Unternehmenskultur: Sicherheit der Daten

Mein Name ist Sander Kamstra, Direktor und einer der Gründer von Payt. Beim Wachsen von einer Idee auf dem Dachboden zu einer ernstzunehmenden Organisation begegnen mir regelmäßig Momente, von denen ich denke, dass sie einen Einfluss auf unsere Unternehmenskultur haben. Mit dieser Blogserie werde ich versuchen, jeden Monat eine Situation zu beschreiben, die zeigt, wer wir als Unternehmen sind. Ich werde Ihnen einen kleinen Einblick in das Leben bei Payt geben.

Der Fall: Prozesse sind wichtiger als Ergebnisse

In meinem ersten Job als IKT-Mitarbeiter hatte ich eine gute Idee, bei der die Datensicherheit ein wichtiger Teil des Vorschlags war. Also trug ich meine Idee einem älteren Kollegen vor, der für die Sicherheit von Servern und Datenbanken zuständig war. Seine Antwort war einfach und heute nicht weniger wahr:

“Wenn Sie eine Datenbank mit Daten schützen wollen, sollten Sie so wenig Daten wie möglich speichern, nur uninteressante Daten zulassen und keine Benutzer zulassen.”

Es gibt inzwischen eine ganze Reihe von Möglichkeiten, den Zugriff ziemlich sicher zu gestalten, wenn es darum geht, Benutzer zuzulassen. Zum Glück, denn ohne Benutzer ist unsere Software wenig wert. Bei Payt sprechen wir wöchentlich über neue Funktionen, die viel Benutzerkomfort bieten, aber ein Zugeständnis an den Datenschutz erfordern. Unsere Daten sind (leider) auch so interessant, dass sie von großem Wert sind, deshalb sind wir ISO27001 zertifiziert. Das bedeutet, dass wir den internationalen Standard für Informationssicherheits-Managementsysteme (ISMS) einhalten. Ich möchte an einem Beispiel beschreiben, wohin das im Unternehmen führen kann.

Wir waren nur 20 Mitarbeiter, als wir das Zertifikat erhielten. Wir hatten viel Vorbereitung geleistet und eine gut durchdachte Sicherheitsrichtlinie geschrieben. Innerhalb eines Jahres kam jemand bei Payt auf die Idee, dass dieses Richtliniendokument nicht nur den Entscheidungsträgern, sondern auch allen anderen Mitarbeitern bekannt sein sollte. Und der beste Weg, das zu tun, war, es von allen unterschreiben zu lassen. Zuvor dachten wir, dass ein allgemeiner Text über Vertraulichkeit im Arbeitsvertrag ausreichend sei. Kurze Zeit später wurde für jeden neuen Mitarbeiter eine umfangreiche Liste aller Hardware, Software und Prozesse erstellt (in einer Aufnahmeliste). Seit einem Jahr ist nun eine Person dafür verantwortlich, dass alle Zugriffe transparent sind. Die Annahmeliste wurde durch eine umfangreiche Berechtigungsmatrix ersetzt. Um den Prozess des sicheren Zugriffs ein wenig zu vereinfachen, haben wir einen access_request-Kanal in Slack. Klingt gut, oder?

Ich hatte im access_request-Kanal den Zugang für eine neue Kollegin beantragt. Ich wollte sie mit unserem schnellen Handeln beeindrucken und ihr einen guten Start ermöglichen. Nach einer Woche gab es immer noch keinen Zugang. Nachfragen ergaben, dass ein Entwickler beschlossen hatte, den Zugang nicht zu gewähren, weil die neue Kollegin die Sicherheitsrichtlinie noch nicht unterschrieben hatte. Und kurz darauf erhielt ich eine Abmahnung, weil ich auch die Berechtigungsmatrix nicht ausgefüllt hatte.

Es ist viel schwieriger, ergebnisorientiert zu arbeiten, als prozessorientiert zu arbeiten. Man kann einfach einem schriftlichen Prozess folgen. Und wenn Sie ihn gut befolgen, werden Sie zumindest nie einen Fehler machen.