#28 ITC — Governance, Auditing & Awareness

[René]

Her­zlich willkom­men zur neuen Episode der users lounge. Jet­zt Episode 28, Michael. Ich werde es jet­zt mal in Zukun­ft ein paar Mal ansagen, damit wir es nicht noch mal vergessen.

[Michael]

Moin.

[René]

Moin. Ja, mit mir zusam­men Michael natür­lich und wir sprechen heute weit­er­hin über IT Com­pli­ance. Dies­mal gehen wir so ein biss­chen auf Gov­er­nance ein, Risiko- und Not­fall­man­age­ment wer­den wir kurz anschnei­den, weil das hat­ten wir vor kurzem erst und wer­den dann zum Audit­ing, Report­ing, Train­ing, Aware­ness, alles so aus dieser Schiene dann auch noch mal mitbe­sprechen.

Wir guck­en mal, wie weit wir kom­men. Eventuell müssen wir es split­ten, aber anson­sten wird das alles heute mal so ein biss­chen drin sein. Ich denke, wird für dich schon passen, Michael.

[Michael]

Wenn wir uns nicht ver­ga­lop­pieren in irgen­deinem Zweig, wer­den wir das alles nicht kriegen in dieser Episode. Passiert ja auch so gut wie nie. Die haben wir noch nicht gemacht, dass wir abgedriftet sind.

Von daher bin ich ganz guter Dinge.

[René]

Genau. Starten wir mit der IT Gov­er­nance. Ist eigentlich so ein Ober­be­griff für, ja ist so der Rah­men und Prozesse halt für das Ganze und set­zt sich halt auch aus mehreren Din­gen zusam­men.

Ein­mal auf jeden Fall aus der strate­gis­chen Aus­rich­tung. Wie ist das Unternehmen aufgestellt? Wird die Geschäftsstrate­gie von der IT auch unter­stützt?

Also alles, was man macht, das sollte halt wirk­lich an diese Strate­gie des Unternehmens aus­gerichtet sein, genau­so wie an die Ziele, dass das halt nicht aneinan­der vor­beis­chießt. Die IT kann halt nicht sagen, okay, wir wollen jet­zt in die eine Rich­tung und das Unternehmen will aber was ganz anderes. Das funk­tion­iert halt nicht.

[Michael]

Also so von der Aus­rich­tung her sollte klar sein, was das Unternehmen für eine Aus­rich­tung macht oder was das Unternehmen für einen Zweck hat und danach sollte es sich aus­richt­en. Ganz klar. Du soll­test halt die Tech­nik, die IT Secu­ri­ty und alles, was du machst in deinem Unternehmen an IT, darauf ausle­gen, dass du deinen Geschäft­szweck sich­er und erfol­gre­ich umset­zen kannst.

Und das ist ganz klar. Je nach Geschäft­szweck hast du natür­lich unter­schiedliche Anforderun­gen, unter­schiedliche Gov­ern­ments an dein­er IT Secu­ri­ty und an dein­er Infor­ma­tion­ssicher­heit.

[René]

Ja, und wenn wir mal zurück­ge­hen zur ersten, also zur Eröff­nungs­folge von der IT Com­pli­ance, da gab es ja eben diese drei Bere­iche und da sind wir ganz klar im unternehmensin­ter­nen Bere­ich, wo wir dann wirk­lich unsere eige­nen Richtlin­ien und sowas alles zur Rate nehmen und zur Hand nehmen und daran dann alles ori­en­tieren.

[Michael]

Genau.

[René]

Zweit­er Bere­ich ist auf jeden Fall das Risiko­man­age­ment und Not­fall­man­age­ment. Das set­zt daran an. Wie ich ger­ade schon gesagt habe, soll­ten wir jet­zt nicht ganz so tief darauf einge­hen, weil wir ja vor kurzem erst darüber gesprochen hat­ten.

Den­noch soll­ten wir ein­mal darauf einge­hen. Aber wie gesagt, ganz grob. Risiko­man­age­ment ist auf jeden Fall eine Abwä­gungssache.

Wir hat­ten ja let­ztes Mal gesagt, dass ist halt so ein biss­chen dieses Abwä­gen, welche Risiken sind hoch und wo sind die Auswirkun­gen auch entsprechend hoch. Dass man eben darauf einge­ht und schaut, dass man da gewisse Prozesse imple­men­tiert, die eben dafür sor­gen, dass wir schnell wieder ans Ren­nen kom­men beziehungsweise, dass wir auch über­haupt erst ver­hin­dern, dass das entwed­er so hohe Auswirkun­gen hat oder dass die Ein­trittswahrschein­lichkeit so hoch ist.

[Michael]

Ja, aber da sind wir aber auch wieder in der let­zten Folge, wo wir über Com­pli­ance gesprochen haben und wo wir darüber gesprochen haben, scharfe Trans­parenz. Und da hat­ten wir, wenn wir gesagt haben scharfe Trans­parenz, hat­ten wir die Beispiele, welche IT habe ich denn im Unternehmen und welche Soft­ware habe ich denn, welche Assets sind im Unternehmen. Und das ist, wenn man so vom Risiko­man­age­ment über­legt, wo fange ich denn da an, was ist denn über­haupt, dann ist das natür­lich auch ein Mega-Indika­tor oder ein Mega-Ein­stieg ins Risiko­man­age­ment, weil wenn ich weiß, was ich für eine Soft­ware im Ein­satz habe, ich weiß, was ich für PCs habe, wie mit den PCs umge­gan­gen wird, dann kann ich mir schon sehr gut genau über sowas mein Risiko­man­age­ment hochziehen oder kann Risiken iden­ti­fizieren. Wir hat­ten, ich kann mich grob daran erin­nern, wir hat­ten let­ztes Mal, das Beispiel mit ein­er Per­son­al­soft­ware, wo Per­son­al­dat­en aus­ge­lagert sind in Soft­ware-as-a-Ser­vice-Dien­stleis­ter und nur wenn ich das weiß und habe die Trans­parenz im Unternehmen, dann kann ich mir darüber Gedanken machen, welche Risiken entste­hen dann dadurch.

Was kann denn passieren? Näm­lich eben, dass die Dat­en nicht mehr im Back­up drin sind. Eben, dass es wahrschein­lich die Möglichkeit gibt, dass der Anbi­eter vom Markt ver­schwindet, in seine Dien­ste ein­stellt, dass die Dat­en wieder raus müssen aus dem Anbi­eter.

Übri­gens ein The­ma ist aus der aktuellen Sache 27001 in der 2022 Ver­sion, die wollen zum Beispiel, dass du dir, bevor du in so einen Cloud-Dien­stleis­ter reingehst, dir Gedanken machst, wie du aus dem Cloud-Dien­stleis­ter auch wieder rauskommst, dass du eben nicht aus­geliefert bist an so einen IT-Dien­stleis­ter, an so einen Soft­ware-as-a-Ser­vice-Dien­stleis­ter und du als Dat­en füt­terst über Jahre und wenn du den Dien­stleis­ter wech­selst, kriegst du den Kram ein­fach nicht mehr raus.

Und das sind so Dinge, genau, du lachst schon, aber das ist ein Klangteil. Gibt es, das ist defin­i­tiv so. Und das sind so Sachen, wo man klas­sisch eine Risiko-Betra­ch­tung darüber machen sollte und sollte sich genau anguck­en, was habe ich denn für Satel­liten in meinem Unternehmen rund­herum, das heißt für Dien­stleis­ter, für Sys­teme, für etc. pp. Und mit welchen Risiken sind die behaftet? Und da ist auch, auch da nochmal, um den Lev­el ganz low zu machen oder um den Ein­stieg ger­ing zu haben, da geht vieles mit einem gesun­den Men­schen­ver­stand, wenn man ein biss­chen IT-Affinität hat vor der ganzen Sache.

[Michael]

Da muss man nicht der let­zte für den Ein­stieg, nicht das tief­ste Wis­sen bis in die 25. Kom­mas­telle haben, son­dern da muss ich halt ein­fach nur mit ein­er IT-Affinität oder mit ein­er Affinität für organ­isatorische Dinge drange­hen, wo ich mir ein­fach mal Gedanken machen muss, was kann denn wirk­lich passieren, wenn? Und da schreibe ich auf.

Und Risiko­man­age­ment im Detail haben wir in der Folge, ein paar Fol­gen davor besprochen und da kann gerne jed­er nochmal rein­hören.

[René]

24

[Michael]

24 was? Ein­trittswahrschein­lichkeit, Auswirkun­gen, Schaden­shöhe, Risikoiden­ti­fizierung, Risikobe­hand­lung, Risikobe­w­er­tung, Restrisiko etc. pp. Genau.

[René]

Genau und daran set­zt ja dann auch das Not­fall­man­age­ment ein. Not­fall­man­age­ment, nur um es ganz kurz nochmal umris­sen zu haben, dabei geht es ja darum, wie ist der Ablauf? Ich beschreibe qua­si, was in einem Worst-Case, so möchte ich es mal nen­nen, oder in einem, was weiß ich, nehmen wir mal das Beispiel, als in Deutsch­land qua­si die ganzen EC-Cache-Geräte aus­ge­fall­en sind.

So, wie ist da der Ablauf? Wen rufe ich an? Wer küm­mert sich?

Wie gehen wir vor, damit wir halt wieder schnell ans Ren­nen kom­men? Das ist halt qua­si kurz umris­sen das, worum es geht.

[Michael]

Was muss ich tun, wenn Mur­phy zuschlägt? Das muss ich mich halt ein­fach mit auseinan­der­set­zen und im Ide­al­fall habe ich dann genau das, was du hast, näm­lich Not­fallplan, in irgen­dein­er Schublade liegen und kann entsprechend vorge­hen und habe mir vorher Gedanken gemacht, was tue ich, in welch­er Sit­u­a­tion. Und auch das leit­et sich wieder aus dem Risiko­man­age­ment ab und auch das leit­et sich aus der Fest­stel­lung oder aus der Bew­er­tung, wie wichtig sind denn meine Dat­en?

Wie wichtig ist denn die Ver­füg­barkeit der Dat­en? Also, ich habe einen Serv­er in meinem Asset-Inven­tar, Risikoab­schätzung, oh, der ist aber wichtig, da liegen Dat­en drauf, wenn der abbraucht, wäre schon doof. Und dann habe ich halt einen Not­fallplan in let­zter Kon­se­quenz da hin­ten drin ste­hen, was ich machen muss, wenn mein Serv­er nicht funk­tion­iert.

Entwed­er habe ich einen Redun­dan­ten angeschafft und ich habe Dienst-Ser­vice, Dien­stleis­tung, Ser­vice-Lev­el-Agree­ment hin­ten dran, etc. pp. Ich habe einen Not­fal­lkon­takt, ich habe das, ich habe dies.

Das kriege ich alles abgeleit­et, aber dazu muss ich ganz am Anfang vorne anfan­gen, was habe ich denn über­haupt und was will ich schützen und wie wichtig ist mir das? Erstens im Risiko­man­age­ment.

[René]

Ja, und du hast das let­zte Mal ja auch ziem­lich gut beschrieben, die, oder was heißt ziem­lich gut, es war natür­lich wun­der­bar und auf den Punkt genau. Ein Träum­chen. Genau.

Was aber tat­säch­lich, und zwar hast du ja gesagt, das Risiko­man­age­ment ist ja dafür da, um entwed­er die Ein­trittswahrschein­lichkeit oder eben auch die Auswirkun­gen zu senken.

[René]

Und alles, was sich tech­nisch eben nicht lösen kann, das kommt eben in das Not­fall­man­age­ment, da schaffe ich organ­isatorisch außen­rum alle Möglichkeit­en noch.

Und das bringt es ja so ziem­lich auf den Punkt.

[Michael]

Tech­nik ist immer zu bevorzu­gen, da hast du näm­lich die Fehlerquellen. Natür­lich. Wann immer du Tech­nik solide machen kannst, soll­test du genau das tun, ja.

[René]

Ja, deswe­gen, also da ergänzen sich diese bei­den Dinge ein­fach und ja, und da gren­zen sie sich auch eben, wie ger­ade beschrieben, dann doch wieder auch ein Stück weit voneinan­der ab. So, das näch­ste nach diesem Punkt ist das Ressourcen­man­age­ment. Also da geht es wirk­lich um die Effek­tiv­ität und die opti­male Nutzung eben von IT-Ressourcen, also ob es jet­zt Per­son­al ist, Tech­nolo­gie, finanzielle Mit­tel und so weit­er, also dass das bere­it­ste­ht beziehungsweise auch berück­sichtigt wird, wie weit kön­nen wir das bere­it­stellen.

Es gibt Unternehmen, die dann halt vielle­icht auch mit einem kleinen Bud­get arbeit­en, da muss man halt guck­en, was man mit diesem Bud­get eben machen kann und das muss in den Com­pli­ance dann, oder das ist ja jet­zt erst­mal Gov­er­nance, das ist ein Teil der Com­pli­ance, aber das muss halt darin auch berück­sichtigt wer­den. Also da bringt es auch nichts wirk­lich zu sagen, hey, wir kön­nten und wir stellen uns vor, wir machen das so und so und in der Real­ität sieht es ganz anders aus. Ich meine, mit Kanonen auf Spatzen schießen macht keinen Sinn und auf der anderen Seite, wenn ich ein Bud­get von 5.000 meinetwe­gen im Jahr habe, dann brauche ich keine Com­pli­ance auf­stellen, die nach­her irgend­wie darauf abzielt, dass wir 120.000 haben. Ein totaler Schwachsinn, ne?

[Michael]

Ja, aber auch immer wieder bei mir, du merkst es, es ist immer wieder das Trans­paren­zthe­ma. Wenn ich mir über meine Ressourcen Gedanken mache, schreibe ich auf, Essen auch ein Teil und ich sehe, ich habe halt nur einen Mitar­beit­er, der IT kann in meinem ganzen Unternehmen und ich weiß, der ist par­al­lel auch noch damit beschäftigt, einen anderen Job zu machen. Der ist vielle­icht noch par­al­lel QM-Man­ag­er, aber par­al­lel noch als Pro­duk­tion­sleit­er oder ist noch Head of Ser­vice oder what­ev­er, ja?

Und ich merke, ich wachse und dann habe ich, wenn ich in meinem Ressourcen­man­age­ment reinge­he, merke ich, dass diese Ressource an dieser Stelle sehr wahrschein­lich endlich ist oder auch ein­fach zu ger­ing ist und kann entsprechend reagieren und kann dann halt ein­fach Risikoab­schätzung machen

[Michael]

Was passiert, wenn er krank ist? Was passiert, wenn er in den Urlaub geht?

Was passiert, wenn er aus dem Unternehmen auss­chei­det? Aus welchen Grün­den auch immer, hole ich meinen exter­nen Dien­stleis­ter bei, um die Ressourcen zu erhöhen? Lerne ich einen weit­eren Mitar­beit­er an, stelle ich einen ein?

Also auch das ist alles Ressourcen­man­age­ment. So wie der ITler auf die Ressource guckt, oh der Serv­er ist jet­zt drei, vier Jahre alt, die Fest­plat­ten wer­den langsam voll, der Spe­ich­er ist nicht mehr so, wie ich ihn gerne hätte, weil die Pro­gramme stärk­er gewor­den sind, der Prozes­sor ist zu langsam gewor­den. Also so wie ich da die Ressource Hard­ware sehe, sehe ich, wenn ich aus der reg­u­la­torischen Seite komme und nicht aus der organ­isatorischen Seite komme, nicht aus der tech­nis­chen Seite komme, sehe ich halt solche Skills, wie passt das mit dem Per­son­al?

Habe ich die Kom­pe­ten­zen dran? Habe ich die Ressourcen dabei? Sind die Gelder für die IT-Abteilung geblockt für dieses Jahr und für das näch­ste Jahr?

Sind die Bud­gets frei? Dass halt auch Geld in Tech­nik investiert wird. Ich weiß, Schnittpunkt, ich weiß, in zwei Jahren wird man ITler rufen, weil der Serv­er ver­al­tet ist und der Serv­er gedreht wer­den muss.

Sind die Ressourcen da? Passt das? Ist das alles sauber einge­plant?

Das ist alles Ressourcen­man­age­ment.

[René]

Ja, abso­lut. Also ich habe es in der let­zten Folge ja schon gesagt, dass wir jeman­den in der Com­mu­ni­ty haben, der lei­der von seinem Arbeit­ge­ber dann doch nicht so viel zur Ver­fü­gung gestellt bekom­men hat. Er hat uns da geschrieben, dass da Serv­er teil­weise eben acht Jahre, 13 Jahre alt sind oder dass es da noch XP-Sys­teme gibt.

Das tut mir sehr leid, dass das so ist, aber da sollte man auf jeden Fall stark dran arbeit­en. Kann natür­lich die Per­son selb­st nicht, aber das ist das, was du sagst oder was wir ger­ade auch ein­gangs gesagt haben. Das muss halt, das ergänzt sich ja auch so ein biss­chen.

Also auf der einen Seite sollte sich das Ganze natür­lich an der strate­gis­chen Aus­rich­tung ori­en­tieren. Ander­srum, die Strate­gie muss natür­lich auch ein Stück weit da wieder drauf zie­len, weil das ist ein­fach ein Teil des Ganzen. Also das kann man nicht voneinan­der loslösen und sagen, okay, wir wollen immer weit­er, aber investieren auf der anderen Seite wollen wir dafür nicht.

Das funk­tion­iert halt auch nicht.

[Michael]

Und The­ma Ressource, um da auch nochmal einen Klas­sik­er zu brin­gen. Ich weiß nicht, bei wie vie­len Unternehmen oder wie oft ich das schon erlebt habe, auch selb­st noch in Lohn- und Brot­stand, dass du irgendwelche ERP-Sys­teme oder CRM-Sys­teme mit flo­ten­den Lizen­zen hast, dass du halt ein Sys­tem gekauft hast, wo du drei Lizen­zen hast, das heißt drei User dür­fen par­al­lel auf die Soft­ware zugreifen. Ich weiß nicht, wie oft in Unternehmen, ich weiß auch, das wäre mal eine Schätzfrage an dich und wie oft du da schon gesagt hast, wie viele Stun­den unpro­duk­tive Zeit in so einem Unternehmen im Jahr draufge­hen, weil irgendwelche Leute durch die Gegend ren­nen oder tele­fonieren oder E‑Mail schreiben, geh mal aus der Soft­ware raus, ich muss da jet­zt mal rein, weil die Ressource-Lizenz für die Soft­ware halt ein­fach viel zu ger­ing ist und du über­haupt nicht effek­tiv dur­char­beit­en kannst. Das ist ein Run­ning Gag bei vie­len Unternehmen.

Bist du da noch im Sys­tem drin, geh mal raus, ich muss mal rein, ich muss da mal was ein­tra­gen. Ach nee, du bist gar nicht mehr drin, ja, wer ist denn noch drin? Ah ja, das ist der und der.

Hm, blöd, der ist ein­gel­og­gt geblieben, ist aber jet­zt in der Mit­tagspause. Also alles so Dinge, ja, auch das entschmeckt in meinen Augen.

[René]

Ich werde dir lei­der mit kein­er Schätzung dienen kön­nen, aber es ist viel.

[Michael]

Du weißt aber genau, was ich meine.

[René]

Ja, defin­i­tiv. Also ich wette, dass es bei vie­len Unternehmen täglich ein The­ma ist. Ja.

Du hast da meinetwe­gen fünf Mitar­beit­er, die müssen in eine Soft­ware, aber nur drei Lizen­zen sind da, die tauschen sich täglich dazu aus und nicht nur ein­mal, eher öfter. Das kann ich voll nachvol­lziehen, worauf du hin­aus willst, aber ich werde dir nichts wirk­lich schätzen kön­nen.

[Michael]

Ja, auch das ist Ressourcen­man­age­ment und auch da ist wieder Trans­parenz gefragt. Ich zehn Mitar­beit­er habe und ich stelle fest, ich habe nur drei Lizen­zen. Wahrschein­lich zu dem Zeit­punkt, wo ich die drei Lizen­zen gekauft habe, waren nur vier Per­so­n­en in der Abteilung.

Mag es noch gegan­gen sein, aber die Abteilung ist gewach­sen, der Bedarf ist höher und die Lizen­zen sind nie nachge­zo­gen wor­den. Das merke ich nur dann, wenn ich das trans­par­ent darstelle und mir das sehe und wenn ich halt auch im Unternehmen kom­mu­niziere an dieser Stelle. Ressourcen.

Auch Lizen­zen sind Ressourcen.

[René]

Genau. Ja, also da kann man ja wirk­lich von vorne bis hin­ten span­nen. Also ich glaube, da gibt es ein­fach so viele Bere­iche jet­zt.

Es ist ja auch ein Zeit­man­age­ment. Auch Zeit ist ja eine gewisse Ressource. Jet­zt kön­nte man natür­lich sagen, das ist Per­son­al.

Ja, okay. Aber nehmen wir mal an, das ist jet­zt ein Unternehmen, was wirk­lich jet­zt mit ein­er IT-Per­son plant. Diese IT-Per­son kann sich ja nicht nur auss­chließlich um die laufende IT küm­mern.

Die muss sich ja auch informieren, was gibt es Neues am Markt. Und wenn sie das nicht kann, dann muss sich das ander­weit­ig lösen. Extern, zweite Per­son.

Ja, ist Per­sonal­man­age­ment, aber es ist aus mein­er Sicht auch ein Stück weit Zeit­man­age­ment. Also nehmen wir mal noch mehr Dinge. Selb­st wenn jemand nur meine interne IT betanken soll und nur sich darum küm­mern soll, muss der­jenige trotz­dem Schu­lun­gen zum Beispiel haben.

Und Schu­lun­gen müssen zeitlich mit einge­plant wer­den. Also da kann ich jeman­den nicht ein­fach den ganzen Tag für eine bes­timmte Sache weg­pla­nen. Der muss sich ein­fach weit­er fort­bilden und der muss im The­ma bleiben.

Selb­st wenn er keine neue Soft­ware oder so ein­führt, selb­st ein Win­dows-Serv­er entwick­elt sich ja per­ma­nent weit­er durch die Updates, durch was weiß ich was. Also das ist auch etwas, wo man ein­fach nicht drumherum kommt. Also auch die Zeitres­source ist auf jeden Fall ein The­ma.

[Michael]

Zeit ist eine sehr kri­tis­che Ressource über­all, ja.

[René]

Ja. So, näch­ster Punkt. Leis­tungsmes­sung ist aus mein­er Sicht auch ein Riesend­ing.

Also da wirk­lich für sich erst mal KPIs zu find­en, also wirk­lich die Indika­toren dafür, um die Leis­tung mein­er IT über­haupt messen zu kön­nen. Worauf lege ich Wert? Ist es jet­zt die Aus­fall­sicher­heit?

Also wirk­lich, wie hoch ver­füg­bar ist das ganze Ding?

Ist es die Band­bre­ite? Weil ich jet­zt, keine Ahnung, oder wenn wir jet­zt mal im Secu­ri­ty-Bere­ich sind, wenn ich da von dem Punkt aus­ge­hen würde, nehmen wir mal Mail-Secu­ri­ty, dass ich auswerte, wie viele Spam-Mails kamen rein und wur­den gefiltert.

Also daran kann ich ja dann nach­her auch abmessen, wie gut ist eigentlich meine Anwen­dung oder eben auch nicht, oder meine Lösung. Also da gibt es ganz viele Möglichkeit­en, um wirk­lich da die Leis­tung und die Funk­tion­al­ität vom IT-Sys­tem wirk­lich auch ein­fach messen zu kön­nen. Aber es ist halt zu Anfang sicher­lich ein The­ma, über­haupt her­auszufind­en, was im entsprechen­den Unternehmen auch die wichtig­sten Punk­te sind.

[Michael]

Ja, du musst dir da halt wirk­lich mal einen Moment Gedanken machen, genau das, was du gesagt hast. Was will ich messen? Was brauche ich?

Was ist mein Ziel? Was hängt dahin­ter? Und das ist halt auch, ich kenne viele ITler, die das halt ein­fach dann auch nutzen und diese KPIs halt brauchen oder QMler diese KPIs halt auch brauchen, um halt ein­fach Dinge mess­bar, sat­telfest der Geschäft­sleitung vorzu­tra­gen und trans­par­ent, wenn wir sie darstellen.

Wir haben dieses Jahr 20 IT-Secu­ri­ty-Vor­fälle gehabt. Wir hat­ten fünf mal den Serv­er down. Wir hat­ten 28 Back­ups, die gecrashed etc. pp. Das liegt daran, weil Serv­er das, das ist der Grund, das ist die Ursache. Wir haben uns jedes Ding angeguckt, haben das analysiert.

Es lag ein­fach am fol­gen­den Ding. Ja, wir haben 98 Phish­ing-Angriffe per Mail erfol­gre­ich durchge­habt und haben zweimal Ver­schlüs­selung drauf gehabt, weil wir keine Gelder für einen anste­hen­den Spam-Fil­ter haben. Also alles diese Dinge sind KPIs beziehungsweise Leis­tungsindika­toren, wo man sich über­legen muss, welche man messen will, mit welchem Ziel, um halt ein­fach ganz klar trans­par­ent darzustellen, wo ste­hen wir denn und wo ste­hen wir denn nicht und wo wollen wir gerne hin und wo sind wir noch nicht gelandet und was kön­nen wir dann an Maß­nah­men ableit­en und was kön­nen wir dann für Schritte tun, um genau das zu erre­ichen, was wir uns vorgenom­men haben. Und dann kannst du auch ganz genau sehen, let­ztes Jahr sind wir bess­er gewor­den, weil wir Geld in IT investiert haben.

Dann hat jemand wieder den Geld­hahn ein biss­chen zuge­dreht. Dann sind die KPIs wieder entsprechend gewan­dert. Also das kannst du über KPIs sehr schön trans­par­ent darstellen.

[René]

Ja, also wie du ger­ade gesagt hast, wenn du jet­zt zum Beispiel ein­fach mal guckst, wie oft hat­ten wir Aus­fall und für welche Zeit­en und so. Also die Rei­hen­folge, wie ich jet­zt ger­ade die Punk­te so angeschnit­ten habe, die wer­fen wir mal über einen Haufen. Nehmen wir mal an, wir haben jet­zt eine Leis­tungsmes­sung im Bere­ich Ver­füg­barkeit.

So, dann würde ich dann sagen, okay, wir haben jet­zt eben diese fünf Aus­fälle gehabt, 20 Aus­fälle, wie auch immer. 15 davon waren kurz, 5 waren eben so, dass wir min­destens zwei Stun­den nicht arbeit­en kon­nten. So, und dann erken­nt man vielle­icht auch dann, ja, wir müssten mal im Risiko­man­age­ment etwas tun, um eben genau da bess­er zu wer­den.

So, und das sind halt so Sachen, also das lässt sich dann wieder in alle Rich­tun­gen nutzen und um da eben Entschei­dun­gen oder auch ein Bud­get meinetwe­gen aussprechen zu kön­nen. So, also wie in so vie­len Din­gen, die wir besprechen, man kann es halt wirk­lich in alle Rich­tun­gen wieder nutzen. Nicht immer nur so inselmäßig sehen, man kann da immer was mit tun.

[Michael]

Aber das sollte man nutzen, wie ich auch da wieder, wie viele interne ITler jonglieren mit einem rel­a­tiv insta­bilen IT-Sys­tem und ver­suchen das irgend­wie am Laufen zu hal­ten und haben Aus­fälle und kämpfen mit Graben und haben es eben nicht trans­par­ent, indem sie das wirk­lich mal messen, was sie an Aus­fällen haben, auf­schreiben, dass sie dar­legen kön­nen, woran es liegt etc. pp., um es der Geschäft­sleitung rauszubrin­gen. Das Einzige, was ist, die schwitzen das ganze Jahr über in ihrem Server­raum und geben Voll­gas, dass die Mas­chine läuft und am Ende vom Jahr sagt der Chef, wieso brauchst du denn neues Geld?

Was ist denn mit dir passiert? Ich habe über­haupt keine Aus­fälle gehabt. Es läuft doch alles.

Wirk­lich Prob­leme mit der IT. Hätte ich ja was gemerkt. Es ist ja alles in Ord­nung.

Es gab ja nichts. Und dann stehst du halt auch ein­fach als ITler da und sagst, jet­zt habe ich mir das ganze Jahr ver­sucht dahin aufzureisen und jet­zt ste­he ich hier und es wird nicht investiert, weil es sieht ja so aus, als würde alles funk­tion­ieren.

Und da hil­ft halt ein­fach solche Dinge, Aus­flug, Kap­pa-Man­age­ment und Tick­et­sys­tem und ein­fach mal erfassen, was los ist.

Ich spiele auch mit ins KPI-The­ma rein. Es ist halt ein­fach die Trans­parenz da rein und mess­bare Zahlen. Hil­ft dir halt ein­fach an dieser Stelle.

Supergeil. Argu­men­ta­tion­s­grund­la­gen.

[René]

Ja und als Geschäfts­führung sollte man auch ein hohes Inter­esse daran haben. Denn wenn ich jet­zt wirk­lich eine ITler, ich weiß wovon ich spreche, jet­zt nicht von uns, son­dern jet­zt so bei der Arbeit beim Kun­den. Wenn du per­ma­nent hart gefordert wirst und du bist nur noch unter Strom, dann kann man sich ja vorstellen, was auf Dauer passieren wird.

So und das ist nicht ganz so ein­fach. Und als Unternehmen, das da wirk­lich ITler im Haus hat, wenn man es da zu sehr darauf anlegt, wird dieser ITler irgend­wann nicht mehr da sein oder er wird irgend­wann ver­mehrt krank. So und dann kann ich mir aus­rech­nen als Geschäfts­führung, wie dann meine Aus­fal­lzeit­en ausse­hen.

Dann habe ich da gar keinen Spaß mehr dran.

[Michael]

Aber hier, René, lass uns kurz driften. Am besten ist es doch, wenn der ITler den ganzen Tag durch die Fir­ma schlupft, mit der Tasse Kaf­fee in der Hand und einen chill­ten Ein­druck macht. Das sieht zwar für den Chef so aus, als würde er nichts erar­beit­en, aber dann weiß ich ganz genau, der hat seine IT unter Kon­trolle und wenn ich meinen IT-Admin immer mit einem stram­men Schritt und einem Schrauben­zieher und einem Arm oder son­st irgend­was in der Hand durch die Fir­ma flitzen sehe, dann sieht das zwar so aus, als wäre der super, jet­zt macht der mal was für sein Geld, aber am Ende ist das das beschissenste Sig­nal, was du kriegen kannst, weil dann klemmt es irgend­wo.

Ich habe früher in der Instand­hal­tung gear­beit­et. Da kam auch der Chef und hat gesagt, was sitzt ihr hier im Büro? Sei froh, solange ich hier sitze und die Bildzeitung lese oder solange ich hier sitze und Kaf­fee trinke, kannst du dir sich­er sein, die Maschi­nen laufen.

Wäre ich nicht hier und wäre irgend­wo im Schweiß unter­wegs, hättest du Aus­fälle an Anla­gen. Das wäre viel schlim­mer, als dass du mich jet­zt hier in Anführungsstrichen erwis­cht bei ein­er Tasse Kaf­fee im Büro. Solange ich hier sitze, wäre das so.

Und das ist beim ITler genau das Gle­iche.

[René]

Ich hat­te fast genau so einen. Gestern habe ich eine Mail gekriegt von einem Kun­den und da stand als erster Satz sofort drin, ja, moin René, wir haben uns ja schon lange nicht mehr gesprochen. Meine Antwort darauf war, ja, stimmt, ist auf der einen Seite schade, auf der anderen Seite heißt es aber auch, dass es läuft.

Genau. Von daher, ja, ist abso­lut genau das, was du ger­ade gesagt hast. Ja, vielle­icht sollte der­jenige dann irgend­wann natür­lich auch die Zeit­en nutzen.

Aber du hast abso­lut recht. Umso entspan­nter der ITler oder eben die zuständi­ge Per­son da ist, umso bess­er läuft das ganze Sys­tem. Und es kommt ja auch nicht von irgend­woher.

Das heißt ja nicht, dass man ger­ade Glück hat, dass es läuft, son­dern dass man alle Vorkehrun­gen trifft, dass es eben genau so ist. Von daher, da dann von Faul­heit zu sprechen, weil da jemand sitzt, bin ich ganz, ganz weit vorne weg. Ganz weit.

Weil den Weg dahin erst mal schaf­fen, dass man diese Ruhe dann drin hat, da gehört ja schon ein biss­chen was dazu. Von daher.

[Michael]

Ja, und das muss auch aufrechter­hal­ten wer­den. Auch da, auch Serv­er müssen gewartet wer­den, Soft­ware müssen vernün­ftige Updates einge­spielt wer­den. Also das muss ja auch vernün­ftig am Leben gehal­ten wer­den.

Du machst das ein­mal toll und hast da nichts mehr zu tun. Aber wie gesagt, solange die Jungs entspan­nt durch die Gegend laufen, mit der Tasse Kaf­fee in der Hand, bin ich immer froh, wenn mir die auf dem Flur begeg­nen. Da weiß ich genau, hier läuft die IT.

Wenn die ren­nen und haben stramm Schritte und sagen, oh, heute habe ich keine Zeit für dich, garantiert ist wieder was.

[René]

Genau. Gut, dann würde ich sagen, weit­er geht’s zum Audit.

[Michael]

Schöne Über­leitung.

[René]

Ja, kurz und knapp. Was wollen wir drum­rum reden?

[Michael]

Kurz und knapp, ja.

[René]

Wobei Audit, glaube ich, kein kleines The­ma ist.

[Michael]

Nee, aber wir sind ja nicht nor­ma­tiv. Wir gehen ja jet­zt nicht in so große Sachen rein. Wo wir sind, wenn wir uns eigene Spiel­regeln auf­stellen.

Bleiben wir ganz basic bei eige­nen Spiel­regeln. Wenn wir eigene Spiel­regeln auf­stellen und sagen, wir hät­ten Dinge gerne so und so geregelt, stellen das in einem Wiki oder in ein­er Soft­ware oder in irgen­dein­er Art und Weise unseren Mitar­beit­ern zur Ver­fü­gung und sagen, pass auf, so soll es sein. Das ist jet­zt Fakt.

Wir hät­ten gerne, dass ihr so arbeit­et. Ist es natür­lich nur mehr als sin­nvoll, wenn ich in regelmäßi­gen Abstän­den mal über­prüfe, ob meine Mitar­beit­er das auch so tun, wie ich das gerne hätte. Audit.

Ja. Ich nehme mir ein­fach, ich schnappe mir eine Richtlin­ie, ich schnappe mir einen Prozess, eine Ver­fahren­sein­weisung, ein what­ev­er, geart­etes Doku­ment, was ich habe und was ich fest­gelegt habe und gucke bei meinen Mitar­beit­ern ein­fach, ob sie das so tun. Damit audi­tiere ich.

Ich prüfe ein­fach nur, soll gegen ist drüber und schaue, dass das alles in Ord­nung ist.

[René]

Genau. Also wir führen ja auch Audits durch, aber nicht in dieser Form, nicht so ein Prozes­sau­dit, so möchte ich es mal nen­nen. Wir haben ein eigenes Ver­fahren dafür, das heißt, wir schauen in Net­zw­erken halt, wie wer­den Dat­en ver­ar­beit­et?

Welche Sys­teme sind im Ein­satz? Sind die aktuell? Sind sie es nicht?

Gibt es Com­pli­ance-Regeln? Gibt es was weiß ich was? Also Audits gibt es in ganz viele Rich­tun­gen, aber das kann auch eine Grund­lage für die Com­pli­ance sein und eben auch genau­so ander­srum.

Die Com­pli­ance kann auch vorgeben, wie so ein Audit auszuse­hen hat. Das kann man in bei­de Rich­tun­gen sehen. Die Audit-Ergeb­nisse soll­ten aber auf jeden Fall immer mit wieder in die Com­pli­ance rein­spie­len, um eben da zu opti­mieren.

Ganz klar.

[Michael]

Alles andere würde ja gar keinen Sinn machen. Ja, nochmal tief, kon­tinuier­liche Verbesserung­sprozesse, KVP und hast den PDCA-Zyk­lus und da hast du halt ein­fach, du guckst halt ein­fach, was los ist, was abge­ht in deinem Unternehmen, was passt? Sind die Regeln einge­hal­ten?

Sind die Updates drauf? Ist das alles aktuell? Ja, nein, vielle­icht.

Und wenn du halt fest­stellst, es ist halt eben nichts, du hast eine Abwe­ichung vom Soll-Zus­tand, dann musst du dir halt mal in Ruhe Gedanken machen, wo kommt es denn her? Entsprechend reagieren und ein Sys­tem opti­mieren. Wenn Updates eben nicht einge­spielt sind, was bei dir der Klas­sik­er jet­zt ger­ade war, musst du dir schon mal Gedanken machen, warum sie da sind.

Also dann ist nicht die Lösung, oh, dann spie­len wir die Updates schnell ein, dann sind wir wieder aktuell. Damit hast du das Prob­lem zwar beseit­igt, aber nicht die Ursache. Du soll­test bei solchen Audits und bei solchen Ent­deck­un­gen und bei Find­ings im Audit, bei Über­prü­fun­gen dir schon Gedanken machen, wo kommt es denn her?

Was ist denn wirk­lich die Ursache von dem ganzen Sys­tem? Und du soll­test ver­suchen, die Ursache abzustellen. Warum wur­den die Updates denn nicht gemacht?

Ja, weil der Mitar­beit­er krank war, im Urlaub war, mit ander­er Arbeit so zugear­beit­et war, dass er eben keine Chance hat, das zu tun, weil die Pass­wörter nicht mehr da sind, um auf die Sys­teme zuzu­greifen, weil, weil, weil, weil, weil.

[Michael]

Und das sollte man vernün­ftig schreiben, bis man wirk­lich die Ursache wirk­lich gefun­den hat und dann stellt man halt im Ide­al­fall die Ursache ab.

[René]

Michael, ich weiß nicht, ob du es kennst so, weil bei euch ist ja dann die Ver­tragslage meist noch ein biss­chen anders. Ihr arbeit­et dann ja direkt ver­traglich auch, wenn ich es nicht ganz falsch habe, mit diesem Kun­den lange zusam­men oder länger zusam­men. Bei uns gibt es ja qua­si auch diese By-Call-Aufträge.

Heißt, es ruft jemand an und wir küm­mern uns heute darum und es muss nicht heißen, dass wir das auch mor­gen wieder tun, son­dern erst, wenn dieser Kunde wieder anruft. Die Sache dahin­ter ist ein­fach, und das habe ich wirk­lich oft fest­gestellt, du gehst in ein Unternehmen, dann siehst du, oh ja, hier, dies und das müsste gemacht wer­den. Dann sagt der Kunde, ja, super Idee, das machen wir auch.

So, dann machst du das und hörst dann ein­fach zwei Jahre nichts mehr von diesem Kun­den. Dann ruft er irgend­wann wieder an und sagt, ja, hier, ich habe da ein Prob­lem. Dann fährst du da hin, guckst dir das an, oh, das ist der Stand von vor zwei Jahren, Respekt.

Wun­dert mich gar nicht, dass du die Prob­leme hast. Lei­der passiert das dann doch häu­figer. Es ist bei uns jet­zt mit­tler­weile so, dass wir dann auch sagen, okay, hey, das funk­tion­iert so nicht.

Du kannst uns nicht nur anrufen, wenn hier dein Land in Schutt und Asche liegt, son­dern wir müssen da mal irgend­wie guck­en, dass wir da was Kon­tinuier­lich­es reinkriegen, dass es ein­fach eine Sicher­heit hat und das Sys­tem auch wirk­lich läuft. Am schlimm­sten sind dann diese Sachen, wo man dann sieht, okay, der Serv­er ist jet­zt ein­fach seit 600 Tagen an. Wie wäre es mit einem Neustart zwis­chen­durch gewe­sen und Updates?

Das passiert aber lei­der. So sel­ten ist das nicht und da ist dieses Kon­tinuier­liche auf jeden Fall ein Riesen­punkt und dass das eben mit­ge­plant wird. Und die Ursache find­en.

Ja gut, aber die Ursache ist ja dann klar.

[Michael]

Kein Wille. Ja, dann machst du es wahrschein­lich zu ein­fach. Ist es wirk­lich kein Wille oder ist es eben die man­gel­hafte Ressource darüber?

[René]

Also gut, das Bud­get. Das ist dann die Ressource.

[Michael]

Du hast ja dann immer, ja, oder ist es der Mitar­beit­er, ist es die Geschäft­sleitung, der die Gelder nicht freigegeben hat? Also was ist wirk­lich die Ursache?

[René]

Oft, also ganz, ganz oft ist es wirk­lich Bud­get. Das denke ich schon. Also auch aus Gesprächen her­aus und dann, ja, wieso?

Ihr kommt doch, wenn ich anrufe. Ja, irgend­wann aber nicht mehr. So, das machen wir zwei, dreimal mit und dann ist auch Feier­abend.

Ja, aber dann kommt der Näch­ste. Also das ist so das The­ma. Gut, aber da muss ich dann auch sagen, aus Dien­stleis­ter­sicht, ja, solange ich nicht der Näch­ste bin, ist okay.

Dann kann ich es aber nicht ändern, weil da muss man ein­fach sagen, das mag jet­zt arro­gant klin­gen, aber es ist ja irgend­wo in dem Augen­blick, wo du als Dien­stleis­ter oder auch du, wenn du da hin­fährst und du arbeitest mit denen was aus und die leben das nicht und da hast du nach­her ein Prob­lem. Wie geht man damit um? Bei uns ist es so, in dem Augen­blick, wo wir der Dien­stleis­ter sind, sind wir auch haft­bar ein Stück weit dafür.

So, und da tue ich mich wirk­lich schw­er. Deswe­gen ist es auch, wie gesagt, das ist vielle­icht ein biss­chen arro­gant, aber auf der anderen Seite denke ich mir, okay, dann ist das nicht die richtige Zusam­me­nar­beit für uns, weil das Risiko für uns ein­fach viel zu hoch ist.

[Michael]

Ja, das passiert immer mal wieder, dass man halt ein­fach fest­stellt, hier an dieser Stelle ist unsere Zusam­me­nar­beit nicht mehr effek­tiv und nicht mehr frucht­bar am Boden und sagt dann ein­fach, komm her, war schön, aber hier tren­nen sich unsere Wege wieder. Das passiert, das ist aber nor­mal. Das ist halt ein­fach so.

[René]

Ja, und mir geht es da wirk­lich jet­zt nicht darum zu sagen, hey, ich brauche meine Ein­nah­men. Mir geht es wirk­lich rein darum, dass wir da eine vernün­ftige Basis brauchen. Und sobald wir den Fuß in die Tür stellen und sagen, okay, wir machen das, dann erwarten wir, dass wir auch diese Basis schaf­fen und sie nach­her auch hal­ten.

[Michael]

Ja, das sind Fol­gen. Genau.

[René]

Gut, da sind wir jet­zt sehr drauf einge­gan­gen.

[Michael]

Kein Prob­lem, zurück zum Audit. Also, wie gesagt, wenn du ein Find­ing hast, wenn du etwas gefun­den hast, wenn du etwas ent­deckt hast, machst du eine vernün­ftige Ursachen­analyse und stellst die Ursache ab. Es gibt ver­schiedene Meth­o­d­en, es gibt 1.001 Meth­o­d­en, um dir Gedanken zu machen, wie du wirk­lich auf diese Ursache draufkommst, was immer ganz gut funk­tion­iert, also schon seit Ewigkeit­en gibt, ist diese 5‑Way-Meth­ode, das ist ein­fach so fünf­mal so, warum, warum, warum, ja, Säure ab, warum, kein Strom drauf, warum, Steck­er aus der Steck­dose gezo­gen, warum, nur eine Steck­dose im Raum, warum, Putzfrate Staub­sauger drin gehabt, warum nur eine Steck­dose im Raum. Also, ver­stehst du, was ich meine?

Also, dass du ein­fach ver­suchst, die Ursache zu ermit­teln, indem du halt immer vom Start­punkt aus­gehst und stellst dir mal so, ja, manch­mal schaffst du es mit drei, manch­mal ist es auch sechs, sieben, dass du dir immer so Gedanken machst, warum ist das so, warum ist das so, warum ist das so, bis du wirk­lich dann keine weit­ere Antwort mehr hast und sagst, okay, daran liegt es, ja.

[René]

Ja, macht auf jeden Fall Sinn, ger­ade auch dieses Abver­fol­gen, manch­mal, ja, du hast ger­ade natür­lich auch gesagt, das ist nicht die Ursache, ja, stimmt, also man kön­nte da natür­lich viel tiefer ins Detail gehen, als Extern­er machst du das ja irgend­wann dann nicht, wenn du da an so ein­er außen­ste­hen­den Posi­tion bist, arbeit­et man aber so zusam­men wie du jet­zt oder wir auch mit unseren Kun­den, mit denen wir wirk­lich lange zusam­me­nar­beit­en, da ist man ja ganz anders im The­ma und macht das auch.

[Michael]

Ja, weil du willst ja The­men nach­haltig lösen.

Du willst ja nicht nur den Brand löschen, son­dern du willst ja ver­hin­dern, dass es wieder bren­nt.

[René]

Genau. Weg von der IT-Feuer­wehr.

[Michael]

Du willst ja weg von der IT-Feuer­wehr, hin zur Kaf­fee­tasse, durch ein Flurschläubchen und das kriegst du halt nur dann, wenn du ver­hin­der­st, dass ein Brand entste­hen kann. Wenn alles mit dem Feuer­wehr, mit dem Feuer­lösch­er in der Hand durch die Gegend laufen muss, weil langsam muss, es fängt jed­erzeit an zu bren­nen, das ist ja nicht dein erstrebenswert­er Zus­tand.

[René]

Ja, abso­lut. Report­ing. Näch­ster großer Punkt.

Also da wirk­lich zu schauen, läuft das auch so, wie wir uns das vorgenom­men haben? Hast du ja ger­ade mit dem Audit eigentlich schon gesagt, daraus kann man eben auch ein entsprechen­des Report­ing erstellen. Das ist ja ein­mal das Audit zum Beispiel durch­führen oder eben auch den entsprechen­den Bericht daraus zu erstellen.

Das ist auch nicht unin­ter­es­sant, um dann nach­her auch mal den Ver­lauf zu sehen.

[Michael]

Genau. Beim Report­ing gibt es so zwei Dinge. Du musst sofort laufen.

Das ist in der Regel so ein Tick­et­sys­tem, dass du mal aufze­ichnest, was ja so alles passiert ist. Und dann hast du aber deine, wenn wir nicht nochmal tief unter­wegs sind, son­dern sind hier in den IT-Kram drin, schreib­st du dir halt ein­fach ein Report­ing oder kannst du sehr gut ein Report­ing erstellen, indem du dir deine Über­prü­fung, also dein IT-Audit schnappst. Machst das in regelmäßi­gen Abstän­den, hast deine KPIs, also deine Leis­tungsindika­toren im Unternehmen drin­nen und kannst dir dann aus diesen bei­den Sachen eine ziem­lich gute Lage von dein­er IT machen.

Anson­sten, wenn wir nor­ma­tiv unter­wegs sind, reden über Report­ing, dann sind wir im Bere­ich Man­age­ment Bericht, Man­age­ment Review drin­nen. Da sind nor­ma­tiv gewisse Trig­ger geset­zt und gewisse Key­words geset­zt, wie sowas, was da drin sein sollte, was es bein­hal­ten sollte. Dann bist du bei ein­er anderen Haus­num­mer.

Aber hier bei solchen Sachen, erst recht bei eigengestell­ten Sachen ist halt so ein Report, so ein Lage­bericht immer ein sehr gutes Tool, um das zusam­men­z­u­fassen und das halt auch üblicher­weise ein­mal im Jahr oder ein­mal im hal­ben Jahr der Geschäft­sleitung oder im Führungskreis halt ein­fach zur Ver­fü­gung zu stellen, dass die so eine gesamte Über­sicht kriegen.

[René]

Es gibt einem ja auch so ein biss­chen Argu­mente an die Hand. Genau. Also das ist ja dann auch auf der einen Seite, hey, ich habe einen coolen Job gemacht.

Das funk­tion­iert alles. Auf der anderen Seite, okay, ich habe getan, was ich kon­nte. Aber ihr seht sel­ber anhand der KPIs hat nicht immer geklappt.

Wir brauchen da an der einen Stelle, an der einen oder anderen Stelle eben mehr Ressourcen. Genau.

[Michael]

Wenn du das über ver­schiedene, jet­zt gehe ich mal in die ITler Sicht rein und ich weiß, die schreiben nie gerne, aber trotz­dem an der Stelle schreiben alle auf und machen mal Report­ing. Wenn halt drei Jahre lang jedes Mal ein Report drin­ste­ht, der Serv­er ist alt, der müsste erneuert wer­den und im vierten Jahr raucht die Möhre ab und der Chef kommt und sagt, warum hast du nicht vorher was gesagt. Tief Luft holen, die Report von den let­zten Jahren nehmen, da ste­ht es.

Du hast sog­ar unter­schrieben, dass du es zur Ken­nt­nis genom­men hast. Ich werde dann mal raus aus der Num­mer. Also das schafft Sicher­heit auf bei­den Seit­en.

[René]

Michael, das Gute ist, der ITler schreibt vielle­icht nicht gerne, aber er sorgt dafür, dass so was automa­tisiert passiert. Dat­en mit Pow­er BI aus allen ver­schiede­nen Bere­ichen ausle­sen und dann automa­tisch den Bericht erstellen lassen.

[Michael]

Wenn ich von Report­ing und von Audits rede, knacke ich immer so ein biss­chen in die nor­ma­tive Kiste rein, dass du bei IT-Audits natür­lich ganz andere Dinge noch mal hast, im Sys­tem rein­guckst und bei Audits auch vorher, nach­her guck­en kannst, kannst guck­en, hat sich die IT-Lage verbessert an dieser Stelle, ist ganz klar und dass du Reports aus IT rausziehen kannst.

[René]

Aber da gibt es viele Möglichkeit­en. Dann braucht man keine Angst vorm Schriftkram haben, das passiert von allein.

[Michael]

Ja, da freut sich der Eich­hörn­ler, wenn er ein Knöpfchen drück­en kann oder irgend­was läuft.

[René]

Genau. Com­pli­ance Report­ing genau­so. Also jet­zt mal abge­se­hen vom Audit, man kann das genau­so für die Com­pli­ance machen, dann nach­her, wenn man eine fer­tige hat, um zu schauen wurde die einge­hal­ten, wurde sie nicht einge­hal­ten.

Auch so was kann man in der Regel sys­temisch ein- oder ausle­sen und dann nach­her aus­geben lassen. Je nach­dem, was man eben für Com­pli­ance hat, kann man halt guck­en. Hier gab es da Richtlin­ien­ver­let­zun­gen, nehmen wir mal an, was weiß ich, vom Antivirus oder keine Ahnung aus dem RMM her­aus, um ein­fach zu sehen, sind die Sys­teme auf dem Stand, wie sie sein müssen, warum sind sie es nicht, auf welchem Stand sind sie denn, gab es eine Manip­u­la­tion oder was weiß ich.

Also das lässt man alles auch in diese Com­pli­ance Berichte mit ein­fließen, weil auch da kön­nte man dann auch mal anhand dieses Berichts auf den einen oder anderen Mitar­beit­er zuge­hen und sagen, hey, was ist da los, warum hast du das deak­tiviert, warum hältst du dich nicht an die Richtlin­ien, gib doch mal ein kurzes Feed­back, wie wir da vorge­hen kön­nen, damit du dich in Zukun­ft auch daran hältst. Ich habe es sehr vor­sichtig aus­ge­drückt, ich weiß.

[Michael]

ISO 27000 ein­spricht davon eine Maßregelung.

[René]

Ich wollte es nicht so deut­lich sagen, am Ende des Tages ist es genau das, aber ja, also es ist ja auch immer die Frage, welche Richtlin­ien­ver­stöße haben wir ger­ade, ist es jet­zt wirk­lich gravierend oder nicht und über welchen Zeitraum ist es das auch, weil wenn eine Per­son jet­zt zum Beispiel neu ins Unternehmen kommt und noch nicht ganz damit ver­traut ist, dann will ich jet­zt nicht davon sprechen, dass man sofort an Maßregelun­gen denkt, son­dern sagt, hey, lass mal noch mal drüber guck­en, irgend­was läuft da nicht so,

[Michael]

Wie es laufen sollte. Nee, ja, finde die Ursachen. Warum ist es wirk­lich passiert?

Ja gut, aber das bespricht man ja dann auch. Genau. Bespricht man, kann man sich aber auch neu­tral anguck­en.

Ist es wirk­lich am Ende vom Tag die Unlust? Ist es vielle­icht das Sys­tem, was es nicht ermöglicht, das umzuset­zen?

[René]

Moment, aber das ist ja das, was ich ger­ade meinte. Wenn du ein ganzes Unternehmen hast mit einem Team aus 20 Leuten und ein­er macht es nicht, dann kann es ja nicht da an den sys­temis­chen Din­gen liegen, es sei denn, nein, eigentlich nicht, weil das nutzen ja mehr als eine Per­son. Wenn man es richtig auf­stellt, gibt es keine einzelne Per­son, die eine Auf­gabe ganz alleine macht.

Es muss min­destens eine zweite geben.

[Michael]

Das ist richtig, das ist richtig, aber ich tue mir immer schw­er damit, die Per­son, also die Ursache Men­sch direkt zu nehmen und selb­st wenn ich die Ursache Men­sch habe, gibt es ja noch Gründe, was es sein kön­nte. Ver­stehst du, was ich meine?

[René]

Das ist ja das, was ich meinte. Wenn du den Bericht hast, du hast es sys­temisch aus­ge­le­sen.

[Michael]

Das musst du halt echt sauber ausar­beit­en, warum der Schlumpf jet­zt eben nicht das gemacht hat, was er machen sollte. Hat er einen schlecht­en Tag gehabt? Hat er einen scheiß Tag gehabt?

Hat er eine scheiß Woche gemacht? Hat er keinen Bock aufs Unternehmen? Queruliert er?

Ver­sucht er vielle­icht? Ist es vielle­icht ein­er, der inner­lich schon lange gekündigt hat? Es gibt ja auch so Leute, die den Punkt der inneren Kündi­gung schon über­schrit­ten haben und quälen sich im Unternehmen.

Also es gibt Dinge, da musst du sehr vor­sichtig, also musst du vernün­ftig drauf guck­en. Du hast natür­lich recht. Manch­mal hast du auch so Dinge, dass er sagt, ey, ich habe es ver­pen­nt.

Das gibt es ja immer wieder mal. Dann hat er es halt ver­pen­nt. Oder es gibt auch die Möglichkeit, dass er sagt, ja, auch Klas­sik­er, aber das funk­tion­iert halt nicht mit mehreren.

Ja, vielle­icht, egal. Also pass auf, der Klas­sik­er ist ja auch, du sagst, ich habe eine Com­pli­ance-Richtlin­ie und sage, mein Pass­wort muss 20 Zeilen lang sein und die Soft­ware kann nur 12. Also solche Spiel­ereien.

Du sollst halt immer schon guck­en, wo hängt es, wo dran liegt es, was ist wirk­lich die Ursache.

[René]

Gut, aber das ist das, was ich meine. Dann hast du ja the­o­retisch min­destens zwei Per­so­n­en, die das nutzen. Dann kön­ntest du daran schon mal aus­machen, okay, das ist das Sys­tem.

Und wenn du irgend­wann keine Antwort mehr darauf hast, dann würdest du ja mit der Per­son oder mit der Abteilung oder was weiß ich was, würdest du ja dann eben ins Gespräch gehen und dann die Ursache dort erforschen.

[Michael]

Ja, auf jeden Fall. Und auch mit dem Mitar­beit­er reden. Und wenn die Ursache wirk­lich proak­tiv bei den Mitar­beit­ern liegt, müssen wir mal über so eine Art Maßregelung­sprozess nach­denken und müssen halt wirk­lich uns mal Gedanken machen, wie wir damit umge­hen.

Weil auf Dauer Per­so­n­en im Unternehmen zu haben, die durch ihre Art und Weise, die sie nicht ändern möcht­en, das Unternehmen in ihrer Sicher­heit und ihrem Fortbe­stand gefährdet, mit Sicher­heit nicht ein pos­i­tives Unternehmen ist. Richtig. Genau so.

[René]

So, falls bish­er jemand noch nicht bei den bei den Social Media Kanälen unter­wegs ist, das wird ein Short. Ja. Michael, wir beschließen es für heute mit dem let­zten.

Sehr gerne. Mit, mit zwei Punk­ten haben wir noch. Schu­lungssen­si­bil­isierung.

Ja, ich glaube, das erk­lärt sich ja von selb­st. Das ist ja, das ist klar, dass Mitar­beit­er geschult wer­den müssen und sen­si­bel, sen­si­bil­isiert darauf wer­den müssen, auf diese Gefahren. Und auch das, was wir ger­ade besprochen hat­ten, wenn du halt diesen Bericht hast und daraus halt erken­nen kannst, dass eine Per­son bes­timmte Dinge nicht macht, warum auch immer, dann muss man die Ursache natür­lich erforschen, aber kann dann entsprechend auch nach­schulen, wenn diese Per­son natür­lich über­haupt gewil­lt ist.

Klar, Voraus­set­zung, aber ja.

[Michael]

Und was halt auch ist, wenn man Erken­nt­nisse hat von, von Din­gen, die eine Per­son getan hat, kann man das auch sehr gut in Schu­lun­gen ein­fließen, für alle Mitar­beit­er. Kannst ja aus einem Bug, kannst du ja ler­nen und kannst das größer machen. Hier ist vielle­icht noch wichtig, dass man auch eine, eine, eine Richtlin­ie, eine Com­pli­ance-Richtlin­ie für das Unternehmen auf­stellt, dass man sagt, welchen Rhyth­mus möchte ich denn gerne welche Schu­lun­gen durch­führen und welche Rolle, mit einem Organ­i­gramm, das wird sich durchziehen durch die ganze Serie, welche Rolle oder welche Funk­tion im Unternehmen benötigt denn welche Schu­lung, damit sie ihre Arbeit sich­er durch­führen kann. Ja.

Das ist so eine Sache, die ich immer noch, die ich da immer noch gerne mit­gebe, wo ich sage, schreibt euch doch ein­fach mal auf, dass die Diskus­sion nicht los­ge­ht, ja, wann haben wir denn die let­zte Daten­schutzschu­lung gekriegt oder wann habt ihr, wann hat mir denn der Let­zte was zur IT-Com­pli­ance erzählt? Und das hil­ft auf bei­den Seit­en, das hil­ft, hil­ft aber erst recht dem Unternehmen im Fall der Fälle und im Worst-Case-Szenario oder im Stre­it­fall oder in ein­er geah­n­ten Diskus­sion zu sagen, pass auf, vor drei Monat­en hast du die Schu­lung gekriegt mit dem Schu­lungsin­halt, da stand das drin. Du hast mir geschrieben, dass du die Schu­lung, du warst bei der Schu­lung kör­per­lich anwe­send, ich habe gese­hen, du bist dabei nicht eingeschlafen, du hast die Teil­nahme bestätigt, du hast die Schu­lung­sun­ter­la­gen im Anschluss auch in unserem Intranet zur Ver­fü­gung gestellt bekom­men, dass du sie nach­le­sen kannst, du hat­test die Gele­gen­heit jed­erzeit Fra­gen zu stellen, wo hängt es denn?

Ja, also du brauchst das als Rechen­schaft­slicht, als Nach­weis für das Unternehmen, musst du schon auch weg­doku­men­tieren, wann welch­er Mitar­beit­er welche Schu­lung gekriegt hat und du brauchst halt ein­fach, dass du es nicht ver­pennst, die Schu­lun­gen zu wieder­holen, wenn sie einen regelmäßi­gen Rhyth­mus haben für dich, den du definiert hast.

[René]

Ja genau, dazu gehört auch aus mein­er Sicht Aware­ness. Aware­ness ist auf jeden Fall ein Punkt, also wenn wir nochmal zu dem Punkt zurück­ge­hen, den ich ger­ade ja schon mal ange­sprochen hat­te, du hättest halt deine Berichte, deine Reports und würdest halt sehen, keine Ahnung, da häuft sich jet­zt auf ein­mal das Spam aufkom­men, es wird zwar raus­ge­filtert, aber manche kom­men eben doch noch durch, kön­nte man halt gezielt darauf auch einge­hen. Aware­ness gibt es natür­lich auch in viel­er­lei Hin­sicht, also in jedem möglichen Sicher­heits­bere­ich, aber dass man ein­fach da auch so ein biss­chen hin­ter­her geht.

Also ich sage mal, Social Engi­neer­ing ist für viele immer noch so ein Punkt. Ich meine, klar, alle denken, ja, wenn da ein­er anruft und der würde mir jet­zt irgendwelche dum­men Fra­gen stellen, das kriege ich mit. Ich weiß genau, dass das ein Spin­ner ist.

Es wird so schw­er auseinan­derzuhal­ten. Die Mails wer­den bess­er, die Anrufe, die da mit­tler­weile kom­men und wir haben als Dien­stleis­ter mit­tler­weile schon einige Leute bei uns im Ladengeschäft ste­hen gehabt, die dann einen Microsoft-Mitar­beit­er, der natür­lich kein­er war, auf ihren Rech­n­er gelassen haben. Daraus mache ich keinen Vor­wurf.

Das kann passieren, weil sie es nicht bess­er wis­sen. Wo man sich auf jeden Fall, also bleiben wir beim Beispiel Microsoft. Microsoft ruft nicht ein­fach an, um zu helfen.

Das passiert nicht. Also nur so als kleinen Tipp neben­bei.

[Michael]

Nein, nicht von alleine.

[René]

So proak­tiv. Dein Rech­n­er läuft, aber ich habe gese­hen, da geht noch was bess­er.

[Michael]

Das ist unge­fähr so wie im Media­markt und im Obi kom­men die Berater auf dich zu und fra­gen, ob sie dir helfen kön­nen.

[René]

Ja, genau.

[Michael]

Da ruft kein­er proak­tiv an.

[René]

Nein, deswe­gen und da gibt es auf jeden Fall auch Möglichkeit­en, dann ein­fach zu sagen, okay, wir schauen uns mal an, welche Art der Angriffe gibt es und so und so kann man sie erken­nen. Und selb­st wenn man sie nicht erken­nt, es gibt bes­timmte Dinge, die müsst ihr ein­fach abfra­gen und wenn die nicht beant­wortet wer­den kön­nen, passt das, legt die auf. So, das ist halt wichtig, gehört eben mit in diesen Punkt.

Dann hät­ten wir als let­zten Punkt Sen­si­bil­isierungskam­pag­nen. Auch das ist ja eben diese Stück­weit-Aware­ness auch da. Man kön­nte, also wie du schon gesagt hast, Schu­lungs­ma­te­r­i­al kann man auf Plat­tfor­men bere­it­stellen.

Es gibt ja Pen­e­tra­tionstests, es gibt Angriff­stests, die kann man alle durch­führen, um eben entsprechend für Grund­ken­nt­nisse zu sor­gen, damit eben solche Angriffe dann nicht erfol­gre­ich mal durch­laufen.

[Michael]

Ja, wobei ich ziem­lich cool finde, das ist zwar immer aufwendig von der Umset­zerei, aber so einen geziel­ten Angriff mit so einem White­hack­er, es gibt ja Fir­men, die sich da inzwis­chen auch als Aware­ness-Train­ing darauf spezial­isiert haben, die halt ein paar Mails rein­streuen, mal guck­en, wer klickt und dann ein­fach das mal durch­spie­len, das Szenario und am Ende vom Tag alle oder am Ende von dieser Kam­pagne, das läuft dann über ein paar Wochen, Ende von deinem Kam­pag­nen­bericht schick­en, ins Haus kom­men, eine Beam­er an die Wand wer­ben und ein­fach mal erzählen, was sie denn so alles so gefun­den haben und wer denn da jet­zt alles drauf gek­lickt hat.

[Michael]

Das, wo ich hin will, ist, du ziehst mit ein­er, also Pow­er­Point-Präsen­ta­tion, ich habe früher, wie das mit dem Daten­schutz los­ging, 18, 19, auch vorher schon, bei ein­er QM-Tätigkeit, wenn du Sem­i­nare gehal­ten hast, da hast du 10, 15 Leute oder 20 Leute im Raum, jet­zt hast du den Beam­er angeschmis­sen und hast dann irgendwelche Pow­er­Points run­tergenom­men, hast irgendwelchen Leuten was erk­lärt, hast gemerkt, wie sie irgend­wann aus­gestiegen sind, ver­suchst, die immer so ein biss­chen inter­ak­tiv zu gestal­ten und die Leute so zu brin­gen, dass sie halt eben nicht ein­schlafen und das The­ma auch vom let­zten Mal, vor­let­ztes Mal, keine Para­grafen­re­it­ereien gemacht, son­dern in der Schu­lung wirk­lich die Leute da abge­holt, wo sie gebraucht wer­den. Das ist jet­zt, ehrlich gesagt, durch das The­ma Coro­na nochmal ein Stück extremer gewor­den, weil ziem­lich viel sich jet­zt auf Onli­neschu­lun­gen stürzt.

Ziem­lich viele Leute gehen auf Onli­neschu­lun­gen, auch Kun­den von mir sagen stel­len­weise inzwis­chen, komm her, wir führen Schu­lun­gen online durch, alles fair, ist alles cool, reg­u­la­torisch eine tolle Num­mer, aber wenn du so ein richtiges Online- oder so ein Live-Hack­ing- oder so ein White-Hack­ing-Test oder so einen Pen­e­tra­tionstest bei dem Unternehmen mal durch­führst, das bleibt wesentlich bess­er im Gehirn der Mitar­beit­er hän­gen, wie sich irgendwelche 20 oder 25 Pow­er­Point-Slides durchziehen.

Defin­i­tiv. Ich gehe inzwis­chen auf Videos, wir machen Erk­lärun­gen, Schul­videos, wo die Leute mit dabei sind, wo wir ein biss­chen Inter­ak­tiv­ität mit rein­brin­gen, weil so eine stumpfe Pow­er­Point- Schlimm­ste sind so Selb­st­stu­di­en. Hier hast du deine Pow­er­Point-Liste, die mal durch und schick mir eine E‑Mail, dass du es gele­sen hast.

Also das sind alles so Dinge, die kick­en am Ende vom Tag.

[René]

Das ist so. Und man muss ja ein­fach sehen, also nehmen wir mal an, das ist wie in der Schule, der Lern­ef­fekt ist ein­fach größer, wenn man dann merkt, dass man, ja was weiß ich, ich sage mal, wenn irgend­was nicht geklappt hat oder wir zum Beispiel, wir sagen auch hier, eine Aus­bil­dung, dass wir eben nicht alles vorset­zen, dass wir eben auch sagen, hey, du hast da ein Prob­lem, küm­mere dich bitte sel­ber darum. Nicht, weil wir ihm nicht helfen wollen oder ihr, son­dern ein­fach, weil wir sagen, okay, der Lern­ef­fekt ist größer, wenn man ein Prob­lem selb­st löst.

Wenn du jet­zt wirk­lich so ein Spam-Test, sage ich mal, wirk­lich so eine Kam­pagne ein­fach über Wochen mal laufen lässt und du kannst nach­her sagen, hey, so wir hat­ten jet­zt hier von den 20 Mitar­beit­ern wur­den vier erfol­gre­ich ange­grif­f­en. So, bei dir war es jet­zt Angriff XY. Das ist ja nicht mit Vor­wurf, son­dern ein­fach nur um zu sagen, die Per­son soll ja wis­sen, dass es so war.

Und man kann dann halt wirk­lich anhand dessen genau sagen, hey, so ist das abge­laufen, darauf bist du lei­der reinge­fall­en. Passt auf, so und so kann man es machen. Also da hat man wirk­lich, dem geht was voraus, dass du was im prak­tis­chen Ansatz hast.

Da glaube ich, das ist auf jeden Fall eine sehr gute Sache.

[Michael]

Und die Erken­nt­nisse teilst du nach­her wieder mit allen. Das ist das, was wir eben auch gesagt haben, nur weil du merkst, ein­er fällt auf das und das rein. Das teilst du natür­lich allen und die kriegen es alle mit.

Und damit hast du natür­lich die Aware­ness geschaf­fen. Und das kriegst du auch neu­tral­isiert. Also du musst dir jet­zt nicht den Mitar­beit­er an den Pranger stellen.

Du musst sagen, hier bei der Gisela, die hat dreimal auf das Ding draufgek­lickt, son­dern du kannst sagen, ein Mitar­beit­er. Ja, das kriegst du ja schon so hin, dass du da keinen an den Pranger stellst. Aber genau das ist das The­ma.

[René]

Gut, das muss aber im Unternehmen auch klar sein. Also da kann ich auch sofort sagen, bei solchen Schu­lun­gen, wenn da wirk­lich, also ich finde, das spricht immer so ein biss­chen gegen das Team, wenn das Team wirk­lich jeman­den an den Pranger stellt, weil es geht ein­fach ja nicht darum. Und das ist halt gut.

Wir bieten sowas ja auch an. Und da ist es nicht so, dass jed­er das gle­iche Ein­fall­stor qua­si bekommt. Das heißt, es wer­den unter­schiedliche Mech­a­nis­men genutzt und unter­schiedliche, ja, ich sage mal, wenn du jet­zt zum Beispiel Mails hast, das sind unter­schiedliche.

Die sehen nicht alle gle­ich aus, sodass alle, weißt du, der Erste, der würde es dann erken­nen, hey, ich habe deine Mail gekriegt, dass dann alle Bescheid wis­sen, son­dern es ist wirk­lich kom­plett unter­schiedlich.

Weil dann kann nicht ein­er sagen, hey, wie kon­ntest du das denn nicht erken­nen? Ich habe das sofort gese­hen.

Das war voll easy. So was hast du dann halt auch nicht. Und ich finde, das Team muss da auch dann entsprechend drüber­ste­hen und sagen, ah, ja, okay.

Kann ich ver­ste­hen oder was weiß ich. Also wir bieten das auch an und es ist gut angenom­men. Das bringt einen guten Lern­ef­fekt.

[Michael]

Bin da echt einen Fre­und von, ja. Sehr gut.

[René]

Michael, jet­zt gibt es keinen Punkt mehr.

[Michael]

Näch­stes Mal wieder. Alles klar. Dann sage ich vie­len Dank für die Zeit.

Danke an alle, die zuge­hört haben. Wir hören uns beim näch­sten Mal und Grüße aus Wet­zlar. Macht’s gut.

Tschüss.

[René]

Ja, Michael, wie immer vie­len Dank an dich, dass du wieder so aktiv dabei warst. Wir hören uns in 14 Tagen wieder und bis dahin alles Gute und bis zum näch­sten Mal. Ciao

[Michael]

Tschüss.