Ausgangssituation des Kunden
Innerhalb eines Konzerns wurde erkannt, dass mehr Maßnahmen zum Schutz des Geistigen Eigentums des Unternehmens umgesetzt werden sollten, als bisher implementiert waren. So sollte das Geistige Eigentum auch weiterhin in der Produkt- und Patententwicklung einfließen und umgesetzt werden können.
Die Maßnahmen sollten in erster Linie auf IT- technischer und organisatorischer Ebene ansetzen. Gleichzeitig war ein wichtiges Ziel, die Wahrnehmungs- und Verhaltensebene aller Mitarbeitenden für diese Thematik mit einzubeziehen. Ausgehend von dieser Situation wurde ein Programm zur Informationsklassifizierung für alle in der Zentrale ansässigen Geschäftseinheiten gestartet.
Ziele des Kunden
Geistiges Eigentum des Unternehmens als einen entscheidenden Wettbewerbsfaktor umfassend schützen
Beständige Verbesserung der Informationssicherheit durch Umsetzung gebündelter Maßnahmen
Mögliche bisher unentdeckte Risiken identifizieren und Maßnahmen zur Risikominimierung realisieren
Beschreibung des Fallbeispiels
Das Programm-Team begann zunächst damit, einen Plan mit Phasen und Meilensteinen zu erstellen. Danach wurde die Führung aller Geschäftsbereiche darum gebeten, Verantwortliche und ein Team zu benennen, die bzw. das das Projekt in eigener Zuständigkeit umsetzen/umsetzt.
Jeder Geschäftsbereich bekam aus dem Programm-Team einen IC-Coach (Information Classification-Coach) an die Seite gestellt, der die Umsetzung vom Kick-off bis zur Erreichung des Ziels begleiten sollte. Den Coaches wurden mehrere, zu begleitende Geschäftseinheiten zugeteilt.
Nach der Abstimmung der Vorgehensweise auf Basis eines jeweiligen Projektplans wurden systematisch die Informationen, die in den Geschäftsbereichen be- und verarbeitet werden sollten, in Workshops identifiziert. Auf Basis von abgestuften Vertraulichkeitsgraden wurden diese Informationen weiter geclustert sowie klassifiziert. Den Clustern wurden auch entsprechende Speicherorte (IT-Anwendungen) und Hardware zugeordnet, auf denen diese verwaltet werden konnten.
Alle IT-Anwendungen, auf denen Informationen mit einem hohen Grad an Vertraulichkeit (secret information) verwaltet wurden, mussten einem Audit unterzogen werden. Ergebnis dieser Audits war eine Bewertung, dass alle technischen Voraussetzungen für die Sicherstellung eines höheren Sicherheitsniveaus gegeben waren bzw. im Nachgang realisiert wurden. Zudem wurden weitere spezifische, auf den Geschäftsbereich bezogene Maßnahmen in den Projektteams erarbeitet und umgesetzt (z. B. Ablage von Informationen, Verschluss von Drucksachen am Arbeitsplatz, Regeln für den Umgang mit Informationen auf Reisen etc.).
Unser 5-Schritte-Plan zum Kundenerfolg
1. Systematische Vorgehensweise mit vereinbarten Zwischenschritten und -ergebnissen (Meilensteine).
2. Enges Coaching der Führungskräfte und Projektteams in den Geschäftseinheiten. Durchführung
regelmäßiger Meetings und moderierter Workshops.
3. Regelmäßiges Monitoring des Programm-/Projektfortschritts und deren Rückkopplung in Feedbackschleifen.
4. Umsetzung gebündelter und aufeinander abgestimmter Maßnahmen zur Sicherstellung der
Informationssicherheit.
5. Vollständige Dokumentation der Ergebnisse (quantitativ wie qualitativ) basierend auf Projektstandards.