No Risk – More Fun! GRC@SAVISCON

Wie wir mit unserem Risiko-Management starten

von Uwe Straßberger, Director Sales & Marketing bei der SAVISCON GmbH

Wie versprochen geht es heute in die zweite Runde unserer Blog-Reihe GRC@SAVISCON. Heute mit mir, Uwe Straßberger, als Autor und einem genaueren Blick in das Projekt „Risiko-Management“. Ein kurzer Rückblick: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: Risiko-Management.

Risikokultur – Tone from the Top

Wenn man ein solches Projekt startet, muss das vom höheren Management getragen werden. Das ist aufgrund der Struktur und Größe bei uns nicht so ein großes Thema. Da unser Geschäftsführer (siehe letzter Blog) das Programm ja selbst aufgesetzt hat, wissen wir natürlich auch, dass das Thema in der Unternehmensleitung als wichtig angesehen und vorangetrieben wird. In anderen Unternehmen mag das aber nicht so sein, daher ist hier wichtig: Versichern Sie sich der vollen Unterstützung Ihrer Unternehmensführung! Wenn diese das Thema als unwichtig oder zweitrangig abstempelt, werden Sie mit hoher Wahrscheinlichkeit Probleme bekommen, die notwendigen Ressourcen in Form von Personal, Zeit und Arbeitsmitteln zur Verfügung gestellt zu bekommen. Außerdem ist es dann schwieriger, in der Belegschaft die notwendige Akzeptanz zu erzeugen.

Projekt- und Ressourcenplanung

Gemeinsam mit meinem Kollegen Mark Teichmann (Produktentwicklung) leite ich das Projekt Risiko-Management. Als aufmerksamer Leser haben Sie bestimmt festgestellt, dass ich als „Director Sales & Marketing“ sowie Mark als „Produktentwickler“ keine klassischen „Risiko-Manager“ sind. Das liegt daran, dass wir unser Risiko-Management schnellstmöglich starten und vorerst kein Budget für zusätzliche Personalkosten verwenden wollten. Daher auch unser Tipp für kleine und wachsende Unternehmen: Schieben Sie Ihr Risiko-Management nicht auf die lange Bank, wenn aktuell kein Budget für einen Risiko-Manager eingeplant ist. Nutzen Sie beim Aufbau Ihres Risiko-Management-Systems stattdessen zu Beginn die vorhandenen internen Personalressourcen. Das Risiko-Management wächst zusammen mit ihrem Unternehmen und wenn die Geschäftsprozesse sowie Regularien komplexer werden, können Sie auch zu einem späteren Zeitpunkt einen Risiko-Manager einstellen – eventuell zunächst als Teilzeitstelle. Mit dem passenden digitalen Risiko-Management-Tool können Sie Ihr Unternehmen bereits mit einem geringen Personal- bzw. Budgetaufwand absichern. Diese Entscheidung hängt natürlich auch immer ganz von der Größe ihres Unternehmens und der Komplexität ihrer Geschäftsprozesse ab. Wir haben uns, wie erwähnt, zunächst dazu entschieden bestehende Ressourcen zu nutzen und planen pro Woche mit fünf Stunden pro Mitarbeiter. Wenn zwei Mitarbeiter an einem Projekt arbeiten, gibt es außerdem einen wöchentlichen Jour fixe, um den aktuellen Stand und das weitere Vorgehen zu besprechen. Die Meilensteine wurden uns vom Programm vorgegeben. Auf der Basis haben wir dann die einzelnen Schritte in Termine heruntergebrochen.

Risikoidentifizierung

Im ersten Schritt haben wir den Ist-Zustand analysiert: Welche Organisationseinheiten bzw. welche Geschäftsprozesse haben wir, welche externen Tools nutzen wir und welche Risiken resultieren daraus? Dazu haben wir alle Kollegen mit eingebunden und befragt. In virtuellen Sitzungen sprachen wir mit jeder Organisationseinheit, in unserem Fall sind das: Geschäftsführung, IT, Consulting, Administration, Marketing und Vertrieb sowie Datenschutz. So konnten wir in einem Brainstorming-Ansatz über zwei Wochen hinweg alle aus den Abteilungen bekannten potenziellen Risiken sammeln. Wichtig: Wir haben vorab eine Mail an alle Kollegen geschrieben, in der wir den Ablauf erklärt und die Deadline genannt haben. Uns war ebenfalls sehr wichtig rüberzubringen, dass es erstmal nur darum geht zu starten. An dieser Stelle gibt es keinen Anspruch auf Perfektion oder Vollständigkeit. Tatsächlich hat das bei uns im Team gut funktioniert und wir haben bis zur genannten Deadline alles geschafft. Alle Mitarbeiter so detailliert zu befragen ist natürlich – je nach Unternehmensgröße – nicht immer möglich. Dennoch sollte hier zumindest immer ein Vertreter jeder Organisationseinheit befragt werden, der sich eventuell vorab Feedback aus seinem Team holt.

Risikobewertung

Im nächsten Schritt ging es mit den eingeholten Infos für Mark und mich ans Sortieren der Risiken und ans Rausschmeißen von Doppelungen. Danach war es endlich so weit: wir konnten die identifizierten Risiken in unsere webbasierte Software einspeisen, das GRC-COCKPIT. Hier sind ebenfalls alle Organisationseinheiten und Assets hinterlegt, sodass wir die Risiken bereits damit verknüpfen konnten. Eine Herausforderung war das Formulieren der Risiken. Die KollegInnen benannten teilweise die Risiken als Anforderung, z. B.: „Es muss sichergestellt sein, dass…“. Diese Herangehensweise erschwert allerdings das Verständnis und vor allem auch die Bewertung für die anderen. Ein Hilfsmittel für das Formulieren von Risiken ist, dass man die folgenden Einleitungssätze im Geiste nutzt: „Es besteht die Gefahr, dass…“ oder „Es besteht das Risiko, dass…“.

Konkretes Beispiel:

Gesammeltes Risiko Formulierungshilfe: Es besteht das Risiko, dass… Eintrag ins GRC-COCKPIT
Bilder auf der Webseite: Liegen die entsprechenden Nutzungslizenzen vor? …eine dritte Partei Ansprüche auf die Lizenzrechte der von uns genutzten Bilder erhebt und uns mit einer Abmahnung belangt. Risiko: Abmahnung aufgrund fehlerhaft ausgewiesener Bildrechte

Das konkrete Formulieren ist die Voraussetzung für den darauffolgenden Schritt: die Risikobewertung. Dazu müssen die KollegInnen genau verstehen, welches Risiko hier gemeint ist. Sie sind dann nämlich wieder an der Reihe und müssen anhand der Risiko-Matrix Eintrittswahrscheinlichkeit vs. Schadenshöhe bei Eintritt des Risikos bewerten.

Aber darum soll es dann im Detail in unserem nächsten Blog-Beitrag aus dem Projekt Risiko-Management gehen.

…to be continued:

Hier die Zusammenfassung der bisher wichtigsten Erkenntnisse aus dem Projekt Risiko-Management:

  • Risiko-Management Projekte funktionieren nur mit Rückendeckung der Unternehmensleitung
  • Risiko-Management sollte nicht auf die lange Bank geschoben werden: lieber früh starten und zu einem späteren Zeitpunkt zusätzliches Personal dazu nehmen
  • Mitarbeiter aus allen Organisationseinheiten mit einbeziehen, denn die kennen ihre Arbeitsprozesse, Tools und die damit verbundenen Risiken selbst am besten
  • in der Initialphase besteht kein Anspruch auf Perfektion und Vollständigkeit
  • „better safe than sorry“ – besser zu Beginn jedes noch so klein erscheinende Risiko aus den Organisationseinheiten sammeln und im Nachgang aussortieren
  • bei der endgültigen Erfassung der Risiken ausreichend Zeit darauf verwenden, dass die Formulierung sprechend und eindeutig ist (dabei aber bitte die Verhältnismäßigkeit wahren und nicht in Schönheit sterben…😉)

Im nächsten Blog-Beitrag schauen wir gemeinsam in das Projekt IT-Sicherheit: Step by step: GRC@SAVISCON | Wie wir unser IT-Sicherheits- Management aufsetzen

Über den Autor:

Porträtfoto Uwe Straßberger

Uwe Straßberger (Director Sales & Marketing bei SAVISCON GmbH)

Uwe Straßberger ist Director Sales & Marketing bei der SAVISCON GmbH. Seit 2019 steht er unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder uwe.strassberger@saviscon.de

 

BSI veröffentlicht Community Draft zum Standard 200-4

Quelle: Bundesamt für Sicherheit in der Informationstechnik

Aus Notfallmanagement wird Business Continuity Managemet

Am 19. Januar 2021 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Community Draft (CD) des Standards 200-4 vorgestellt. Die Projektleiter Cäcilia Jung und Daniel Gilles haben in Zusammenarbeit mit Marcel Lehmann (HiSolutions AG) den „Standard 100-4 Notfallmanagement“ weiterentwickelt zum CD „Standard 200-4 Business Continuity Management“ (BCM). Während des 1. IT-Grundschutz-Tags 2021 gaben sie Einblicke in die Modernisierung des Standards und warben um Feedback der Teilnehmer.

Was ist neu?

  • Stufenmodell (ähnlich Standard 200-2 IT-Grundschutz-Methodik)
  • Darstellung möglicher Synergien (ISMS, BCMS, Krisenmanagement)
  • vereinfachte Methodik
  • Hilfsmittel werden kontinuierlich bereitgestellt

Muss ich von vorne anfangen?

Wenn Sie bisher den Standard 100-4 Notfallmanagement umgesetzt haben, müssen Sie nicht von vorne starten. Laut Jung nimmt der neue Standard 200-4 den Faden auf und spinnt ihn weiter, sodass Sie auf Ihrem bisherigen Notfallmanagement aufbauen können.

Reicht mein ISMS aus?

Ein Informationssicherheits-Management-System (ISMS) reicht laut Gilles nicht aus. Business Continuity Management-System (BCMS) gehe tiefer, da es beschreibt, wie der Geschäftsbetrieb, wenn er ausgefallen ist, so schnell wie möglich wieder ans Laufen gebracht werden kann. Daher müsse ein weiteres Management-System eingeführt werden. Der weiterentwickelte Standard beschreibt, wie die Synergien zwischen ISMS und BCMS sowie Krisenmanagement optimal genutzt und wo Schnittstellen sinnvoll eingebaut werden können.

Wie gehe ich jetzt vor?

Ähnlich dem „Standard 200-2 IT-Grundschutz-Methodik“ bietet der CD Standard 200-4 ein Stufenmodell mit unterschiedlichen Vorgehensweisen. So kann jede Institution, je nach Art, Größe und Branche, den passenden Einstieg wählen:

  • Reaktiv-BCMS

    • dient als vereinfachter Einstieg
    • Notfallbewältigung wird ermöglicht
    • Fokus liegt auf den „überlebensnotwendigen“, zeitkritischen Geschäftsprozessen
  • Aufbau-BCMS

    • erleichtert den Übergang zum Standard-BCMS
    • Formalisierung der Methodik
    • zusätzliche Geschäftsprozesse werden betrachtet
  • Standard-BCMS (mit ISO 22301:2019 kompatibel)

    • Empfehlung vom BSI für alle Institutionen
    • vollständiges BCM
    • ISO 22301 kompatibel
    • Untersuchung aller Geschäftsprozesse

Gibt es Hilfsmittel?

Ja, es gibt bereits ein Hilfsmittel: Hilfsmittel zum BSI-Standard 200-4 | Weiterführende Aspekte zur Bewältigung. Es sind noch weitere geplant, die während der CD-Laufzeit veröffentlicht werden sollen:

  • Dokumentenvorlagen mit Beispieltexten
  • Business Impact Analysis: Auswertung
  • Business Impact Analysis: Workshop-Präsentation
  • BC-Strategien und Beispiellösungen
  • Dokumentenvergleich zur ISO 22301:2019

Wo kann ich den CD kommentieren?

Die Kommentierungsphase lief bis zum 30. Juni 2021. Die Veröffentlichung des final Drafts ist für die zweite Jahreshälfte geplant, das hängt, laut den Projektleitern, auch ganz vom Anwender-Feedback ab.

Wir als SAVISCON GmbH verfolgen die Weiterentwicklung gespannt und generieren schon neue Ideen, wie wir das BCM in unser SAVISCON GRC-COCKPIT integrieren können.

Quellen:
Presseinformation vom BSI
CD BSI Standard 200-4 Business Continuity Management
Hilfsmittel zum BSI-Standard 200-4

Practice what you preach: GRC@SAVISCON

Wie wir unser GRC-Management mit dem GRC-COCKPIT umsetzen 

von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Practice what you preach! Das ist unter anderem unser Antrieb für das interne Programm „GRC@SAVISCON“. Ziel ist es dabei, unser eigenes GRC-Management strukturiert und digital mit unserer GRC-Management-Software (GRC-COCKPIT) abzubilden. Denn wir sind überzeugt: Das was man verkauft, muss man auch selbst leben und umsetzen. Und damit herzlich willkommen zum ersten Beitrag auf unserem Blog! Hier dreht sich zukünftig alles um die Themen Governance, Risk- und Compliance-Management. In der Beitragsreihe „GRC@SAVISCON“ wollen wir Sie auf unsere Reise mitnehmen und Ihnen Einblicke in unser Programm und die darunter liegenden Projekte ermöglichen: Wie läuft es ab, wenn man ein strukturiertes, digitales GRC-Management-System einführt? Welche Hürden gilt es zu überwinden und welche Vorteile zeichnen sich ab?

Am Ende des Blogs finden Sie die Kommentar-Funktion. Wir würden uns sehr über einen Erfahrungsaustausch freuen: Haben Sie bei sich bereits ein GRC-Management-System eingeführt? Hatten Sie eine ähnliche Herangehensweise?

Warum (erst jetzt) GRC-Management?

Kritische Köpfe könnten sich fragen: Sie sind seit 2010 mit SAVISCON am Markt, wieso führen Sie erst jetzt ein GRC-Management-System ein? Uns geht es da wie vielen anderen Unternehmen. Bis Ende 2017 dachten wir: „Wir sind zu klein“, „die Risiken sind überschaubar“… Doch dann entwickelte sich eine uns bis dahin unbekannte Dynamik. Bis 2018 waren wir mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Keine allzu komplizierte Sache. Ende 2018 übernahmen wir die Software unseres heutigen GRC-COCKPITs, die in einem Spin-off der Universität Münster ihren Ursprung hatte. Wir übernahmen damit auch die Bestandskunden, sind allerdings nicht der Rechtsnachfolger des vorherigen Rechteinhabers. Um den Kauf und den Produktlaunch herum galt es jetzt, ein entsprechendes Team aufzubauen. Produktentwicklung, Kundenbetreuung, IT-Betrieb, neue GRC-Consultants, Digital Marketing und Vertrieb sind Themen, die vorher keine Rolle gespielt haben. Seit 2018 hat sich daher die Anzahl unserer Mitarbeiter fast verdreifacht. Und auch die Themen sind mehr geworden oder haben an Bedeutung gewonnen: Personal-Compliance, Gewährleistung und Haftung gegenüber Kunden, Datenschutz, IT-Sicherheit. Und genau das sind ja die Themen, die wir mit dem GRC-COCKPIT abdecken. Durch das Wachstum und die steigende Komplexität stand schnell der Entschluss fest: Wir wollen unser GRC-Management umfassend und vollständig in unserem GRC-COCKPIT abbilden. Bisher waren wir da sporadisch für einige wenige Themen unterwegs, es fehlte allerdings der strukturierte Ansatz. Das war vor allem dem Umstand geschuldet, dass ich als Geschäftsführer den Anspruch hatte, alles – zumindest bis zu einem gewissen Grad – selbst zu initiieren, aufzusetzen und durchzuführen.

Da für uns das Jahr 2019 und auch das Corona-Krisenjahr 2020 überraschend gut lief, konnten wir wie beschrieben neue Mitarbeiter einstellen und weiterwachsen. Damit haben wir auch zusätzliche interne Ressourcen gewonnen, die an den Projekten mitarbeiten und mich entlasten können. Somit hatten wir die Grundlage dafür geschaffen, dass ich ein Stück weit „loslassen“ konnte. Aus dem Entschluss konnte nun ein handfestes Programm werden. Denn wenn wir mal ehrlich sind, eigentlich kann man nie früh genug anfangen und das GRC-Management-System wächst ja mit!

Also: Am 19. November 2020 hat dann unser Kick-off-Meeting stattgefunden. Für uns gibt es übrigens gleich zwei Pluspunkte: Wir sichern die SAVISCON hinsichtlich Compliance-Management, IT-Sicherheit und Risiko-Management ab und das GRC-COCKPIT steht praktisch pausenlos auf dem internen Prüfstand. So können wir unseren Kunden eine Software bieten, die praxiserprobt ist und mit Best Practises aushelfen. Jetzt können wir aus dem Nähkästchen plaudern, wo uns bisher bei Erfahrungen mit unseren Kunden aus Geheimhaltungsgründen regelmäßig die Hände gebunden sind.

Apropos aus dem Nähkästchen plaudern, legen wir doch direkt mal los:

Wie starte ich mein GRC-Management?

Wo soll ich bloß anfangen? Das ist wohl einer der meistgestellten Fragen, wenn es darum geht ein strukturiertes Risiko- und Compliance-Management-System aufzusetzen.

Im ersten Schritt habe ich mich dazu entschieden unser Programm in drei Projekte zu gliedern, für die jeweils ein bis zwei Mitarbeiter zuständig sind:

  1. Risiko-Management (Projektleiter: Mark Teichmann und Uwe Straßberger)
  2. Compliance-Management und Datenschutz (Projektleiterin: Karin Selzer)
  3. IT-Sicherheit (Projektleiter: Ingo Simon)

Klar, jedes Projekt benötigt auch Ziele, auf die es zuarbeiten kann. Diese habe ich in Rücksprache mit den Projektleitern definiert.

Anschließend – und das ist sehr wichtig! – haben wir allen MitarbeiterInnen in einem Kick-off-Termin via Microsoft Teams das Programm vorgestellt. Denn alle Projekte haben eines gemeinsam: Das Management muss das Vorgehen erlebbar unterstützen. Den MitarbeiterInnen muss klar werden, wie wichtig das GRC-Management für die ganze Firma ist. Ich habe im Kick-off-Termin nochmal betont, dass alle MitarbeiterInnen während des gesamten Prozesses die Möglichkeit haben, ihre Sicht der Dinge einzubringen. Das steigert die Akzeptanz und damit auch die Qualität – davon profitiert am Ende das ganze Team.

Projekt Risiko-Management

Beim Projekt Risiko-Management haben Mark Teichmann und Uwe Straßberger die Aufgabe, die maßgeblichen und potenziell existenzgefährdenden Risiken für SAVISCON zu identifizieren. Sobald diese Risiken identifiziert sind, sollen entsprechende Maßnahmen zur Risikominimierung entwickelt und umgesetzt werden. Alle Ergebnisse werden wir durchgängig im GRC-COCKPIT dokumentieren. In einem späteren Blog-Beitrag zeigen wir, wie das genau aussehen kann.

Meilensteine:

  • Kick-off-Termin: 19. November 2020
  • Projektplanung, Ressourcenplanung und Budgetplan: Mitte Dezember 2020
  • Risikoidentifizierung und Bewertung: Ende Januar 2021
  • Maßnahmen finden und bewerten: Ende März 2021
  • Interne Projekte aufsetzen (für die Maßnahmen, die ein eigenes Projekt für ihre Umsetzung erfordern): Ende April 2021

Projekt Compliance-Management und Datenschutz

Im Projekt Compliance-Management und Datenschutz wird unsere Projektleiterin und Datenschutzbeauftragte Karin Selzer die maßgeblichen Richtlinien für unser Unternehmen identifizieren und die bisherige Umsetzung bezüglich der Compliance bewerten. Daraufhin entwickelt sie entsprechend angemessene Maßnahmen, setzt sie um und trägt für den Datenschutz die bereits vorhandenen technischen und organisatorischen Maßnahmen (TOMs) im GRC-COCKPIT nach. Hier müssen dann auch ggf. Compliance-Risiken erkannt und in Abstimmung mit dem Projekt Risiko-Management bearbeitet werden. Alle Ergebnisse dokumentieren wir ebenfalls durchgängig im GRC-COCKPIT.

Meilensteine*:

  • Kick-off-Termin: 19. November 2020
  • Projektplanung, Ressourcenplanung und Budgetplan: Ende Januar 2021
  • Compliance-Bewertung für Datenschutz, GoBD und Personal-Compliance: Ende März 2021
  • Maßnahmen finden und bewerten: Ende Mai 2021
  • Interne Projekte aufsetzen (für die Maßnahmen, die ein eigenes Projekt für ihre Umsetzung erfordern): Ende Juni 2021

Projekt IT-Sicherheit

Für das Projekt IT-Sicherheit bin ich selbst zuständig. Allerdings teile ich mir die Aufgaben mit unserem Entwicklungsleiter Merlin Konert. Hier werden wir die IT-Struktur und Prozesse vor allem der Entwicklung und des Betriebs der Kundensysteme dokumentieren sowie die Schutzbedarfsanalyse durchführen. Das findet aber natürlich auch für unsere internen Prozesse statt, wie z. B. Personalprozesse, Buchhaltung und Rechnungswesen. Auch ich werde in meinem Projekt eine Risikoanalyse in Zusammenarbeit mit den Projektleitern vom Risiko-Management erstellen. Alle Ergebnisse werden wieder im GRC-COCKPIT festgehalten.

Meilensteine:

  • Kick-off-Termin: 19. November 2020
  • Projektplanung, Ressourcenplanung und Budgetplan: Mitte Dezember 2020
  • Dokumentation der IT-Struktur + Prozesse sowie Schutzbedarfsanalyse: Ende Januar 2021
  • Risikoanalyse und Maßnahmen finden: Ende März 2021
  • Interne Projekte aufsetzen (für die Maßnahmen, die ein eigenes Projekt für ihre Umsetzung erfordern): Ende April 2021

…to be continued:

So weit unser Plan.

Hier die Zusammenfassung der bisher wichtigsten Erkenntnisse:

  • Das Management (in diesem Fall ich als Geschäftsführer) muss Vertrauen zu den MitarbeiterInnen haben und auch diese wichtigen Aufgaben delegieren. Sonst bleiben sie schlicht liegen. Die Verantwortung bleibt letztendlich natürlich bei der Unternehmensleitung!
  • Die MitarbeiterInnen müssen mitgenommen und sensibilisiert werden. Man muss schon erklären, warum man ein GRC-Programm aufsetzt, das – auf den ersten Blick – nur Arbeit macht und kein Geld einbringt. Das war bei uns natürlich relativ einfach, weil das strategische Geschäftsfeld „GRC-Management“ mit dem Produkt und den Beratern ja jedem bei SAVISCON bekannt ist

In den nächsten Blog-Beiträgen aus der Rubrik GRC@SAVISCON schauen wir gemeinsam in die einzelnen Projekte und stellen unseren Fortschritt, die Herausforderungen und Hürden sowie unsere Lösungen vor. Hier geht es zum ersten Blog-Beitrag aus dem Projekt Risiko-Management.

Über den Autor:

Foto Ingo Simon

Ingo Simon (Geschäftsführer SAVISCON GmbH)

Ingo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahmen er die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Kontakt: 040 80 90 81 446 oder ingo.simon@saviscon.de

* Die Termine der Meilensteine unterscheiden sich zu denen von den Projekten Risiko-Management und IT-Sicherheit, da Karin Selzer erst seit Januar 2021 in Vollzeit unser Team verstärkt.

SAVISCON GmbH | Heegbarg 16 | 22391 Hamburg | Geschäftsführer: Ingo Simon, Marian Grzabel