Kontakt

Die Angreifer sind wendig und kreativ …. die Unternehmen sind es meist nicht.

|   Information Security

… wie der Einsatz der LEGO® SERIOUS PLAY®-Methode (© 2019 by the LEGO Group) Unternehmen dabei unterstützen kann, in Sachen Informationssicherheit schlagkräftiger zu werden.

Es besteht inzwischen ein breiter Konsens darüber, dass Informationssicherheit ein zentraler Faktor für den Fortbestand von Unternehmen ist, doch bleibt die Umsetzung geeigneter Maßnahmen bzw. ihre Umsetzungsgeschwindigkeit immer noch häufig weit hinter dem Notwendigen zurück. Einer Vielzahl technisch versierter und höchst wendiger Angreifer stehen Unternehmen gegenüber, die strukturell bedingt langsam reagieren, in Security Themen personell unterbesetzt oder zuweilen schlicht überfordert sind.

Maßnahmen zur Informationssicherheit werden als arbeitsbehindernd wahrgenommen, scheinen die Freiheit einzuschränken, kosten Geld und tragen nicht unmittelbar zur Wertschöpfung bei. Die zuständigen Information Security Officer stehen dabei oft allein mit der Entwicklung und Realisierung von Maßnahmen. Sie kämpfen mit knappen Budgets, geringen Einflussmöglichkeiten und fehlendem fachlichen Austausch.

Und tatsächlich werden Sicherheitsmaßnahmen teils aus Unwissenheit, teils aus vermeintlicher Normentreue oder auch aus „Wurschtigkeit“, oft so umgesetzt, dass ganz bestimmt kein einziger Mitarbeiter motiviert werden kann, ihren Nutzen einzusehen.

Wer jedoch angesichts der Cyber Bedrohungen schlagkräftiger werden will, braucht andere – agilere – Konzepte, muss schneller auf (unvorhergesehene) Veränderungen reagieren und liefern können, möglichst viele Mitarbeiter im Unternehmen im Sinne der gemeinsamen Sache motivieren und gewohnte Denkmuster brechen.

Mit „agil“ ist hier im Sinne des „Agilen Manifests“ gemeint:

  • Individuen und Interaktionen werden höher gewichtet als Prozesse und Werkzeuge.
  • Funktionierende Lösungen werden höher gewichtet als umfassende Dokumentation.
  • Die Zusammenarbeit mit dem Kunden (hier: Unternehmensführung und Mitarbeiter) wird höher gewichtet als Vertragsverhandlung.
  • Reagieren auf Veränderung wird höher gewichtet als das Befolgen eines Plans.

Hier kommt nun der Einsatz von LEGO® SERIOUS PLAY®* als eine Möglichkeit agiler Arbeitsweise ins „Spiel“.

Sicherheit im Unternehmen kann nicht durch einen einzelnen CISO geschaffen werden. Vielmehr sollten möglichst Vertreter aus unterschiedlichen Fachbereichen früh in die Entwicklung von Sicherheitsmaßnahmen eingebunden werden (Individuen und Interaktionen), denn:

  • jeder Fachbereich weiß selbst am besten, welche Lösungen in seinem Kontext zuverlässig funktionieren können (Zusammenarbeit mit dem Kunden),
  • die spätere Akzeptanz von Maßnahmen wird durch die eigene Beteiligung an ihrer Entwicklung erhöht,

Mit Hilfe von LSP® können in einem moderierten Prozess „mit den Händen“ in kurzer Zeit Lösungen zu konkreten Fragestellungen der Informationssicherheit entwickelt werden (funktionierende Lösungen).

Ein erster Einblick in den Ablauf eines LSP®-Meetings:

Zunächst wird innerhalb der Gruppe das Problem beschrieben, das es zu lösen gilt, und daraus ein definierter Arbeitsauftrag abgeleitet z. B. „Baue ein Modell, das ausdrückt, wie Informationssicherheit in der Abteilung Software-Entwicklung umgesetzt werden kann.“

Nun baut jeder Teilnehmende ohne Intervention von Anderen ein Modell zur vereinbarten Fragestellung. Beim Bau geht es nicht darum, Nachbildungen der physischen Realität zu schaffen, sondern Vorstellungen und Abstraktes sichtbar zu machen. Durch die Vorgehensweise werden (verborgenes) Wissen und Erfahrung aller Beteiligten intuitiv aktiviert. Gewohnte Analyse- und Diskussionsmuster werden vorübergehend verlassen und eine andere Perspektive auf konkrete Problemstellungen eingenommen.

Nach Fertigstellung der Modelle (ca. 15 Minuten später) geben die einzelnen Personen unterstützt durch einen Moderator Auskunft zu ihren Modellen. Der Output führt i.d.R. zu zahlreichen neuen Ideen für die Lösung des definierten Problems, einer Umsortierung bekannter Ideen oder auch zu einer weiteren Konkretisierung der initialen Fragestellung.

Es bietet sich nun an, entweder den Prozess zu wiederholen oder als Gruppe aus den Einzelmodellen ein gemeinsames Modell zur Visualisierung einer Lösung zu schaffen, mit der sich alle identifizieren können.

Die Methode erlaubt es also, schnell auf Veränderung zu reagieren, da in sehr kurze Zeit neuen Lösungsideen Raum gegeben wird, die in ein Umsetzungsprojekt oder eine Maßnahme überführt werden können (Reagieren auf Veränderung). Es entstehen in nicht-linearer Weise Lösungen, die zum Unternehmen passen.

Natürlich ist die LEGO® SERIOUS PLAY®-Methode immer nur eine Ergänzung und kein Ersatz für bereits bewährte technische Lösungen zum Schutz von Informationen.

Es kommt auf einen Versuch an!

Wollen Sie die Methode in Ihrem Unternehmen ausprobieren oder haben Sie Fragen, dann kontaktieren Sie uns einfach unter: lsp.sec-/at/-excepture.de

 

*LEGO, SERIOUS PLAY, the Minifigure and the Brick and Knob configurations are trademarks of the LEGO Group, which does not sponsor, authorize or endorse this website.