Case Study: Sichere digitale Transformation durch Knowledge- und Change Management zur Informationssicherheit

Sichere digitale Transformation durch Knowledge

Branche: Informationssicherheit

Ausgangslage: Herausforderungen & Probleme

In einer zunehmend digitalisierten Welt ist Informationssicherheit nicht nur eine optionale Maßnahme, sondern ein essenzieller Faktor für den Erfolg und das Überleben von Unternehmen. Die steigende Bedrohungslage durch Cyberangriffe und Datenlecks erfordert eine strategische Herangehensweise an das Management von Informationssicherheit. Im folgenden Artikel werfen wir einen Blick auf den Fall von 4-advice, dem Wegbereiter für die sichere digitale Transformation. Wir zeigen dir wie wir erfolgreich Knowledge- und Change Management eingesetzt haben, um die Informationssicherheit eines Kunden zu erhöhen und geeignete Maßnahmen umzusetzen. 

Herausforderungen Probleme, die der Kunde hatte

Unser Kunde, ein Lifescience-Weltkonzern wusste nicht genau, welche Informationen und IT-Systeme im Fall eines Hacks wie gravierende Auswirkungen haben würden. Da in der Informationssicherheit die Mitarbeitenden fast immer das größte Ziel für Hacker darstellen, galt es die Verhaltensweisen der Mitarbeiter dahingehend zu entwickeln „Security by Design“ zu erreichen: D.h. zu fördern, daß Mitarbeitende inklusive der Führungskräfte sich intuitiv sicher verhalten. Um das zu ermöglichen bedurfte es allerdings erst einmal des Wissens, welche Informationen wie schützenswert sind sowie technologischer Lösungen, die eine adäquate Absicherung der Informationen ermöglichen. D.h. die Herausforderungen traten in allen drei Bereichen auf: Technologie, Organisation und Mensch.  

  • Mitarbeiter arbeiteten nicht so sicherheitsbewusst wie gewünscht: Ohne angemessenes Bewusstsein über die Folgen von Cyberattacken sowie die Vermittlung des benötigten Wissens, um sicher verhalten zu können, entstehen potenziell erfolgreiche Einfallstore für Hacker und Industriespione.  
  • Mangelnde Informationsklassifizierung: Die fehlende Klarheit darüber, welche Informationen wie schützenswert sind, resultierte in einer unstrukturierten Herangehensweise an die Informationssicherheit. 
  • Reputation des Sicherheitsbereichs: Der interne Ruf des Informationssicherheitsbereichs war vielmehr der eines „Verhinderers“ als der des „Befähigers“ einer sicheren digitalen Transformation. 
  • Ressourcenmangel: Die Ressourcenknappheit zur Erstellung einer wirksamen Informationsklassifizierung, zur technischen Absicherung von erfolgskritischen Informationen in IT-Systemen sowie von Change Botschaftern für Informationssicherheit stellte eine weitere Herausforderung dar. 
  • Arbeitsabläufe zur technischen Absicherung: Es fehlte an einer umfasssenden, strukturierten und nachvollziehbaren Vorgehensweise zur Absicherung hoch sensibler Informationen und Systeme. 

Was wäre wenn…

Die möglichen negativen Konsequenzen, im Falle des Nichtstuns, waren immens: 

  • Reputation des Unternehmens und der Vorstände: Ohne wirksame Informationssicherheit hätte die Unternehmensreputation erheblich geschädigt werden können. Befassen Vorstände sich erst zu spät – nachdem die Angreifer erfolgreich waren –  mit dem Thema Informationssicherheit, so kann dies neben den Image-Schäden auch rechtlich schwerwiegende Folgen über die persönliche Haftung nach sich ziehen. 
  • Transformation ins Nirvana: Die Informationssicherheit stellt die Grundvoraussetzung für eine erfolgreiche – weil abgesicherte –  digitale Transformation dar. Ohne angemessene Sicherheitsmaßnahmen kann die digitale Transformation von Unternehmen dazu führen, dass die Kronjuwelen der internen Betriebsgeheimnisse in falsche Hände geraten und Wettbewerber so die Geschäftsgrundlage zerstören. 
  • Mitarbeiter als Angriffsziel: Unzureichend geschulte Mitarbeiter sind das Hauptziel für Cyberangriffe, was zu Datenverlusten und Datenschutzverletzungen samt der damit verbundenen wirtschaftlichen Konsequenzen führen kann. Aber hier gilt wie auch beim Privathaus, wo die Alarmanlage signalisiert – breche lieber woanders ein, wo es keine gibt – dort ist die Wahrscheinlichkeit erwischt zu werden, geringer. Hacker nehmen vor allem die unsicheren Kantonisten ins Visier. Die Unternehmen, die mehr tun als Andere und sich sicherer verhalten werden sehr wahrscheinlich nicht zur Zielscheibe.  
  • Insolvenzgefahr: Statistiken zeigen, dass Großkonzerne im Durchschnitt nur 1-2 Monaten überleben können, wenn ihre Daten von Hackern verschlüsselt und Arbeitsprozesse so blockiert wurden. Die fortschreitende Digitalisierung erhöht daher die Dringlichkeit von Präventivmaßnahmen. Deshalb sind Vorsichtsmaßnahmen wie die Trennung von Systemen und andere IT Best Practices um auch für den Fall vorzubeugen, dass Hacker doch einmal hinter die Firewall des Unternehmens gelangen. Notfallpläne ergänzen Abwehrmechanismen. 

Aber es war nicht aller Tage Abend…

Um Informationssicherheit ganzheitlich auszurichten und Security by Design anzustreben, bedarf es präventiver und reaktiver Maßnahmen. Und zwar müssen diese vorab bereits definiert und die schnelle Umsetzung gesichert werden. Zudem müssen alle Stellschrauben beachtet werden. Es gilt Menschen, Prozesse/ Organisation und Technologien sicherer zu machen. Die Formel lautet: 

„M x O x T = Informationssicherheit!“ 

Ist einer der Faktoren sehr niedrig oder gleich 0, so kann man Informationssicherheit nicht gewährleisten! Unsere Vorgehensweise zur Befähigung der Mitarbeitenden zum intuitiv sicheren Arbeitsverhalten war deshalb wie folgt: 

  • Knowledge Management: Wir begannen mit der Identifizierung und Klassifizierung schützenswerter Informationen durch eine gründliche Informationsklassifizierung.  
  • Systemanalyse: Umfassende Analysen wurden durchgeführt, um Zugriffsrechte und Notfallmaßnahmen für Systeme und Anwendungen mit sensiblen Informationen zu überprüfen. 
  • Schutzmaßnahmen: Basierend auf den Ergebnissen wurden weitreichende Schutzmaßnahmen für Informationen und Systeme entwickelt und implementiert. 
  • Change Management: In enger Abstimmung mit Projektleitern und Stakeholdern wurde die Zielsetzung des Information Security Change Managements definiert. Darauf basierte ein umfassendes Change Programm. Unter anderen setzten wir viele verschiedene spielerische Veränderungsmaßnahmen um, wie z.B. unsere Business Escape Rooms™. Dort mussten die Teilnehmenden dann einen Hackerangriff virtuell abwehren. Mal vor Ort im Meetingraum und mal im Online-Meeting. „Trockene“ Themen wie Informationssicherheit bedürfen unserer Erfahrung nach besonders kreative Formate, um sie emotional ansprechend zu präsentieren und Menschen für das Thema zu motivieren. 
  • Management-Support: 4-advice arbeitete daran, Unterstützung auf allen Management-Ebenen bis hin zum Vorstand zu gewinnen, um die Bedeutung der Informationssicherheit zu betonen. (Fast) alle Unternehmen haben nicht nur laterale, sondern auch vertikale Organisations- und Entscheidungsstrukturen. Deshalb funktioniert ein Change hin zu intuitiv verankerter Informationssicherheit nur durch die Kombination beider Elemente: Top-Down Management Support UND Engagement aller Nutzer.  

Ergebnisse und Kundennutzen:

Die erfolgreiche Umsetzung von Knowledge- und Change Management führte zu folgenden Ergebnissen: 

  • Informationsidentifikation: In einer Reihe von Workshops wurden alle wichtigen Informationen der Agrarsparte klassifiziert und konsolidiert. 
  • Kulturwandel: Durch die Einführung des „Security by Design“ Ansatzes wurde ein Kulturwandel angestoßen, der sowohl von der Basis als auch von der Unternehmensführung getragen wurde. 
  • Wissensvermittlung: Erklärvideos wurden erstellt, um den Mitarbeitern sicheres Verhalten näherzubringen und die Wissensvermittlung zu erleichtern. 
  • Anpassung der Grundregeln: Die Grundregeln für sicheres Arbeiten wurden überarbeitet und auf die Anforderungen des hybriden Arbeitsumfelds mit Home Office angepasst. 
  • Top-Management-Engagement: Mithilfe von spielerischen Formaten wie Hackerangriff-Simulationen und Business Escape Rooms™ wurde das Top-Management aktiv in den Change-Prozess eingebunden. 

Fazit

Die erfolgreiche Konzeption und Umsetzung von Knowledge- und Change Management im Bereich der Informationssicherheit erhöhte nicht nur die Sicherheit unseres Kunden-Unternehmens, sondern schuf zudem erst die Grundlage für eine sichere digitale Transformation, in der nicht die Wettbewerber sondern das eigene Unternehmen die Früchte aller Anstrengungen erntet. Dieser Fall zeigt, wie strategische Herangehensweisen und gezielte Maßnahmen dazu beitragen können, den Schutz sensibler Informationen und die Sicherheit von Systemen zu gewährleisten. Unternehmen sollten die Chancen nutzen, die durch solche Ansätze geboten werden, um sich vor den ständig wachsenden Cyberbedrohungen zu schützen. 

Weitere interessante Blog Beiträge

Im Design Sprint haben unsere Studenten im Master Digital Management Lösungen zur Vermarktung des digitalen Service-Tools „Meine-Wartung“ von Niemann-Laes, Großhändler für industriebedarf, entwickelt. Innerhalb von nur 4 Tagen haben sie unter der wie immer sympathischen und fachkundigen Führung unserer Dozenten der 4-advice Digital Change & Innovation einen von Experten getesteten Prototypen entwickelt. Es ist immer wieder großartig zu sehen, wieviel wir gemeinsam in kürzester Zeit erreichen können – als Win-Win-Win Situation für Hochschule, Studenten und Partner aus der Industrie. Weiter so und danke an unsere Studenten, die Industriepartner Maximilian Krause & Philipp Mitzscherlich und die Dozenten Marcus Jansen und Simon Schoop, die jedes Semester immer wieder innocative und wirksame Formate an der Hochschule Fresenius erfolgreich umsetzen!

Simon has been teaching as a lecturer with a high level of professional expertise and great personal commitment for many years in the international master´s program in Digital Management at the private Fresenius University of Applied Sciences in the Mediapark Cologne. The innovative teaching methods introduced by Simon and 4-advice, applying methodologies like the Google Design Sprint, add great practical value for our students. I have experienced 4-advice´s methodological competence within their lectures „Digital Innovation“ and „Digital Transformation“. The Design Sprint is a great tool to reduce Time-to-Market to a bare minimum. That´s why it´s a very valuable method to develop new products, processes, organization and business models. Actually it can be used to tackle most types of challenges.”

Ich habe Simon und sein Team von 4-advice als ausgewiesenen Experten für Veränderungsmanagement und Innovation kennengelernt. Dabei geht er, zum Beispiel durch seinen Ansatz des „Spielerischen Veränderns“ im Sinne eines besseren Ergebnisses, selbst immer wieder kreative und neue Wege. Ein Highlight sind hierbei sicher die „Business Escape Rooms“, die ich selbst als sehr positiv erlebt habe. Als Spezialist für Projektmanagement begleiten Simon und sein Team zudem mit langjähriger Erfahrung und viel Fingerspitzengefühl Unternehmen bei Organisationsentwicklungsteams. Simon ist absolut integer, stets hochmotiviert und 100%ig zuverlässig. Er steht zu seinem Wort! Mit ein Grund, warum ich so gerne mit ihm zusammenarbeite – und ihn empfehle.

Die Kombination aus Theorie – und Praxisanteil. Man konnte das gelernte aus der Schulung direkt in den Arbeitsalltag einfließen lassen bzw. direkt eine Brücke in den Beruf schlagen. Inhalte sind im Arbeitsalltag anwendbar. Ich werde die Methoden aber auch die gelernten Denkweisen in meinen Arbeitsalltag integrieren und entsprechend handeln um erfolgreiche meine Changes umzusetzen. Change , Change Management wird noch mehr Beachtung in den nächsten Jahren erhalten und jetzt bereits schon die entsprechenden Methodiken zu kennengelernt zu haben wird mich persönlich dabei unterstützen meine Aufgaben/Changes bestmöglich abzuwickeln. Die Schulung passt definitiv in die Berufswelt rein und ist keine reine stumpfe Theorie.

Der strukturierte Wissenszuwachs führte zu Aha-Effekten und häufig zu Frage, warum man darauf nicht selbst gekommen ist. Auf jeden Fall bereichert der DCM-Kurs den Projektalltag und wird zu besseren Changeinitiativen führen.
Dank der offenen und sympathischen Dozenten wurden viele praktische Punkte ehrlich angesprochen und es entstand eine gute Stimmung im Kurs. Das Gelernte wird nicht erst in Zukunft umgesetzt. Es ist bereits jetzt in den Gesprächen und neuen Projekten zu spüren. Für die Zukunft werde ich einen standardisierten grundhaften „Unterbau“ ausarbeiten, der an die Projekte individuell angepasst und/oder erweitert wird.
Außerdem werden unsere grundlegendsten Probleme (Kommunikation, stabile Rollenverteilung, Belohnung) anzugehen sein.
Zu guter Letzt werde ich von agilem Arbeiten wohl noch eine Weile träumen … toller Austausch, umfassende Betrachtung des Changes, viele praktische Tipps , Blick über den Tellerrand, Neubewertung der eigenen Aktivitäten in der Vergangenheit – meist haben wir vieles schon richtig gemacht, es aber nie wahrgenommen

Die Mischung aus Change Methoden und deren praktischer Anwendung. Die Unterlagen, Skripte, Excelvorlagen und Workbooks sind absolut Praxistauglich für die eigene tägliche Arbeit bei Change Projekten. Die Modul-Aufteilung von dem allgemeinen Verständnis der Digitalisierung zum Umgang mit dem Change ist verständlich strukturiert. Das ausgeprägte Kompetenzfeld der Trainer im Change Management hinweg über verschiedene Branchen und Organisationen. Das Anwenden der Methoden für erfolgreichen Change in der Digitalisierung, die ich gelernt habe werden mir sehr weiterhelfen zur Akzeptanzerreichung bei den Stakeholdern.
Im Mix aus eLearning, Methodenvermittlung, Case Studies und Live Coachings habe ich sehr wertvolle Kenntnisse zu Digital Change Management aufgebaut, dieses Wissen werde ich auch an andere Projektverantwortliche, insbesondere auch an Jung-Ingenieure weitergeben.
Veränderung nimmt in Intensität und Geschwindigkeit weiter stark zu – da sind die von 4-advice vermittelten Digitalisierungs-Kompetenzen Gold wert. Die Digitalisierung als Rationalisierungsfaktor wird in den kommenden Jahren rasant Fahrt aufnehmen. Insbesondere im Mittelständischen Maschinenbau, meinem Kerngebiet, gibt es in der Prozessdigitalisierung in vielen Unternehmen noch erheblichen Bedarf. Eine Basis für einen erfolgreichen Change und die Sicherung des Unternehmens in der Zukunft ist die Ausbildung eigener Mitarbeiter zu Digital Change Managern.

Die Inhalte waren sehr umfassend und fundiert, die Aufbereitung der Inhalte war sehr gut strukturiert und ansprechend. Die Referenten (Markus, Simon) haben die Inhalte sehr interessant rübergebracht und durch praktische Beispiele ergänzt. Mit Fragen der TN wurde sehr gut umgegangen. Die Gruppenzusammensetzung war auf Grund der verschiedenen Backgrounds, die Gruppenarbeiten waren bereichernd. Ich bin ständig in Changeprojekte eingebunden, daher kann ich das Gelernte sehr gut anwenden, nun mit wesentlich fundierterem Background und mehr Tools. Grund für die Weiterempfehlung: Siehe oben! Allerdings muss auch der Nachteil einer Remote-WB bewusst sein – der informelle Austausch zur praktischen Erfahrung bleibt etwas auf der Strecke. Aber alles in allem, eine tolle Weiterbildung!

Der Lehrgang war mit zwei äußerst gut vorbereiteten Trainer bestückt, die die Teilnehmer nicht nur kompetent und launig durch das Training geroutet haben, sondern auch verstanden haben, trotz der virtuellen Trainingssessions eine „harmonische Lerngruppe“ zu bilden. Neben einer ungeheuer vielfältigen Wissensvermittlung kamen Erfahrungsaustausch und Spaß nie zu kurz!
Nahezu alle Lerninhalte konnte ich schon während der Trainingsphase einsetzen, sei es in Kundenprojekten, in Angeboten oder in der täglichen Arbeit mit Kolleg:innen.
Sogar im privaten Bereich waren einige der vermittelten Inhalte von großem Nutzen. Erstens, die vermittelte „Philosophie“, was hinter „Change“ alles steckt und warum es sich lohnt, sich intensiv mit direkten und indirekten Einflüssen und Folgen auseinanderzusetzen. Zweitens, weil das Training eher generalistisch angelegt ist und damit ein breites fachliches und persönliches Einsatzspektrum garantiert. Drittens, weil die Kombination aus „Erstens“ und „Zweitens“ ein Maximum an Mehrwert generiert

Klicken Sie auf den unteren Button, um den Inhalt von webforms.pipedrive.com zu laden.

Inhalt laden