Senior Berater Informationssicherheitssysteme (m/w/d)
Wir stehen für verlässliches und nachhaltiges Management von IT-Infrastrukturprojekten – von der Idee bis zur erfolgreichen Weiterführung. Unser Leistungsangebot umfasst die Steuerung von IT- Migrations-, Verlagerungs- und Entflechtungsprojekten, Consulting und Coaching. Zur Förderung unserer Unternehmenskultur legen wir hierbei großen Wert auf flache interne Hierarchien, direkte Abstimmungswege und ein teamorientiertes Arbeiten.
Zum nächstmöglichen Zeitpunkt suchen wir für unsere Kundenprojekte Unterstützung für den Bereich Information Security.
Deine Aufgabe bei uns:
Du begleitest unsere bestehenden und neuen Kunden bei Einführung und Aufrechterhaltung von Regelwerken wie der ISO 27001, ISO 22301, BSI-Grundschutz, NIS2, KRITIS DachG und/oder BSI 200-4 als Experte für Informationssicherheit:
- Unterstützung von Kundinnen und Kunden bei der Einführung oder Optimierung von internationalen und nationalen Regelwerken (beispielsweise die Prüfung von Normenanforderungen, Interviewführung und Vor-Ort Assessments)
- Auditplanung und Dokumentation von Auditergebnissen in Abstimmung mit unseren Kundinnen und Kunden
Das bringst du mit:
- mindestens 3 Jahre Erfahrung in der Arbeit mit den genannten Managementsystemen
- Optional mehrjährige Erfahrung als interner oder externer Auditor
- gute Kenntnisse der Grundlagen einschlägiger internationaler oder nationaler Regelwerke der Informationssicherheit
- optimalerweise Tätigkeit als Informationssicherheitsbeauftragter
- akademischer Abschluss oder abgeschlossene Berufsausbildung
- Du bist gerne auf Reisen und scheust Dich nicht auch längere Zeit bei unseren Kunden vor Ort tätig zu sein
Das erwartet dich bei uns:
- Ein Team, das sich auch bei örtlicher Ferne immer nah ist
- Eine Duz-Kultur innerhalb der esc
- Ein Unternehmen, in dem du den Unterschied machst und mitgestaltest – Du bringst deine Ideen ein und bestimmst den Weg zum Ziel
- Ein abwechslungsreiches Tätigkeitsfeld, das individuell auf dich und deine Fähigkeiten abgestimmt ist
- Ein kollegiales Umfeld, in dem auf Augenhöhe und mit Spaß gemeinsam gearbeitet wird
- Gemeinsame Werte, die nicht nur auf dem Papier stehen, sondern wirklich gelebt werden
- flexible Gestaltung des Arbeitstages hinsichtlich Zeit und Ort (remote, vor Ort beim Kunden oder im Büro in Hamburg möglich)
- Teamevents, bei denen alle Kollegen gemeinsam Deutschland oder die Welt erkunden
- Ein attraktives Gehaltspaket – bestehend aus Grundgehalt und variablem Gehaltsanteil
Klingt interessant?
Dann möchten wir dich kennenlernen!
Wir freuen wir uns auf deine Bewerbung mit deiner Verfügbarkeit und Gehaltsvorstellung. Da Zeit immer knapp ist, kannst du dich auch gerne ohne Anschreiben bewerben.
Datenschutz nach NIS2: Warum das Verhalten der Mitarbeitenden entscheidend ist
Das NIS2 UmsuCG: NIS2 Umsetzungs- und Cybersicherheitsstärkungsgesetz, das demnächst in Kraft tritt, wird eine entscheidende Rolle im Schutz kritischer Infrastrukturen und der Datensicherheit innerhalb der EU spielen. NIS2 verfolgt das Ziel, die Cybersicherheit in allen Mitgliedstaaten auf ein einheitliches Niveau zu heben und verlangt von einer Vielzahl von Unternehmen die Umsetzung strengerer Sicherheitsmaßnahmen. Fast 40.000 Unternehmen werden von dieser neuen Regelung betroffen sein – und eines dieser Unternehmen könnte Ihr eigenes sein. In unserem Blogbeitrag vom 5. August haben wir bereits darauf hingewiesen: „NIS2-Richtlinie: Fast 40.000 Unternehmen müssen reagieren – Gehört Ihres dazu?“
Heute möchten wir noch einmal darauf aufmerksam machen, wo Gefahren beim Schutz von Daten und Informationen auftreten können und wie das NIS2-Gesetz konkret darauf abzielt, diese Gefahren zu minimieren. Dabei richten wir unseren Blick besonders auf den Büroalltag, da hier oft unbewusste Sicherheitslücken entstehen, die Unternehmen gefährden können. Das NIS2-Gesetz fordert Unternehmen nicht nur zu technischen Maßnahmen wie der Absicherung von IT-Systemen und Netzwerken auf, sondern legt auch großen Wert auf die Sensibilisierung der Mitarbeitenden im Umgang mit sensiblen Daten.
Gefahren im Arbeitsalltag
Trotz aller technologischen Fortschritte im Bereich Cybersicherheit bleiben die größten Gefahren oft im persönlichen Verhalten der Mitarbeitenden verborgen. Fehlerhafte oder fahrlässige Handlungen im Arbeitsalltag, wie etwa das unbeabsichtigte Weitergeben von sensiblen Informationen oder das Vernachlässigen von Sicherheitsvorkehrungen, stellen ein erhebliches Risiko dar.
Beispiele aus dem Arbeitsalltag –
Ein unterschätztes Risiko
In vielen Büros finden sich sensible Dokumente in Büroschränken oder Schreibtischcontainern, die nur unzureichend geschützt sind. Wenn die Schlüssel zum Beispiel ständig im Schloss verbleiben, kann jeder unbefugte Dritte Zugriff auf vertrauliche Informationen erhalten.
In hektischen Büroalltagssituationen finden sich Notizen, wie mitgeschriebene Kontaktdaten oder wichtige Gedanken, oft an ungesicherten Orten – etwa auf Post-its oder Schreibtischunterlagen. Diese kleinen „Alltagsnotizen“ können jedoch eine goldene Gelegenheit für Angreifer sein, an vertrauliche Informationen zu gelangen.
Obwohl es in den meisten Büros und Fertigungshallen klare Vorschriften zum Brandschutz gibt, wird dies nicht immer konsequent eingehalten. Häufig werden Brandschutztüren im Sommer geöffnet, um Kühlung zu ermöglichen, was gegen Sicherheitsvorschriften verstößt und gleichzeitig unbefugten Personen Zugang zu Räumen verschafft, die eigentlich geschützt werden müssen. Dies stellt nicht nur eine Gefahr für die physische Sicherheit, sondern auch für die Vertraulichkeit und Integrität von Unternehmensdaten dar.
Ein sehr häufiges, aber gefährliches Sicherheitsrisiko ist das Verlassen des Arbeitsplatzes, ohne den Computerbildschirm zu sperren. Das Resultat: Jeder hat Zugriff auf die Daten des Mitarbeiters, ohne dass eine Authentifizierung notwendig ist.
Unbesetzte Empfangsbereiche, Besucherlisten oder Serverräume, in denen Sicherheitsvorkehrungen nicht ausreichend beachtet werden, stellen ebenfalls eine Gefahr dar. Unternehmen sollten jedoch nicht nur digitale Daten schützen, sondern auch den physischen Zugang zu sensiblen Informationen kontrollieren.
Cyberkriminelle nutzen oft festliche Anlässe, um Mitarbeitende in Unternehmen gezielt anzugreifen. Da wir uns gerade in der Weihnachtszeit befinden, sind gefälschte Weihnachtsgrüße oder E-Cards, die per E-Mail verschickt werden, aktuell eine besonders beliebte Methode. Auf den ersten Blick wirken diese Nachrichten harmlos und festlich, enthalten jedoch Links zu Phishing-Seiten und Malware, über die die Angreifer versuchen Zugangsdaten zu stehlen oder Schadsoftware in das Unternehmensnetzwerk einzuschleusen.
Fahrlässigkeit ist oft nicht die Ursache – sondern das fehlende Wissen
In vielen Fällen entstehen diese Sicherheitslücken nicht durch bewusste Fahrlässigkeit, sondern durch das fehlende Wissen oder Bewusstsein für die potenziellen Gefahren. Das NIS2-Gesetz setzt auf die Sensibilisierung der Mitarbeitenden und sieht vor, dass Unternehmen regelmäßige Schulungen und Informationsmaßnahmen durchführen, um das Sicherheitsbewusstsein in der Belegschaft zu stärken. Ein wichtiges Element hierbei ist, dass Unternehmen ihre Mitarbeitenden nicht nur über technische Sicherheitsmaßnahmen informieren, sondern auch praktische Hinweise geben, wie sie im Alltag sicher mit sensiblen Daten umgehen können.
Sensibilisierung – Der Schlüssel zur Umsetzung von NIS2
Es geht nicht nur um die Technik, sondern vor allem um das Verhalten der Mitarbeitenden. Die größte Herausforderung im Rahmen von NIS2 ist es, das Verhalten der Mitarbeitenden zu ändern und Sicherheitslücken durch Aufklärung und Schulung zu minimieren. Nur wenn jeder Einzelne im Unternehmen versteht, wie gefährlich unachtsames Verhalten im Umgang mit Unternehmensdaten sein kann, wird eine effektive Umsetzung der Sicherheitsrichtlinien möglich sein.
Das NIS2-Gesetz ist ein Schritt in die richtige Richtung, um Unternehmen für die Risiken der digitalen Welt zu wappnen. Doch der Erfolg hängt nicht nur von der Implementierung neuer Technologien ab, sondern auch davon, dass alle Mitarbeitenden in die Verantwortung genommen werden, die Unternehmensdaten zu schützen.
Ihre Ansprechpartner
Gerne stehen wir Ihnen für einen weiteren Austausch zur Verfügung.
Isaac Michael
Informationssicherheit und Datenschutz
Tel.: +49 173 4112814
Holger Koeppe
Managementsysteme & Audits
Tel.: +49 173 4112778
Ein Zuhause für Ältere in Not – Unser Engagement in Äthiopien
Dort zu unterstützen, wo Hilfe benötigt wird, ist uns ein wichtiges Anliegen – und deshalb setzen wir uns für die Asegedech Asfaw Aged Person Aid and Rehabilitation Organization in Dire Dawa, Äthiopien ein. Diese Einrichtung, die von der Großmutter eines unserer Kollegen in den 1980er Jahren gegründet wurde, ist heute eine Heimat für über 100 ältere Menschen.
Ein Zufluchtsort für Bedürftige
Auf dem Gelände der Organisation finden die Bewohner eine warme Unterkunft, regelmäßige Mahlzeiten und medizinische Versorgung – eine wichtige Grundlage, um ein würdevolles Leben zu führen. Die Einrichtung bietet zudem Physiotherapie und persönliche Betreuung für alle, die sie benötigen, und unterstützt die Menschen dort finanziell, um ihnen ein unabhängigeres Leben zu ermöglichen.
Bildquelle: www.asegedechaged.com
Die Asegedech Asfaw Aged Person Aid and Rehabilitation Organization ist für viele dieser Menschen die einzige Hoffnung, und mit knapp 30 engagierten Mitarbeitern kümmert sie sich jeden Tag um ihre Bewohner. Die Helfer vor Ort leisten dabei weit mehr als nur medizinische und finanzielle Hilfe: Sie schaffen eine Gemeinschaft, in der ältere Menschen sich zu Hause fühlen und Unterstützung erfahren.
Unsere Unterstützung für eine bessere Zukunft
Wir freuen uns sehr, dieses wertvolle Projekt ab sofort finanziell zu unterstützen. Die Spenden helfen dabei, den täglichen Betrieb der Organisation sicherzustellen und die Lebensbedingungen der Bewohner weiter zu verbessern. Es ist für uns ein Anliegen, mit unserer Unterstützung etwas zurückzugeben und die großartige Arbeit dieser Organisation fortzusetzen.
Die Asegedech Asfaw Aged Person Aid and Rehabilitation Organization zeigt, wie viel eine Vision und ein starkes Engagement bewirken können. Wir hoffen, durch unseren Beitrag zu einer besseren Zukunft für ältere Menschen in Not beizutragen und danken all denjenigen, die täglich daran arbeiten, dieses Projekt zu realisieren.
Keine Krise trotz kommender Gesetze: Unsere Experten im Interview
Kritis-Dachgesetz, NIS2 und die DORA-Richtlinie stehen vor der Tür. Diese müssen demnächst in deutsches Recht umgesetzt werden oder unmittelbar ohne nationale Anpassung angewandt werden. Unsere Experten erläutern im Interview für das Magazin PROTECTOR, wer sich auf Veränderungen gefasst machen muss und was passiert, wenn die kommenden Voraussetzungen nicht erfüllt werden.
Unsere Experten gaben einen Einblick in die Veränderungen, die mit dem Kritis-Dachgesetz und NIS2-Umsetzungsgesetz einhergehen werden. Wie der aktuelle Stand der Gesetzgebungen ist und wie sie die Situation im Markt einschätzen, haben deshalb Holger Koeppe und Matthias Kurfels, Managing Consultants sowie Isaac Michael, Informationssicherheitsbeauftragter und Christina Renner, Senior Consultant für Informationssicherheit, beantwortet.
1. Mit dem NIS2-Umsetzungsgesetz kommen einige Veränderungen auf die Sicherheitsbranche aber auch auf deren Kunden zu. Wer wird maßgeblich davon betroffen sein?
Holger Koeppe: Grundsätzlich werden Einrichtungen und Organisationen davon betroffen sein, die wichtige und besonders wichtige Dienste anbieten. Also Dienstleistungen oder Produktionen die im Krisenfall einen großen Einfluss auf das Funktionieren der vorhandenen Infrastruktur besitzen. Formell beschreibt der Gesetzesentwurf damit alle Unternehmen mit mindestens 50 Mitarbeitenden oder einem Jahresumsatz ab 10 Millionen Euro. Besonders wichtige Einrichtungen definieren sich dadurch, dass sie mindestens 250 Mitarbeiter beschäftigen, einen Jahresumsatz ab 50 Millionen Euro und eine Jahresbilanzsumme von mindesten 43 Millionen Euro erzielen.
Außerdem müssen sich diese Unternehmen speziell definierten Sektoren zuordnen lassen. In diesen Sektoren gelten dann noch festgelegte Kriterien, beispielsweise, wie viele Haushalte mit den Leistungen der Organisation versorgt werden oder wie hoch die Erzeugerwerte in der Strom- oder Gasversorgung sind. Also eine etwas komplexe Zusammenstellung von Kriterien, die darüber entscheidet, ob die Anforderungen nach NIS2 erfüllt werden müssen oder nicht. Es wird von geschätzt 40.000 Unternehmen ausgegangen, die von der Umsetzung des Gesetzes betroffen sein werden.
Trotzdem können die Anforderungen auch auf eigenen Wunsch umgesetzt werden, auch wenn man nicht dazu verpflichtet ist. So sind Regelwerke wie die ISO 27001 oder der BSI-Grundschutz sichere Alternativen dafür. Denn ehrlich gesagt macht man es Angreifern, die es auf digitale Infrastrukturen abgesehen haben, nur noch einfacher, wenn es keine Schutzmaßnahmen gibt. Unabhängig davon, ob man letztendlich gesetzlich dazu verpflichtet ist oder nicht.
2. Auch die Dora-Richtlinie wirkt sich auf den Markt aus. Was ist Dora konkret und welche Auswirkungen hat diese für Unternehmen?
Matthias Kurfels: Dora ist die Abkürzung für „Digital Operational Resilience Act“, einer Verordnung auf EU-Ebene, die im Jahr 2022 erlassen wurde und ab 17. Januar 2025 verbindlich anzuwenden ist. Dora wird durch zahlreiche Auslegungsbestimmungen ergänzt, die als delegierte Verordnungen der EU veröffentlicht werden.
Im Mittelpunkt steht die Stärkung der Widerstandsfähigkeit von Finanzunternehmen gegen Cyberbedrohungen und die Verbesserung der Steuerung und Überwachung von Informations- und Kommunikationsdienstleistern (IKT) sowie deren Sub-Dienstleistern. Der Verordnungsgeber fordert neben soliden und detaillierten Regelungen auf Unternehmensebene („IKT-Governancerahmen“) auch zahlreiche realitätsnahe Tests (PenTests, Notfalltests), in die zum Teil auch die Dienstleister der Finanzunternehmen eingebunden werden müssen. Die IKT-Dienstleister der Finanzunternehmen müssen über eine Zertifizierung ihrer Informationssicherheit verfügen, damit weniger Gefährdungen von ihnen ausgehen.
Dora wendet sich an die gesamte Finanzindustrie, also Banken, Versicherer, Zahlungsdienstleister und Kapitalverwaltungsgesellschaften, und harmonisiert bereits bestehende Regelungen über diese Branchen hinweg. Zudem werden neue Anbieter wie Kontodienstleister (z. B. Kontowechselservices), Schwarmfinanzierer und Anbieter von Kryptodienstleistungen von der Richtlinie erfasst, die sich erstmals mit der digitalen Widerstandsfähigkeit befassen müssen. Die europäische Finanzaufsicht wird auf Dora-Basis insbesondere die kritischen IKT-Dienstleister stärker überwachen, da ihre Leistungen von einer Vielzahl von Finanzunternehmen genutzt werden und so sehr leicht ein systemisches Risiko für die Finanzindustrie entstehen kann, wenn diese IKT-Dienstleister Cyberbedrohungen nicht in den Griff bekommen.
3. Wie ist der aktuelle Stand von NIS2 und Kritis und wie schätzen Sie die Situation im Markt in Bezug auf die Richtlinien ein?
Isaac Michael: Aktuell liegt ein Regierungsentwurf vom 24.7.24 zum NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, kurz NIS2 UmsuCG vor. Eine etwas sperrige Bezeichnung, die allerdings schon darauf hinweisen soll, worum es in diesem Gesetz gehen soll. Nämlich um den Ausbau von Aktivitäten zur Abwehr von Angriffen durch Cyberkriminelle. Ein Thema, das vor allem im Mittelstand noch kein großes Bewusstsein erreicht hat. Mit der Umsetzung des Gesetzes soll aber genau dort angesetzt werden. Die Unternehmen sollen verstehen, dass die gewünschte Wertschöpfung heutzutage in zunehmendem Maße auch davon abhängt, wie gut Datensysteme und Informationen geschützt sind. Ein allzu sorgloser Umgang damit kann großen Schaden verursachen, wie prominente Beispiele in der Vergangenheit bereits gezeigt haben.
Der Ausfall von Produktion, das Ausbleiben von Lieferungen für Rohstoffe oder die Manipulation von Daten und Informationen kann Unternehmen in die Insolvenz treiben. Deshalb gehen wir davon aus, dass zahlreiche Organisationen mit der Umsetzung der Anforderungen überfordert sein werden. Das liegt zum einen am fehlenden Know-how, da wenige Unternehmen in den letzten Jahren gezielt in Richtung IT-Expertise rekrutiert haben. Zum anderen fehlt es allerdings auch an geeignetem Personal, aufgrund des Fachkräftemangels. Da die erforderlichen Maßnahmen auch mit Investitionen in physische Sicherheit der Betriebsstätten zusammenhängen oder modernere, digitale Systeme zur Überwachung der Infrastruktur angeschafft werden müssten, werden diese Ausgaben meist gemieden. Das kann fatale Folgen haben.
4. Werden Unternehmen Ihrer Meinung nach dem Druck nicht standhalten, der mit den Gesetzgebungen auf sie zukommt und deshalb vom Markt verschwinden? Wer könnte das sein?
Holger Koeppe: Dass Unternehmen vom Markt verschwinden, kann so pauschal nicht mit fehlenden Maßnahmen in die Sicherung von digitalen Infrastrukturen begründet werden. Dafür kann es eine Vielzahl von Ursachen geben. Sicher sind die Herausforderungen an die Unternehmen gestiegen, gesetzliche und behördliche Anforderungen zu erfüllen. Sicher ist das auch ein Grund, warum viele Unternehmen den hohen administrativen Aufwand rund um ihr eigentliches Kerngeschäft über ihre Verbände kritisch diskutieren. Wer jedoch die Gefahren für sein Unternehmen unterschätzt, der riskiert am Ende, dass sich seine Vorstellung von der Entwicklung des geplanten Geschäftes nicht erfüllen wird. Das gilt sowohl für die Abwehr von Cyberangriffen als auch für die Vermeidung von Unfällen im Rahmen des Arbeitsschutzes oder der Produktsicherheit. Hier greift die Verantwortung der Unternehmensleitung mit den richtigen Prioritäten und strategischen Maßnahmen den Fortbestand des Unternehmens zu sichern. Dafür stehen sie auch in der persönlichen Haftung.
5. Welche Voraussetzungen müssen Unternehmen erfüllen, damit sie gut aufgestellt sind und von den Herausforderungen der Richtlinien nicht „kalt erwischt“ werden?
Christina Renner: Auch dafür gibt es keine pauschale Antwort. Die Maßnahmen zur Stärkung der eigenen Resilienz, also der Fähigkeit sich gegen Cyberattacken zu schützen, sind so individuell wie es die Unternehmen in aller Regel selbst sind. Wenn ein Regelwerk wie z.B. die internationale Norm ISO 27001 in seiner aktuellen Version bereits eingeführt und etabliert ist, dann sind die Anforderungen des NIS2 UmsuCG bereits zu großen Teilen erfüllt. Das gilt auch für die Nutzung des BSI-Grundschutzes oder anderer Standards. Das hat den Vorteil, dass bereits ein gewisses Bewusstsein für die Thematik bei den Mitarbeitenden vorhanden ist. Dies erleichtert unserer Erfahrung nach auch die noch nicht erfüllten NIS2 Kriterien umzusetzen. Doch eines sollte von Beginn an klar sein: NIS2 ist weitaus mehr als die Implementierung technischer Lösungen wie Firewalls, Antivirenprogramme oder anderer Cybersicherheitsprodukte. Hersteller von Sicherheitslösungen preisen ihre Produkte häufig als die ultimative Antwort auf gesetzliche Anforderungen wie NIS2 an. Doch dies greift zu kurz.
Was zudem oft unterschätzt wird, ist, dass sich Maßnahmen zum Schutz von Daten und Informationen auch auf den physischen Schutz, also die Sicherung der Arbeitsstätten und Gebäude beziehen sollte. Denn die besten Maßnahmen digitale Informationen und Daten zu sichern, sind in Gefahr, wenn es zum Beispiel gelingt, mit mobilen Datenträgern Viren in die Infrastruktur einzuschleusen, oder über das Einspielen spezieller Programme nachhaltig zu manipulieren. Offene Türen und Tore, ungesicherte Laptops oder fehlende Besuchersteuerungen können dadurch zu einer echten Gefahr für die Unternehmenswerte werden. Kurzum, das richtige Vorgehen bei der Sicherung der eigenen Infrastruktur zu finden, bedeutet eine gründliche Analyse des Reifegrades der bereits ergriffenen Maßnahmen durchzuführen. Unter dem Reifegrad versteht man dann, ob eine Maßnahme wahrnehmbare Wirkung erzeugt, ob sie nur beschrieben ist, oder ob die Planung dazu noch nicht stattgefunden hat.
6. evolving systems consulting dient als Berater für die kommenden Richtlinien. Welche Leistungen können Unternehmen erwarten, die Ihre Services in Anspruch nehmen?
Matthias Kurfels: Im Kern bieten wir drei Leistungstypen an, die auf die jeweilige Situation bei den Unternehmen angepasst werden können.
- Mit einer GAP-Analyse stellen wir den eben beschriebenen Reifegrad der Organisation fest. Dabei führen wir Interviews mit den für das jeweilige Themengebiet verantwortlichen Mitarbeitenden durch. Darüber hinaus erörtern wir mit der Geschäftsleitung die strategische Ausrichtung und geben Impulse für erforderliche Änderungen. Wo es sinnvoll ist, verschaffen wir uns auch vor Ort einen Eindruck von der Umsetzung bisheriger Maßnahmen.
- In einem Sensibilisierungs-Workshop planen wir mit der Geschäftsleitung ein mögliches Vorgehen bei der Stärkung oder dem Aufbau geeigneter Resilienz Strategien. In diesem Workshop fließen die Ergebnisse der Interviews und der Begehung mit ein.
- In der sich anschließenden Umsetzungsbegleitung helfen wir methodisch bei der Planung und Umsetzung notwendiger Projekte, liefern Vorlagen zur Dokumentation und unterstützen bei Schulungsmaßnahmen.
Diese drei Leistungen passen wir in Umfang und Inhalt der beim Kunden vorhandenen Ressourcen und Maßnahmenumfänge an. Das hat die Vorteile, dass wir in der Begleitung das Know-how beim Kunden sowie die Dokumentation aufbauen oder optimieren und die Organisation bei der Umsetzung der notwendigen Anforderungen unterstützt und nicht überfordert wird. Am Ende unserer Zusammenarbeit kann das Unternehmen die notwendigen Anforderungen vorweisen, um ihrer gesetzlichen Verpflichtung nachzukommen.
7. Sind Ihre Services zertifiziert oder anderweitig staatlich geprüft?
Isaac Michael: Die evolving systems consulting GmbH ist selbst nach dem internationalen Standard der ISO 27001:2022 zertifiziert und arbeitet dementsprechend an der ständigen Verbesserung ihrer eigenen Sicherheitsprozesse nach dem geforderten Prinzip des Plan-Do-Check-Act. Wir nutzen Systeme und Standards gemäß dem Stand der Technik. Außerdem erfüllen wir die Standards der DSGVO und überprüfen diese regelmäßig bei unseren Partnern und Dienstleistern.
8. Wie sind Unternehmen auch rechtlich in Bezug auf die Richtlinien gut aufgestellt, wenn Sie sich von Ihnen beraten lassen?
Christina Renner: Wir arbeiten mit Partnern zusammen, die sich auf die rechtlichen Anforderungen der Daten- und Informationssicherheit spezialisiert haben. In unserer Arbeit nutzen wir unsere Erfahrung in der „Übersetzung“ von Anforderungen aus entsprechenden Regelwerken, wie dem NIS2 UmsuCG oder der ISO 27001. Wir überführen also den „Normsprech“ in konkret wahrnehmbare Maßnahmen zum Schutz der IT-Infrastruktur unserer Kunden.
Das ist vor allem für die Akzeptanz dieser Maßnahmen wichtig. Denn nur wenn alle Mitarbeitenden auch verstehen, was sie zu tun haben, wenn sie Angriffe bemerken, können sie entsprechend handeln. Da helfen keine „akademisierten“ Begrifflichkeiten, da werden eindeutige Dokumente und klare Prozesse benötigt, die wir mit den beteiligten Mitarbeitenden gemeinsam entwickeln. Wer beteiligt wird, der akzeptiert in aller Regel auch die Ergebnisse und setzt sie in im täglichen Handeln erfolgreich um.
Das Interview-Team
Matthias Kurfels
Holger Koeppe
Isaac Michael
Christina Renner
Microsoft 365 Einführung bei neun Genossenschafts-banken
M365 bietet eine zentrale Plattform für die Zusammenarbeit und beinhaltet bekannte Office-Anwendungen wie Word, Excel und PowerPoint, die sowohl online als auch offline genutzt werden können. Zudem ist die Kollaborationsplattform Microsoft Teams Teil der Suite und bietet eine zentrale Umgebung für Kommunikation und Zusammenarbeit innerhalb von Teams und Organisationen.
Im Rahmen von mehreren Projekten direkt vor Ort haben wir neun Genossenschaftsbanken bei der Einführung von M365 unterstützt und begleitet. Unsere Leistungen umfassten:
- Koordination und Steuerung: Wir haben die Einführung von M365 geplant und koordiniert, um eine reibungslose Implementierung sicherzustellen.
- Unterstützung und Begleitung: Unser Team war vor Ort, um den Mitarbeitern bei der Nutzung der neuen Plattform zu helfen und sie durch den gesamten Prozess zu begleiten.
- Problemlösung: Wir haben vor Ort Herausforderungen und Probleme gelöst, um einen reibungslosen Ablauf zu gewährleisten.
- Schnittstelle zum zentralen Leitstand: Wir fungierten als Schnittstelle zum zentralen Leitstand, um eine effiziente Kommunikation und Problembehebung sicherzustellen.
- Minutenfahrplan: Wir erstellten und arbeiteten gemeinsam mit dem Kunden einen detaillierten Minutenfahrplan ab, um alle Schritte der Implementierung klar zu definieren und zu verfolgen.
- Eskalationsmanagement: Bei Bedarf haben wir Eskalationsmanagement betrieben, um sicherzustellen, dass alle Probleme schnell und effektiv gelöst wurden.
- Dezentraler Leitstand vor Ort: Wir richteten einen dezentralen Leitstand vor Ort ein, um die Einführung und den Betrieb von M365 optimal zu überwachen und zu steuern.
Diese Projekte unterstreichen unser Engagement für technologische Innovation und effizientes Projektmanagement. Dank unserer Unterstützung konnten die Genossenschaftsbanken M365 erfolgreich einführen und von den zahlreichen Vorteilen der Plattform profitieren.
Senior IT-Berater mit Schwerpunkt Banken (m/w/d)
Wir stehen für verlässliches und nachhaltiges Management von IT-Infrastrukturprojekten – von der Idee bis zur erfolgreichen Weiterführung. Unser Leistungsangebot umfasst die Steuerung von IT- Migrations-, Verlagerungs- und Entflechtungsprojekten, Consulting und Coaching. Zur Förderung unserer Unternehmenskultur legen wir hierbei großen Wert auf flache interne Hierarchien, direkte Abstimmungswege und ein teamorientiertes Arbeiten.
Zum nächstmöglichen Zeitpunkt suchen wir für die IT-Projekte bei unseren Kunden aus den Bereichen Bank/Finanzen Unterstützung durch jemanden mit Bankerfahrung und Interesse an IT-Themen.
Deine Aufgabe bei uns:
- Du bist für die Planung, Koordination und Umsetzung komplexer bankfachlicher Projekte mit IT-Bezug verantwortlich und bist dabei bei unseren Kunden in der Rolle des Projektleiters tätig
- Gemeinsam mit den Kunden ermittelst du Herausforderungen und Ziele, leitest daraus Lösungen für die jeweilige Lösung ab und konzeptionierst diese
- Neben dem Projektmanagement berücksichtigst Du dabei stets die Themen Compliance & Security sowie Regulatorik sowie das Kosten- und Risikomanagement
- Du bist dabei regelmäßig mit den Stakeholdern im Austausch und verantwortest zudem das Schnittstellenmanagement, die Ressourcenplanung und die Qualitätssicherung
- Du arbeitest eng mit dem Vertrieb und der Geschäftsführung zusammen
- Je nach Projektgröße und Erfahrung übernimmst du die eigenverantwortliche Betreuung des Kunden als auch die Führung der Projektmitarbeiter
Das bringst du mit:
- Du hast eine Ausbildung oder ein Studium im Bereich Bank / Finanzen absolviert oder hast langjährige Erfahrung in der Finanz Branche
- Du bringst 5-10 Jahre Berufserfahrung in der Projektleitung und im Optimalfall im Consulting mit
- Du hast fundierte Kenntnisse bzgl. der Funktionsweise von Kernbankverfahren, Zahlungsverkehr und Banksteuerung. Ebenfalls sind Dir Begriffe wie Meldewesen und Regulatorik im Bankenumfeld nicht fremd.
- Du besitzt fundierte Kenntnisse oder idealerweise Zertifizierungen der Projektmanagementmethoden nach PMI, IPMA oder PRINCE2 und haben nachweisliche Projekterfahrung mit unterschiedlichen IT-Infrastrukturen
- Optimalerweise warst du bereits in der Beratung oder der Orga-Abteilung einer Bank
- Du arbeitest gerne in interdisziplinären Teams und der Austausch fällt dir leicht
- Du sprichst verschiedene Sprachen: die der Stakeholder bei unseren Kunden als auch die unserer Consultants und Engineers – Du verbindest also Bank und IT
- Den Überblick zu behalten und dich zu organisieren, gelingt dir mühelos
- Ein temporär hohes Arbeitsaufkommen, Termindruck und Deadlines bringen dich nicht aus der Ruhe
- Du bist offen gegenüber Veränderungen und Trends
- Du bist gerne in einem Umfeld tätig, in dem nicht alles bis ins Detail geregelt ist und schaffst es, strukturierte und pragmatische Lösungen zu finden
- Im Rahmen der Projekte beim Kunden bist du gerne innerhalb Deutschlands unterwegs
Das erwartet dich bei uns:
- Ein Team, das sich auch bei örtlicher Ferne immer nah ist
- Eine Duz-Kultur innerhalb der esc
- Ein Unternehmen, in dem du den Unterschied machst und mitgestaltest – Du bringst deine Ideen ein und bestimmst den Weg zum Ziel
- Ein abwechslungsreiches Tätigkeitsfeld, das individuell auf dich und deine Fähigkeiten abgestimmt ist
- Ein kollegiales Umfeld, in dem auf Augenhöhe und mit Spaß gemeinsam gearbeitet wird
- Gemeinsame Werte, die nicht nur auf dem Papier stehen, sondern wirklich gelebt werden
- flexible Gestaltung des Arbeitstages hinsichtlich Zeit und Ort
- Teamevents, bei denen alle Kollegen gemeinsam Deutschland oder die Welt erkunden
- Ein attraktives Gehaltspaket – bestehend aus Grundgehalt und variablem Gehaltsanteil
Klingt interessant?
Dann möchten wir dich kennenlernen!
Wir freuen wir uns auf deine Bewerbung mit deiner Verfügbarkeit und Gehaltsvorstellung. Da Zeit immer knapp ist, kannst du dich auch gerne ohne Anschreiben bewerben.
Von Urteilen zu Lösungen: Effektives Zustimmungs-kampagnenmanagement
Zustimmung ist in vielen Lebensbereichen von zentraler Bedeutung – auch für Banken spielt sie eine wesentliche Rolle. Seit dem Urteil des Bundesgerichtshofs (BGH) vom 27. April 2021 (Az. XI ZR 26/20) benötigen sie bei Änderungen von Entgelten, Allgemeinen Geschäftsbedingungen (AGB) und Sonderbedingungen das Einverständnis ihrer Kundinnen und Kunden.
Ein weiteres Element dieses Urteils ist die Zweimonatsfrist: Zwischen dem Angebot der Änderung und deren Wirksamkeit müssen mindestens zwei Monate und ein Tag liegen. Diese Frist gilt sowohl im Online- als auch im Präsenzgeschäft und gibt den Kundinnen und Kunden ausreichend Zeit zur Überprüfung und Entscheidungsfindung. Ohne Zustimmung innerhalb dieser Frist bleiben die bestehenden Bedingungen weiterhin gültig. Das Ziel ist klar: Transparenz und Verantwortung gegenüber den Kunden sicherstellen. Doch wie gelingt es uns, diese Zustimmung möglichst unkompliziert einzuholen? Genau dafür haben wir eine Lösung entwickelt und bereits erfolgreich bei zahlreichen Kunden implementiert.
Kundenzustimmungen einfach und effizient einholen
Mit einem transparenten und leicht zu integrierenden Zustimmungsprozess lässt sich die Einholung von Kundenzustimmungen sehr einfach umsetzen. Wir haben eine Lösung entwickelt, die auf einem rechtskonformen Prozess, der speziell für den Bankensektor entwickelt wurde, basiert. Sie bietet eine umfassende Integration in bestehende Systeme zur aktiven Einholung von Zustimmungen bei Änderungen von Entgelten, AGB oder Sonderbedingungen. Hier sind einige Schlüsselaspekte:
Lösungsansätze im Detail:
Für die Betreiber des Systems ist es besonders einfach, Kampagnen anzulegen, da intuitive Eingabemasken zur Verfügung stehen, die den Erstellungsprozess sehr leicht machen und beschleunigen. Die benutzerfreundliche Oberfläche erleichtert nicht nur die Bedienung, sondern gestaltet auch den gesamten Prozess der Zustimmungsverwaltung effizienter und übersichtlicher.
Standardisierte, rechtlich abgestimmte Anschreiben werden durch bankindividuelle Anlagen ergänzt. Dadurch wird eine persönliche Ansprache über den bevorzugten Kommunikationsweg des Kunden gewährleistet, was die Effizienz der Zustimmungseinholung erhöht.
Unsere Lösung lässt sich nahtlos in die IT-Infrastruktur von Banken integrieren, ohne den laufenden Betrieb zu stören.
Durch vollständige Integration werden gesetzliche Vorgaben automatisch eingehalten. Die sichere Speicherung und Versionierung der Zustimmungsdaten gewährleistet höchste Datensicherheit.
Kundinnen und Kunden können ihre Zustimmung über verschiedene Kanäle wie QR-Code Landingpages, Overlays im Online-Banking oder direkte Unterstützung durch das Kundenberatungsteam abgeben. Diese Auswahlmöglichkeiten garantieren, dass jeder Kunde auf seinem bevorzugten Weg informiert und aktiviert wird, wodurch die Zustimmung unter Umständen auch schneller und unkomplizierter erfolgen kann.
Ein einfacher und klar strukturierter Zustimmungsprozess verbessert die Gesamterfahrung der Kunden, fördert die Zufriedenheit und stärkt das Vertrauen in die Bank.
Die Vorteile eines integrierbaren Zustimmungskampagnenmanagements:
Nahtlose Integration
Die einfache Einbindung ohne umfangreiche Anpassungen ermöglicht eine nahtlose Integration.
Effizienzsteigerung
Die Automatisierung spart Zeit und Kosten.
Konsistente Datenverwaltung
Durch die zentrale Speicherung der Zustimmungen wird die Datenintegrität erhöht.
Einfache Skalierbarkeit
Anpassungen an wachsende Anforderungen sind unkompliziert umsetzbar.
Optimierte Benutzererfahrung & Fehlerreduzierung
Durch einfache Zustimmung über vertraute Kanäle werden manuelle Fehlerquellen minimiert.
Erhöhte Sicherheit
Durch verbesserte Standards wird der Schutz vor Datenverlust erhöht.
Ihr Ansprechpartner
Möchten Sie mehr über unsere Lösung erfahren oder haben Sie Fragen?
Gern stehen wir Ihnen für ein persönliches Gespräch zur Verfügung.
Thomas Hahn
Senior Consultant
Tel.: +49 174 695 4469
NIS2-Richtlinie: Fast 40.000 Unternehmen müssen reagieren – Gehört Ihres dazu?
Mit dem neuen Gesetz zur Umsetzung der EU NIS2-Richtlinie, bekannt als NIS2UmsuCG (Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit), wird sich die digitale Landschaft in Deutschland verändern. Das Gesetz zielt darauf ab, die Cybersicherheit in Unternehmen zu stärken und harmonisiert die EU-weiten Mindeststandards für Cybersicherheit auf nationaler Ebene. Die Auswirkungen sind enorm: Fast 40.000 Unternehmen in Deutschland werden von den neuen Regelungen betroffen sein, eine erhebliche Steigerung gegenüber den rund 3.000 Unternehmen, die bisher unter die KRITIS-Verordnung fielen. Da ab Veröffentlichung eine 9-monatige Frist zur Registrierung besteht, sollten Unternehmen jetzt prüfen, ob sie betroffen sind.
Wer ist betroffen?
Unternehmen, die von NIS2 betroffen sind, lassen sich in drei (bis vier) Gruppen einteilen:
- Besonders wichtige Einrichtungen
- Wichtige Einrichtungen
- Betreiber kritischer Anlagen (KRITIS)
- Einige Bundeseinrichtungen
Einstufungskriterien für Unternehmen im Rahmen des NIS2UmsuCG:
– Unternehmen mit mindestens 250 Mitarbeitern oder
– Unternehmen mit einem Umsatz von über 50 Millionen EUR und einer Bilanzsumme von mehr als 43 Millionen EUR
– Sonderfälle wie qualifizierte Vertrauensdiensteanbieter (qTSP), Top-Level-Domain-Registries (TLD), Domain Name System (DNS) Anbieter, Telekommunikationsanbieter (TK-Anbieter) und kritische Anlagen
– Unternehmen mit mindestens 50 Mitarbeitern oder
– Unternehmen mit einem Umsatz von über 10 Millionen EUR und einer Bilanzsumme von mehr als 10 Millionen EUR
– Vertrauensdienste gehören ebenfalls zu dieser Gruppe
– Verwendung der KRITIS-Methodik zur Feststellung der Betroffenheit einzelner Anlagen
– Eine Anlage wird als KRITIS betrachtet, wenn sie mindestens 500.000 Personen versorgt
Neue Sicherheitsanforderungen
Betroffene Unternehmen müssen angemessene, verhältnismäßige und effektive technische und organisatorische Maßnahmen ergreifen, um ihre IT-Systeme und Geschäftsprozesse zu schützen. Ziel ist es, Störungen in der Verfügbarkeit, Integrität und Vertraulichkeit zu verhindern und die Auswirkungen von Sicherheitsvorfällen zu minimieren. Zu den wesentlichen Maßnahmen zählen:
- die Berücksichtigung von Faktoren wie Risikoexpositionsmaß, Unternehmensgröße, Implementierungskosten, Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie gesellschaftliche und wirtschaftliche Folgen
- ein ganzheitlicher Ansatz unter Berücksichtigung europäischer und internationaler Normen
- eine Dokumentation der durchgeführten Maßnahmen.
Erweiterter Geltungsbereich
Die NIS2-Umsetzung erweitert den Geltungsbereich erheblich. Große Teile der Unternehmen unterliegen nun der Regulierung. Einrichtungen müssen Risikomanagement und Maßnahmen gemäß §30ff umsetzen. Betroffene Unternehmen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und Sicherheitsvorfälle melden.
Meldepflicht und Nachweise
Besonders wichtige Einrichtungen und Betreiber kritischer Anlagen müssen dem BSI Sicherheitsvorfälle innerhalb von 24 Stunden melden und stufenweise Folgemeldungen einreichen. Zudem sind regelmäßige Audits, Prüfungen oder Zertifizierungen erforderlich, um die Einhaltung der Maßnahmen nachzuweisen.
Sanktionen
Die Sanktionsvorschriften werden erweitert und umfassen neue Bußgeldtatbestände mit erhöhten Geldbußen zwischen 100.000 und 20 Millionen Euro, abhängig vom weltweiten Umsatz. Geschäftsleitungen müssen die Risikomanagement-Maßnahmen billigen und überwachen. Eine Verletzung dieser Pflichten kann zu einer Binnenhaftung der Geschäftsleitung führen.
Fristen und Umsetzung
Das NIS2UmsuCG tritt voraussichtlich Ende 2024 in Kraft, und die Pflichten für Unternehmen gelten ab diesem Zeitpunkt mit einer Registrierungspflicht von 9 Monaten. Es ist daher von entscheidender Bedeutung, dass Unternehmen frühzeitig mit der Umsetzung der neuen Anforderungen beginnen.
Das NIS2UmsuCG markiert einen wichtigen Schritt zur Stärkung der Cybersicherheit in Deutschland. Unternehmen müssen jetzt aktiv werden, um die neuen Anforderungen zu erfüllen und ihre IT-Sicherheitsmaßnahmen entsprechend anzupassen. Dies erfordert nicht nur technische Lösungen, sondern auch organisatorische Veränderungen und Schulungen, um sicherzustellen, dass alle Beteiligten ausreichend vorbereitet sind.
Ihre Ansprechpartner
Gerne stehen wir Ihnen für einen weiteren Austausch zur Verfügung.
Isaac Michael
Informationssicherheit und Datenschutz
Tel.: +49 173 4112814
Holger Koeppe
Managementsysteme & Audits
Tel.: +49 173 4112778
Aus dem Projektleben: Agiles Wasserfallprojekt mit Kanban-Unterstützung zum Festpreis?
Agiles Wasserfallprojekt mit Kanban-Unterstützung zum Festpreis? Sie finden das hört sich seltsam an?
Tatsächlich ist es gar nicht so ungewöhnlich, dass Unternehmen auf dem Weg zur Professionalisierung ihrer IT-Dienstleistungen genau diesen „Leidensweg“ durchmachen. Der Einsatz agiler Softwareentwicklung (Kanban/Scrum) bietet zahlreiche Vorteile – bessere Zusammenarbeit, schnellere Entscheidungen, kürzere Release-Zyklen und schnelleres Feedback von den Benutzern.
Iterativ wird so ein neues Produkt entwickelt. Durch die ebenfalls nach jeder Iteration zur Verfügung stehenden Feedbacks der Benutzer/Kunden kann sich dieses Produkt weiterentwickeln. Das Risiko von Fehlentwicklungen kann minimiert werden, da neue Features schnell in Produktion kommen und sich dort bewähren.
Soweit die Theorie und die Vorteile Agiler Entwicklung. Hört sich gut an, birgt aber während der Transition hin zu Agilen Methoden für die Unternehmen doch auch Hemmschwellen und Stolpersteine.
Dies liegt nicht zuletzt daran, dass es mit der Einführung Agiler Projekt-Methoden allein nicht getan ist und einfach vergessen wird, dass sich auch das Management, die Organisation selbst und die Kultur im Unternehmen einer Transition unterziehen muss.
„Agilität ist eine Führungsdisziplin. Es geht darum, Gruppen von Menschen im Unternehmen dazu zu befähigen, gemeinsam, selbstständig und frühzeitig die Notwendigkeit für einen Richtungswechsel zu erkennen.“ Aus „Nur die Agilen werden überleben“ (von Horst Wildemann, 2018)
Häufig trifft man auf nicht unerhebliche Widerstände bei der Umstellung auf agile Methoden. „Das machen wir doch schon immer so“ oder „Never change a running System“ sind dabei oft Aussagen, die belegen, dass der Veränderungswille bei am Markt etablierten Unternehmen nur rudimentär vorhanden ist. Das liegt oft auch daran, dass das Management nicht hinter den notwendigen Änderungen in der Unternehmenskultur steht, erst recht nicht, wenn keine augenscheinliche Notwendigkeit für den radikalen Wandel besteht.
Hinzu kommt, dass aufgrund der oben genannten positiven Effekte einer agilen Entwicklung die vermeintliche Umstellung von Projekten auf Agile Methoden, statt zur Steigerung der Effektivität und Effizienz in der Entwicklung dazu verwendet wird, den Druck auf die Mitarbeiter zu erhöhen und vermeintlich die Projektkosten zu drücken. Das liegt nicht zuletzt am Unverständnis der Agilen Entwicklung. Agil bedeutet in diesem Kontext nicht „schneller, billiger, besser“.
Wie also gehen wir die Transition hin zu agiler Entwicklung an? Was können wir tun, um unsere Kunden auf Ihrem Weg zur Agilität zu begleiten?
Letztlich landen wir bei einer klassischen Auftragsklärung wie sie in jedem Projekt stattfinden sollte.
Die Key-Questions sind:
Warum soll auf Agile Methoden umgestellt werden?
Welche Probleme sollen mit der Agilität gelöst werden?
Wie genau soll der Umstieg auf Agile Methoden erfolgen (Bereitschaft zur Änderung von Organisation, Arbeitsweisen, Unternehmenskultur, etc.)?
Was würde passieren, wenn man nicht auf Agile Methoden umstellt?
Sind diese Fragen mit dem Benutzer/Kunden geklärt, hat man ein starkes Werkzeug zur regelmäßigen Standortbestimmung auf dem Weg zur Agilität. Wurden Ziele oder Teilziele bereits erreicht, sind die ursprünglichen Antworten auf die Fragen immer noch gültig oder haben sich durch Veränderungen (Markt, Positionierung, Umorganisation) neue Aspekte herausgebildet, die berücksichtigt werden müssen oder Rahmenbedingungen verändert?
Nach der Auftragsklärung fängt die eigentliche Transformationsarbeit an.
Zunächst gilt es, alle Beteiligten da abzuholen, wo sie gerade stehen und sie behütet auf dem Weg in die Agilität zu begleiten. Dies schließt ein, dass beim Kunden eine Fehlerkultur eingeführt wird, die es den Beteiligten erlaubt, auf dem Weg in die Agilität Fehler zu machen und aus diesen Fehlern zu lernen, um das Ziel zu erreichen – auch wenn dies manchmal bedeutet, wieder einen Schritt zurück zu machen und einen anderen Weg einzuschlagen.
„Zwei Dinge sind zu unserer Arbeit nötig: Unermüdliche Ausdauer und die Bereitschaft, etwas, in das man viel Zeit und Arbeit gesteckt hat, wieder wegzuwerfen.“ (Albert Einstein)
-
Gemeinsame Zielerreichung: Mitarbeiter auf dem Weg zur Agilität einbinden
Wichtig ist auch, dass wirklich jeder im Unternehmen eingebunden ist. Wer den Mitarbeiter in einem Team da abholt, wo er gerade steht, wer Verweigerungshaltung und Zauderer auf dem Weg in die Agilität vermeiden möchte, muss selbst Klarheit über die Gründe für die Veränderung haben und diese Gründe auch klar vermitteln können. Idealerweise wird ein detailliertes Zielbild mit allen – vom Mitarbeiter bis zum Manager – gemeinsam erarbeitet.
-
Mehr Verständnis durch Wissenstransfer
Gleichzeitig muss ein Knowhow-Transfer stattfinden. Auch hier sollte niemand vergessen werden. Vom Management bis zum Mitarbeiter sollte allen klar sein, was Agiles Arbeiten bedeutet. Dies ist insbesondere wichtig, da damit die Verweigerer und Zauderer einbezogen werden, in der gesamten Organisation ein Verständnis für Agile Methoden, Rollen und letztlich auch ein Schutz vor Angriffen und Querschlägern etabliert wird.
-
Wenn agil, dann im gesamten Unternehmen
Wenn nur eine neue Arbeitsweise beschrieben und versucht wird diese einzuführen, scheitert das Vorhaben. Teilbereiche agil zu transformieren ohne den organisatorischen Rahmen für Agilität im gesamten Unternehmen zu schaffen hat nur zur Folge, dass das Ergebnis konträr zum eigentlichen agilen Ziel ausfallen wird. Parallelbetrieb von Wasserfall- und Agiler Methode sorgt für Schnittstellen-Reibungen; beide Welten wollen gegenseitig bedient werden und blockieren sich mit ihren jeweiligen Anforderungen. Statt die guten Gene zu fördern, hat man die Schlechten aus beiden Welten vermischt.
-
Schritt für Schritt zur agilen Organisation
Trotz des gesamtheitlichen Ansatzes auf dem Weg zur Agilität sollte man vermeiden „alles auf einmal“ zu verändern. Das Zielbild und der Transitionsplan sollte zwar möglichst umfangreich sein, die Umstellung auf Agile Methoden jedoch mit ruhiger Hand vonstattengehen. Teilbereich für Teilbereich wird transformiert, dabei wird jede Erfahrung bei der Umstellung auf Agile Methoden genutzt, um nicht nur die agile Arbeit aufzunehmen, sondern auch zu lernen.
-
Effizienzsteigerung und Kundenzufriedenheit durch Agiles Mindset
Im Laufe der Transformation ändern sich damit nicht nur eingeschliffene Arbeitsweisen und Muster, sondern auch die Art und Weise wie Produkte entwickelt werden. Das Mindset ändert sich. Wichtiges wird von Unwichtigem unterschieden und entsprechend bei der Entwicklung priorisiert. Lieferketten werden beschleunigt und nicht zuletzt wird man feststellen, dass durch die unabdingbare Einbeziehung des Benutzers/Kunden und das daraus resultierende Feedback der Agile Ansatz ein wesentlicher Erfolgsfaktor entlang der gesamten Wertschöpfungskette eines Unternehmens werden kann. Die daraus resultierende Win-Win-Situation zeichnet sich durch zufriedene Kunden, schnellere Entwicklung und schlankere und effizientere Prozesse aus.
Ihr Ansprechpartner
Gerne stehen wir Ihnen für einen weiteren Austausch zur Verfügung.
Michael Jahn
Director Business Services
Tel.: +49 173 1508480
ISO 27001 - Unser Weg zur Zertifizierung
In einer Ära, in der Unternehmen zunehmend von Technologie abhängig sind und Daten eine entscheidende Rolle spielen, ist Informationssicherheit wichtiger denn je. ISO 27001 gewährleistet die Sicherheit dieser Informationen und stärkt das Vertrauen und die Reputation von Unternehmen. Eine ISO 27001-Zertifizierung ist daher ein starkes Signal für unsere Verpflichtung zur Informationssicherheit.
Im Januar 2024 haben wir den Zertifizierungsprozess nach ISO 27001 erfolgreich abgeschlossen. Jetzt möchten wir Ihnen einen Blick hinter die Kulissen geben. Erfahren Sie, wie wir die hohen Standards der Informationssicherheit gemeistert haben und welche wertvollen Erfahrungen wir dabei sammeln konnten.
Schritt für Schritt zur ISO 27001
Im ersten Schritt haben wir gemeinsam mit unseren beiden Geschäftsführern die Leitlinie für Informationssicherheit erarbeitet. Diese wird auch als „Grundgesetz der Informationssicherheit“ bezeichnet, da sie den Rahmen der Sicherheitsorganisation vorgibt. In ihr werden die für die Organisation relevanten Schutzziele der Informationssicherheit (Vertraulichkeit, Integrität, Verfügbarkeit) definiert. Außerdem bekennt sich die Unternehmensleitung in der Leitlinie zur Umsetzung aller erforderlichen Maßnahmen zur Implementierung sowie zum Betrieb eines Informationssicherheitsmanagementsystems (ISMS)*.
Zudem muss eine konkrete Verantwortlichkeit für die Informationssicherheit benannt werden. Dies erfolgte bei uns durch die Bestellung unseres Informationssicherheitsbeauftragten (ISB) sowie durch die Einrichtung eines Informationssicherheitsmanagementteams (ISM-Team), bestehend aus unserem ISB, einem Datenschutzkoordinator und einem IT-Administrator.
*Ein Informationssicherheitsmanagementsystem (ISMS) ist ein systematischer Ansatz zur Verwaltung sensibler Unternehmensinformationen, um deren Sicherheit zu gewährleisten. Dazu gehören die Implementierung von Richtlinien sowie Verfahren und Kontrollmaßnahmen zur Verwaltung von Informationsrisiken und zum Schutz vertraulicher Daten. Ein ISMS stellt die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicher.
Die Prozesseigner aus verschiedenen Unternehmensbereichen, darunter IT, People & Culture und Software Development, wurden zu den Sicherheitsbereichen gemäß ISO 27001 befragt. Ziel war es, festzustellen, inwieweit die aktuellen Prozesse die Normanforderungen erfüllen, und welche Lücken bestehen. Die Ergebnisse der Befragungen dienten als Grundlage für die Erstellung der Erklärung zur Anwendbarkeit, auch SoA (Statement of Applicability) genannt. Diese ist ein zentrales Dokument des Informationssicherheitsmanagementsystems (ISMS), das eine Liste aller Maßnahmen aus dem Anhang A der ISO 27001 sowie Erklärungen und Begründungen zu deren Umsetzung in Unternehmen enthält.
Im weiteren Verlauf haben wir das Inventar unserer Informationswerte (auch Assetinventar genannt) vervollständigt. Zu diesen gehören unter anderem alle Laptops, Mobilgeräte, Peripheriegeräte sowie unsere Netzwerkinfrastruktur und auch die Räume an unserem Bürostandort. Die Inventarisierung soll einen Überblick über die eigenen Informationswerte geben und sicherstellen, dass für jeden Informationswert Verantwortlichkeiten für die Verwaltung bestimmt wurden. Dieser Schritt ist von entscheidender Bedeutung, da er die Basis für das Herzstück des ISMS bildet – das Risikomanagement.
Dazu wurde zunächst ein Klassifizierungssystem erstellt, um Informationswerte in Schutzbedarfsklassen einzuteilen, die definierte Schutzziele abdecken. Die Risiken wurden anschließend in Workshops mit den Verantwortlichen identifiziert, analysiert und bewertet. Zudem wurde untersucht, welcher Schaden entstehen kann, wenn Schutzziele verletzt werden. Abschließend wurden die Risiken anhand von Schadenskategorien, Eintrittswahrscheinlichkeit und Schadensausmaß bewertet und Maßnahmen zur Risikominderung abgeleitet.
Die Informationssicherheit erfordert sowohl technische als auch organisatorische Maßnahmen. Schulungen aller Mitarbeitenden sind daher entscheidend, um ein Bewusstsein für Sicherheitsaspekte zu schaffen. Unser Schulungskonzept umfasst Themen wie Passwortrichtlinien und den richtigen Umgang mit Unternehmensinformationen und Sicherheitsvorfällen. Zudem führen wir regelmäßige Lernerfolgskontrollen durch, um die Effektivität der Schulungen zu überprüfen.
Ein ISMS ohne Dokumentation ist wie ein Auto ohne Reifen. Um unser ISMS „fahrtüchtig“ zu machen, haben wir diverse Informationssicherheitsrichtlinien erstellt. Diese beinhalten die Umsetzung der Norminhalte aus der ISO 27001 innerhalb unserer Organisation und unsere individuellen Anforderungen. Wichtig ist, alle Mitarbeitenden über die Richtlinien und Regelungen zu informieren, da ein Managementsystem nur dann effektiv ist, wenn es auch innerhalb der Organisation gelebt wird.
Nachdem wir alle Anforderungen der ISO 27001 erfüllt hatten, folgte das Interne Audit. Dazu wurde ein unabhängiger Auditor ernannt, der das ISMS auf Konformität mit ISO 27001 und unternehmensinternen Vorgaben prüfte. Zudem zogen wir Prozessverantwortliche ein, um Auskünfte und Nachweise zur Umsetzung der Informationssicherheit liefern zu können. Grundsätzlich gilt: Hauptabweichungen von der ISO 27001 sind schwerwiegende Nichtkonformitäten, die die Gesamtwirksamkeit des ISMS in Frage stellen können. Nebenabweichungen erfordern Ursachenanalysen und Maßnahmen zur Behebung. Sofern Verbesserungsansätze vorhanden sind, werden Empfehlungen ausgesprochen. Der daraus entstandene Auditbericht diente als Vorbereitung für das externe ISO 27001 Audit.
Nach dem Internen Audit wurden zunächst alle festgestellten Nichtkonformitäten behoben. Darauf folgte das Stufe 1 Audit. Dabei wird geprüft, ob das ISMS die formellen Voraussetzungen für die Zertifizierung erfüllt (Soll-Soll-Abgleich). Dafür mussten Pflichtdokumente bei der Zertifizierungsstelle eingereicht werden und die ISMS-Dokumentation wurde vor Ort durch einen externen Auditor auf Vollständigkeit geprüft. Das Ergebnis war eine Empfehlung zur Weiterführung des Zertifikatsprozesses und die Zulassung zum Stufe 2 Audit.
Beim Stufe 2 Audit erfolgt neben der Angemessenheitsprüfung des ISMS zusätzlich eine Wirksamkeitsprüfung. Diese stellt fest, ob die internen Regelungen des ISMS in der Praxis gelebt werden („Soll-Ist-Abgleich“). Durch das Stufe 2 Audit wird bestätigt, inwieweit das ISMS den Anforderungen der ISO 27001-Norm sowie den selbst auferlegten Anforderungen entspricht. Die Wirksamkeitsprüfung der Stufe 2 erfolgt in Form von Vor-Ort-Begehungen, Interviews sowie gezielten Befragungen von zuvor benannten Ansprechpartnern. Daher war es uns besonders wichtig, alle Beteiligten des Audits frühzeitig einzubeziehen und durch eine umfassende Informationsweitergabe auf die anstehenden Gespräche vorzubereiten.
Das ISO 27001 Stufe 2 Audit wurde von zwei externen Auditoren durchgeführt und dauerte drei Tage. Wir wurden zu allen Anforderungen und Sicherheitsbereichen der ISO 27001 Norm befragt und mussten unsere Nachweise für die Umsetzung der Maßnahmen bereitstellen.
Endlich – ISO 27001 Stufe 2 Audit bestanden!
Nach drei intensiven Audittagen wurde uns der Erhalt des ISO 27001-Zertifikats von beiden externen Auditoren bestätigt. GESCHAFFT – die esc ist ISO 27001-zertifiziert!
Folgende Aspekte haben wir aus dem Prozess der Einführung eines Informationssicherheitsmanagementsystems (ISMS) gelernt:
- Die ISMS-Einführung erfordert eine frühzeitige Einbindung aller Unternehmensbereiche.
- Die notwendigen Ressourcen (personell und finanziell) sollten vorab sichergestellt werden.
- Die Unterstützung der Informationssicherheit durch die Geschäftsführung ist unverzichtbar.
- Eine regelmäßige, transparente Kommunikation mit Hintergrundinformationen ist wichtig.
- Erfahrene Ansprechpartner sollten für Fragen zum ISO 27001-Zertifizierungsverfahren zur Verfügung stehen.
Ihre Ansprechpartner
Sie befinden sich gerade in einem Zertifizierungsverfahren nach ISO 27001 oder planen, sich nach dieser Norm zertifizieren zu lassen? Dann stehen Ihnen unsere Ansprechpartner gerne zur Verfügung!
Isaac Michael
Informationssicherheit und Datenschutz
Tel.: +49 173 4112814
Holger Koeppe
Managementsysteme & Audits
Tel.: +49 173 4112778