Case study: Secure digital transformation through knowledge and change management for information security

Sichere digitale Transformation durch Knowledge

Branche: Informationssicherheit

Ausgangslage: Herausforderungen & Probleme

In einer zunehmend digitalisierten Welt ist Informationssicherheit nicht nur eine optionale Maßnahme, sondern ein essenzieller Faktor für den Erfolg und das Überleben von Unternehmen. Die steigende Bedrohungslage durch Cyberangriffe und Datenlecks erfordert eine strategische Herangehensweise an das Management von Informationssicherheit. Im folgenden Artikel werfen wir einen Blick auf den Fall von 4-advice, dem Wegbereiter für die sichere digitale Transformation. Wir zeigen dir wie wir Successful Knowledge- und Change Management eingesetzt haben, um die Informationssicherheit eines Kunden zu erhöhen und geeignete Maßnahmen umzusetzen. 

Herausforderungen Probleme, die der Kunde hatte

Unser Kunde, ein Lifescience-Weltkonzern wusste nicht genau, welche Informationen und IT-Systeme im Fall eines Hacks wie gravierende Auswirkungen haben würden. Da in der Informationssicherheit die Mitarbeitenden fast immer das größte Ziel für Hacker darstellen, galt es die Verhaltensweisen der Mitarbeiter dahingehend zu entwickeln „Security by Design“ zu erreichen: D.h. zu fördern, daß Mitarbeitende inklusive der Führungskräfte sich intuitiv sicher verhalten. Um das zu ermöglichen bedurfte es allerdings erst einmal des Wissens, welche Informationen wie schützenswert sind sowie technologischer Lösungen, die eine adäquate Absicherung der Informationen ermöglichen. D.h. die Herausforderungen traten in allen drei Bereichen auf: Technologie, Organisation und Mensch.  

  • Mitarbeiter arbeiteten nicht so sicherheitsbewusst wie gewünscht: Ohne angemessenes Bewusstsein über die Folgen von Cyberattacken sowie die Vermittlung des benötigten Wissens, um sicher verhalten zu können, entstehen potenziell erfolgreiche Einfallstore für Hacker und Industriespione.  
  • Mangelnde Informationsklassifizierung: Die fehlende Klarheit darüber, welche Informationen wie schützenswert sind, resultierte in einer unstrukturierten Herangehensweise an die Informationssicherheit. 
  • Reputation des Sicherheitsbereichs: Der interne Ruf des Informationssicherheitsbereichs war vielmehr der eines „Verhinderers“ als der des „Befähigers“ einer sicheren digitalen Transformation. 
  • Ressourcenmangel: Die Ressourcenknappheit zur Erstellung einer wirksamen Informationsklassifizierung, zur technischen Absicherung von erfolgskritischen Informationen in IT-Systemen sowie von Change Botschaftern für Informationssicherheit stellte eine weitere Herausforderung dar. 
  • Arbeitsabläufe zur technischen Absicherung: Es fehlte an einer umfasssenden, strukturierten und nachvollziehbaren Vorgehensweise zur Absicherung hoch sensibler Informationen und Systeme. 

Was wäre wenn…

Die möglichen negativen Konsequenzen, im Falle des Nichtstuns, waren immens: 

  • Reputation des Unternehmens und der Vorstände: Ohne wirksame Informationssicherheit hätte die Unternehmensreputation erheblich geschädigt werden können. Befassen Vorstände sich erst zu spät – nachdem die Angreifer erfolgreich waren –  mit dem Thema Informationssicherheit, so kann dies neben den Image-Schäden auch rechtlich schwerwiegende Folgen über die persönliche Haftung nach sich ziehen. 
  • Transformation ins Nirvana: Die Informationssicherheit stellt die Grundvoraussetzung für eine erfolgreiche – weil abgesicherte –  digitale Transformation dar. Ohne angemessene Sicherheitsmaßnahmen kann die digitale Transformation von Unternehmen dazu führen, dass die Kronjuwelen der internen Betriebsgeheimnisse in falsche Hände geraten und Wettbewerber so die Geschäftsgrundlage zerstören. 
  • Mitarbeiter als Angriffsziel: Unzureichend geschulte Mitarbeiter sind das Hauptziel für Cyberangriffe, was zu Datenverlusten und Datenschutzverletzungen samt der damit verbundenen wirtschaftlichen Konsequenzen führen kann. Aber hier gilt wie auch beim Privathaus, wo die Alarmanlage signalisiert – breche lieber woanders ein, wo es keine gibt – dort ist die Wahrscheinlichkeit erwischt zu werden, geringer. Hacker nehmen vor allem die unsicheren Kantonisten ins Visier. Die Unternehmen, die mehr tun als Andere und sich sicherer verhalten werden sehr wahrscheinlich nicht zur Zielscheibe.  
  • Insolvenzgefahr: Statistiken zeigen, dass Großkonzerne im Durchschnitt nur 1-2 Monaten überleben können, wenn ihre Daten von Hackern verschlüsselt und Arbeitsprozesse so blockiert wurden. Die fortschreitende Digitalisierung erhöht daher die Dringlichkeit von Präventivmaßnahmen. Deshalb sind Vorsichtsmaßnahmen wie die Trennung von Systemen und andere IT Best Practices um auch für den Fall vorzubeugen, dass Hacker doch einmal hinter die Firewall des Unternehmens gelangen. Notfallpläne ergänzen Abwehrmechanismen. 

Aber es war nicht aller Tage Abend…

Um Informationssicherheit ganzheitlich auszurichten und Security by Design anzustreben, bedarf es präventiver und reaktiver Maßnahmen. Und zwar müssen diese vorab bereits definiert und die schnelle Umsetzung gesichert werden. Zudem müssen alle Stellschrauben beachtet werden. Es gilt Menschen, Prozesse/ Organisation und Technologien sicherer zu machen. Die Formel lautet: 

„M x O x T = Informationssicherheit!“ 

Ist einer der Faktoren sehr niedrig oder gleich 0, so kann man Informationssicherheit nicht gewährleisten! Unsere Vorgehensweise zur Befähigung der Mitarbeitenden zum intuitiv sicheren Arbeitsverhalten war deshalb wie folgt: 

  • Knowledge Management: Wir begannen mit der Identifizierung und Klassifizierung schützenswerter Informationen durch eine gründliche Informationsklassifizierung.  
  • Systemanalyse: Umfassende Analysen wurden durchgeführt, um Zugriffsrechte und Notfallmaßnahmen für Systeme und Anwendungen mit sensiblen Informationen zu überprüfen. 
  • Schutzmaßnahmen: Basierend auf den Ergebnissen wurden weitreichende Schutzmaßnahmen für Informationen und Systeme entwickelt und implementiert. 
  • Change Management: In enger Abstimmung mit Projektleitern und Stakeholdern wurde die Zielsetzung des Information Security Change Managements definiert. Darauf basierte ein umfassendes Change Programm. Unter anderen setzten wir viele verschiedene spielerische Veränderungsmaßnahmen um, wie z.B. unsere Business Escape Rooms®. Dort mussten die Teilnehmenden dann einen Hackerangriff virtuell abwehren. Mal vor Ort im Meetingraum und mal im Online-Meeting. „Trockene“ Themen wie Informationssicherheit bedürfen unserer Erfahrung nach besonders kreative Formate, um sie emotional ansprechend zu präsentieren und Menschen für das Thema zu motivieren. 
  • Management-Support: 4-advice arbeitete daran, Unterstützung auf allen Management-Ebenen bis hin zum Vorstand zu gewinnen, um die Bedeutung der Informationssicherheit zu betonen. (Fast) alle Unternehmen haben nicht nur laterale, sondern auch vertikale Organisations- und Entscheidungsstrukturen. Deshalb funktioniert ein Change hin zu intuitiv verankerter Informationssicherheit nur durch die Kombination beider Elemente: Top-Down Management Support UND Engagement aller Nutzer.  

Ergebnisse und Kundennutzen:

Die erfolgreiche Umsetzung von Knowledge- und Change Management führte zu folgenden Ergebnissen: 

  • Informationsidentifikation: In einer Reihe von Workshops wurden alle wichtigen Informationen der Agrarsparte klassifiziert und konsolidiert. 
  • Kulturwandel: Durch die Einführung des „Security by Design“ Ansatzes wurde ein Kulturwandel angestoßen, der sowohl von der Basis als auch von der Unternehmensführung getragen wurde. 
  • Wissensvermittlung: Erklärvideos wurden erstellt, um den Mitarbeitern sicheres Verhalten näherzubringen und die Wissensvermittlung zu erleichtern. 
  • Anpassung der Grundregeln: Die Grundregeln für sicheres Arbeiten wurden überarbeitet und auf die Anforderungen des hybriden Arbeitsumfelds mit Home Office angepasst. 
  • Top-Management-Engagement: Mithilfe von spielerischen Formaten wie Hackerangriff-Simulationen und Business Escape Rooms® wurde das Top-Management aktiv in den Change-Prozess eingebunden. 

Fazit

Die erfolgreiche Konzeption und Umsetzung von Knowledge- und Change Management im Bereich der Informationssicherheit erhöhte nicht nur die Sicherheit unseres Kunden-Unternehmens, sondern schuf zudem erst die Grundlage für eine sichere digitale Transformation, in der nicht die Wettbewerber sondern das eigene Unternehmen die Früchte aller Anstrengungen erntet. Dieser Fall zeigt, wie strategische Herangehensweisen und gezielte Maßnahmen dazu beitragen können, den Schutz sensibler Informationen und die Sicherheit von Systemen zu gewährleisten. Unternehmen sollten die Chancen nutzen, die durch solche Ansätze geboten werden, um sich vor den ständig wachsenden Cyberbedrohungen zu schützen. 

More interesting blog posts

In the Design Sprint, our Master Digital Management students developed solutions for marketing the digital service tool „Meine-Wartung“ from Niemann-Laes, a wholesaler for industrial supplies. Within just 4 days, they developed an expert-tested prototype under the, as always, sympathetic and knowledgeable guidance of our lecturers from 4-advice Digital Change & Innovation. It's always great to see how much we can achieve together in such a short space of time - a win-win-win situation for the university, students and industry partners. Keep up the good work and thanks to our students, the industry partners Maximilian Krause & Philipp Mitzscherlich and the lecturers Marcus Jansen and Simon Schoop, who successfully implement innovative and effective formats at Fresenius University of Applied Sciences every semester!

Simon has been teaching as a lecturer with a high level of professional expertise and great personal commitment for many years in the international master's program in Digital Management at the private Fresenius University of Applied Sciences in the Mediapark Cologne. The innovative teaching methods introduced by Simon and 4-advice, applying methodologies like the Google Design Sprint, add great practical value for our students. I have experienced 4-advice's methodological competence within their lectures „Digital Innovation“ and „Digital Transformation“. The Design Sprint is a great tool to reduce time-to-market to a bare minimum. That's why it's a very valuable method to develop new products, processes, organization and business models. Actually it can be used to tackle most types of challenges.”

I have come to know Simon and his 4-advice team as proven experts in change management and innovation. His approach of „playful change“, for example, is always breaking new and creative ground to achieve better results. One highlight is certainly the „Business Escape Rooms“, which I myself have experienced as very positive. As a specialist in project management, Simon and his team also support companies with organizational development teams with many years of experience and a great deal of intuition. Simon has absolute integrity, is always highly motivated and 100%ig reliable. He is true to his word! This is one of the reasons why I enjoy working with him so much - and why I recommend him.

The combination of theory and practice. We were able to apply what we learned in the training course directly to our day-to-day work and build a bridge directly to our job. The content is applicable to everyday work. I will integrate the methods but also the learned ways of thinking into my everyday work and act accordingly to successfully implement my changes. Change, change management will receive even more attention in the coming years and having already learned the relevant methods will help me personally to handle my tasks/changes in the best possible way. The training definitely fits in with the professional world and is not just theory.

The structured increase in knowledge led to aha-effects and often to questions as to why we hadn't thought of this ourselves. In any case, the DCM course enriches everyday project work and will lead to better change initiatives.
Thanks to the open and friendly lecturers, many practical points were addressed honestly and there was a good atmosphere in the course. What we learned will not just be put into practice in the future. It can already be felt in discussions and new projects. For the future, I will develop a standardized basic „substructure“ that will be individually adapted and/or expanded to the projects.
We will also need to address our most fundamental problems (communication, stable role allocation, rewards).
Last but not least, I'll probably be dreaming about agile working for a while ... great exchange, comprehensive consideration of the change, lots of practical tips, thinking outside the box, re-evaluation of our own activities in the past - most of the time we've already done a lot of things right, but never realized it

The mixture of change methods and their practical application. The documents, scripts, Excel templates and workbooks are absolutely practical for your own daily work in change projects. The module breakdown from the general understanding of digitalization to dealing with change is clearly structured. The trainers' distinct field of expertise in change management across different industries and organizations. The application of the methods for successful change in digitization that I have learned will help me a lot to achieve acceptance among stakeholders.
Through a mix of eLearning, teaching methods, case studies and live coaching, I have built up very valuable knowledge of digital change management, which I will also pass on to other project managers, especially young engineers.
The intensity and speed of change continues to increase rapidly - the digitalization skills taught by 4-advice are worth their weight in gold. Digitization as a rationalization factor will pick up speed rapidly in the coming years. There is still a considerable need for process digitization in many companies, especially in the medium-sized mechanical engineering sector, my core area. Training your own employees to become digital change managers is the basis for successful change and securing the company's future.

The content was very comprehensive and well-founded, the preparation of the content was very well structured and appealing. The speakers (Markus, Simon) presented the content in a very interesting way and supplemented it with practical examples. Questions from the participants were dealt with very well. The group composition was enriching due to the different backgrounds and the group work. I am constantly involved in change projects, so I can apply what I have learned very well, now with a much more sound background and more tools. Reason for recommendation: See above! However, you have to be aware of the disadvantage of a remote WB - the informal exchange of practical experience falls somewhat by the wayside. But all in all, a great training course!

The course was staffed by two extremely well-prepared trainers who not only guided the participants through the training in a competent and humorous manner, but also knew how to form a „harmonious learning group“ despite the virtual training sessions. In addition to an incredibly varied transfer of knowledge, there was never a shortage of fun and sharing of experiences!
I was able to apply almost all of the learning content during the training phase, be it in customer projects, in offers or in my daily work with colleagues.
Even in the private sphere, some of the content conveyed was of great benefit. Firstly, the „philosophy“ conveyed, what is behind „change“ and why it is worthwhile to deal intensively with direct and indirect influences and consequences. Secondly, because the training is more generalist in nature and therefore guarantees a wide range of professional and personal applications. Thirdly, because the combination of „firstly“ and „secondly“ generates maximum added value

You are currently seeing a placeholder content of Pipedrive Formular. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf den Button unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Unlock content Accept required service and unblock content
Weitere Informationen