Aus der Praxis | MVS-Wilke
Aus der Praxis

Was meine Arbeit in der Praxis bedeutet.

Einige Mandate, anonymisiert dargestellt. Sie zeigen die Art der Aufgaben, mit denen Organisationen zu mir kommen, und wie eine tragfähige Lösung aussieht.

Vertraulichkeit ist die Grundlage meiner Arbeit. Aus diesem Grund nenne ich keine Namen, keine Branchen und keine Details, die einen Rückschluss auf einzelne Auftraggeber zulassen. Die folgenden Fälle sind bewusst so abstrahiert, dass die jeweilige Organisation nicht erkennbar ist.

Was bleibt, ist das Wesentliche. Die Ausgangslage, das Vorgehen und das Ergebnis. Genau daran lässt sich ablesen, ob eine Lösung im Ernstfall trägt oder nur auf dem Papier existiert.

Fall 01

Betroffenheit ohne tragfähige Struktur

Ausgangslage

Eine Organisation fiel als besonders wichtige Einrichtung unter NIS2, ohne dass die internen Strukturen darauf vorbereitet waren. Verantwortlichkeiten waren unklar, eine belastbare Nachweisführung existierte nicht.

Vorgehen

Strukturierte Betroffenheitsanalyse, Aufbau einer tragfähigen Governance, Maßnahmenplanung über einen mehrstufigen Zeitraum, begleitet durch eine Reifegradbewertung über alle Sicherheitsdimensionen.

Ergebnis

Eine nachweisfähige Sicherheitsorganisation mit klar zugeordneter Verantwortung auf Leitungsebene und einem Umsetzungsfahrplan, der einer Prüfung standhält.

Fall 02

Regulatorische Pflicht unter Krisenbedingungen

Ausgangslage

Eine NIS2-pflichtige Organisation musste nach einem Sicherheitsvorfall parallel den laufenden Betrieb stabilisieren und die regulatorischen Anforderungen erfüllen. Die Arbeit fand unter Realbedingungen im Krisenmodus statt.

Vorgehen

IST-Analyse unter Druck, Bewertung der Sicherheitslage über die zentralen Schutzdimensionen, Priorisierung der Maßnahmen nach tatsächlichem Risiko statt nach formaler Vollständigkeit.

Ergebnis

Eine geordnete Überführung vom Krisen- in den Regelbetrieb, mit einer Sicherheitsstruktur, die sowohl die akute Lage bewältigte als auch die dauerhafte Nachweisfähigkeit herstellte.

Fall 03

Zwei Regulierungen gleichzeitig

Ausgangslage

Eine Organisation stand unter zwei regulatorischen Regimen gleichzeitig, NIS2 als wichtige Einrichtung und einer weiteren branchenspezifischen Regulierung. Beide Themen wurden getrennt bearbeitet, ohne gemeinsame Struktur.

Vorgehen

Zusammenführung der parallelen Anforderungen in eine konsistente Managementlogik, IST-Analyse mit Reifegradbewertung, Klärung der Verantwortlichkeiten zwischen den betroffenen Bereichen.

Ergebnis

Eine integrierte Sicherheitsstruktur, die beide Regulierungen bedient, ohne doppelte Strukturen aufzubauen, und die die Leitungsebene handlungsfähig macht.

Fall 04

Aufbau eines vollständigen ISMS

Ausgangslage

Eine Organisation benötigte den Aufbau einer soliden ISMS-Struktur mit allem, was dazugehört. Das Mandat war von Beginn an auf einen längeren Zeitraum angelegt, da die gesamte Struktur von Grund auf entstehen sollte.

Vorgehen

Schrittweiser Aufbau der gesamten ISMS-Struktur, von der Leitlinie über die Richtlinien bis zu den nachgelagerten Dokumenten. Der Schwerpunkt lag darauf, die Dokumentation so aufzubauen, dass sie nicht nur formal vorhanden ist, sondern eine tatsächlich tragfähige Struktur abbildet.

Ergebnis

Ein vollständiges, in sich konsistentes ISMS, dessen Dokumentation die organisatorische Wirklichkeit abbildet und im Prüfungsfall trägt. Die weitere Umsetzung liegt nun in der internen Verantwortung der Organisation.

Kurzprojekt

Beratung und Richtlinienerstellung

In einem zeitlich eng umrissenen Mandat ging es um die fachliche Beratung und die Erstellung zentraler Richtlinien der Informationssicherheit. Ein Beispiel dafür, dass nicht jede Aufgabe ein umfassendes Projekt sein muss. Manchmal genügt ein klar abgegrenzter Beitrag, der an der richtigen Stelle Wirkung entfaltet.

Steht Ihre Organisation vor einer ähnlichen Aufgabe?

Wenn Sie eine dieser Ausgangslagen wiedererkennen, lohnt sich ein Gespräch. Ich sage Ihnen ehrlich, was zu tun ist und was nicht.

Kontakt aufnehmen