für alle und dann ja, wird halt nichts vergessen und die Dat­en ste­hen halt auf jeden Fall immer kor­rekt bere­it.

[Michael]

Ja, ja, das sind ja alles so Man­age­ment­grund­sätze, die du ger­ade besprichst. Übri­gens, was ein ganz wichtiger Punkt ist, neben ist auffind­bar und ist doku­men­tiert, ist, es ist ver­ständlich doku­men­tiert. Ja, bitte.

Prozesse beschreibe und beschreibe Richtlin­ien und ich fange mit einem Daten­schützerdeutsch an oder mit einem IT-Lehrdeutsch oder mit einem QM-Lehrdeutsch und mach oben erst­mal eine Halbe­di­ener-Vier­seite voll Ref­eren­zen und Nor­mver­weise und Norm­sprache rein, steigen die meis­ten aus.

Also, schreibt das so, dass der Mitar­beit­er das lesen will und dass er es ver­ste­ht und ich bin da noch ein Fre­und von, von Olga, von, von Float Chart schlägt Fließ­text, aber das ist ein anderes The­ma, aber wo ich hin will, ist, es muss ver­ständlich sein, es muss jeden abholen kön­nen, sowohl den Nerd als auch die Damen im Büro oder auch Haus­meis­ter oder etc. pp.

Und dann natür­lich, klar, auch das wieder, eine Plat­tform, eine Plat­tform, eine Infor­ma­tion­sebene, ein Unternehmens-Wiki in dieser Stelle, wo jed­er Mitar­beit­er weiß, ey, wir haben so ein Wiki-Unternehmen, da gehe ich drauf, das kann heißen, wie es will, das gibt tausend und eins ver­schiedene Soft­ware-Plat­tfor­men, alles nach da rein und dann ist gut, das kann Share­Point sein, das ist ja auch ein Wik­isys­tem. Irgen­deine Lösung, die zen­tral ist und die bekan­nt ist, wo jed­er einen Zugriff drauf hat und jed­er weiß, wie er was zu find­en hat, also gehört eine Schu­lung und ein Abholen der Mitar­beit­er auf die Plat­tform auch mit dazu. Ja, genau.

[René]

Wichtig ist auch, dass die Com­pli­ance nachvol­lziehbar ist. Es müssen auch die Gründe genan­nt wer­den. Ich denke, das ist auch wichtig.

Wenn wir ein­fach sagen wür­den, hey, wir haben jet­zt eine Com­pli­ance und wir machen das jet­zt so und so, manche kön­nen sich dann ihren Teil dazu denken, aber manche sind auch ein­fach ganz weit weg von diesen The­men. Du halt ger­ade schon gesagt hast, einzelne Abteilun­gen, da ist es ja schon so. Das muss man dann ein­fach mal her­ausstellen, warum machen wir das jet­zt so und welche Vorteile hat das Ganze eigentlich auch und das muss man halt wirk­lich jedem Einzel­nen noch ein­mal aufzeigen kön­nen und das steigert dann nach­her auch die, ja, dass es halt am Ende des Tages auch wirk­lich so gelebt wird.

[Michael]

Ja, auf jeden Fall. Und nochmal, dass es wirk­lich wichtig ist, weil ich das immer wieder in der regelmäßi­gen Beratung sage, du musst für solche Sachen ein Sys­tem auf­bauen, das akzep­tiert ist und was gelebt wird.

Wenn du ein Sys­tem auf­baust, nur für die Com­pli­ance und du siehst nach­her in den Login-Files von den Mitar­beit­ern, wenn du rein­guckst, dass es Mitar­beit­er gibt, die haben sich ein­mal am Anfang angemeldet und ein­gel­og­gt, um sich das Pass­wort zu bestäti­gen und danach waren die nie mehr drin, dann ist das Sys­tem nicht akzep­tiert.

Dann musst du schulen, musst irgend­was Neues brin­gen, musst dir irgend­was ein­fall­en lassen. Du brauchst ein Sys­tem, was akzep­tiert ist und was lebt. Das ist wichtig.

Und da kann halt, da muss halt auch, wir haben eben über Com­pli­ance gesprochen und interne Com­pli­ance und Com­pli­ance, die von draußen vielle­icht auch das Unternehmen ein­wirkt, da kann auch alles andere drin­ste­hen, was wichtig ist. Wenn ihr einen zen­tralen Abla­geort habt, wo ihr meinetwe­gen, sei es ein­fach mal irgendwelche Vor­la­gen für Ord­nerrück­enbeschrif­tun­gen habt oder euer CI mit eurem Logo oder irgendwelche Dinge, das Sys­tem an sich bildet das Wis­sen vom Unternehmen ab und ist nicht nur ein reines Com­pli­ance-Ding, weil dann wird es nicht gerne, also wird es in der Regel nicht gelebt und nicht sauber betra­chtet. Das ist vielle­icht auch noch so ein Ding hier.

Muss akzep­tiert wer­den.

[René]

Ja. Und das ist so ein generelles Ding.

Also wenn wir davon sprechen, dass irgend­wie eine Plat­tform geschaf­fen wer­den soll, die muss dann in der Bre­ite auch genutzt wer­den.

Was bringt das, wenn ich das dann nach­her für den einen Bere­ich da mache und für den anderen Bere­ich da? Also man sollte es auf jeden Fall schon vere­in­heitlichen, weil dann wird es auch wirk­lich genutzt, wie du sagst. Und dann lebt es auch wirk­lich im Unternehmen für alle.

[Michael]

Ja. Und da dreht sich der Kreis im Mind­set von den Geschäfts­führern. Wenn dann beim Geschäfts­führer schon so ist, dass, oh, jet­zt sind wir x Mitar­beit­er, braucht jet­zt wirk­lich jed­er eine Lizenz oder reicht es, wenn unser IT-Leit­er da reinge­ht, weil das sind ja nur IT-Com­pli­ance, beziehungsweise es ist ja alles irgend­wie, es ist ja irgend­wie alles hat mit Com­put­ern zu tun, da reicht es doch, wenn da ein­er reinge­hen kann, da muss ich ja nicht so viele Lizen­zen bezahlen kön­nen.

Und da geht das Mind­set in der Geschäft­sleitung von oben schon runter, dass das bewusst ist, was die Kiste sein soll, was man damit bezweck­en will und was man für Mehrw­ert mit solchen Sys­te­men und solchen Din­gen rauszieht. Näm­lich, es geht schneller, es ist sicher­er und ich halte rechtliche Vor­gaben ein. Genau so ist es.

[René]

Ja, also Her­aus­forderun­gen gibt es dabei sicher­lich auch bei der Ein­führung. Also jet­zt mal ganz abge­se­hen davon, dass man vielle­icht mal an der einen oder anderen Stelle den Unmut der Mitar­beit­er auf sich zieht, weil vielle­icht ein­fach das Ver­ständ­nis ger­ade nicht da ist oder, ja, oder das eben ger­ade so nicht nachvol­l­zo­gen wer­den kann. Ich meine, da ist es ja auch so, es kann auf der einen Seite ja ein tech­nis­ches Ver­ständ­nis sein, was da ger­ade vielle­icht nicht da ist oder eben auf der anderen Seite kann es eben genau­so gut sein, dass da jemand sitzt, der eben mit diesen, ja, mit den Richtlin­ien nicht ein­ver­standen ist, weil er eben bish­er anders gear­beit­et hat.

Das ist mit Sicher­heit bei der Ein­führung schon eine große Hürde, aber auch da ist die Devise natür­lich immer Kom­mu­nika­tion, weil darüber kann man natür­lich auch immer Lösun­gen find­en. Und das ist das, was ich vorhin schon sagte, also wenn sich alle mal ein­mal wirk­lich miteinan­der aus­tauschen, dann, ja, kann jed­er so sein Teil dazu beitra­gen und dann, ja, wird man auch eine gute Lösung find­en, mit der alle dann am Ende des Tages auch leben kön­nen. Die näch­ste Hürde ist sicher­lich auch, ja, ich sage mal, zu Anfang, wenn man dann erst­mal so einen Lauf hat, dann ist es nach­her gar nicht mehr so schwierig, sich erst­mal in diese The­men reinzufind­en, also auch, dass man ein­fach erken­nt, wozu brauche ich denn Com­pli­ance, also her­auszufind­en, welche Richtlin­ien sind für mein Unternehmen jet­zt ger­ade über­haupt entschei­dend, also welche brauche ich denn über­haupt und wie set­ze ich die eigentlich nach­her auch um.

Also man muss nach­her auch ganz klar für sich nochmal ausar­beit­en, so, was sind ger­ade diese tech­nis­chen Dinge, die wir jet­zt ger­ade haben, was ist das, wo wir eigentlich hin­wollen und wie erre­ichen wir das eigentlich unter Berück­sich­ti­gung der DSGVO und so weit­er. Das ist zu Anfang sicher­lich nicht ein­fach, aber, ja, umso mehr man sich in diese The­men eingear­beit­et hat, umso leichter fällt es einem dann auch im Nach­gang. Daten­schutz und Tech­nik, ja, zu Anfang sind das halt zwei Paar Schuhe, aber wenn man es dann erst­mal ver­standen hat, also auch wirk­lich die Zusam­men­hänge dazwis­chen sieht, dann wird es einem immer leichter fall­en und wirk­lich gute Ergeb­nisse erzie­len.

[Michael]

Ja, ich sage mal, der Anfang ist total ein­fach, der Anfang ist total easy, hebt den Hör­er ab und ruft uns an, beziehungsweise schickt ein E‑Mail, nein, Spaß bei­seite, was ich sagen will ist, nur wenige Unternehmen und wenige Per­so­n­en im Unternehmen machen das so regelmäßig, dass es sich aus den Ärmeln schüt­telt, sage ich jet­zt mal, um es sehr effek­tiv umzuset­zen. Die meis­ten Fir­men, und das ist auch so immer das, was ich immer so sage ist, die meis­ten Fir­men haben ihren Fokus darauf Geld zu ver­di­enen mit den Pro­duk­ten, die sie anbi­eten und den Dien­stleis­tun­gen, die sie anbi­eten. Da ist die IT Com­pli­ance und das sich­er zu machen ist ein organ­isatorisches Neben­pro­dukt, was natür­lich in der Wertschöp­fungs­kette auch da ist, weil ich damit die IT Sicher­heit erhöhe, Effek­tiv­ität erhöhe, Bußgelder ver­mei­de etc. pp, aber es ist nicht mein primär­er Geschäft­szweck. Und da würde ich, bevor ich jet­zt einen Mitar­beit­er auserko­re und sage hier vor ein­er Mit­gliederver­samm­lung, wer hat jet­zt Bock, wer küm­mert sich jet­zt um den Daten­schutz, wer küm­mert sich jet­zt um die IT Com­pli­ance, alle gehen zurück und wer das nicht so richtig zuge­hört, bleibt als einziger vorne ste­hen und wird dann genom­men, bevor das passiert und der dann nach­her sein Geld nicht ver­di­enen kann im Unternehmen, weil er halt eben in der angestell­ten Posi­tion keine Zeit mehr für hat, hole ich mir halt Exper­tise von draußen. Und das kann ich mir halt holen, ob ich nur mal so einen Punch brauche, dass mir das nur mal ein­er erk­lärt, dass ich mal eine Inten­sivschu­lung kriege, dass mir ein­er als Spar­rings-Part­ner von außen zur Ver­fü­gung ste­ht, kurze Fra­gen, Antworten machen kann oder ich gebe das halt so weit raus, dass ich sage, mach du mal, unter­stützt uns voll­ständig mit dabei, empfehle uns Sys­teme, mach die Dinger, gib uns Best-Prac­tice-Anweisun­gen, hast du Vorschläge, wie man Home-Office-Richtlin­ien machen kann, kennst du gute Pass­wort­man­ag­er, um es wieder auf Pass­wort­the­ma zu kom­men.

Und dann kann ich das effek­tiv im Unternehmen umset­zen. Auch das ist ein Rechen­beispiel, glaube ich, von Fir­men, wo man dran gehen muss.

[René]

Ja, das wäre aus mein­er Sicht auch schon eigentlich das Wort zum Son­ntag, was die Hür­den bei der Ein­führung so ange­ht. Ich denke, damit haben wir das so ziem­lich erledigt.

[Michael]

Ja, und was du halt auch als Hür­den hast, ganz kurz noch, so schön beim Pass­wort, das mache ich jet­zt mit der Hürde noch fer­tig, du musst halt durch tech­nis­che Maß­nah­men oder durch Dinge Mitar­beit­ern Alter­na­tiv­en anbi­eten, die sauber funk­tion­ieren. Bleib bei dem Beispiel, du hast vorher mit vier­stel­li­gen Pass­wörtern, warst du hap­py im Unternehmen, jed­er Mitar­beit­er hat ein Pass­wort gehabt, das war 1, 2, 3, 4, damit ging über­all alles durch, ist Bombe. Und jet­zt sagst du zu ihm, pass mal auf, ich hätte jet­zt gerne hochkom­plexe Pass­wörter, unter 25 Zeichen machen wir hier nichts mehr.

Dann wird der natür­lich entsprechend glück­lich sein. Und wenn du dem jet­zt auch sagst, jed­er dienst ein anderes Pass­wort, wird der noch glück­lich­er sein. Und dann fängt der, wenn du dem keine gescheit­en Maß­nah­men gib­st, das umzuset­zen, dann fängt der wieder an mit einem Stück Papi­er.

Dann wird der sich irgendwelche Brück­en oder son­st irgend­was bauen. Das heißt, in dem Moment soll­test du ihm Alter­na­tiv­en anbi­eten, die sicher­er, aber am End­ef­fekt vom Betrieb noch ein­fach­er sind. Näm­lich klas­sik­er Pass­wort­man­ag­er.

Eine tech­nis­che Lösung, da gibt es ein Stück Soft­ware, das set­zt die Pass­wörter automa­tisch ein, das erken­nt auf welch­er Web­seite du bist, du machst Copy-Paste, du gehst dann nur drauf, trickst aus Felde, erken­nt automa­tisch, ey, du bist ja jet­zt hier, bei der Soft­ware soll ich eben schnell Benutzer­na­men und Pass­wort eingeben. Zack, ab dafür. Dass das lei­dende Schmerzpunkt von den Mitar­beit­ern mit hochkom­plex­en Pass­wörtern und ich kann nicht mehr merken und die Umge­hung mit 1, 2, 3, 4 gar kein The­ma mehr ist, weil es halt tech­nisch so geregelt ist, dass es halt ein­fach­er ist.

Und das sind halt auch, wie du gesagt hast, das sind halt Über­win­dun­gen von Hür­den. Ja, genau.

[René]

Also man muss es so ein­fach wie möglich hal­ten für die Leute, die es danach auch wirk­lich nutzen. Das sollte man halt defin­i­tiv dabei berück­sichti­gen bei der ganzen Geschichte. Genau.

Und da kom­men wir auch zu einem Punkt, das sollte das End­pro­dukt sein. Also wichtig ist, dass man daraus auch wieder einen Vorteil zieht. Und wenn wir jet­zt auf der einen Seite sagen, ja, der Sicher­heit­saspekt steigt auf der einen Seite, das muss natür­lich das große Ziel bei so ein­er Com­pli­ance sein.

Dann, wenn ich dem Mitar­beit­er einen Pass­wort­man­ag­er zur Ver­fü­gung stellen kann, dann hil­ft ihm das ja auch. Das ist ja auch für den Mitar­beit­er dann entsprechend eine Verbesserung oder ein Fortschritt. Also da ist es ja auch, wenn der Mitar­beit­er dann nach­her, egal in welch­er Anwen­dung, seine Autover­voll­ständi­gung aus dem Pass­wort­man­ag­er nutzen kann, dann ist es ja auch für diesen ein Fortschritt und eine Verbesserung der Möglichkeit­en.

Und so kann ich entsprechend Verbesserun­gen für alle schaf­fen. Das macht auf jeden Fall schon eine ganze Menge aus. Und ich meine, bitte?

[Michael]

Ja, ich wollte ger­ade sagen, das Prob­lem bei dem ganzen Sache ist, dass wir proak­tiv tätig sind. Also, das ist ja auch wie bei dir oder bei mir halt auch, aber bei dir in der IT ist es noch was anderes.

Wenn der Kunde ein­mal einen richti­gen Crash hat­te, wenn es ein­mal gecrashed ist, wenn die Dat­en weg sind, wenn die Dat­en abge­flossen sind, dann muss ich mich mit irgend­was herumärg­ern, wenn die Dat­en auf ein­mal nicht mehr da sind.

Wenn die Serv­er abger­aucht sind etc. pp., dann hast du in der Regel die Geschäft­sleitung wesentlich empfänglich­er vor dir sitzen, als wenn du in einem Unternehmen, wo erst­mal noch nichts passiert ist und du sagst, pass mal auf, wir ziehen jet­zt mal die Präven­tion nach oben und wir passen mal auf, dass das genau so bleibt, wie es jet­zt ist und du dem klar machen musst, dass es so, wie er jet­zt seinen Lev­el hat, dadurch, dass die Bedro­hungslage, die Tech­nik etc. pp.

immer weit geht, dass es so wahrschein­lich nicht mehr lange gut gehen wird und er Dinge tut, die er tut. Wo er erst­mal nicht direkt einen Effekt hat, weil halt ein­fach es so geschmei­dig weit­er­läuft, wie es jet­zt schon läuft und er halt im ersten Moment nicht das Geld sieht, was er spart, son­dern nur mal das Geld sieht, was es kostet. Hast du einen, wo du eine richtige Lücke hast oder einen Crash hast, dem hast du wesentlich schneller eine Fire­wall, einen neuen Serv­er, einen zweit­en Back­up, einen etc. pp. verkauft, dann sagt, sieh zu, nie mehr darf mir das passieren, weil er weiß, was es kostet und das ist die Präven­tion, ist halt schw­er­er zu argu­men­tieren und zu verkaufen.

[René]

Das ist so. Am Ende des Tages soll­ten wir auf solche Fälle aber nicht warten. Nein.

Ger­ade was das The­ma Hack­er oder Gehackt wer­den ange­ht, gibt es einen ganz bekan­nten Spruch und da wird halt gesagt, die Frage ist nicht, ob du gehackt wur­dest, son­dern wann und wie lange du gebraucht hast, um es zu erken­nen. Ja, das stimmt halt auch tat­säch­lich. Da haben wir jet­zt mit­tler­weile oft genug darüber gesprochen und die Gründe dafür sind klar, warum jedes einzelne Unternehmen, ob groß oder klein, ein inter­es­santes Ziel für Hack­er ist.

War es damals halt immer nur so, dass die größeren Unternehmen waren, wer­den auch zunehmend jet­zt ein­fach die kleineren Unternehmen oder auch sog­ar Pri­vat­per­so­n­en zur Zielscheibe. Was ich damit ein­fach sagen will, ist, man sollte halt entsprechend nicht auf diesen Fall warten oder sich darauf ver­lassen, dass es bei sich selb­st eben nicht passiert. Nein.

[René]

Und genau dazu tra­gen eben auch die Com­pli­ance-Regeln bei, um eben auch genau solchen The­men aus dem Weg zu gehen.

[Michael]

Genau. Und da sind Leute, die es schon öfters gemacht haben und die unter­stützen kön­nen, die, die helfen kön­nen, dass ich aber auf der anderen Seite keine Sau durchs Dorf treibe und nicht auf irgendwelchen Din­gen zu stark fokussiert und unter­wegs bin. Ich habe Kun­den gehabt, die haben ein rel­a­tiv alle­in­ste­hen­des Gebäude gehabt, die haben keine hochsen­si­blen Dat­en ver­ar­beit­et, nor­male Büro­dat­en, keine Entwick­lung, keine Kern­forschung, kein Entwick­lungsrah­men, kein nichts.

Die haben ange­fan­gen und haben schnur­lose Mäuse und schnur­lose Head­sets ver­boten, weil sie Angst vor Abhöran­grif­f­en hat­ten, aber keinen gescheit­en Back­up-Serv­er da ste­hen. Also, was ich damit sagen will, ist, man muss bei all dem, was man macht, den gesun­den Men­schen­ver­stand mit ein­schal­ten und muss das notwendi­ge Maß beacht­en, welch­es Lev­el brauche ich wirk­lich. Und da hil­ft es halt immer wieder, wenn ich einen habe, der weiß, worum es geht und mit prak­tis­chen Tipps und Anleitun­gen und Erfahrun­gen da unter­stützen kann.

Abso­lut, genau.

[René]

Also eigentlich wie in jedem Bere­ich. Wie zum Beispiel, wenn du einen Klemp­n­er brauchst, weil deine Wasser­leitung in der Wand kaputt ist, da kleb­st du halt auch keinen Kau­gum­mi drauf. Da holst du dir ein­fach jeman­den, der es auch vernün­ftig kann.

Der richtet das dann wieder. Und so ist es halt in vie­len Bere­ichen. Also ich per­sön­lich jet­zt zum Beispiel würde niemals ein Auto anfassen bzw. irgend­wie daran rum­schrauben, weil ich ein­fach gar keine Ahnung davon habe. Und dafür gibt es dann halt immer Leute, die das kön­nten. Das gibt es halt in jedem Bere­ich.

Und das ist auch sehr, sehr gut so.

[Michael]

Ich finde das cool, dass es die zum Glück gibt. Ich hat­te, glaube ich, das The­ma mit ein­er Tür am Ein­stellen, dass was nicht gepasst hat oder so ein Kram. Da kommt der Schrein­er, der schlägt dreimal oben gegen das Schloss oben drüber, gegen das Scharnier oben drüber und dann war die Sache erledigt.

Also ver­stehst du, was ich meine? Dieses Gewusst-Wo und dieses Know-How, die Gelassen­heit an den Tag zu leg­en und zu sagen, komm mal her, pass auf, ein­mal klack, Prob­lem ist gelöst. Und du stehst da eine halbe Stunde davor und hast gedacht, na klar, du hast es halt drauf, du machst das regelmäßig, gib ihr hey, alles richtig gemacht.

Das gibt es halt in unser­er Branche auch.

[René]

Selb­st wenn man dann sagen sollte, okay, das Wis­sen, was ich jet­zt von denen gesam­melt habe, das wende ich dann halt nach­her sel­ber an, dann ist das okay. Man hat sich zumin­d­est aber schon mal für diesen einen Punkt die Exper­tise ins Haus geholt. Und alles andere zeigt sich dann halt auch, an welch­er Stelle komme ich jet­zt sel­ber weit­er, dadurch, dass ich eben vorher diese Infos bekom­men habe oder eben auch wo nicht.

Ja. Und wo ich dann eben doch nochmal Unter­stützung brauche.

[Michael]

Ja, und auch das ist ja vol­lkom­men nor­mal. Die Unternehmen oder der, der im Unternehmen sich das Ding küm­mert und damit dabei geht, das sind ja die, die jeden Tag im Unternehmen sind und die alles mitkriegen. Und natür­lich kannst du in der Beratung und auch bei dir als Dien­stleis­ter, du kannst immer nur reagieren, wenn du irgend­was mitkriegst, beziehungsweise irgend­was siehst, entwed­er durch Mon­i­tor­ingsys­teme oder du halt eben klas­sis­chen Anruf kriegst.

[Michael]

Aber die, die da drin sind im Unternehmen und die mit den Sys­te­men arbeit­en regelmäßig, das ist für mich das Beste ist, wenn ich die so fit kriege, dass sie ganz, ganz viel eigen­ständig machen kön­nen und mich nur noch als Tele­fon­jok­er anrufen. Das heißt, ich mache die, entwick­le die immer weit­er, die wer­den selb­st­ständi­ger. Das ist der Anspruch, den wir haben soll­ten.

Es macht keinen Sinn, den Kun­den dumm zu lassen nach dem Mot­to, dann braucht er mich länger. Das ist vol­lkom­men falsch­er Ansatz.

[René]

Gut. Das wäre das. Ich glaube, im All­ge­meinen soll­ten wir jet­zt an der Stelle durch sein.

Wir gehen ja dann in den näch­sten Episo­den dann auf die einzel­nen Bere­iche ein, die es da so geben kann. Manche davon braucht jedes Unternehmen. Manche sind aber auch sehr spez­i­fisch und wer­den nur für vere­inzelte Unternehmen inter­es­sant sein.

Da müssen wir mal ein biss­chen guck­en, wie sich das entwick­elt. Wir lassen das Ganze auch so ein biss­chen auf uns zukom­men. Wir haben die Bere­iche für uns alle klar.

Manche Bere­iche sind aber eben umfan­gre­ich­er, manche eben weniger umfan­gre­ich. Wir schauen ein­fach mal, wie viele Episo­den es dann nach­her wer­den. Da wis­sen wir natür­lich auch noch nicht genau, wo wir dann hin­ten rauskom­men.

Es kön­nten auch 20 Episo­den wer­den, aber wer weiß das schon. Ganz so viel davon gehen wir jet­zt ein­fach mal nicht aus und wer­den es irgend­wann dann auch deck­en.

[Michael]

Und die länger.

[René]

Da wer­den wir noch mal sehr ins Detail gehen. Wir schauen mal. Darum würde ich sagen, deck­en wir es jet­zt an dieser Stelle für diese Episode.

In der näch­sten Episode geht es dann eigentlich sofort tiefer rein. Da wer­den wir nochmal all­ge­mein spez­i­fis­che Dinge behan­deln. Aber wir wer­den da auf jeden Fall noch nicht branchen­spez­i­fisch unter­wegs sein.

Von daher, beim näch­sten Mal geht es dann nochmal richtig los.

[Michael]

So wird es getan. Vie­len lieben Dank.

[René]

Vie­len lieben Dank, Michael. Und vie­len Dank an alle, die zuge­hört haben. Dann hören wir uns beim näch­sten Mal wieder.

Und bis dahin gerne Social Media, Pod­cast, Web­site, alles mal besuchen. Alles über­all rein­hören, Likes gerne dalassen, uns empfehlen oder weit­er teilen. Würde uns wirk­lich freuen.

Bis dahin, alles Gute.

[Michael]

Tschüss.

[René]

Tschüss.