Teambuilding ist auch Risiko-Management

Segeln als Maßnahme zur Risikominimierung

Von Ingo Simon, Geschäftsführer das SAVISCON GmbH

„Unsinn“ wird vielleicht der eine oder die andere sagen. „Teambuilding und Risiko-Management haben nichts miteinander zu tun!“ Aus meiner Sicht ist das aber tatsächlich der Fall und bei der SAVISCON beziehen wir das Teambuilding daher bewusst als Maßnahme ins Risiko-Management mit ein. Warum?

Hemmschwellen senken und Kommunikation verbessern

Kontaktbeschränkungen aufgrund der Pandemie treffen nicht nur Privathaushalte, sondern natürlich auch die Firmen. Seit März 2020 haben wir bei der SAVISCON mehrere neue Kolleginnen und Kollegen ins Team aufgenommen. Und nach fast zwei Jahren Corona gibt es immer noch Leute im Team, die sich noch nicht persönlich kennengelernt haben, da größere Zusammenkünfte nicht möglich waren.

Klar, wir haben uns alle virtuell schon gesehen und gehört. Wir machen beispielsweise regelmäßige Wochenend-Auftakt-Calls, in denen wir uns freiwillig, locker und ungezwungen mit ein paar Getränken austauschen und (meistens) nicht über die Arbeit sprechen. Aber es ist doch etwas anderes, wenn man sich auch mal für einen längeren Zeitraum persönlich trifft und teilweise neu kennenlernt. Das baut Hemmschwellen in der Kommunikation ab. Vorher traut man sich vielleicht nicht, die Kollegin wegen einer vermeintlichen Kleinigkeit zu kontaktieren, sie hat sicher Besseres zu tun. So werden Informationen und vielleicht auch Probleme nicht weitergegeben oder falsch eingeschätzt, oder man bleibt in seinem Arbeitsprozess stecken und kommt in Verzug etc. Kennt man sich aber besser, verschwinden diese Hürden und Ängste, Kommunikation wird einfacher und damit häufiger und der Informationsfluss funktioniert trotz räumlicher Distanz viel besser.

Persönlicher Kontakt stärkt Loyalität

Ein anderer Aspekt sind die Fluktuation und Loyalität. Mitarbeitende, die Vertrauen in die Firma, die Führung und die Kolleginnen und Kollegen haben, werden nicht so schnell überlegen, ob sie die Firma wechseln. Fluktuation ist ganz klar ein Thema, das in keiner Risikobetrachtung fehlen darf, vor allem bei KMU. Die Nachbesetzung einer Stelle erzeugt mitunter großen – auch finanziellen – Aufwand. Ist es eine Schlüsselstelle, die länger nicht besetzt wird, kann das auch zu negativen Folgeeffekten führen, beispielsweise, wenn ein notwendiger IT-Spezialist fehlt, oder die Kunden nicht mehr vernünftig betreut werden können.

Auch die Loyalität ist naturgemäß in einem funktionierenden Team größer. Somit werden beispielsweise der Verrat von Geschäftsgeheimnissen oder nicht autorisierte Datenweitergaben unwahrscheinlicher oder auch Konkurrenzdenken innerhalb des Teams auf ein gesundes Maß reduziert.

Also, alles, was „menschelt“, kann man mittels Teambuilding am Ende besser harmonisieren und steuern und damit diese Risiken minimieren.

SAVISCON-Teamevent in Rostock

Genau das haben wir auch am 13. und 14.08.2021 getan. Unter dem Motto „SAVISCON gestern-heute-morgen“ ist das gesamte Team am Freitag, den 13.08.21, in Rostock zusammengekommen. Das markante Datum hat uns jedenfalls nicht ausgebremst, es hat alles so geklappt, wie wir uns das vorgestellt haben.

Da die SAVISCON GmbH im letzten November Ihr 10-jähriges Bestehen feiern konnte, aufgrund der dritten Welle aber nicht wirklich feiern durfte, haben wir zu Beginn unsere Veranstaltung gemeinsam die letzten 10 Jahre Revue passieren lassen, um einmal zu reflektieren, wie wir uns entwickelt haben und wie das Team gewachsen ist. Für das Team waren da einige Anekdoten dabei, die sowohl spannend als auch lustig waren. Das Wichtigste ist aber, dass nun jeder weiß, wie die Geschichte der anderen ist, was die Motivation des Einstieges jedes Einzelnen war und wo sie hergekommen sind. Ich empfinde das als sehr wichtig, da das gegenseitige Verständnis deutlich wächst und man nach einem solchen Event auch noch besser und harmonischer miteinander umgehen kann.

Jeder hat dann auch noch einmal im Detail in der Runde berichtet, was die Tätigkeitsschwerpunkt in 2021 bisher waren und was kurzfristig für das Jahr noch auf der Agenda steht. Auch das hat uns allen noch einmal vor Augen geführt, was wir mit unserem kleinen, motivierten und schlagkräftigen Team derzeit alles bewegen.

Am Nachmittag haben wir dann das „Morgen“ betrachtet, einmal in der Kurzfristperspektive und dann bis 2025 und unsere Bilder der Firma, der Aufgaben und des Arbeitsumfelds miteinander abgeglichen und weiterentwickelt. Die Ergebnisse des Austauschs werden wir jetzt mitnehmen und in den nun beginnenden Strategieprozess einfließen lassen.

Nach der Arbeit kommt der Spaß


Am zweiten Tag war dann das eigentliche Teambuilding Event geplant. Um 09:30 Uhr sind wir beim Veranstalter speedsailing „eingelaufen“. Dort haben wir eine Legende des Segelsports für den Tag gechartert. Und zwar sind wir auf eine HiTech-Rennyacht eingestiegen, die ehemalige „Illbruck“, die das Volvo Ocean Race, eine Regatta in Etappen rund um den Globus, in 2003 als erste Deutsche Yacht gewonnen hat.

Unsere Aufgabe war es, unter der Aufsicht der Stamm-Crew, das Rennboot möglichst schnell und sicher über die Ostsee zu bewegen. Das ist schon eine Herausforderung, wenn die Hälfte des Teams keinerlei Segelerfahrung besitzt und zusätzlich dazu noch ein strammer Wind weht. Die Herausforderung beginnt schon mit der Bewegung des Bootes, man muss schon aufpassen wann man sich wohin bewegt.

Durch die Schräglage muss man sich auch gut festhalten, wenn man sich an Deck bewegt. Die Bedienung der Segel ist auf solch einem großen Boot nicht mit normaler Armkraft zu leisten. Die Winschen werden über zentrale sogenannte Grinder angetrieben, die immer paarweise bedient werden. Und tatsächlich konnte dann jede oder jeder aus dem Team mit anpacken und war Teil des Erlebnisses, dass wir das Boot im Griff hatten. Bei Böen bis 25 kn und einem maximalen Speed von knapp 13 kn unter einem knapp 300 qm großen Spinnaker, merkt man schon, welche gewaltigen Kräfte auf das Boot wirken. Und doch haben wir Amateure und Anfänger es geschafft, das Boot gemeinsam sicher auf Kurs zu halten.

Fazit

Letztendlich ist das ja auch das, was wir aus dem Teambuilding mitnehmen wollen: Wenn wir alle an einem Strang ziehen, uns koordinieren und absprechen, dann werde wir auch die SAVISCON weiter gut und sicher unter Wind auf Kurs halten. Die oben beschriebenen, teambezogenen Risiken sind auf jeden Fall fürs Erste minimiert. Und damit das so bleibt, ist die nächste, risikominimierende Maßnahme „Teamevent“ auch schon geplant.

Über den Autor

Foto Ingo SimonIngo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahmen er die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Kontakt: 040 80 90 81 446 oder ingo.simon@saviscon.de

3 Tipps für Ihre Informationssicherheits-Leitlinie

Was muss rein in die IS-Leitlinie?

von Daniel Straßberger, Informationssicherheitsbeauftragter bei der SAVISCON GmbH

Die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) erfordert vor allem eines: viele Dokumente. Prozesse müssen ausgearbeitet und Verfahrensregeln sowie Richtlinien müssen erstellt werden. Der Satz „Die Organisation muss dokumentierte Informationen […] aufbewahren“ ist auf jeder Seite der DIN ISO 27001 Norm mehrfach zu finden. Das mit Abstand wichtigste Dokument ist dabei die Informationssicherheits-Leitlinie, in der ISO etwas befremdlich mit Informationssicherheits-Politik definiert. Im Folgenden möchte ich den Prozess zum Erstellen unserer SAVISCON IS-Leitlinie erläutern. Was muss in einer solchen Leitlinie enthalten sein und welche Besonderheiten sind zu beachten?

Die Informationssicherheits-Leitlinie

Eine Anforderung der ISO-Norm 27001 und somit auch des BSI IT-Grundschutzes, ist die Erstellung und Herausgabe einer Informationssicherheits-Leitlinie. Explizit wird dabei gefordert, dass die Herausgabe durch die oberste Leitung erfolgt. Natürlich muss letztendlich alles im Zuge der Informationssicherheit durch die oberste Leitung legitimiert werden, der Informationssicherheitsbeauftragte (ISB) hat nach dem Verständnis der ISO-Norm keine Entscheidungsgewalt. Anders als bei den meisten Dokumenten, sollte die oberste Leitung bei der Erstellung der IS-Leitlinie aber aktiv mitwirken. Die Leitlinie ist als Grundstein der Informationssicherheit der Organisation zu verstehen. Sie stellt ein Rahmenwerk dar und umreißt die strategischen Ziele, die eine Organisation mit Hilfe von Informationssicherheit erreichen möchte.

Was gehört in die IS-Leitlinie?

Die Anforderungen zur IS-Leitlinie sind im Normenkapitel 5.2 „Politik“ der ISO 27001 festgelegt:

Unter Punkt a) wird verlangt, dass die Leitlinie „de[m] Zweck der Organisation angemessen ist“. Hier sind die Überlegungen zum Kontext der Organisation gefragt, insbesondere der Geltungsbereich sollte explizit beschrieben werden. Des Weiteren sollte die oberste Leitung klarstellen, welchen Stellenwert Informationssicherheit in der Organisation haben soll. Wichtig ist auch, dass sich die gesamte Organisation, einschließlich der obersten Leitung und aller Mitarbeiter, zur Informationssicherheit bekennt und diese als gelebten Prozess in die Unternehmenskultur integriert. Hier soll der obersten Leitung eine Vorbildrolle zugesprochen werden, denn Informationssicherheit bedarf möglicherweise einiger Umstrukturierungen und Anpassungen. Angestellte werden zum Beispiel möglicherweise ihr Passwort besser auswählen und häufiger ändern, wenn sie wissen, dass der Chef dies auch umsetzt.

Punkt b) betrifft die Sicherheitsziele, also normalerweise Vertraulichkeit, Verfügbarkeit und Integrität. Diese Sicherheitsziele müssen in der Leitlinie explizit dargestellt werden. Sollte Ihre Organisation sich entscheiden weitere Sicherheitsziele zu formulieren, müssen diese ebenfalls in die Leitlinie aufgenommen werden.

Screenshot Sicherheitsziele der SAVISCON IS-Richtlinie.

So sieht der Abschnitt in der SAVISCON IS-Leitlinie aus.

Punkt c) ist der umfangreichste Punkt. Hier wird „eine Verpflichtung zur Erfüllung zutreffender Anforderungen mit Bezug zur Informationssicherheit“ gefordert. Die vorher definierten Sicherheitsziele müssen durch entsprechende Maßnahmen fortwährend eingehalten werden. Letztendlich handelt es sich dabei um das zu implementierende Informationssicherheits-managementsystem. Umreißen Sie daher wie das ISMS in Ihrer Organisation aussehen soll, zum Bespiel welche Befugnisse und Aufgaben der ISB bekommt und wie der Prozess der Informationssicherheit in Ihr Unternehmen integriert wird. Stellen Sie klar, dass Ihre Mitarbeiter ein elementarer Bestandteil der Informationssicherheit sind und sie daher sowohl Verantwortung übernehmen müssen, als auch von der obersten Leitung, zum Beispiel durch Schulungen, unterstützt werden. Wenn Sie schon ein Risiko- bzw. Compliance-Management oder ein Konzept dafür haben, könnte die Leitlinie beschreiben, wie diese Prozesse mit der Informationssicherheit verbunden werden.

Zum Schluss fordert Punkt d) „eine Verpflichtung zur fortlaufenden Verbesserung“. Informationssicherheit wird heutzutage zum großen Teil durch die IT-Sicherheit geprägt (siehe Blogpost Informationssicherheit vs. IT-Sicherheit). Durch die sich rasch verändernden Technologien und damit auch neue Arten von Schwachstellen und Angriffen müssen Sie ihr Informationssicherheitsmanagementsystem ständig auf dem neuesten Stand halten. So werden Sie auch Ihr ISMS selbst untersuchen und gegebenenfalls verbessern, falls die von Ihnen gewählten Maßnahmen nicht wirken oder nicht richtig umgesetzt werden. In der Leitlinie müssen Sie sich also zu einem kontinuierlichen Verbesserungsprozess bekennen und kurz beschreiben, wie sie diesen Prozess umsetzen wollen.

Zum Schluss folgt die Legitimation durch die oberste Leitung, mit der die Leitlinie in Kraft tritt. Zudem können Sie hier darauf hinweisen, dass die Leitlinie allen relevanten Parteien bekannt zu geben ist, dies ist eine weitere Anforderung der ISO-Norm.

Erstellen der Leitlinie

Nachdem wir nun einen guten Überblick erhalten haben, was in der Leitlinie stehen soll, geht es darum eine für Ihre Organisation geeignete Leitlinie zu erstellen.

Mein erster Tipp: Erfinden Sie das Rad nicht neu. Viele Unternehmen veröffentlichen Ihre Leitlinie im Zuge der Bekanntmachung und es gibt eine Menge Schulungsmaterialien frei erhältlich im Internet. Lassen Sie sich inspirieren und identifizieren sie die Aspekte, die zu Ihrem Unternehmen passen. Sehr wichtig ist auch die Kommunikation mit Ihrer Geschäftsführung, wie bereits gesagt, ist die Leitlinie vorrangig auch ein Bekenntnis der obersten Leitung zur Informationssicherheit. Ich habe mehrmals mit unserem Geschäftsführer gesprochen, um die Prioritäten zu erfassen. Daraufhin habe ich einen Entwurf erstellt und diesen dann meinem Chef vorgestellt. Im weiteren Austausch habe ich die Leitlinie mehrmals angepasst, bis wir schließlich zu einem Ergebnis gekommen sind.

Daher mein zweiter Tipp: Scheuen Sie sich nicht, erstmal etwas zu schreiben und es dann später zu verändern. Die Leitlinie, die Sie letztendlich veröffentlichen, werden Sie wahrscheinlich irgendwann anpassen müssen, wenn sich Ihr Unternehmen weiterentwickelt. Genau wie das ISMS an sich, unterliegt auch die Leitlinie einem Veränderungszyklus. Gerade vor der ersten Veröffentlichung wird das Dokument daher mehrere Iterationen durchlaufen.

Mein letzter Tipp: Halten Sie Ihre Leitlinie so kurz und prägnant wie möglich. Sie soll nur ein Rahmenwerk bzw. Fundament darstellen. Versteifen Sie sich nicht zu sehr auf Details. Insbesondere können Sie zu diesem Zeitpunkt noch nicht exakt abschätzen, wie das ISMS nachher aussehen wird. Bleiben Sie daher bei generellen Vorgaben. Außerdem ist die Leitlinie ein Dokument, das von Ihren Mitarbeitern und möglicherweise externen Parteien gelesen und idealerweise verinnerlicht werden soll. Dies erreichen Sie möglicherweis eher, wenn die Leitlinie nicht zu lang ist.

Fazit

Mir persönlich hat das Erstellen unserer Informationssicherheitsleitlinie viel Spaß gemacht, immerhin stellt die Veröffentlich einen ersten richtigen Schritt auf dem langen Weg zur Einführung unseres ISMS dar. Ich hoffe meine Erfahrungen können Ihnen bei der Erstellung Ihrer eigenen Leitlinie helfen. Ziehen Sie auch immer wieder die ISO 27001 zu Rate und vergleichen Sie den Inhalt Ihrer Leitlinie mit den Vorgaben. Dann werden Sie sicher zu einem zufriedenstellenden Ergebnis kommen.

Über den Autor

Porträt Daniel Straßberger

Daniel Straßberger, Informationssicherheitsbeauftragter (ISB) der SAVISCON GmbH

Als zertifizierter ISMS-Manager und IT-Grundschutz-Praktiker ist Daniel Straßberger bei der SAVISCON GmbH als Informationssicherheitsbeauftragter tätig. Seit April 2021 kümmert er sich um den internen Aufbau des Informationssicherheitsmanagementsystems der SAVISCON GmbH und die Umsetzung aller relevanten Richtlinien und Themen im Bereich Informationssicherheit. Schreiben Sie Daniel Straßberger bei Fragen oder Anregungen zum Thema Informationssicherheit:  daniel.strassberger@saviscon.de

SAVISCON GmbH | Heegbarg 16 | 22391 Hamburg | Geschäftsführer: Ingo Simon, Marian Grzabel