Dokumentenbefriedigung
(Zeichnung: Amelie Eisinger)
Lassen Sie uns an dieser Stelle etwas tun, was wir hier bisher noch nicht getan haben, ein kleines Quiz für unsere Leserinnen und Leser. Was bedeutet dieses Wort, das ich kürzlich in einem Termin bei einem Kunden im Zusammenhang mit dem Aufbau eines Informationsmanagement-Systems (ISMS) gelernt habe: Dokumentenbefriedigung. Klingt irgendwie schlüpfrig, meinen Sie? Nun ja, Sie sollten das Wort nicht laut in Gegenwart einer Gruppe frühpubertärer 12jähriger aussprechen. Deren Assoziationen sind hier jedenfalls nicht ohne Verstoß gegen gutes Benehmen in Firmenblogs zitierfähig. Aber die Assoziationen weisen die Richtung.
Dokumente
Es geht also um Dokumente und es geht um Befriedigung. Doch – welche Dokumente und wessen Befriedigung? Kann man Juristen mit Dokumenten befriedigen …ähm … glücklich machen? Das jedenfalls schienen meine Gesprächspartner anzunehmen, die das Geständnis, dass sie bestimmte Forderungen ihrer Auftraggeber intern mit der Bezeichnung Dokumentenbefriedigung belegt haben, mit einem leicht verlegenen „wir sind ja hier unter uns“ einleiteten. Kein Grund sich zu entschuldigen! Wir bekennen an dieser Stelle, wir sind fähig, aus einem ordentlich geregelten Vertrag, aus einem sorgsam formulierten Dokument ein Gefühl großer Zufriedenheit zu ziehen. So einfach ist denn auch die Auflösung unseres kleinen Quiz: Dokumentenbefriedigung, Substantiv, feminin, Zustand der eintritt, wenn die technischen und organisatorischen Sicherheitsmaßnahmen eines Unternehmens umfassend dokumentiert sind.
Auftragskontrolle
Aber halt, die Sache hat einen Haken. Die Auftraggeber unserer Kunden gingen die Sache ziemlich unsystematisch und inkonsequent an. Sie forderten die Vorlage umfangreicher Dokumente zur IT-Sicherheit, wollten dann manche Sachverhalte doch nicht so gründlich beschrieben und geregelt wissen und ließen sich auch nicht von der Tatsache irritieren, dass unsere Kunden die Dokumente nicht oder vorerst nur in Teilen vorlegen konnten. Hauptsache Dokumente, lautete die Ansage. Die – vertraglich vereinbarte – Kontrolle der Umsetzung in der Realität werde ohnehin nicht kontrolliert. Das alles vor dem Hintergrund der Tatsache, dass unserem Kunden von diesem Auftraggeber höchst vertrauliche Daten überlassen werden sollten.
Also eher ein Dokumenten-Coitus-Interruptus. Um uns Regelungsjunkies zufrieden zu stellen, braucht es aber deutlich mehr als nur die Beschreibung von Dingen, die im Zweifel nicht eingehalten und nicht kontrolliert werden. (Von der Informationssicherheit im Unternehmen mal ganz abgesehen).
Informationssicherheit aufbauen
Steht man mit dem Aufbau eines Informationssicherheits-Managementsystems in einem Unternehmen ganz am Anfang müssen das Schreiben von Dokumenten und die Umsetzung der Inhalte Hand in Hand gehen. Manchmal, so wie im Fall unseres Kunden, kann man auf Strukturen aufbauen, die in der Praxis recht gut und verantwortungsbewusst umgesetzt werden, aber nicht dokumentiert sind. Dann gilt es, die bestehenden Prozesse auf Wirksamkeit und Sicherheit zu überprüfen, gegebenenfalls nachzusteuern – und anschließend mit der Dokumentation einen Ist-Zustand zu erfassen, der gleichzeitig den Soll-Zustand beschreibt. Mitunter findet man aber auch Abläufe vor, die in der täglichen Praxis ein Sicherheitsrisiko darstellen und die auch nicht schriftlich geregelt sind. In diesem Fall muss zunächst ein Soll-Zustand definiert werden, der sinnvollerweise gleich schriftlich dokumentiert wird. Die Umsetzung erfolgt im nächsten Schritt unter Verweis auf die festgelegten Sicherheitsziele.
Der Ablauf ist also ein wenig wie die Frage: brauche ich zuerst die Henne, damit ich dann ein Ei bekomme oder brauche ich erst ein Ei, damit ich eine Henne bekomme. Ob man zuerst die Henne nimmt oder das Ei, hängt wie oben beschrieben von der individuellen Konstellation im Unternehmen ab.
Ein erstrebenswerter Zustand
So interpretiert, ist der Zustand der Dokumentenbefriedigung ein durchaus erstrebenswerter. Heißt er doch, dass Papierlage und Realität, Dokumente und gelebte Prozesse zusammen passen, in den täglichen Abläufen ineinander greifen und Sicherheitsrisiken minimieren. Nichts anderes ist in Bezug auf Informationssicherheit im Unternehmen das Ziel. Ist dieses Ziel erreicht und gelingt es, am Leben erhalten zu werden, nehmen wir den Spott darüber, dass wir aus solchen Zuständen eine gewisse nun ja … Befriedigung ableiten, dann gerne in Kauf.