Autor, Coach, Consultant, CISO

Autor: Anselm Rohrer (Seite 1 von 4)

Unser FitSM-Buch Teil 2 ist erschienen

„FitSM – A practical implementation guide“ – Eine Beschreibung zur praktischen Umsetzung in zwei Beispielunternehmen.

Häufig steht man vor dem Problem „Was umgesetzt werden soll habe ich verstanden, aber wie mache ich das konkret?“

Dies zeigt das Buch „FitSM – A practical implementation guide“ anhand der beiden Beispielunternehmen Bikes & more und EnableIT.

Während bei Bikes & more die IT eine wichtige Grundlage für die Arbeitsfähigkeit des Unternehmens ist, sind bei EnableIT die Prozesse elementarer Bestandteil der Produkte des Unternehmens. So muss Bikes & more beispielsweise bei den Wartungsfenstern „nur“ die Anforderungen des eigenen Unternehmens erfüllen, während EnableIT die Anforderungen und Vereinbarungen mit den Kunden berücksichtigen muss.

Zwei Bücher – Theorie und Praxis
Wir haben zwei Bücher zu FitSM Version 3 geschrieben.

Als Leser haben Sie verschiedene Möglichkeiten, sich mit Hilfe dieses Buches mit FitSM vertraut zu machen. Sie sind mit FitSM vertraut und stehen vor der Aufgabe, die Theorie in die Praxis umzusetzen? Dann ist dieses Buch ausreichend.

Wenn Sie FitSM nicht mindestens auf dem Niveau der Personenzertifizierung „FitSM Foundation“ verstanden haben, ist es ratsam, zuerst das Buch “IT Service Management with FitSM Version 3″ zu lesen.

Die Bücher können nacheinander gelesen werden. Wir empfehlen jedoch, beide Bücher parallel zu lesen: zuerst den theoretischen Teil eines Prozesses und dann die Beispiele der praktischen Umsetzung. So kann der Leser das Verständnis für den jeweiligen Prozess vertiefen. Um das parallele Lesen zu vereinfachen, haben wir die Kapitelstruktur harmonisiert. Wenn Sie beispielsweise das Kapitel 4.1 Customer Relationship Management im Buch „IT Service Management mit FitSM Version 3“ gelesen haben, finden Sie die entsprechende praktische Umsetzung im zweiten Buch in Kapitel C.4.1 für Bikes & more und in D.4.1 für EnableIT. Sie können also problemlos zwischen den beiden Büchern wechseln.

Versicherung gegen KI-Halluzinationen: Absicherung oder Risiko?

Es entstehen Versicherungen gegen Schäden durch fehlerhafte KI-Anwendungen. Diese Entwicklung wirft Fragen zur Verantwortung und Sorgfalt im Umgang mit KI-Systemen auf.

Lloyd’s of London hat in Zusammenarbeit mit dem kanadischen Start-up Armilla eine Police eingeführt, die Unternehmen vor finanziellen Verlusten durch Fehlfunktionen von KI-Systemen schützt. Abgedeckt sind unter anderem „Halluzinationen“ von KI-Chatbots, also Fälle, in denen die KI falsche oder irreführende Informationen generiert.

Das ist eine sehr gefährliche Entwicklung. Aktuell werden Ergebnisse einer KI meist durch Menschen geprüft, bevor kritische Handlungen initiiert werden. Sind die Ergebnisse der KI meist korrekt besteht die Gefahr, dass der Mensch der KI mit der Zeit so viel Glauben schenkt, dass er die kritische Handlung ungeprüft auslöst. Ist die entscheidende Person zukünftig gegen Fehlentscheidungen versichert, reduziert dies den Druck, eine umfassende Prüfung durchzuführen. Kaum auszudenken, welche Folgen dies z. B. bei ärztlichen Diagnosen und der anschließenden Behandlung haben könnte.

Unternehmen sollten Versicherungen als Ergänzung, nicht als Ersatz für robuste Sicherheitsmaßnahmen betrachten. Eine umfassende Prüfung und kontinuierliche Überwachung von KI-Systemen bleiben essenziell, um Risiken zu minimieren und Vertrauen in die Technologie zu gewinnen.

Einfache Umsetzung der „Londoner Erklärung“

Die Internationalen Organisation für Normung gibt vor, den Klimawandel in Managementsystemen gemäß ISO27001 zu berücksichtigen ist. Doch wie kann dies in der Praxis pragmatisch umgesetzt werden?

Geprüft werden muss der Einfluss des Klimas auf das ISMS sowie der Einfluss des ISMS auf das Klima.

Einfluss Klima aus ISMS

Ist die Organisation ausreichend auf zunehmenden Starkregen vorbereitet? Reichen die Klimaanlagen auch bei längeren, intensiveren Hitzeperioden? Müssen evtl. weitere Räume gekühlt werden? Dies sind nur ein paar Fragestellungen, die hier eine Rolle spielen können.

Einfluss des ISMS auf das Klima

Stellen Stakeholder Anforderungen an die Organisation, bzgl. eines verantwortungsvollen Umgangs mit der Umwelt? Wenn ja, kann das ISMS hier unterstützen? Ein Aspekt könnte die intensive Nutzung von KI und der damit verbundene Stromverbrauch sein.

Integration ins Management-Review

Die Londoner Erklärung betrifft den Kontext der Organisation (Kapitel 4.1 und 4.2 der Norm). Die Prüfung muss regelmäßig aktualisiert werden. Daher bietet es sich an, diese Fragen in das Management-Review einzubauen. Für kleine, überschaubar Organisationen sollte dies ausreichen. Im Falle großer Industriebetriebe dürfte es sinnvoller sein, dies in ein (hoffentlich) bestehendes Umwelt-Managementsystem zu integrieren.

Querverweis

Umweltschutz in ISO27001 durch „Londoner Erklärung“

Launch-Feier zur Veröffentlichung von „IT service management with FitSM Version 3“

Vielen Dank an alle, die am 27.02.2025 mit mir die Veröffentlichung meines neuen Buches gefeiert haben. Es war ein schöner Abend.

Es ist jedes mal ein besonderer Augenblick, das erste Exemplar eines neuen Buches in Händen zu halten und zu signieren. Dieses Exemplar war für meine Frau, die mich während des Schreibprozesses immer wieder kulinarisch unterstützt und mir die nötigen Freiräume schafft, kreativ zu werden. Danke.

Unser neues Buch zu FitSM

„IT service management with FitSM Version 3“ erscheint am 27.02.2025

Gemeinsam mit Dierk Söllner habe ich ein neues Buch zur einfachen Umsetzung von IT-Service-Management mit FitSM geschrieben. Das Buch zeigt einen einfachen, praktischen und anwendungsorientierten Weg zur Bewältigung der zahlreichen Herausforderungen bei der Bereitstellung von IT-Services an interne und externe Kunden. Mit dem Motto „keep it simple“ richtet sich das Buch an kleine und mittelständische Unternehmen. Aber auch Behörden und große Unternehmen können einfache Vorgehensweisen daraus ableiten.

Der Ansatz basiert auf dem FitSM-Rahmenwerk, das 82 prägnante Anforderungen unterscheidet. Es stützt sich auf die ISO/IEC 20000-Norm und die Rahmenwerke COBIT und ITIL. Der Schwerpunkt liegt auf 14 Kernprozessen, wodurch der Umfang und die Komplexität einer ITSM-Einführung reduziert werden. Wer mehr benötigt, kann an den entsprechenden Stellen auf ITIL, COBIT oder andere umfassende Rahmenwerke zurückgreifen.

Die Stärke des FitSM-Ansatzes liegt in der Konzentration auf die Anforderungen, die für ein funktionierendes IT-Service-Management-System erfüllt werden müssen, unterstützt durch die Reifegradbewertung, die einen Bezugspunkt für die kontinuierliche Verbesserung darstellt.

Ein weiterer Schwerpunkt liegt in der Verbesserung des Reifegrads in kleinen Schritten mit kleinen Änderungen. Diese kleinen Verbesserungen werden durch einen leicht umzusetzenden, einfach strukturierten Ansatz ermöglicht, der durch ein Rollenmodell, Vorlagen und Umsetzungsleitfäden unterstützt wird.

Der Leitfaden zur Umsetzung wird in einem separaten Band 2 erscheinen. Neben praktischen Anleitungen, wird die Implementierung am Beispiel zweier fiktiver Unternehmen aufgezeigt.

Die Veröffentlichung erfolgt über die Van Haren Verlagsgruppe, die sich bereits international einen Namen im Umfeld der IT-Standards machen konnte.

Ich schließe meinen X-Account, denn X ist nicht mehr das, was Twitter mal war.

Aus einer Demokratie wird eine Broligarchie, die in abhängigen Ländern buchstäblich über Leichen geht.

Trump und seine Handlanger treten ethische Grundsätze mit Füßen. Mit Elon Musk hebelt er den Rechtsstaat aus. Murdoch räumt die Verbreitung von Wahllügen mit seinem Medienimperium ein. Marc Zuckerberg, als Vater von drei Mädchen, fordert mehr Männlichkeit in der Gesellschaft.

Musk und Zuckerberg reduzieren den Fakten-Check auf ihren Plattformen oder stellen ihn ganz ein. Nachdem nun am 14.02.2025 JD Vance, als Vizepräsident der USA Wahlkampf für die AfD macht, schließe ich meinen X-Account. Wer mir weiter folgen mag, kann dies gerne auf LinkedIn tun.

Anselm Rohrer

Kommentar: Baden-Württemberg international auf Platz 4 der innovativsten Länder

Gemäß einer Roland-Berger-Studie vom 18.09.2024, ist Baden-Württemberg hinter Schweiz, Singapur und Dänemark auf Platz 4 der innovativsten Länder. Deutschland, landet auf Platz 12 von 35.

Dies zeigt, dass Deutschland innovativer ist, als von der Bevölkerung vermutet. Wir haben weniger ein Innovationsproblem, mehr ein Problem der Wahrnehmung der Deutschen. Dies soll keine Werbung für falsch verstandenen Nationalismus sein. Mehr ein Aufruf, an die Leistungsfähigkeit des Landes, seiner Unternehmen und seiner Bevölkerung zu glauben und ruhig auch stolz darauf zu sein. Gemeinsam können wir das Land voran bringen und unseren Wohlstand sowie den Wohlstand in Europa und in der Welt mehren. Hierzu gehört auch, nicht auf die Propaganda rechter, nationalistischer Parteien reinzufallen.

Ein Schritt in die richtige Richtung, ist die kostenlose Sonderausgabe „Der Zukunftsplan“ des Handelsblatts vom 10.10.2024, welche sich Fragen und Antworten widmet, die Deutschland in den nächsten Jahren prägen werden.

Dies ist ein Aufruf, nicht alles schlecht zu reden, sondern auch das Erreichte zu würdigen. Das gilt für unsere Politiker, für die Unternehmen und für jeden Einzelnen in Gesprächen mit Kollegen und Bekannten. Es stehen noch viele große Aufgaben an, die nicht leicht zu bewältigen sind. Um Bob den Baumeister zu zitieren „Yo! wir schaffen das“. 😉

Kommentar, Autor: Anselm Rohrer

Zum Download der kostenlose Sonderausgabe „Der Zukunftsplan“ des Handelsblatts vom 10.10.2024.

Quelle: Innovationsindikator 2024

Globaler IT-Ausfall – Lessons Learned

„Rien ne va plus“ („Nichts geht mehr“) – Ein Update kann alle Rechner lahmlegen. Was lernen wir als Unternehmen daraus?

Am 19.07.2024 legte ein fehlerhaftes Update der Firma CrowdStrike über 8,5 Millionen Windows Rechner lahm. Die Reaktivierung der Rechner brauchte Zeit, da ein händisches Eingreifen nötig war. Auch wenn das eigene Unternehmen nicht betroffen war lohnt es sich zu prüfen, ob etwas ähnliches die eigene Infrastruktur beeinflussen könnte.

Lessons Learned – Für alle Organisationen mit zertifiziertem ISMS gilt: Nicht nur gedanklich durchspielen, sondern als Risiko im Risikoverzeichnis festhalten, um dem Auditor zeigen zu können, dass man die Bedrohungslage im Blick hat und auf dieser Basis Bewertungen der eigenen Umgebung durchführt.

Nachfolgende Schritte sollten zuerst für Windows und dann für alle anderen Betriebssysteme gedanklich durchgespielt werden. Sind die Konsequenzen tragbar, kann das Restrisiko durch die Geschäftsführung akzeptiert werden. Ansonsten sollten mitigierende Maßnahmen etabliert werden, um das Risiko auf ein tragbares Niveau zu senken.

  1. Risikobetrachtung: Alle Windows-Systeme fallen zeitgleich aus.
  2. Potenzielle Maßnahmen zur Mitigation (z.B. Updates zeitlich verteilen, Redundanzen)
  3. Restrisiko: Bewusst tragen oder weitere Maßnahmen umsetzen

Wiederholen für alle im Einsatz befindlichen Betriebssysteme

Umweltschutz in ISO27001 durch „Londoner Erklärung“

Die Internationale Organisation für Normung (ISO) hat den Klimawandel als zentrales Thema in ihre Managementsystem-Normen integriert.

Dies geschieht durch Änderungen (Amendments) an gängigen Normen wie ISO 9001, ISO 14001, ISO/IEC 27001, ISO 45001 und ISO 50001. Diese Ergänzungen betreffen vor allem die Kapitel 4.1 und 4.2, die nun verlangen, dass Unternehmen den Einfluss des Klimawandels auf ihre Organisation bewerten, Risiken systematisch adressieren und Chancen erkennen.

Der Hauptfokus liegt darauf, das Bewusstsein für den Klimawandel zu schärfen und Organisationen zu verpflichten, Maßnahmen zur Erhöhung ihrer Resilienz zu ergreifen. Die Änderungen beinhalten keine komplette Neuausrichtung der Normen, sondern eine Ergänzung, die Unternehmen anleitet, den Klimawandel in ihren Kontextanalysen und bei der Bewertung der Bedürfnisse und Erwartungen interessierter Parteien zu berücksichtigen.

Zu den praktischen Auswirkungen zählen Anpassungen in internen Audits und Managementbewertungen, wobei die spezifischen Effekte je nach Art des Managementsystems variieren können. Unternehmen müssen künftig systematisch untersuchen, wie sich Klimaveränderungen auf ihre Prozesse, Ressourcenverfügbarkeit und regulatorischen Anforderungen auswirken. Dies kann etwa Unterbrechungen in Lieferketten, Produktionsausfälle oder erhöhte Energiebedarfe zur Folge haben.

Für die Auditierung bedeutet dies, dass Auditoren nun prüfen, inwieweit Unternehmen die neuen Klimaanforderungen implementiert haben. Obwohl dies eine Ergänzung und keine Revision der Normen darstellt, wird von den Unternehmen erwartet, dass sie die neuen Anforderungen umgehend umsetzen, um ihre Zertifikate aufrechtzuerhalten und den Anforderungen der ISO gerecht zu werden.

Wie informiert man juristisch korrekt über Schwachstellen?

Kunden sind beim Kauf von Produkten über potenzielle Sicherheitslücken zu informieren.

Im August 2022 veröffentlichte das BSI eine Warnung bezüglich Schwachstellen in einem Funk-Türschlossantrieb von ABUS. ABUS selbst hat daraufhin in der Produktbeschreibung auf seiner Website eine Stellungnahme veröffentlicht. Aus Sicht des Verbraucherzentrale Bundesverband reichte dies nicht aus, woraufhin er gegen ABUS klagte. Das Landgericht Bochum gab dem Verbraucherzentrale Bundesverband recht, ohne jedoch festzulegen, wie ABUS seine Kunden korrekt hätte informieren sollen.

In der Urteilsbegründung hieß es, dass das Produkt im Einzelhandel oder auf Online-Plattformen gekauft werde und Verbraucher beim Erwerb der Produkte durch die Händler nicht über die Sicherheitslücke informiert wurden.

Auch wenn das Landgericht nicht klar beschreiben hat, welche Vorgehensweise es als ausreichend erachtet hätte, lässt sich hieraus ableiten, dass Hersteller Ihre Vertriebskanäle kennen und Käufer über potenzielle Sicherheitslücken beim Kauf informieren müssen. Interessant ist auch, was das für die Informationspflicht produzierender Unternehmen bedeutet, die auf Grund der Lieferkette Teile mit Sicherheitslücken in ihre Produkte einbauen.

Das könnte eine interessante Frage für Auditoren im nächsten ISO27001-Audit sein.

Quelle: heise online, „Urteil: Schwachstellen-Hinweis auf Produkt-Webseite reicht nicht“
Quelle Bild: KI-generiert

« Ältere Beiträge

© 2025 Anselm Rohrer

Theme von Anders NorénHoch ↑