Header Blog Agil

Aus dem Projektleben: Agiles Wasserfallprojekt mit Kanban-Unterstützung zum Festpreis?

Agiles Wasserfallprojekt mit Kanban-Unterstützung zum Festpreis? Sie finden das hört sich seltsam an?  

Tatsächlich ist es gar nicht so ungewöhnlich, dass Unternehmen auf dem Weg zur Professionalisierung ihrer IT-Dienstleistungen genau diesen „Leidensweg“ durchmachen. Der Einsatz agiler Softwareentwicklung (Kanban/Scrum) bietet zahlreiche Vorteile – bessere Zusammenarbeit, schnellere Entscheidungen, kürzere Release-Zyklen und schnelleres Feedback von den Benutzern.  

Iterativ wird so ein neues Produkt entwickelt. Durch die ebenfalls nach jeder Iteration zur Verfügung stehenden Feedbacks der Benutzer/Kunden kann sich dieses Produkt weiterentwickeln. Das Risiko von Fehlentwicklungen kann minimiert werden, da neue Features schnell in Produktion kommen und sich dort bewähren.

Soweit die Theorie und die Vorteile Agiler Entwicklung. Hört sich gut an, birgt aber während der Transition hin zu Agilen Methoden für die Unternehmen doch auch Hemmschwellen und Stolpersteine. 

Dies liegt nicht zuletzt daran, dass es mit der Einführung Agiler Projekt-Methoden allein nicht getan ist und einfach vergessen wird, dass sich auch das Management, die Organisation selbst und die Kultur im Unternehmen einer Transition unterziehen muss. 

„Agilität ist eine Führungsdisziplin. Es geht darum, Gruppen von Menschen im Unternehmen dazu zu befähigen, gemeinsam, selbstständig und frühzeitig die Notwendigkeit für einen Richtungswechsel zu erkennen.“ Aus „Nur die Agilen werden überleben“ (von Horst Wildemann, 2018) 

Häufig trifft man auf nicht unerhebliche Widerstände bei der Umstellung auf agile Methoden. „Das machen wir doch schon immer so“ oder „Never change a running System“ sind dabei oft Aussagen, die belegen, dass der Veränderungswille bei am Markt etablierten Unternehmen nur rudimentär vorhanden ist. Das liegt oft auch daran, dass das Management nicht hinter den notwendigen Änderungen in der Unternehmenskultur steht, erst recht nicht, wenn keine augenscheinliche Notwendigkeit für den radikalen Wandel besteht. 

Hinzu kommt, dass aufgrund der  oben genannten positiven Effekte einer agilen Entwicklung die vermeintliche Umstellung von Projekten auf Agile Methoden, statt zur Steigerung der Effektivität und Effizienz in der Entwicklung dazu verwendet wird, den Druck auf die Mitarbeiter zu erhöhen und vermeintlich die Projektkosten zu drücken. Das liegt nicht zuletzt am Unverständnis der Agilen Entwicklung. Agil bedeutet in diesem Kontext nicht „schneller, billiger, besser“. 

Wie also gehen wir die Transition hin zu agiler Entwicklung an? Was können wir tun, um unsere Kunden auf Ihrem Weg zur Agilität zu begleiten? 

Letztlich landen wir bei einer klassischen Auftragsklärung wie sie in jedem Projekt stattfinden sollte.

Die Key-Questions sind:


Warum soll auf Agile Methoden umgestellt werden? 

Welche Probleme sollen mit der Agilität gelöst werden? 

Wie genau soll der Umstieg auf Agile Methoden erfolgen (Bereitschaft zur Änderung von Organisation, Arbeitsweisen, Unternehmenskultur, etc.)? 

Was würde passieren, wenn man nicht auf Agile Methoden umstellt? 

Sind diese Fragen mit dem Benutzer/Kunden geklärt, hat man ein starkes Werkzeug zur regelmäßigen Standortbestimmung auf dem Weg zur Agilität. Wurden Ziele oder Teilziele bereits erreicht, sind die ursprünglichen Antworten auf die Fragen immer noch gültig oder haben sich durch Veränderungen (Markt, Positionierung, Umorganisation) neue Aspekte herausgebildet, die berücksichtigt werden müssen oder Rahmenbedingungen verändert? 

Nach der Auftragsklärung fängt die eigentliche Transformationsarbeit an. 

Zunächst gilt es, alle Beteiligten da abzuholen, wo sie gerade stehen und sie behütet auf dem Weg in die Agilität zu begleiten. Dies schließt ein, dass beim Kunden eine Fehlerkultur eingeführt wird, die es den Beteiligten erlaubt, auf dem Weg in die Agilität Fehler zu machen und aus diesen Fehlern zu lernen, um das Ziel zu erreichen – auch wenn dies manchmal bedeutet, wieder einen Schritt zurück zu machen und einen anderen Weg einzuschlagen.

„Zwei Dinge sind zu unserer Arbeit nötig: Unermüdliche Ausdauer und die Bereitschaft, etwas, in das man viel Zeit und Arbeit gesteckt hat, wieder wegzuwerfen.“ (Albert Einstein)

  • Gemeinsame Zielerreichung: Mitarbeiter auf dem Weg zur Agilität einbinden

Wichtig ist auch, dass wirklich jeder im Unternehmen eingebunden ist. Wer den Mitarbeiter in einem Team da abholt, wo er gerade steht, wer Verweigerungshaltung und Zauderer auf dem Weg in die Agilität vermeiden möchte, muss selbst Klarheit über die Gründe für die Veränderung haben und diese Gründe auch klar vermitteln können. Idealerweise wird ein detailliertes Zielbild mit allen – vom Mitarbeiter bis zum Manager – gemeinsam erarbeitet.  

  • Mehr Verständnis durch Wissenstransfer

Gleichzeitig muss ein Knowhow-Transfer stattfinden. Auch hier sollte niemand vergessen werden. Vom Management bis zum Mitarbeiter sollte allen klar sein, was Agiles Arbeiten bedeutet. Dies ist insbesondere wichtig, da damit die Verweigerer und Zauderer einbezogen werden, in der gesamten Organisation ein Verständnis für Agile Methoden, Rollen und letztlich auch ein Schutz vor Angriffen und Querschlägern etabliert wird.

  • Wenn agil, dann im gesamten Unternehmen

Wenn nur eine neue Arbeitsweise beschrieben und versucht wird diese einzuführen, scheitert das Vorhaben. Teilbereiche agil zu transformieren ohne den organisatorischen Rahmen für Agilität im gesamten Unternehmen zu schaffen hat nur zur Folge, dass das Ergebnis konträr zum eigentlichen agilen Ziel ausfallen wird. Parallelbetrieb von Wasserfall- und Agiler Methode sorgt für Schnittstellen-Reibungen; beide Welten wollen gegenseitig bedient werden und blockieren sich mit ihren jeweiligen Anforderungen. Statt die guten Gene zu fördern, hat man die Schlechten aus beiden Welten vermischt. 

  •  Schritt für Schritt zur agilen Organisation

Trotz des gesamtheitlichen Ansatzes auf dem Weg zur Agilität sollte man vermeiden „alles auf einmal“ zu verändern. Das Zielbild und der Transitionsplan sollte zwar möglichst umfangreich sein, die Umstellung auf Agile Methoden jedoch mit ruhiger Hand vonstattengehen. Teilbereich für Teilbereich wird transformiert, dabei wird jede Erfahrung bei der Umstellung auf Agile Methoden genutzt, um nicht nur die agile Arbeit aufzunehmen, sondern auch zu lernen.  

  • Effizienzsteigerung und Kundenzufriedenheit durch Agiles Mindset

Im Laufe der Transformation ändern sich damit nicht nur eingeschliffene Arbeitsweisen und Muster, sondern auch die Art und Weise wie Produkte entwickelt werden. Das Mindset ändert sich. Wichtiges wird von Unwichtigem unterschieden und entsprechend bei der Entwicklung priorisiert. Lieferketten werden beschleunigt und nicht zuletzt wird man feststellen, dass durch die unabdingbare Einbeziehung des Benutzers/Kunden und das daraus resultierende Feedback der Agile Ansatz ein wesentlicher Erfolgsfaktor entlang der gesamten Wertschöpfungskette eines Unternehmens werden kann. Die daraus resultierende Win-Win-Situation zeichnet sich durch zufriedene Kunden, schnellere Entwicklung und schlankere und effizientere Prozesse aus. 

Ihr Ansprechpartner


Gerne stehen wir Ihnen für einen weiteren Austausch zur Verfügung.

Michael Jahn

Director Business Services
Tel.: +49 173 1508480

csm MichaelJahn07 bd7b7466f2 e1702295358356

Header ISO Blog

ISO  27001 - Unser Weg zur Zertifizierung

In einer Ära, in der Unternehmen zunehmend von Technologie abhängig sind und Daten eine entscheidende Rolle spielen, ist Informationssicherheit wichtiger denn je. ISO 27001 gewährleistet die Sicherheit dieser Informationen und stärkt das Vertrauen und die Reputation von Unternehmen. Eine ISO 27001-Zertifizierung ist daher ein starkes Signal für unsere Verpflichtung zur Informationssicherheit.

Im Januar 2024 haben wir den Zertifizierungsprozess nach ISO 27001 erfolgreich abgeschlossen. Jetzt möchten wir Ihnen einen Blick hinter die Kulissen geben. Erfahren Sie, wie wir die hohen Standards der Informationssicherheit gemeistert haben und welche wertvollen Erfahrungen wir dabei sammeln konnten.

Schritt für Schritt zur ISO 27001


Im ersten Schritt haben wir gemeinsam mit unseren beiden Geschäftsführern die Leitlinie für Informationssicherheit erarbeitet. Diese wird auch als „Grundgesetz der Informationssicherheit“ bezeichnet, da sie den Rahmen der Sicherheitsorganisation vorgibt. In ihr werden die für die Organisation relevanten Schutzziele der Informationssicherheit (Vertraulichkeit, Integrität, Verfügbarkeit) definiert. Außerdem bekennt sich die Unternehmensleitung in der Leitlinie zur Umsetzung aller erforderlichen Maßnahmen zur Implementierung sowie zum Betrieb eines Informationssicherheitsmanagementsystems (ISMS)*.

Zudem muss eine konkrete Verantwortlichkeit für die Informationssicherheit benannt werden. Dies erfolgte bei uns durch die Bestellung unseres Informationssicherheitsbeauftragten (ISB) sowie durch die Einrichtung eines Informationssicherheitsmanagementteams (ISM-Team), bestehend aus unserem ISB, einem Datenschutzkoordinator und einem IT-Administrator.

*Ein Informationssicherheitsmanagementsystem (ISMS) ist ein systematischer Ansatz zur Verwaltung sensibler Unternehmensinformationen, um deren Sicherheit zu gewährleisten. Dazu gehören die Implementierung von Richtlinien sowie Verfahren und Kontrollmaßnahmen zur Verwaltung von Informationsrisiken und zum Schutz vertraulicher Daten. Ein ISMS stellt die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicher.

Die Prozesseigner aus verschiedenen Unternehmensbereichen, darunter IT, People & Culture und Software Development, wurden zu den Sicherheitsbereichen gemäß ISO 27001 befragt. Ziel war es, festzustellen, inwieweit die aktuellen Prozesse die Normanforderungen erfüllen, und welche Lücken bestehen. Die Ergebnisse der Befragungen dienten als Grundlage für die Erstellung der Erklärung zur Anwendbarkeit, auch SoA (Statement of Applicability) genannt. Diese ist ein zentrales Dokument des Informationssicherheitsmanagementsystems (ISMS), das eine Liste aller Maßnahmen aus dem Anhang A der ISO 27001 sowie Erklärungen und Begründungen zu deren Umsetzung in Unternehmen enthält.

Im weiteren Verlauf haben wir das Inventar unserer Informationswerte (auch Assetinventar genannt) vervollständigt. Zu diesen gehören unter anderem alle Laptops, Mobilgeräte, Peripheriegeräte sowie unsere Netzwerkinfrastruktur und auch die Räume an unserem Bürostandort. Die Inventarisierung soll einen Überblick über die eigenen Informationswerte geben und sicherstellen, dass für jeden Informationswert Verantwortlichkeiten für die Verwaltung bestimmt wurden. Dieser Schritt ist von entscheidender Bedeutung, da er die Basis für das Herzstück des ISMS bildet – das Risikomanagement.

Dazu wurde zunächst ein Klassifizierungssystem erstellt, um Informationswerte in Schutzbedarfsklassen einzuteilen, die definierte Schutzziele abdecken. Die Risiken wurden anschließend in Workshops mit den Verantwortlichen identifiziert, analysiert und bewertet. Zudem wurde untersucht, welcher Schaden entstehen kann, wenn Schutzziele verletzt werden. Abschließend wurden die Risiken anhand von Schadenskategorien, Eintrittswahrscheinlichkeit und Schadensausmaß bewertet und Maßnahmen zur Risikominderung abgeleitet.

Die Informationssicherheit erfordert sowohl technische als auch organisatorische Maßnahmen. Schulungen aller Mitarbeitenden sind daher entscheidend, um ein Bewusstsein für Sicherheitsaspekte zu schaffen. Unser Schulungskonzept umfasst Themen wie Passwortrichtlinien und den richtigen Umgang mit Unternehmensinformationen und Sicherheitsvorfällen. Zudem führen wir regelmäßige Lernerfolgskontrollen durch, um die Effektivität der Schulungen zu überprüfen.

Ein ISMS ohne Dokumentation ist wie ein Auto ohne Reifen. Um unser ISMS „fahrtüchtig“ zu machen, haben wir diverse Informationssicherheitsrichtlinien erstellt. Diese beinhalten die Umsetzung der Norminhalte aus der ISO 27001 innerhalb unserer Organisation und unsere individuellen Anforderungen. Wichtig ist, alle Mitarbeitenden über die Richtlinien und Regelungen zu informieren, da ein Managementsystem nur dann effektiv ist, wenn es auch innerhalb der Organisation gelebt wird.

Nachdem wir alle Anforderungen der ISO 27001 erfüllt hatten, folgte das Interne Audit. Dazu wurde ein unabhängiger Auditor ernannt, der das ISMS auf Konformität mit ISO 27001 und unternehmensinternen Vorgaben prüfte. Zudem zogen wir Prozessverantwortliche ein, um Auskünfte und Nachweise zur Umsetzung der Informationssicherheit liefern zu können. Grundsätzlich gilt: Hauptabweichungen von der ISO 27001 sind schwerwiegende Nichtkonformitäten, die die Gesamtwirksamkeit des ISMS in Frage stellen können. Nebenabweichungen erfordern Ursachenanalysen und Maßnahmen zur Behebung. Sofern Verbesserungsansätze vorhanden sind, werden Empfehlungen ausgesprochen. Der daraus entstandene Auditbericht diente als Vorbereitung für das externe ISO 27001 Audit.

Nach dem Internen Audit wurden zunächst alle festgestellten Nichtkonformitäten behoben. Darauf folgte das Stufe 1 Audit. Dabei wird geprüft, ob das ISMS die formellen Voraussetzungen für die Zertifizierung erfüllt (Soll-Soll-Abgleich). Dafür mussten Pflichtdokumente bei der Zertifizierungsstelle eingereicht werden und die ISMS-Dokumentation wurde vor Ort durch einen externen Auditor auf Vollständigkeit geprüft. Das Ergebnis war eine Empfehlung zur Weiterführung des Zertifikatsprozesses und die Zulassung zum Stufe 2 Audit.

Beim Stufe 2 Audit erfolgt neben der Angemessenheitsprüfung des ISMS zusätzlich eine Wirksamkeitsprüfung. Diese stellt fest, ob die internen Regelungen des ISMS in der Praxis gelebt werden („Soll-Ist-Abgleich“). Durch das Stufe 2 Audit wird bestätigt, inwieweit das ISMS den Anforderungen der ISO 27001-Norm sowie den selbst auferlegten Anforderungen entspricht. Die Wirksamkeitsprüfung der Stufe 2 erfolgt in Form von Vor-Ort-Begehungen, Interviews sowie gezielten Befragungen von zuvor benannten Ansprechpartnern. Daher war es uns besonders wichtig, alle Beteiligten des Audits frühzeitig einzubeziehen und durch eine umfassende Informationsweitergabe auf die anstehenden Gespräche vorzubereiten.

Das ISO 27001 Stufe 2 Audit wurde von zwei externen Auditoren durchgeführt und dauerte drei Tage. Wir wurden zu allen Anforderungen und Sicherheitsbereichen der ISO 27001 Norm befragt und mussten unsere Nachweise für die Umsetzung der Maßnahmen bereitstellen.

Endlich – ISO 27001 Stufe 2 Audit bestanden!

Nach drei intensiven Audittagen wurde uns der Erhalt des ISO 27001-Zertifikats von beiden externen Auditoren bestätigt. GESCHAFFT – die esc ist ISO 27001-zertifiziert!

Folgende Aspekte haben wir aus dem Prozess der Einführung eines Informationssicherheitsmanagementsystems (ISMS) gelernt:

  • Die ISMS-Einführung erfordert eine frühzeitige Einbindung aller Unternehmensbereiche.
  • Die notwendigen Ressourcen (personell und finanziell) sollten vorab sichergestellt werden.
  • Die Unterstützung der Informationssicherheit durch die Geschäftsführung ist unverzichtbar.
  • Eine regelmäßige, transparente Kommunikation mit Hintergrundinformationen ist wichtig.
  • Erfahrene Ansprechpartner sollten für Fragen zum ISO 27001-Zertifizierungsverfahren zur Verfügung stehen.

Ihre Ansprechpartner

Sie befinden sich gerade in einem Zertifizierungsverfahren nach ISO 27001 oder planen, sich nach dieser Norm zertifizieren zu lassen? Dann stehen Ihnen unsere Ansprechpartner gerne zur Verfügung!

csm ESC IsaacMichael 05072023 008 1 f92c6cb2e2

Isaac Michael

Informationssicherheit und Datenschutz
Tel.:  +49 173 4112814

csm HolgerKoeppe ESC 20092023 011 e3cc1dd518

Holger Koeppe

Managementsysteme & Audits
Tel.:  +49 173 4112778


esc Soziales

Bildung und Gemeinschaft: Unser Beitrag zur Montessori-Schule

Soziale Verantwortung

In einer Zeit, in der Technologie und Innovation unser tägliches Leben prägen, sehen wir bei der evolving systems consulting GmbH es als unsere Pflicht an, nicht nur unseren Kunden, sondern auch der Gesellschaft einen Mehrwert zu bieten. Mit unserem Leitsatz „inspired by the impossible“ bieten wir innovative IT-nahe Unternehmensberatung für verschiedenste Branchen. Doch unsere Vision geht weit darüber hinaus – wir streben danach, auch auf die Gesellschaft einen positiven Einfluss zu haben.

Gemeinschaft im Fokus

Soziales Engagement liegt uns am Herzen. Wir glauben fest daran, dass wir eine Verantwortung gegenüber der Gesellschaft haben und einen positiven Beitrag leisten sollten. Denn soziale Projekte haben eine kraftvolle Wirkung und können nachhaltige Veränderungen bewirken. Daher tragen wir gern aktiv zum Gemeinwohl bei.

Sportliche Bildungsförderung

Bildung ist der Schlüssel zur Zukunft – sowohl für die individuelle Entwicklung als auch für eine wettbewerbsfähige Wirtschaft. Aus diesem Grund unterstützen wir die Schüler einer Montessori-Schule, indem wir sie mit hochwertigen Fußballtrikots ausstatten. Die Trikots stärken nicht nur den Teamgeist und das Zusammengehörigkeitsgefühl unter den Schülern, sondern steigern auch den sportlichen Ehrgeiz und die Freude an Bewegung.

Das Montessori-Bildungssystem fördert eigenständiges Denken, die Entwicklung sozialer Kompetenzen und eine Leidenschaft für das Lernen. Indem wir den sportlichen Geist und das Gemeinschaftsgefühl der Schüler stärken, tragen wir dazu bei, dass sie sowohl auf dem Spielfeld als auch im Leben erfolgreich sind.

Wir glauben an die Kraft der Bildung und an die Verantwortung jedes Einzelnen, diese zu unterstützen.
Gemeinsam gestalten wir eine bessere Zukunft – für Unternehmen und Gesellschaft.


HeaderKRITIS NIS2

NIS2 und KRITIS-Dachgesetz: Cybersicherheit wird zur obersten Priorität

Die Bedrohungslage für kritische Infrastrukturen war noch nie so intensiv wie jetzt. Cyberangriffe auf Organisationen und Behörden gehören inzwischen zum Alltag und können ein Unternehmen komplett zum Erliegen bringen. Da dies gerade bei kritischen Infrastrukturen zu Versorgungsengpässen und Gefährdungen für einen ganzen Staat führen kann, geben die NIS2-Gesetzgebung und das KRITIS-Dachgesetz ab sofort vor, mit welchen konkreten Maßnahmen die betroffenen Unternehmen ihre Cyberresilienz zu stärken haben.

Das im Jahr 2024 in Kraft tretende neue KRITIS-Dachgesetz wird in Deutschland zusammen mit dem NIS2-Umsetzungsgesetz realisiert. Damit wird der Kreis der betroffenen Unternehmen auf ca. 40.000 ansteigen. NIS steht für „Network and Information Security“, und die Zahl 2 belegt, dass es sich hierbei bereits um die zweite europäische NIS-Richtlinie handelt, die sich mit dem Thema Informationssicherheit befasst.

Das KRITIS-Dachgesetz soll neben der Erhöhung der Anforderungen an die physische Sicherheit, vor allem auch die Resilienz (die Widerstandsfähigkeit) von Betreibern kritischer Infrastrukturen stärken. Dafür werden konkrete Vorgaben zu Meldepflichten von Vorfällen gemacht, sowie konkrete Bußgelder für Verstöße gegen die Umsetzung von Anforderungen ausgesprochen. Zur Sicherstellung dieser erweiterten Vorgaben wird die Aufsichtsverantwortung des BSI durch das BBK (Bundesamt für Bevölkerungs- und Katastrophenschutz) und regionale Landesbehörden verstärkt.

Konsequenzen bei Nichtbefolgung

Die ordnungsgemäße Einhaltung von KRITIS-Dach und der NIS2-Gesetzgebung wird nicht dem Zufall überlassen. Das Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI) prüft bei sogenannten Tiefenprüfungen, ob Betreiber den KRITIS-Anforderungen nachkommen. Unternehmen, die nicht die erforderlichen Sicherheitsstandards für kritische Infrastrukturen einhalten, können juristischen Maßnahmen unterliegen, einschließlich Geldstrafen, Bußgeldern oder sogar rechtlichen Schritten seitens der staatlichen Aufsichtsbehörden.

Die wesentlichen Inhalte der neuen Gesetze


KRITIS-Unternehmen versorgen mindestens 500.000 Einwohner und überschreiten sektorspezifische Schwellenwerte. Unternehmen, die mehr als 50 Mitarbeiter oder mehr als 10 Millionen Umsatz/Bilanzsumme verzeichnen, werden die NIS2-Anforderungen umsetzen müssen.

Aus regelmäßig stattfindenden Risikobeurteilungen müssen zukünftig die erforderlichen Maßnahmen zur Steigerung der Resilienz gegenüber Angriffen auf die Infrastruktur nachgewiesen werden.

Im Fall eines Angriffs müssen die betroffenen Unternehmen in der Lage sein, diesen zu erkennen und wirkungsvolle Gegenmaßnahmen einzuleiten. Die Vorfälle müssen einer zentralen Meldestelle übermittelt werden, damit die Möglichkeit einer Warnung für andere Unternehmen gegeben ist.

Neben der Bestellung eines internen Beauftragten im Unternehmen, wird es übergeordnete Behörden geben, die die Umsetzung der gesetzlichen Anforderungen koordinieren und überwachen.

Die ersten Schritte für eine erfolgreiche Realisierung von NIS2 und KRITIS-Dachgesetz

Die Stärkung der Cyber-Resilienz soll durch die Umsetzung von Risikomanagement-Maßnahmen erfolgen. Betroffene Unternehmen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um Störungen der IT-Systeme zu vermeiden bzw. negative Auswirkungen möglichst gering zu halten. Wir haben die ersten notwendigen Schritte für eine erfolgreiche Realisierung für Sie zusammengestellt:

  • Situationsanalyse durchführen: Übersetzen Sie die Anforderungen des KRITIS-Dachgesetzes und der NIS2-Gesetzgebung auf die spezifischen Gegebenheiten Ihres Unternehmens.
  • Projektteam aufstellen: Gründen Sie ein Projektteam bestehend aus allen IT-Verantwortlichen, der Geschäftsleitung und weiteren relevanten Personen und prüfen Sie mit einem Status-Assessment, ob die gesetzlichen Anforderungen beider Gesetze in Ihrem Unternehmen Anwendung finden.
  •  Informationssicherheitsmanagementsystem (ISMS) einführen: Führen Sie ein Informationssicherheitsmanagementsystem (ISMS) ein, z.B. die internationale Norm ISO 27001:2022. So erhalten Sie durch eine fundierte Analyse Klarheit darüber, was zu tun ist.
  • Schutzmaßnahmen dokumentieren und priorisieren: Dokumentieren Sie den Reifegrad Ihrer bisher etablierten Schutzmaßnahmen und fassen Sie die Ergebnisse in einem Protokoll mit priorisierten Maßnahmenempfehlungen zusammen.
  • Lieferanten prüfen: Kontrollieren Sie die Einhaltung von Anforderungen und Verordnungen im Zusammenhang mit IT-Sicherheit bei Ihren Lieferanten.
  • Mitarbeiter schulen: Schulen Sie alle Mitarbeiterebenen und Prozesseigener zur Einhaltung der eingeführten Sicherheitsmaßnahmen.
  • Prozessmanagement sicherstellen: Gewährleisten Sie ein professionelles Prozessmanagement zur Einhaltung aller Vorgaben.
  • Überwachung aller Maßnahmen durch einen Experten: Sichern Sie die Überwachung aller Maßnahmen durch eine fachliche Expertise.

Ihre Ansprechpartner


Gerne stehen wir Ihnen für einen weiteren Austausch zur Verfügung.

Isaac Michael

Informationssicherheit und Datenschutz
Tel.:  +49 173 4112814

csm ESC IsaacMichael 05072023 008 1 f92c6cb2e2
csm HolgerKoeppe ESC 20092023 011 e3cc1dd518

Holger Koeppe

Managementsysteme & Audits
Tel.:  +49 173 4112778


jobs

Mitarbeiter IT-Administration und Support (m/w/d)

Wir stehen für verlässliches und nachhaltiges Management von IT-Infrastrukturprojekten – von der Idee bis zur erfolgreichen Weiterführung. Unser Leistungsangebot umfasst die Steuerung von IT- Migrations-, Verlagerungs- und Entflechtungsprojekten, Consulting und Coaching. Zur Förderung unserer Unternehmenskultur legen wir hierbei großen Wert auf flache interne Hierarchien, direkte Abstimmungswege und ein teamorientiertes Arbeiten.

Zum nächstmöglichen Zeitpunkt suchen wir für unsere interne IT Unterstützung im Bereich Systemadministration Microsoft Office 365.

Deine Aufgaben bei uns:

  • Eigenständige Betreuung unserer internen IT von A-Z
  • Anwendersupport für das Team der esc bei allen IT-relevanten Fragen
  • Verwaltung der Microsoft-365-Umgebung sowie Mobile Device Management
  • Analyse und Behebung von Störungen
  • Hardware- und Softwarebeschaffung inkl. Auslieferung und Retourenmanagement
  • Umsetzung der Anforderungen aus ISO27001 sowie der DSGVO
  • Monitoring aktueller Entwicklungen, Weiterentwicklung der IT-Infrastruktur und Mitarbeit in verschiedenen IT-Projekten

Das bringst du mit:

  • Abgeschlossene Ausbildung zum Fachinformatiker/in für Systemadministration oder vergleichbar, alternativ entsprechendes Studium
  • Mindestens 2-3 Jahre Berufserfahrung
  • Vertiefte Kenntnisse im Bereich Microsoft 365, Office 365, Intune (Client-Management), Microsoft Defender und Microsoft Enta ID
  • Mindestens Grundkenntnisse in PowerShell
  • Sehr gute Deutsch- und Englischkenntnisse
  • Kommunikations- und Teamfähigkeit
  • Selbstständige und strukturierte Arbeitsweise
  • Bereitschaft, sich eigenverantwortlich in neue Themen einzuarbeiten
  • Motivation und Lust darauf, mitzugestalten und eigene Ideen einzubringen

Das erwartet dich bei uns: 

  • Ein Team, das sich auch bei örtlicher Ferne immer nah ist
  • Eine Duz-Kultur innerhalb der esc
  • Ein Unternehmen, in dem du den Unterschied machst und mitgestaltest – Du bringst deine Ideen ein und bestimmst den Weg zum Ziel
  • Ein abwechslungsreiches Tätigkeitsfeld, das individuell auf dich und deine Fähigkeiten abgestimmt ist
  • Ein kollegiales Umfeld, in dem auf Augenhöhe und mit Spaß gemeinsam gearbeitet wird
  • Gemeinsame Werte, die nicht nur auf dem Papier stehen, sondern wirklich gelebt werden
  • flexible Gestaltung des Arbeitstages hinsichtlich Zeit und Ort
  • Teamevents, bei denen alle Kollegen gemeinsam Deutschland oder die Welt erkundet

Klingt interessant?

Dann möchten wir dich kennenlernen!
Wir freuen wir uns auf deine Bewerbung mit deiner Verfügbarkeit und Gehaltsvorstellung. Da Zeit immer knapp ist, kannst du dich auch gerne ohne Anschreiben bewerben.


NIS2 KRITIS Blog

Die Prozesslandkarte – das Schlüsselinstrument für eine erfolgreiche DORA-Umsetzung

Seien wir doch mal ehrlich: Die Prozesslandkarte einer Bank, Versicherung oder Kapitalverwaltungsgesellschaft als „hippes Instrument der Unternehmenssteuerung“ zu bezeichnen, ist doch verwegen, oder? Welcher Entscheider ist heutzutage bereit, ein Projektbudget für die Aufnahme und Dokumentation von Unternehmensprozessen zu genehmigen? „Hauptsache, der Laden läuft, und jeder weiß, was zu tun ist“ scheint in manchen Unternehmen immer noch die Devise zu sein. Doch mit der EU-Verordnung 2022/2554 zur digitalen operationalen Resilienz (DORA) wird sich die Meinung über die Bedeutung einer umfassenden und aussagekräftigen Prozesslandkarte ändern müssen.

Warum?

  • Erstens: Weil die Dokumentation der Geschäftsprozesse gemäß dem Verordnungsgeber ein notwendiger Teil des Managementrahmens für die Steuerung von Risiken der Informations- und Kommunikationstechnik (IKT) ist.
  • Zweitens: Weil sich das Unternehmen seiner Abhängigkeit von IKT-Systemen, Anwendungen und IKT-Drittdienstleistern bewusst machen muss, damit es seine Konzentrationsrisiken begrenzen und sein Business Continuity Management zielgerichteter abstimmen kann.

Während der erste Grund bei Entscheidern und Projektmitarbeitern lediglich an das Pflichtbewusstsein appelliert, sollte der zweite Grund die Bedeutung funktionierender IKT-Systeme und IKT-Lieferketten für die Existenzsicherung eines Finanzunternehmens transparent machen.

Kommen wir zum ersten Grund:

Gemäß Artikel 8 Absatz 1 DORA erwartet der Verordnungsgeber von Finanzunternehmen, alle IKT-gestützten Unternehmensfunktionen, Rollen und Verantwortlichkeiten, sämtliche Informationsassets (die Sammlung zu schützender materieller oder immaterieller Informationen) und alle IKT-Assets (die vom Finanzunternehmen genutzte Hard- und Software) zu ermitteln, zu klassifizieren und zu dokumentieren.

Im Zusammenhang mit Absatz 6, der ein Inventar über diese Assets verlangt, wird klar, dass es hier um eine Prozess- und Rollenbeschreibung geht, die einen konkreten Bezug zu den Soft- und Hardwarekomponenten herstellt, die zu deren Ausführung erforderlich sind.

Des Weiteren enthält Absatz 5 dieses Artikels die Verpflichtung, alle Prozesse zu ermitteln und zu dokumentieren, die von IKT-Drittdienstleistern abhängen. Insbesondere sind Vernetzungen mit IKT-Drittdienstleistern zu ermitteln, die Dienste zur Unterstützung kritischer oder wichtiger Funktionen bereitstellen. Auch dafür verlangt Absatz 6 ein Inventar der identifizierten Abhängigkeiten. Welchen Beitrag leistet die Umsetzung dieser Anforderungen im Hinblick auf den zweiten Grund, der für eine Prozesslandkarte spricht? Das geht aus dem folgenden Schaubild hervor:

Illustration 1 Blog DORA Prozesslandkarte NEU

Nach der Ermittlung und Dokumentation aller IKT-gestützten Geschäftsprozesse sind diejenigen Prozesse zu kennzeichnen, die unter Berücksichtigung der Definition in Artikel 3 Absatz 1 Nr. 22 DORA als kritisch oder wichtig angesehen werden müssen. Diese Klassifizierung bedeutet nichts anderes als: Wenn der als kritisch oder wichtig gekennzeichnete Prozess vorübergehend nicht mehr ausgeführt werden kann, verliert das Unternehmen entweder sehr viel Geld oder es gefährdet seine aufsichtsrechtliche Lizenz.

Im nächsten Schritt zieht man das Assetinventar heran, das schon von den BAIT, VAIT, KAIT und ZAIT gefordert war und meist in einer Configuration Management Data Base (CMDB) dokumentiert ist. Die darin verzeichneten IKT-Assets werden den Prozessen zugeordnet, die davon abhängig sind. Ist diese Aufgabe erledigt, liegt schon die erste wertvolle Erkenntnis für die Betriebsstabilität des Finanzunternehmens vor, nämlich die Antwort auf die Frage:

Welche IKT-Systeme und Anwendungen müssen möglichst stabil und unterbrechungsfrei laufen, damit die aufsichtliche Lizenz und die Ertragslage unseres Finanzunternehmens nicht gefährdet werden können?

Im letzten Schritt werden die IKT-Drittdienstleister und deren Subunternehmer den Prozessen zugeordnet, an denen sie mitwirken. Und auch hier kann nun eine wichtige Frage beantwortet werden: Welche IKT-Drittdienstleister leisten einen so großen Beitrag zur Wertschöpfung eines Finanzunternehmens, dass sie besonders eng überwacht und kurzfristig realisierbare Alternativdienstleister bereitgehalten werden müssen? Hierbei müssen eng miteinander verbundene Dienstleister unbedingt als Leistungseinheit betrachtet werden, um das unternehmensinterne IKT-Konzentrationsrisiko gemäß Artikel 29 DORA beurteilen zu können.

Alle hier genannten Erkenntnisse, mit denen die Existenz eines Finanzunternehmens gesichert werden soll, fangen mit der Prozesslandkarte und der Kennzeichnung ihrer kritischen oder wichtigen Prozesse an. Ist die Prozesslandkarte nicht doch ein „hippes Instrument der Unternehmenssteuerung“?

Gerne stehen wir Ihnen zur Verfügung, um Sie bei der Umsetzung aller Themengebiete rund um DORA zu unterstützen.

Ihr Ansprechpartner


MatthiasKurfels

Matthias Kurfels

Managing Consultant
Tel.:  +49 173 6916001


Header DORA blog esc

DORA: Unverzichtbar für die Zukunft der Finanzindustrie

Die digitale Transformation hat den Finanzsektor grundlegend verändert und die Bedeutung von IT-Systemen und digitaler Resilienz hervorgehoben. In diesem Kontext hat die Europäische Union die Verordnung DORA (Digital Operational Resilience Act) im Januar 2023 eingeführt, um die digitale operationale Resilienz im Finanzsektor zu stärken und Cyberrisiken zu minimieren. Wir haben die wichtigen Impulse aus diesen neuen Anforderungen zusammengefasst.

Warum ist DORA notwendig? 

Die zunehmende Vernetzung von Dienstleistern und IKT-Systemen (insbesondere Cloudleistungen) im Finanzsektor hat die Anfälligkeit für Störungen erhöht und dessen Auswirkungen verstärkt. Dadurch können Angriffe auf IKT-Systeme, Netze und IKT-Dienstleister von Finanzunternehmen die Finanzstabilität in der EU und weltweit gefährden. DORA zielt darauf ab, diesem Risiko durch die Einführung hoher Standards für IKT-Resilienz und Cybersicherheit entgegenzuwirken. 

Was sind die Hauptregelungsbereiche von DORA? 

DORA fordert von allen Finanzunternehmen, dass sie ihre Widerstandsfähigkeit gegen böswillige Angriffe von innen und außen stärken sowie die von IKT-Dienstleistern und Geschäftspartnern ausgelösten Prozessstörungen bewältigen können. Für Finanzunternehmen, die bisher die BAIT, VAIT, KAIT oder ZAIT anwenden mussten, enthält DORA viele bereits bekannte Anforderungen. Die Regelungen werden durch DORA häufig verschärft, indem der Aspekt der Resilienz hervorgehoben wird, oder ihr Anwendungsbereich wird deutlich ausgeweitet, sodass mehr Dienstleistungsarten erfasst werden. DORA umfasst folgende Regelungsbereiche:

  • Standards für die digitale operationale Resilienz: DORA legt Standards fest, um die Widerstandsfähigkeit von IKT-Systemen und Infrastrukturen gegenüber Störungen und Angriffen zu stärken.
  • Anforderungen an kritische IKT-Dienstleister: Die Verordnung stellt hohe Anforderungen an IKT-Dienstleister, um sicherzustellen, dass sie die Stabilität des Finanzsystems nicht gefährden.
  • Informationsaustausch zwischen Finanzunternehmen: DORA fördert den Informationsaustausch zwischen Finanzunternehmen, um die Ausbreitung von Schadensereignissen zu begrenzen.
  • Vereinheitlichung der aufsichtlichen Anforderungen: Die Verordnung vereinheitlicht die aufsichtlichen Anforderungen zwischen verschiedenen Akteuren im Finanzsektor, um einen konsistenten Ansatz zur Gewährleistung der digitalen Resilienz zu fördern. 

Wie betrifft DORA Unternehmen im Finanzsektor? 


DORA betrifft alle Finanzunternehmen sowie deren IKT-Dienstleister. Es werden hohe Anforderungen an die IKT-Resilienz und Cybersicherheit gestellt, um die Stabilität des Finanzsystems zu gewährleisten. Zudem werden die Anforderungen an die Resilienz von IKT-Systemen vereinheitlicht und auf ein höheres Niveau gehoben. Die Stärkung der Widerstandsfähigkeit muss demnach zur obersten Priorität erklärt werden und die Unternehmensleitung muss gezielt Verantwortung für die IKT-Sicherheit übernehmen. 

Die Konsequenzen der Nichteinhaltung von DORA sind ernst zu nehmen, da sie sich erheblich auf das betroffene Unternehmen auswirken können. Dies betrifft nicht nur den Bußgeldrahmen, der beispielsweise für Banken bis zu 5 Mio. Euro beträgt, sondern vor allem die Auswirkungen auf die Geschäftstätigkeit, wenn diese durch einen Cyberangriff schlimmstenfalls für mehrere Monate unterbrochen oder stark beeinträchtigt ist.  

Leitfaden für die Einhaltung von DORA  

Die neuen Anforderungen durch DORA sind vielfältig und erfordern die Berücksichtigung zahlreicher Aspekte:

  • Schulungen zur DORA-Konformität: Schulen Sie Ihre Fach- und Führungskräfte zu den neuen Anforderungen und Umsetzungsmöglichkeiten. 
  • Vorbereitung auf DORA: Machen Sie eine Gap-Analyse und erstellen Sie einen  Projektplan zur zeitgerechten Erreichung der DORA-Compliance.
  • Spezielle Anforderungen: Berücksichtigen Sie spezielle Anforderungen, wie beispielsweise das IKT-Drittparteienmanagement oder den IKT-Risikomanagementrahmen. 
  • Qualitätssicherung: Sichern Sie die Qualitätssicherung der von Ihnen selbst erarbeiteten Lösungen auch im Hinblick auf mögliche Prüfungen der Finanzaufsicht. 
  • Fachliche Expertise: Bilden Sie eine fachliche Expertise für Prüfungen der Internen Revision zu ausgewählten Themenbereichen (Co-Sourcing) aus. 

Ihr Ansprechpartner

Wir stehen Ihnen gerne für einen detaillierten Austausch zur Verfügung.

csm MatthiasKurfels 04 d8c5a3bfeb

Matthias Kurfels

Managing Consultant
Tel.:  +49 173 6916001