Was meine Arbeit in der Praxis bedeutet.
Einige Mandate, anonymisiert dargestellt. Sie zeigen die Art der Aufgaben, mit denen Organisationen zu mir kommen, und wie eine tragfähige Lösung aussieht.
Vertraulichkeit ist die Grundlage meiner Arbeit. Aus diesem Grund nenne ich keine Namen, keine Branchen und keine Details, die einen Rückschluss auf einzelne Auftraggeber zulassen. Die folgenden Fälle sind bewusst so abstrahiert, dass die jeweilige Organisation nicht erkennbar ist.
Was bleibt, ist das Wesentliche. Die Ausgangslage, das Vorgehen und das Ergebnis. Genau daran lässt sich ablesen, ob eine Lösung im Ernstfall trägt oder nur auf dem Papier existiert.
Betroffenheit ohne tragfähige Struktur
Eine Organisation fiel als besonders wichtige Einrichtung unter NIS2, ohne dass die internen Strukturen darauf vorbereitet waren. Verantwortlichkeiten waren unklar, eine belastbare Nachweisführung existierte nicht.
Strukturierte Betroffenheitsanalyse, Aufbau einer tragfähigen Governance, Maßnahmenplanung über einen mehrstufigen Zeitraum, begleitet durch eine Reifegradbewertung über alle Sicherheitsdimensionen.
Eine nachweisfähige Sicherheitsorganisation mit klar zugeordneter Verantwortung auf Leitungsebene und einem Umsetzungsfahrplan, der einer Prüfung standhält.
Regulatorische Pflicht unter Krisenbedingungen
Eine NIS2-pflichtige Organisation musste nach einem Sicherheitsvorfall parallel den laufenden Betrieb stabilisieren und die regulatorischen Anforderungen erfüllen. Die Arbeit fand unter Realbedingungen im Krisenmodus statt.
IST-Analyse unter Druck, Bewertung der Sicherheitslage über die zentralen Schutzdimensionen, Priorisierung der Maßnahmen nach tatsächlichem Risiko statt nach formaler Vollständigkeit.
Eine geordnete Überführung vom Krisen- in den Regelbetrieb, mit einer Sicherheitsstruktur, die sowohl die akute Lage bewältigte als auch die dauerhafte Nachweisfähigkeit herstellte.
Zwei Regulierungen gleichzeitig
Eine Organisation stand unter zwei regulatorischen Regimen gleichzeitig, NIS2 als wichtige Einrichtung und einer weiteren branchenspezifischen Regulierung. Beide Themen wurden getrennt bearbeitet, ohne gemeinsame Struktur.
Zusammenführung der parallelen Anforderungen in eine konsistente Managementlogik, IST-Analyse mit Reifegradbewertung, Klärung der Verantwortlichkeiten zwischen den betroffenen Bereichen.
Eine integrierte Sicherheitsstruktur, die beide Regulierungen bedient, ohne doppelte Strukturen aufzubauen, und die die Leitungsebene handlungsfähig macht.
Aufbau eines vollständigen ISMS
Eine Organisation benötigte den Aufbau einer soliden ISMS-Struktur mit allem, was dazugehört. Das Mandat war von Beginn an auf einen längeren Zeitraum angelegt, da die gesamte Struktur von Grund auf entstehen sollte.
Schrittweiser Aufbau der gesamten ISMS-Struktur, von der Leitlinie über die Richtlinien bis zu den nachgelagerten Dokumenten. Der Schwerpunkt lag darauf, die Dokumentation so aufzubauen, dass sie nicht nur formal vorhanden ist, sondern eine tatsächlich tragfähige Struktur abbildet.
Ein vollständiges, in sich konsistentes ISMS, dessen Dokumentation die organisatorische Wirklichkeit abbildet und im Prüfungsfall trägt. Die weitere Umsetzung liegt nun in der internen Verantwortung der Organisation.
Beratung und Richtlinienerstellung
In einem zeitlich eng umrissenen Mandat ging es um die fachliche Beratung und die Erstellung zentraler Richtlinien der Informationssicherheit. Ein Beispiel dafür, dass nicht jede Aufgabe ein umfassendes Projekt sein muss. Manchmal genügt ein klar abgegrenzter Beitrag, der an der richtigen Stelle Wirkung entfaltet.
Steht Ihre Organisation vor einer ähnlichen Aufgabe?
Wenn Sie eine dieser Ausgangslagen wiedererkennen, lohnt sich ein Gespräch. Ich sage Ihnen ehrlich, was zu tun ist und was nicht.
Kontakt aufnehmen