Microsoft 365 Einführung bei neun Genossenschafts-banken
M365 bietet eine zentrale Plattform für die Zusammenarbeit und beinhaltet bekannte Office-Anwendungen wie Word, Excel und PowerPoint, die sowohl online als auch offline genutzt werden können. Zudem ist die Kollaborationsplattform Microsoft Teams Teil der Suite und bietet eine zentrale Umgebung für Kommunikation und Zusammenarbeit innerhalb von Teams und Organisationen.
Im Rahmen von mehreren Projekten direkt vor Ort haben wir neun Genossenschaftsbanken bei der Einführung von M365 unterstützt und begleitet. Unsere Leistungen umfassten:
- Koordination und Steuerung: Wir haben die Einführung von M365 geplant und koordiniert, um eine reibungslose Implementierung sicherzustellen.
- Unterstützung und Begleitung: Unser Team war vor Ort, um den Mitarbeitern bei der Nutzung der neuen Plattform zu helfen und sie durch den gesamten Prozess zu begleiten.
- Problemlösung: Wir haben vor Ort Herausforderungen und Probleme gelöst, um einen reibungslosen Ablauf zu gewährleisten.
- Schnittstelle zum zentralen Leitstand: Wir fungierten als Schnittstelle zum zentralen Leitstand, um eine effiziente Kommunikation und Problembehebung sicherzustellen.
- Minutenfahrplan: Wir erstellten und arbeiteten gemeinsam mit dem Kunden einen detaillierten Minutenfahrplan ab, um alle Schritte der Implementierung klar zu definieren und zu verfolgen.
- Eskalationsmanagement: Bei Bedarf haben wir Eskalationsmanagement betrieben, um sicherzustellen, dass alle Probleme schnell und effektiv gelöst wurden.
- Dezentraler Leitstand vor Ort: Wir richteten einen dezentralen Leitstand vor Ort ein, um die Einführung und den Betrieb von M365 optimal zu überwachen und zu steuern.
Diese Projekte unterstreichen unser Engagement für technologische Innovation und effizientes Projektmanagement. Dank unserer Unterstützung konnten die Genossenschaftsbanken M365 erfolgreich einführen und von den zahlreichen Vorteilen der Plattform profitieren.
Senior IT-Berater mit Schwerpunkt Banken (m/w/d)
Wir stehen für verlässliches und nachhaltiges Management von IT-Infrastrukturprojekten – von der Idee bis zur erfolgreichen Weiterführung. Unser Leistungsangebot umfasst die Steuerung von IT- Migrations-, Verlagerungs- und Entflechtungsprojekten, Consulting und Coaching. Zur Förderung unserer Unternehmenskultur legen wir hierbei großen Wert auf flache interne Hierarchien, direkte Abstimmungswege und ein teamorientiertes Arbeiten.
Zum nächstmöglichen Zeitpunkt suchen wir für die IT-Projekte bei unseren Kunden aus den Bereichen Bank/Finanzen Unterstützung durch jemanden mit Bankerfahrung und Interesse an IT-Themen.
Deine Aufgabe bei uns:
- Du bist für die Planung, Koordination und Umsetzung komplexer bankfachlicher Projekte mit IT-Bezug verantwortlich und bist dabei bei unseren Kunden in der Rolle des Projektleiters tätig
- Gemeinsam mit den Kunden ermittelst du Herausforderungen und Ziele, leitest daraus Lösungen für die jeweilige Lösung ab und konzeptionierst diese
- Neben dem Projektmanagement berücksichtigst Du dabei stets die Themen Compliance & Security sowie Regulatorik sowie das Kosten- und Risikomanagement
- Du bist dabei regelmäßig mit den Stakeholdern im Austausch und verantwortest zudem das Schnittstellenmanagement, die Ressourcenplanung und die Qualitätssicherung
- Du arbeitest eng mit dem Vertrieb und der Geschäftsführung zusammen
- Je nach Projektgröße und Erfahrung übernimmst du die eigenverantwortliche Betreuung des Kunden als auch die Führung der Projektmitarbeiter
Das bringst du mit:
- Du hast eine Ausbildung oder ein Studium im Bereich Bank / Finanzen absolviert oder hast langjährige Erfahrung in der Finanz Branche
- Du bringst 5-10 Jahre Berufserfahrung in der Projektleitung und im Optimalfall im Consulting mit
- Du hast fundierte Kenntnisse bzgl. der Funktionsweise von Kernbankverfahren, Zahlungsverkehr und Banksteuerung. Ebenfalls sind Dir Begriffe wie Meldewesen und Regulatorik im Bankenumfeld nicht fremd.
- Du besitzt fundierte Kenntnisse oder idealerweise Zertifizierungen der Projektmanagementmethoden nach PMI, IPMA oder PRINCE2 und haben nachweisliche Projekterfahrung mit unterschiedlichen IT-Infrastrukturen
- Optimalerweise warst du bereits in der Beratung oder der Orga-Abteilung einer Bank
- Du arbeitest gerne in interdisziplinären Teams und der Austausch fällt dir leicht
- Du sprichst verschiedene Sprachen: die der Stakeholder bei unseren Kunden als auch die unserer Consultants und Engineers – Du verbindest also Bank und IT
- Den Überblick zu behalten und dich zu organisieren, gelingt dir mühelos
- Ein temporär hohes Arbeitsaufkommen, Termindruck und Deadlines bringen dich nicht aus der Ruhe
- Du bist offen gegenüber Veränderungen und Trends
- Du bist gerne in einem Umfeld tätig, in dem nicht alles bis ins Detail geregelt ist und schaffst es, strukturierte und pragmatische Lösungen zu finden
- Im Rahmen der Projekte beim Kunden bist du gerne innerhalb Deutschlands unterwegs
Das erwartet dich bei uns:
- Ein Team, das sich auch bei örtlicher Ferne immer nah ist
- Eine Duz-Kultur innerhalb der esc
- Ein Unternehmen, in dem du den Unterschied machst und mitgestaltest – Du bringst deine Ideen ein und bestimmst den Weg zum Ziel
- Ein abwechslungsreiches Tätigkeitsfeld, das individuell auf dich und deine Fähigkeiten abgestimmt ist
- Ein kollegiales Umfeld, in dem auf Augenhöhe und mit Spaß gemeinsam gearbeitet wird
- Gemeinsame Werte, die nicht nur auf dem Papier stehen, sondern wirklich gelebt werden
- flexible Gestaltung des Arbeitstages hinsichtlich Zeit und Ort
- Teamevents, bei denen alle Kollegen gemeinsam Deutschland oder die Welt erkunden
- Ein attraktives Gehaltspaket – bestehend aus Grundgehalt und variablem Gehaltsanteil
Klingt interessant?
Dann möchten wir dich kennenlernen!
Wir freuen wir uns auf deine Bewerbung mit deiner Verfügbarkeit und Gehaltsvorstellung. Da Zeit immer knapp ist, kannst du dich auch gerne ohne Anschreiben bewerben.
Von Urteilen zu Lösungen: Effektives Zustimmungs-kampagnenmanagement
Zustimmung ist in vielen Lebensbereichen von zentraler Bedeutung – auch für Banken spielt sie eine wesentliche Rolle. Seit dem Urteil des Bundesgerichtshofs (BGH) vom 27. April 2021 (Az. XI ZR 26/20) benötigen sie bei Änderungen von Entgelten, Allgemeinen Geschäftsbedingungen (AGB) und Sonderbedingungen das Einverständnis ihrer Kundinnen und Kunden.
Ein weiteres Element dieses Urteils ist die Zweimonatsfrist: Zwischen dem Angebot der Änderung und deren Wirksamkeit müssen mindestens zwei Monate und ein Tag liegen. Diese Frist gilt sowohl im Online- als auch im Präsenzgeschäft und gibt den Kundinnen und Kunden ausreichend Zeit zur Überprüfung und Entscheidungsfindung. Ohne Zustimmung innerhalb dieser Frist bleiben die bestehenden Bedingungen weiterhin gültig. Das Ziel ist klar: Transparenz und Verantwortung gegenüber den Kunden sicherstellen. Doch wie gelingt es uns, diese Zustimmung möglichst unkompliziert einzuholen? Genau dafür haben wir eine Lösung entwickelt und bereits erfolgreich bei zahlreichen Kunden implementiert.
Kundenzustimmungen einfach und effizient einholen
Mit einem transparenten und leicht zu integrierenden Zustimmungsprozess lässt sich die Einholung von Kundenzustimmungen sehr einfach umsetzen. Wir haben eine Lösung entwickelt, die auf einem rechtskonformen Prozess, der speziell für den Bankensektor entwickelt wurde, basiert. Sie bietet eine umfassende Integration in bestehende Systeme zur aktiven Einholung von Zustimmungen bei Änderungen von Entgelten, AGB oder Sonderbedingungen. Hier sind einige Schlüsselaspekte:
Lösungsansätze im Detail:
Für die Betreiber des Systems ist es besonders einfach, Kampagnen anzulegen, da intuitive Eingabemasken zur Verfügung stehen, die den Erstellungsprozess sehr leicht machen und beschleunigen. Die benutzerfreundliche Oberfläche erleichtert nicht nur die Bedienung, sondern gestaltet auch den gesamten Prozess der Zustimmungsverwaltung effizienter und übersichtlicher.
Standardisierte, rechtlich abgestimmte Anschreiben werden durch bankindividuelle Anlagen ergänzt. Dadurch wird eine persönliche Ansprache über den bevorzugten Kommunikationsweg des Kunden gewährleistet, was die Effizienz der Zustimmungseinholung erhöht.
Unsere Lösung lässt sich nahtlos in die IT-Infrastruktur von Banken integrieren, ohne den laufenden Betrieb zu stören.
Durch vollständige Integration werden gesetzliche Vorgaben automatisch eingehalten. Die sichere Speicherung und Versionierung der Zustimmungsdaten gewährleistet höchste Datensicherheit.
Kundinnen und Kunden können ihre Zustimmung über verschiedene Kanäle wie QR-Code Landingpages, Overlays im Online-Banking oder direkte Unterstützung durch das Kundenberatungsteam abgeben. Diese Auswahlmöglichkeiten garantieren, dass jeder Kunde auf seinem bevorzugten Weg informiert und aktiviert wird, wodurch die Zustimmung unter Umständen auch schneller und unkomplizierter erfolgen kann.
Ein einfacher und klar strukturierter Zustimmungsprozess verbessert die Gesamterfahrung der Kunden, fördert die Zufriedenheit und stärkt das Vertrauen in die Bank.
Die Vorteile eines integrierbaren Zustimmungskampagnenmanagements:
Nahtlose Integration
Die einfache Einbindung ohne umfangreiche Anpassungen ermöglicht eine nahtlose Integration.
Effizienzsteigerung
Die Automatisierung spart Zeit und Kosten.
Konsistente Datenverwaltung
Durch die zentrale Speicherung der Zustimmungen wird die Datenintegrität erhöht.
Einfache Skalierbarkeit
Anpassungen an wachsende Anforderungen sind unkompliziert umsetzbar.
Optimierte Benutzererfahrung & Fehlerreduzierung
Durch einfache Zustimmung über vertraute Kanäle werden manuelle Fehlerquellen minimiert.
Erhöhte Sicherheit
Durch verbesserte Standards wird der Schutz vor Datenverlust erhöht.
Ihr Ansprechpartner
Möchten Sie mehr über unsere Lösung erfahren oder haben Sie Fragen?
Gern stehen wir Ihnen für ein persönliches Gespräch zur Verfügung.
Thomas Hahn
Senior Consultant
Tel.: +49 174 695 4469
NIS2-Richtlinie: Fast 40.000 Unternehmen müssen reagieren – Gehört Ihres dazu?
Mit dem neuen Gesetz zur Umsetzung der EU NIS2-Richtlinie, bekannt als NIS2UmsuCG (Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit), wird sich die digitale Landschaft in Deutschland verändern. Das Gesetz zielt darauf ab, die Cybersicherheit in Unternehmen zu stärken und harmonisiert die EU-weiten Mindeststandards für Cybersicherheit auf nationaler Ebene. Die Auswirkungen sind enorm: Fast 40.000 Unternehmen in Deutschland werden von den neuen Regelungen betroffen sein, eine erhebliche Steigerung gegenüber den rund 3.000 Unternehmen, die bisher unter die KRITIS-Verordnung fielen. Da ab Veröffentlichung eine 9-monatige Frist zur Registrierung besteht, sollten Unternehmen jetzt prüfen, ob sie betroffen sind.
Wer ist betroffen?
Unternehmen, die von NIS2 betroffen sind, lassen sich in drei (bis vier) Gruppen einteilen:
- Besonders wichtige Einrichtungen
- Wichtige Einrichtungen
- Betreiber kritischer Anlagen (KRITIS)
- Einige Bundeseinrichtungen
Einstufungskriterien für Unternehmen im Rahmen des NIS2UmsuCG:
– Unternehmen mit mindestens 250 Mitarbeitern oder
– Unternehmen mit einem Umsatz von über 50 Millionen EUR und einer Bilanzsumme von mehr als 43 Millionen EUR
– Sonderfälle wie qualifizierte Vertrauensdiensteanbieter (qTSP), Top-Level-Domain-Registries (TLD), Domain Name System (DNS) Anbieter, Telekommunikationsanbieter (TK-Anbieter) und kritische Anlagen
– Unternehmen mit mindestens 50 Mitarbeitern oder
– Unternehmen mit einem Umsatz von über 10 Millionen EUR und einer Bilanzsumme von mehr als 10 Millionen EUR
– Vertrauensdienste gehören ebenfalls zu dieser Gruppe
– Verwendung der KRITIS-Methodik zur Feststellung der Betroffenheit einzelner Anlagen
– Eine Anlage wird als KRITIS betrachtet, wenn sie mindestens 500.000 Personen versorgt
Neue Sicherheitsanforderungen
Betroffene Unternehmen müssen angemessene, verhältnismäßige und effektive technische und organisatorische Maßnahmen ergreifen, um ihre IT-Systeme und Geschäftsprozesse zu schützen. Ziel ist es, Störungen in der Verfügbarkeit, Integrität und Vertraulichkeit zu verhindern und die Auswirkungen von Sicherheitsvorfällen zu minimieren. Zu den wesentlichen Maßnahmen zählen:
- die Berücksichtigung von Faktoren wie Risikoexpositionsmaß, Unternehmensgröße, Implementierungskosten, Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie gesellschaftliche und wirtschaftliche Folgen
- ein ganzheitlicher Ansatz unter Berücksichtigung europäischer und internationaler Normen
- eine Dokumentation der durchgeführten Maßnahmen.
Erweiterter Geltungsbereich
Die NIS2-Umsetzung erweitert den Geltungsbereich erheblich. Große Teile der Unternehmen unterliegen nun der Regulierung. Einrichtungen müssen Risikomanagement und Maßnahmen gemäß §30ff umsetzen. Betroffene Unternehmen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und Sicherheitsvorfälle melden.
Meldepflicht und Nachweise
Besonders wichtige Einrichtungen und Betreiber kritischer Anlagen müssen dem BSI Sicherheitsvorfälle innerhalb von 24 Stunden melden und stufenweise Folgemeldungen einreichen. Zudem sind regelmäßige Audits, Prüfungen oder Zertifizierungen erforderlich, um die Einhaltung der Maßnahmen nachzuweisen.
Sanktionen
Die Sanktionsvorschriften werden erweitert und umfassen neue Bußgeldtatbestände mit erhöhten Geldbußen zwischen 100.000 und 20 Millionen Euro, abhängig vom weltweiten Umsatz. Geschäftsleitungen müssen die Risikomanagement-Maßnahmen billigen und überwachen. Eine Verletzung dieser Pflichten kann zu einer Binnenhaftung der Geschäftsleitung führen.
Fristen und Umsetzung
Das NIS2UmsuCG tritt voraussichtlich Ende 2024 in Kraft, und die Pflichten für Unternehmen gelten ab diesem Zeitpunkt mit einer Registrierungspflicht von 9 Monaten. Es ist daher von entscheidender Bedeutung, dass Unternehmen frühzeitig mit der Umsetzung der neuen Anforderungen beginnen.
Das NIS2UmsuCG markiert einen wichtigen Schritt zur Stärkung der Cybersicherheit in Deutschland. Unternehmen müssen jetzt aktiv werden, um die neuen Anforderungen zu erfüllen und ihre IT-Sicherheitsmaßnahmen entsprechend anzupassen. Dies erfordert nicht nur technische Lösungen, sondern auch organisatorische Veränderungen und Schulungen, um sicherzustellen, dass alle Beteiligten ausreichend vorbereitet sind.
Ihre Ansprechpartner
Gerne stehen wir Ihnen für einen weiteren Austausch zur Verfügung.
Isaac Michael
Informationssicherheit und Datenschutz
Tel.: +49 173 4112814
Holger Koeppe
Managementsysteme & Audits
Tel.: +49 173 4112778
Berater IT Governance mit Schwerpunkt DORA (m/w/d)
Wir stehen für verlässliches und nachhaltiges Management von IT-Infrastrukturprojekten – von der Idee bis zur erfolgreichen Weiterführung. Unser Leistungsangebot umfasst die Steuerung von IT- Migrations-, Verlagerungs- und Entflechtungsprojekten, Consulting und Coaching. Zur Förderung unserer Unternehmenskultur legen wir hierbei großen Wert auf flache interne Hierarchien, direkte Abstimmungswege und ein teamorientiertes Arbeiten.
Zum nächstmöglichen Zeitpunkt suchen wir für unsere Kundenprojekte Unterstützung für den Bereich IT Governance/DORA in Vollzeit/Teilzeit ab 80%.
Deine Aufgabe bei uns:
Unterstützung in den Beratungsschwerpunkten im DORA-Umfeld:
- Umsetzung und Pflege des IKT-Risikomanagementrahmens, v.a.
- digitale operationale Resilienz-Strategie
- Richtlinien und Prozessbeschreibungen zum IKT-Risikomanagement
- Business Continuity Management
- IKT-Drittbezugsmanagement (IT-Auslagerungsmanagement)
Damit einhergehende Aufgaben:
- Beratung von Kunden aus den von DORA betroffenen Branchen in den genannten Themenbereichen
- Erstellung von Gap-Analysen
- Bewertung der Gaps im Hinblick auf die Erfüllung regulatorischer Anforderungen und betriebswirtschaftlicher Effizienz
- Erarbeitung von Umsetzungsdokumenten (ggf. unter Mitwirkung der Kunden)
- Schulung und Coaching von Fach- und Führungskräften (offene Seminare und Inhouse-Seminare)
- Erarbeitung von Beratungs- und Umsetzungshilfen sowie Vertriebspräsentationen bei neuen regulatorischen Anforderungen
Das bringst du mit:
- Mindestens 3 Jahre Berufserfahrung in den oben genannten Bereichen
- gute Kenntnisse der IT-Governance nach BAIT, VAIT oder KAIT
- erste Erfahrungen mit DORA (Gap-Analyse, Mitwirkung an aktuellen Umsetzungsprojekte)
- gute Kenntnisse IT-bezogener Normen (z. B. ISO 27001, BSI-Grundschutz)
- optionale Kenntnisse: Tests der digitalen operationalen Resilienz (u. a. TLPT) und in der Behandlung IKT-bezogener Sicherheitsvorfälle inkl. Meldewesen
- Reisebereitschaft
Das erwartet dich bei uns:
- Ein Team, das sich auch bei örtlicher Ferne immer nah ist
- Eine Duz-Kultur innerhalb der esc
- Ein Unternehmen, in dem du den Unterschied machst und mitgestaltest – Du bringst deine Ideen ein und bestimmst den Weg zum Ziel
- Ein abwechslungsreiches Tätigkeitsfeld, das individuell auf dich und deine Fähigkeiten abgestimmt ist
- Ein kollegiales Umfeld, in dem auf Augenhöhe und mit Spaß gemeinsam gearbeitet wird
- Gemeinsame Werte, die nicht nur auf dem Papier stehen, sondern wirklich gelebt werden
- flexible Gestaltung des Arbeitstages hinsichtlich Zeit und Ort
- Teamevents, bei denen alle Kollegen gemeinsam Deutschland oder die Welt erkunden
- Ein attraktives Gehaltspaket – bestehend aus Grundgehalt und variablem Gehaltsanteil
Klingt interessant?
Dann möchten wir dich kennenlernen!
Wir freuen wir uns auf deine Bewerbung mit deiner Verfügbarkeit und Gehaltsvorstellung. Da Zeit immer knapp ist, kannst du dich auch gerne ohne Anschreiben bewerben.
Aus dem Projektleben: Agiles Wasserfallprojekt mit Kanban-Unterstützung zum Festpreis?
Agiles Wasserfallprojekt mit Kanban-Unterstützung zum Festpreis? Sie finden das hört sich seltsam an?
Tatsächlich ist es gar nicht so ungewöhnlich, dass Unternehmen auf dem Weg zur Professionalisierung ihrer IT-Dienstleistungen genau diesen „Leidensweg“ durchmachen. Der Einsatz agiler Softwareentwicklung (Kanban/Scrum) bietet zahlreiche Vorteile – bessere Zusammenarbeit, schnellere Entscheidungen, kürzere Release-Zyklen und schnelleres Feedback von den Benutzern.
Iterativ wird so ein neues Produkt entwickelt. Durch die ebenfalls nach jeder Iteration zur Verfügung stehenden Feedbacks der Benutzer/Kunden kann sich dieses Produkt weiterentwickeln. Das Risiko von Fehlentwicklungen kann minimiert werden, da neue Features schnell in Produktion kommen und sich dort bewähren.
Soweit die Theorie und die Vorteile Agiler Entwicklung. Hört sich gut an, birgt aber während der Transition hin zu Agilen Methoden für die Unternehmen doch auch Hemmschwellen und Stolpersteine.
Dies liegt nicht zuletzt daran, dass es mit der Einführung Agiler Projekt-Methoden allein nicht getan ist und einfach vergessen wird, dass sich auch das Management, die Organisation selbst und die Kultur im Unternehmen einer Transition unterziehen muss.
„Agilität ist eine Führungsdisziplin. Es geht darum, Gruppen von Menschen im Unternehmen dazu zu befähigen, gemeinsam, selbstständig und frühzeitig die Notwendigkeit für einen Richtungswechsel zu erkennen.“ Aus „Nur die Agilen werden überleben“ (von Horst Wildemann, 2018)
Häufig trifft man auf nicht unerhebliche Widerstände bei der Umstellung auf agile Methoden. „Das machen wir doch schon immer so“ oder „Never change a running System“ sind dabei oft Aussagen, die belegen, dass der Veränderungswille bei am Markt etablierten Unternehmen nur rudimentär vorhanden ist. Das liegt oft auch daran, dass das Management nicht hinter den notwendigen Änderungen in der Unternehmenskultur steht, erst recht nicht, wenn keine augenscheinliche Notwendigkeit für den radikalen Wandel besteht.
Hinzu kommt, dass aufgrund der oben genannten positiven Effekte einer agilen Entwicklung die vermeintliche Umstellung von Projekten auf Agile Methoden, statt zur Steigerung der Effektivität und Effizienz in der Entwicklung dazu verwendet wird, den Druck auf die Mitarbeiter zu erhöhen und vermeintlich die Projektkosten zu drücken. Das liegt nicht zuletzt am Unverständnis der Agilen Entwicklung. Agil bedeutet in diesem Kontext nicht „schneller, billiger, besser“.
Wie also gehen wir die Transition hin zu agiler Entwicklung an? Was können wir tun, um unsere Kunden auf Ihrem Weg zur Agilität zu begleiten?
Letztlich landen wir bei einer klassischen Auftragsklärung wie sie in jedem Projekt stattfinden sollte.
Die Key-Questions sind:
Warum soll auf Agile Methoden umgestellt werden?
Welche Probleme sollen mit der Agilität gelöst werden?
Wie genau soll der Umstieg auf Agile Methoden erfolgen (Bereitschaft zur Änderung von Organisation, Arbeitsweisen, Unternehmenskultur, etc.)?
Was würde passieren, wenn man nicht auf Agile Methoden umstellt?
Sind diese Fragen mit dem Benutzer/Kunden geklärt, hat man ein starkes Werkzeug zur regelmäßigen Standortbestimmung auf dem Weg zur Agilität. Wurden Ziele oder Teilziele bereits erreicht, sind die ursprünglichen Antworten auf die Fragen immer noch gültig oder haben sich durch Veränderungen (Markt, Positionierung, Umorganisation) neue Aspekte herausgebildet, die berücksichtigt werden müssen oder Rahmenbedingungen verändert?
Nach der Auftragsklärung fängt die eigentliche Transformationsarbeit an.
Zunächst gilt es, alle Beteiligten da abzuholen, wo sie gerade stehen und sie behütet auf dem Weg in die Agilität zu begleiten. Dies schließt ein, dass beim Kunden eine Fehlerkultur eingeführt wird, die es den Beteiligten erlaubt, auf dem Weg in die Agilität Fehler zu machen und aus diesen Fehlern zu lernen, um das Ziel zu erreichen – auch wenn dies manchmal bedeutet, wieder einen Schritt zurück zu machen und einen anderen Weg einzuschlagen.
„Zwei Dinge sind zu unserer Arbeit nötig: Unermüdliche Ausdauer und die Bereitschaft, etwas, in das man viel Zeit und Arbeit gesteckt hat, wieder wegzuwerfen.“ (Albert Einstein)
-
Gemeinsame Zielerreichung: Mitarbeiter auf dem Weg zur Agilität einbinden
Wichtig ist auch, dass wirklich jeder im Unternehmen eingebunden ist. Wer den Mitarbeiter in einem Team da abholt, wo er gerade steht, wer Verweigerungshaltung und Zauderer auf dem Weg in die Agilität vermeiden möchte, muss selbst Klarheit über die Gründe für die Veränderung haben und diese Gründe auch klar vermitteln können. Idealerweise wird ein detailliertes Zielbild mit allen – vom Mitarbeiter bis zum Manager – gemeinsam erarbeitet.
-
Mehr Verständnis durch Wissenstransfer
Gleichzeitig muss ein Knowhow-Transfer stattfinden. Auch hier sollte niemand vergessen werden. Vom Management bis zum Mitarbeiter sollte allen klar sein, was Agiles Arbeiten bedeutet. Dies ist insbesondere wichtig, da damit die Verweigerer und Zauderer einbezogen werden, in der gesamten Organisation ein Verständnis für Agile Methoden, Rollen und letztlich auch ein Schutz vor Angriffen und Querschlägern etabliert wird.
-
Wenn agil, dann im gesamten Unternehmen
Wenn nur eine neue Arbeitsweise beschrieben und versucht wird diese einzuführen, scheitert das Vorhaben. Teilbereiche agil zu transformieren ohne den organisatorischen Rahmen für Agilität im gesamten Unternehmen zu schaffen hat nur zur Folge, dass das Ergebnis konträr zum eigentlichen agilen Ziel ausfallen wird. Parallelbetrieb von Wasserfall- und Agiler Methode sorgt für Schnittstellen-Reibungen; beide Welten wollen gegenseitig bedient werden und blockieren sich mit ihren jeweiligen Anforderungen. Statt die guten Gene zu fördern, hat man die Schlechten aus beiden Welten vermischt.
-
Schritt für Schritt zur agilen Organisation
Trotz des gesamtheitlichen Ansatzes auf dem Weg zur Agilität sollte man vermeiden „alles auf einmal“ zu verändern. Das Zielbild und der Transitionsplan sollte zwar möglichst umfangreich sein, die Umstellung auf Agile Methoden jedoch mit ruhiger Hand vonstattengehen. Teilbereich für Teilbereich wird transformiert, dabei wird jede Erfahrung bei der Umstellung auf Agile Methoden genutzt, um nicht nur die agile Arbeit aufzunehmen, sondern auch zu lernen.
-
Effizienzsteigerung und Kundenzufriedenheit durch Agiles Mindset
Im Laufe der Transformation ändern sich damit nicht nur eingeschliffene Arbeitsweisen und Muster, sondern auch die Art und Weise wie Produkte entwickelt werden. Das Mindset ändert sich. Wichtiges wird von Unwichtigem unterschieden und entsprechend bei der Entwicklung priorisiert. Lieferketten werden beschleunigt und nicht zuletzt wird man feststellen, dass durch die unabdingbare Einbeziehung des Benutzers/Kunden und das daraus resultierende Feedback der Agile Ansatz ein wesentlicher Erfolgsfaktor entlang der gesamten Wertschöpfungskette eines Unternehmens werden kann. Die daraus resultierende Win-Win-Situation zeichnet sich durch zufriedene Kunden, schnellere Entwicklung und schlankere und effizientere Prozesse aus.
Ihr Ansprechpartner
Gerne stehen wir Ihnen für einen weiteren Austausch zur Verfügung.
Michael Jahn
Director Business Services
Tel.: +49 173 1508480
ISO 27001 - Unser Weg zur Zertifizierung
In einer Ära, in der Unternehmen zunehmend von Technologie abhängig sind und Daten eine entscheidende Rolle spielen, ist Informationssicherheit wichtiger denn je. ISO 27001 gewährleistet die Sicherheit dieser Informationen und stärkt das Vertrauen und die Reputation von Unternehmen. Eine ISO 27001-Zertifizierung ist daher ein starkes Signal für unsere Verpflichtung zur Informationssicherheit.
Im Januar 2024 haben wir den Zertifizierungsprozess nach ISO 27001 erfolgreich abgeschlossen. Jetzt möchten wir Ihnen einen Blick hinter die Kulissen geben. Erfahren Sie, wie wir die hohen Standards der Informationssicherheit gemeistert haben und welche wertvollen Erfahrungen wir dabei sammeln konnten.
Schritt für Schritt zur ISO 27001
Im ersten Schritt haben wir gemeinsam mit unseren beiden Geschäftsführern die Leitlinie für Informationssicherheit erarbeitet. Diese wird auch als „Grundgesetz der Informationssicherheit“ bezeichnet, da sie den Rahmen der Sicherheitsorganisation vorgibt. In ihr werden die für die Organisation relevanten Schutzziele der Informationssicherheit (Vertraulichkeit, Integrität, Verfügbarkeit) definiert. Außerdem bekennt sich die Unternehmensleitung in der Leitlinie zur Umsetzung aller erforderlichen Maßnahmen zur Implementierung sowie zum Betrieb eines Informationssicherheitsmanagementsystems (ISMS)*.
Zudem muss eine konkrete Verantwortlichkeit für die Informationssicherheit benannt werden. Dies erfolgte bei uns durch die Bestellung unseres Informationssicherheitsbeauftragten (ISB) sowie durch die Einrichtung eines Informationssicherheitsmanagementteams (ISM-Team), bestehend aus unserem ISB, einem Datenschutzkoordinator und einem IT-Administrator.
*Ein Informationssicherheitsmanagementsystem (ISMS) ist ein systematischer Ansatz zur Verwaltung sensibler Unternehmensinformationen, um deren Sicherheit zu gewährleisten. Dazu gehören die Implementierung von Richtlinien sowie Verfahren und Kontrollmaßnahmen zur Verwaltung von Informationsrisiken und zum Schutz vertraulicher Daten. Ein ISMS stellt die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicher.
Die Prozesseigner aus verschiedenen Unternehmensbereichen, darunter IT, People & Culture und Software Development, wurden zu den Sicherheitsbereichen gemäß ISO 27001 befragt. Ziel war es, festzustellen, inwieweit die aktuellen Prozesse die Normanforderungen erfüllen, und welche Lücken bestehen. Die Ergebnisse der Befragungen dienten als Grundlage für die Erstellung der Erklärung zur Anwendbarkeit, auch SoA (Statement of Applicability) genannt. Diese ist ein zentrales Dokument des Informationssicherheitsmanagementsystems (ISMS), das eine Liste aller Maßnahmen aus dem Anhang A der ISO 27001 sowie Erklärungen und Begründungen zu deren Umsetzung in Unternehmen enthält.
Im weiteren Verlauf haben wir das Inventar unserer Informationswerte (auch Assetinventar genannt) vervollständigt. Zu diesen gehören unter anderem alle Laptops, Mobilgeräte, Peripheriegeräte sowie unsere Netzwerkinfrastruktur und auch die Räume an unserem Bürostandort. Die Inventarisierung soll einen Überblick über die eigenen Informationswerte geben und sicherstellen, dass für jeden Informationswert Verantwortlichkeiten für die Verwaltung bestimmt wurden. Dieser Schritt ist von entscheidender Bedeutung, da er die Basis für das Herzstück des ISMS bildet – das Risikomanagement.
Dazu wurde zunächst ein Klassifizierungssystem erstellt, um Informationswerte in Schutzbedarfsklassen einzuteilen, die definierte Schutzziele abdecken. Die Risiken wurden anschließend in Workshops mit den Verantwortlichen identifiziert, analysiert und bewertet. Zudem wurde untersucht, welcher Schaden entstehen kann, wenn Schutzziele verletzt werden. Abschließend wurden die Risiken anhand von Schadenskategorien, Eintrittswahrscheinlichkeit und Schadensausmaß bewertet und Maßnahmen zur Risikominderung abgeleitet.
Die Informationssicherheit erfordert sowohl technische als auch organisatorische Maßnahmen. Schulungen aller Mitarbeitenden sind daher entscheidend, um ein Bewusstsein für Sicherheitsaspekte zu schaffen. Unser Schulungskonzept umfasst Themen wie Passwortrichtlinien und den richtigen Umgang mit Unternehmensinformationen und Sicherheitsvorfällen. Zudem führen wir regelmäßige Lernerfolgskontrollen durch, um die Effektivität der Schulungen zu überprüfen.
Ein ISMS ohne Dokumentation ist wie ein Auto ohne Reifen. Um unser ISMS „fahrtüchtig“ zu machen, haben wir diverse Informationssicherheitsrichtlinien erstellt. Diese beinhalten die Umsetzung der Norminhalte aus der ISO 27001 innerhalb unserer Organisation und unsere individuellen Anforderungen. Wichtig ist, alle Mitarbeitenden über die Richtlinien und Regelungen zu informieren, da ein Managementsystem nur dann effektiv ist, wenn es auch innerhalb der Organisation gelebt wird.
Nachdem wir alle Anforderungen der ISO 27001 erfüllt hatten, folgte das Interne Audit. Dazu wurde ein unabhängiger Auditor ernannt, der das ISMS auf Konformität mit ISO 27001 und unternehmensinternen Vorgaben prüfte. Zudem zogen wir Prozessverantwortliche ein, um Auskünfte und Nachweise zur Umsetzung der Informationssicherheit liefern zu können. Grundsätzlich gilt: Hauptabweichungen von der ISO 27001 sind schwerwiegende Nichtkonformitäten, die die Gesamtwirksamkeit des ISMS in Frage stellen können. Nebenabweichungen erfordern Ursachenanalysen und Maßnahmen zur Behebung. Sofern Verbesserungsansätze vorhanden sind, werden Empfehlungen ausgesprochen. Der daraus entstandene Auditbericht diente als Vorbereitung für das externe ISO 27001 Audit.
Nach dem Internen Audit wurden zunächst alle festgestellten Nichtkonformitäten behoben. Darauf folgte das Stufe 1 Audit. Dabei wird geprüft, ob das ISMS die formellen Voraussetzungen für die Zertifizierung erfüllt (Soll-Soll-Abgleich). Dafür mussten Pflichtdokumente bei der Zertifizierungsstelle eingereicht werden und die ISMS-Dokumentation wurde vor Ort durch einen externen Auditor auf Vollständigkeit geprüft. Das Ergebnis war eine Empfehlung zur Weiterführung des Zertifikatsprozesses und die Zulassung zum Stufe 2 Audit.
Beim Stufe 2 Audit erfolgt neben der Angemessenheitsprüfung des ISMS zusätzlich eine Wirksamkeitsprüfung. Diese stellt fest, ob die internen Regelungen des ISMS in der Praxis gelebt werden („Soll-Ist-Abgleich“). Durch das Stufe 2 Audit wird bestätigt, inwieweit das ISMS den Anforderungen der ISO 27001-Norm sowie den selbst auferlegten Anforderungen entspricht. Die Wirksamkeitsprüfung der Stufe 2 erfolgt in Form von Vor-Ort-Begehungen, Interviews sowie gezielten Befragungen von zuvor benannten Ansprechpartnern. Daher war es uns besonders wichtig, alle Beteiligten des Audits frühzeitig einzubeziehen und durch eine umfassende Informationsweitergabe auf die anstehenden Gespräche vorzubereiten.
Das ISO 27001 Stufe 2 Audit wurde von zwei externen Auditoren durchgeführt und dauerte drei Tage. Wir wurden zu allen Anforderungen und Sicherheitsbereichen der ISO 27001 Norm befragt und mussten unsere Nachweise für die Umsetzung der Maßnahmen bereitstellen.
Endlich – ISO 27001 Stufe 2 Audit bestanden!
Nach drei intensiven Audittagen wurde uns der Erhalt des ISO 27001-Zertifikats von beiden externen Auditoren bestätigt. GESCHAFFT – die esc ist ISO 27001-zertifiziert!
Folgende Aspekte haben wir aus dem Prozess der Einführung eines Informationssicherheitsmanagementsystems (ISMS) gelernt:
- Die ISMS-Einführung erfordert eine frühzeitige Einbindung aller Unternehmensbereiche.
- Die notwendigen Ressourcen (personell und finanziell) sollten vorab sichergestellt werden.
- Die Unterstützung der Informationssicherheit durch die Geschäftsführung ist unverzichtbar.
- Eine regelmäßige, transparente Kommunikation mit Hintergrundinformationen ist wichtig.
- Erfahrene Ansprechpartner sollten für Fragen zum ISO 27001-Zertifizierungsverfahren zur Verfügung stehen.
Ihre Ansprechpartner
Sie befinden sich gerade in einem Zertifizierungsverfahren nach ISO 27001 oder planen, sich nach dieser Norm zertifizieren zu lassen? Dann stehen Ihnen unsere Ansprechpartner gerne zur Verfügung!
Isaac Michael
Informationssicherheit und Datenschutz
Tel.: +49 173 4112814
Holger Koeppe
Managementsysteme & Audits
Tel.: +49 173 4112778
Bildung und Gemeinschaft: Unser Beitrag zur Montessori-Schule
Soziale Verantwortung
In einer Zeit, in der Technologie und Innovation unser tägliches Leben prägen, sehen wir bei der evolving systems consulting GmbH es als unsere Pflicht an, nicht nur unseren Kunden, sondern auch der Gesellschaft einen Mehrwert zu bieten. Mit unserem Leitsatz „inspired by the impossible“ bieten wir innovative IT-nahe Unternehmensberatung für verschiedenste Branchen. Doch unsere Vision geht weit darüber hinaus – wir streben danach, auch auf die Gesellschaft einen positiven Einfluss zu haben.
Gemeinschaft im Fokus
Soziales Engagement liegt uns am Herzen. Wir glauben fest daran, dass wir eine Verantwortung gegenüber der Gesellschaft haben und einen positiven Beitrag leisten sollten. Denn soziale Projekte haben eine kraftvolle Wirkung und können nachhaltige Veränderungen bewirken. Daher tragen wir gern aktiv zum Gemeinwohl bei.
Sportliche Bildungsförderung
Bildung ist der Schlüssel zur Zukunft – sowohl für die individuelle Entwicklung als auch für eine wettbewerbsfähige Wirtschaft. Aus diesem Grund unterstützen wir die Schüler einer Montessori-Schule, indem wir sie mit hochwertigen Fußballtrikots ausstatten. Die Trikots stärken nicht nur den Teamgeist und das Zusammengehörigkeitsgefühl unter den Schülern, sondern steigern auch den sportlichen Ehrgeiz und die Freude an Bewegung.
Das Montessori-Bildungssystem fördert eigenständiges Denken, die Entwicklung sozialer Kompetenzen und eine Leidenschaft für das Lernen. Indem wir den sportlichen Geist und das Gemeinschaftsgefühl der Schüler stärken, tragen wir dazu bei, dass sie sowohl auf dem Spielfeld als auch im Leben erfolgreich sind.
Wir glauben an die Kraft der Bildung und an die Verantwortung jedes Einzelnen, diese zu unterstützen.
Gemeinsam gestalten wir eine bessere Zukunft – für Unternehmen und Gesellschaft.
NIS2 und KRITIS-Dachgesetz: Cybersicherheit wird zur obersten Priorität
Die Bedrohungslage für kritische Infrastrukturen war noch nie so intensiv wie jetzt. Cyberangriffe auf Organisationen und Behörden gehören inzwischen zum Alltag und können ein Unternehmen komplett zum Erliegen bringen. Da dies gerade bei kritischen Infrastrukturen zu Versorgungsengpässen und Gefährdungen für einen ganzen Staat führen kann, geben die NIS2-Gesetzgebung und das KRITIS-Dachgesetz ab sofort vor, mit welchen konkreten Maßnahmen die betroffenen Unternehmen ihre Cyberresilienz zu stärken haben.
Das im Jahr 2024 in Kraft tretende neue KRITIS-Dachgesetz wird in Deutschland zusammen mit dem NIS2-Umsetzungsgesetz realisiert. Damit wird der Kreis der betroffenen Unternehmen auf ca. 40.000 ansteigen. NIS steht für „Network and Information Security“, und die Zahl 2 belegt, dass es sich hierbei bereits um die zweite europäische NIS-Richtlinie handelt, die sich mit dem Thema Informationssicherheit befasst.
Das KRITIS-Dachgesetz soll neben der Erhöhung der Anforderungen an die physische Sicherheit, vor allem auch die Resilienz (die Widerstandsfähigkeit) von Betreibern kritischer Infrastrukturen stärken. Dafür werden konkrete Vorgaben zu Meldepflichten von Vorfällen gemacht, sowie konkrete Bußgelder für Verstöße gegen die Umsetzung von Anforderungen ausgesprochen. Zur Sicherstellung dieser erweiterten Vorgaben wird die Aufsichtsverantwortung des BSI durch das BBK (Bundesamt für Bevölkerungs- und Katastrophenschutz) und regionale Landesbehörden verstärkt.
Konsequenzen bei Nichtbefolgung
Die ordnungsgemäße Einhaltung von KRITIS-Dach und der NIS2-Gesetzgebung wird nicht dem Zufall überlassen. Das Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI) prüft bei sogenannten Tiefenprüfungen, ob Betreiber den KRITIS-Anforderungen nachkommen. Unternehmen, die nicht die erforderlichen Sicherheitsstandards für kritische Infrastrukturen einhalten, können juristischen Maßnahmen unterliegen, einschließlich Geldstrafen, Bußgeldern oder sogar rechtlichen Schritten seitens der staatlichen Aufsichtsbehörden.
Die wesentlichen Inhalte der neuen Gesetze
KRITIS-Unternehmen versorgen mindestens 500.000 Einwohner und überschreiten sektorspezifische Schwellenwerte. Unternehmen, die mehr als 50 Mitarbeiter oder mehr als 10 Millionen Umsatz/Bilanzsumme verzeichnen, werden die NIS2-Anforderungen umsetzen müssen.
Aus regelmäßig stattfindenden Risikobeurteilungen müssen zukünftig die erforderlichen Maßnahmen zur Steigerung der Resilienz gegenüber Angriffen auf die Infrastruktur nachgewiesen werden.
Im Fall eines Angriffs müssen die betroffenen Unternehmen in der Lage sein, diesen zu erkennen und wirkungsvolle Gegenmaßnahmen einzuleiten. Die Vorfälle müssen einer zentralen Meldestelle übermittelt werden, damit die Möglichkeit einer Warnung für andere Unternehmen gegeben ist.
Neben der Bestellung eines internen Beauftragten im Unternehmen, wird es übergeordnete Behörden geben, die die Umsetzung der gesetzlichen Anforderungen koordinieren und überwachen.
Die ersten Schritte für eine erfolgreiche Realisierung von NIS2 und KRITIS-Dachgesetz
Die Stärkung der Cyber-Resilienz soll durch die Umsetzung von Risikomanagement-Maßnahmen erfolgen. Betroffene Unternehmen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um Störungen der IT-Systeme zu vermeiden bzw. negative Auswirkungen möglichst gering zu halten. Wir haben die ersten notwendigen Schritte für eine erfolgreiche Realisierung für Sie zusammengestellt:
- Situationsanalyse durchführen: Übersetzen Sie die Anforderungen des KRITIS-Dachgesetzes und der NIS2-Gesetzgebung auf die spezifischen Gegebenheiten Ihres Unternehmens.
- Projektteam aufstellen: Gründen Sie ein Projektteam bestehend aus allen IT-Verantwortlichen, der Geschäftsleitung und weiteren relevanten Personen und prüfen Sie mit einem Status-Assessment, ob die gesetzlichen Anforderungen beider Gesetze in Ihrem Unternehmen Anwendung finden.
- Informationssicherheitsmanagementsystem (ISMS) einführen: Führen Sie ein Informationssicherheitsmanagementsystem (ISMS) ein, z.B. die internationale Norm ISO 27001:2022. So erhalten Sie durch eine fundierte Analyse Klarheit darüber, was zu tun ist.
- Schutzmaßnahmen dokumentieren und priorisieren: Dokumentieren Sie den Reifegrad Ihrer bisher etablierten Schutzmaßnahmen und fassen Sie die Ergebnisse in einem Protokoll mit priorisierten Maßnahmenempfehlungen zusammen.
- Lieferanten prüfen: Kontrollieren Sie die Einhaltung von Anforderungen und Verordnungen im Zusammenhang mit IT-Sicherheit bei Ihren Lieferanten.
- Mitarbeiter schulen: Schulen Sie alle Mitarbeiterebenen und Prozesseigener zur Einhaltung der eingeführten Sicherheitsmaßnahmen.
- Prozessmanagement sicherstellen: Gewährleisten Sie ein professionelles Prozessmanagement zur Einhaltung aller Vorgaben.
- Überwachung aller Maßnahmen durch einen Experten: Sichern Sie die Überwachung aller Maßnahmen durch eine fachliche Expertise.
Ihre Ansprechpartner
Gerne stehen wir Ihnen für einen weiteren Austausch zur Verfügung.
Isaac Michael
Informationssicherheit und Datenschutz
Tel.: +49 173 4112814
Holger Koeppe
Managementsysteme & Audits
Tel.: +49 173 4112778
Die Prozesslandkarte – das Schlüsselinstrument für eine erfolgreiche DORA-Umsetzung
Seien wir doch mal ehrlich: Die Prozesslandkarte einer Bank, Versicherung oder Kapitalverwaltungsgesellschaft als „hippes Instrument der Unternehmenssteuerung“ zu bezeichnen, ist doch verwegen, oder? Welcher Entscheider ist heutzutage bereit, ein Projektbudget für die Aufnahme und Dokumentation von Unternehmensprozessen zu genehmigen? „Hauptsache, der Laden läuft, und jeder weiß, was zu tun ist“ scheint in manchen Unternehmen immer noch die Devise zu sein. Doch mit der EU-Verordnung 2022/2554 zur digitalen operationalen Resilienz (DORA) wird sich die Meinung über die Bedeutung einer umfassenden und aussagekräftigen Prozesslandkarte ändern müssen.
Warum?
- Erstens: Weil die Dokumentation der Geschäftsprozesse gemäß dem Verordnungsgeber ein notwendiger Teil des Managementrahmens für die Steuerung von Risiken der Informations- und Kommunikationstechnik (IKT) ist.
- Zweitens: Weil sich das Unternehmen seiner Abhängigkeit von IKT-Systemen, Anwendungen und IKT-Drittdienstleistern bewusst machen muss, damit es seine Konzentrationsrisiken begrenzen und sein Business Continuity Management zielgerichteter abstimmen kann.
Während der erste Grund bei Entscheidern und Projektmitarbeitern lediglich an das Pflichtbewusstsein appelliert, sollte der zweite Grund die Bedeutung funktionierender IKT-Systeme und IKT-Lieferketten für die Existenzsicherung eines Finanzunternehmens transparent machen.
Kommen wir zum ersten Grund:
Gemäß Artikel 8 Absatz 1 DORA erwartet der Verordnungsgeber von Finanzunternehmen, alle IKT-gestützten Unternehmensfunktionen, Rollen und Verantwortlichkeiten, sämtliche Informationsassets (die Sammlung zu schützender materieller oder immaterieller Informationen) und alle IKT-Assets (die vom Finanzunternehmen genutzte Hard- und Software) zu ermitteln, zu klassifizieren und zu dokumentieren.
Im Zusammenhang mit Absatz 6, der ein Inventar über diese Assets verlangt, wird klar, dass es hier um eine Prozess- und Rollenbeschreibung geht, die einen konkreten Bezug zu den Soft- und Hardwarekomponenten herstellt, die zu deren Ausführung erforderlich sind.
Des Weiteren enthält Absatz 5 dieses Artikels die Verpflichtung, alle Prozesse zu ermitteln und zu dokumentieren, die von IKT-Drittdienstleistern abhängen. Insbesondere sind Vernetzungen mit IKT-Drittdienstleistern zu ermitteln, die Dienste zur Unterstützung kritischer oder wichtiger Funktionen bereitstellen. Auch dafür verlangt Absatz 6 ein Inventar der identifizierten Abhängigkeiten. Welchen Beitrag leistet die Umsetzung dieser Anforderungen im Hinblick auf den zweiten Grund, der für eine Prozesslandkarte spricht? Das geht aus dem folgenden Schaubild hervor:
Nach der Ermittlung und Dokumentation aller IKT-gestützten Geschäftsprozesse sind diejenigen Prozesse zu kennzeichnen, die unter Berücksichtigung der Definition in Artikel 3 Absatz 1 Nr. 22 DORA als kritisch oder wichtig angesehen werden müssen. Diese Klassifizierung bedeutet nichts anderes als: Wenn der als kritisch oder wichtig gekennzeichnete Prozess vorübergehend nicht mehr ausgeführt werden kann, verliert das Unternehmen entweder sehr viel Geld oder es gefährdet seine aufsichtsrechtliche Lizenz.
Im nächsten Schritt zieht man das Assetinventar heran, das schon von den BAIT, VAIT, KAIT und ZAIT gefordert war und meist in einer Configuration Management Data Base (CMDB) dokumentiert ist. Die darin verzeichneten IKT-Assets werden den Prozessen zugeordnet, die davon abhängig sind. Ist diese Aufgabe erledigt, liegt schon die erste wertvolle Erkenntnis für die Betriebsstabilität des Finanzunternehmens vor, nämlich die Antwort auf die Frage:
Welche IKT-Systeme und Anwendungen müssen möglichst stabil und unterbrechungsfrei laufen, damit die aufsichtliche Lizenz und die Ertragslage unseres Finanzunternehmens nicht gefährdet werden können?
Im letzten Schritt werden die IKT-Drittdienstleister und deren Subunternehmer den Prozessen zugeordnet, an denen sie mitwirken. Und auch hier kann nun eine wichtige Frage beantwortet werden: Welche IKT-Drittdienstleister leisten einen so großen Beitrag zur Wertschöpfung eines Finanzunternehmens, dass sie besonders eng überwacht und kurzfristig realisierbare Alternativdienstleister bereitgehalten werden müssen? Hierbei müssen eng miteinander verbundene Dienstleister unbedingt als Leistungseinheit betrachtet werden, um das unternehmensinterne IKT-Konzentrationsrisiko gemäß Artikel 29 DORA beurteilen zu können.
Alle hier genannten Erkenntnisse, mit denen die Existenz eines Finanzunternehmens gesichert werden soll, fangen mit der Prozesslandkarte und der Kennzeichnung ihrer kritischen oder wichtigen Prozesse an. Ist die Prozesslandkarte nicht doch ein „hippes Instrument der Unternehmenssteuerung“?
Gerne stehen wir Ihnen zur Verfügung, um Sie bei der Umsetzung aller Themengebiete rund um DORA zu unterstützen.