DIGITALE TRANSFORMATION

Sicher durch eine Zertifizierung?

Die digitale Transformation stellt jedes Unternehmen vor neue Herausforderungen. War es vor 35 Jahren noch sicher genug, vertrauliche Informationen im Safe wegzuschließen, sind heute die Bedingungen durch die Digitalisierung weitaus komplexer. In der digitalen Welt reichen einfache Sicherheitsmaßnahmen zum Schutz existenzsichernder Daten nicht mehr aus. Zwar versuchen verschiedene Standards und Regelwerke Hilfestellungen für Unternehmen zu geben, doch Zertifizierungen wiegen Organisationen oft in falscher Sicherheit.

Risiken und Gegenmaßnahmen

Die mit der Digitalisierung einhergehenden Risiken sind für jeden rasant nachvollziehbar, der die aktuelle Presse verfolgt. Schon seit vielen Jahren wird die digitale Infrastruktur unterschiedlichster Organisationen immer wieder angegriffen. Wer kennt sie nicht, die Schadsoftware mit den Namen I-love-you bzw. Loveletter aus dem Jahr 2000 (Ziel: Verbreitung und Passwortklau), Stuxnet im Jahr 2010 (Ziel: Steuerung von Leittechnik in Kraftwerken) und seit 2014 Ransomware wie Emotet (Ziel: Stilllegen der IT mit Lösegeldforderungen). Allein die Pressemeldungen aus den letzten zwei Monaten zeigen Angriffe und deren Folgen auf die digitale Infrastruktur, so z.B. der Hack der australischen Krankenversicherung Medibank, das Lahmlegen einer gesamten Kreisverwaltung in Rhein-Pfalz-Kreis oder das Datenleck bei Continental.

Das Vorgehen der Angreifer zeigt vorrangig die Professionalität und das mittlerweile sehr erfolgreiche Geschäftsmodell, welches damit verbunden ist. Das belegen auf der einen Seite Zahlen der regelmäßig durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichen Lageberichte zur Cybersicherheit, auf der anderen Seite die vom LKA NRW veröffentlichten Zahlen zu den Schäden in der deutschen Wirtschaft in einer Höhe von 105 Milliarden Euro (Stand: 2020).

Um diese beispielhaft dargestellten Risiken möglichst einzuschränken, reagieren die EU und auch Deutschland selbst mit behördlichen und gesetzlichen Anforderungen. Nur um eine wesentliche Regelung zum Schutz der kritischen Infrastrukturen und Unternehmen darzustellen, entstand das seit Juli 2015 gültige und immer weiterentwickelte IT-Sicherheitsgesetz (ITSiG) sowie das BSI-Gesetz inkl. der zugehörigen Verordnungen. Dies ist ein sehr markantes Beispiel für nationale Gesetzgebungen, die in der Regel auf der europäischen Gesetzgebung basieren. Ferner haben die Europaabgeordneten am 10.11.2022 nun weitere Regeln verabschiedet, die von den EU-Ländern strengere Aufsichts- und Durchsetzungsmaßnahmen und die Harmonisierung von Sanktionen verlangen.

Was all diese Gesetzgebungen gemeinsam haben, sind strengere Anforderungen an Unternehmen, Verwaltungen und die kritische Infrastruktur, um somit die Resilienz zur Cybersicherheit europaweit zu stärken.

Daneben werden weltweit Regelwerke und Standards entwickelt, die internationale Best Practices für Organisationen und Unternehmen mit unterschiedlichen Schwerpunkten zusammenfassen. Hierzu im Folgenden ein kurzer Überblick über die für Deutschland wesentlichsten Regelwerke, die auch eine Zertifizierung ermöglichen.

Übersicht Zertifizierungen

International oder National

Eine mögliche und für Unternehmen wichtige Unterscheidung ist die Frage nach dem Bereich, in dem der Standard bzw. das Regelwerk Anwendung finden soll. Bei einer nationalen Gesetzgebung ist das relativ einfach, da diese Gültigkeit für alle deutschen Unternehmen hat.

Dafür gibt es für das Themenfeld der Informationssicherheit das in Deutschland durch das BSI stetig weiterentwickelte IT-Grundschutz-Kompendium, welches zusammen mit den sogenannten BSI-Standards ein umfassendes Werk zur Informationssicherheit darstellt. Es bietet über seine sogenannten IT-Grundschutz-Bausteine einen umfassenden Blick zu allen möglichen Sicherheitsaspekten inkl. Ihrer Gefährdungen und darüber hinaus auch konkrete Maßnahmen zu deren Minderung. Dies reicht thematisch von hilfreichen Sicherheitsanforderungen an Apps über industrielle IT bis zu einem Informationssicherheitsmanagementsystem (ISMS). Beeindruckend ist allein schon der Umfang des Gesamtwerkes mit mehreren Tausend Seiten, wenn es ausgedruckt werden würde.

Als wesentliche Nachteile könnte gelten, dass dieses Werk nur national anerkannt ist und einen hohen formalen Aufwand in der Praxis mit sich bringt. Dennoch ist der Nutzen unbestritten, denn es beinhaltet einen großen Wissensschatz. Ist Ihr Unternehmen auch international unterwegs, schließt sich das IT-Grundschutz-Kompendium allerdings eher aus. Es sei denn, dass es hierzu explizite Kundenanforderungen gibt. International lohnt sich eher der Blick auf die global anerkannte ISO 27001, die im Oktober 2022 in einer neuen Revision veröffentlicht wurde. Diese Norm macht Vorgaben zur Implementierung und den Betrieb eines ISMS im Unternehmen, ist dabei allerdings weniger konkret als das IT-Grundschutz-Kompendium. Das Ziel der ISO 27001 ist es eher den Rahmen vorzugeben (Was ist zu tun) als konkrete Umsetzungsvorgaben (Wie ist es zu tun) zu liefern, um dem Unternehmen die Ausgestaltung in einer angemessenen Art und Weise selbst zu überlassen. Die wesentlichen Nachteile sind bei der ISO-Norm sicherlich die Aktualität (Die aktuelle Revision hat 9 Jahre auf sich warten lassen) und der mögliche Rahmen der individuellen Ausgestaltung durch die Unternehmen (Zumindest wird es oft so empfunden).

Empfehlen lässt sich daher als Grundlage die ISO 27001, gepaart mit konkreten Umsetzungsvorschlägen des IT-Grundschutzkompendiums. Beide Regelwerke gehen von jährlichen Zertifizierungsintervallen durch unabhängig agierende dritte Parteien aus, was typisch für diese Verfahren ist.

Branchenspezifisch

Um dieser Bandbreite an Möglichkeiten entgegenzuwirken, haben sich daneben branchenspezifischen Ausprägungen etabliert. Ohne an dieser Stelle die branchenspezifischen Sicherheitsheitsstandards (B3S) für kritische Infrastrukturen nach dem ITSiG und BSI-Gesetz zu reflektieren, soll TISAX® (Trusted Information Security Assessment Exchange) hier als Beispiel dienen, welches ein branchenspezifisches Framework für die Automobilindustrie bietet. Dienstleister und Zulieferer der Automobilindustrie müssen in dreijährigem Abstand nachweisen, dass sie die hohen Anforderungen ihrer Kunden hinsichtlich der Informationssicherheit einhalten. Basis für diese unabhängig durchzuführenden Prüfungen ist ein vom Verband der Automobilindustrie (VDA) entwickelter Fragebogen zur Informationssicherheit (ISA – Information Security Assessment). Dieser bezieht sich auf wesentliche Aspekte der internationalen Norm ISO 27001, erweitert um ein Reifegradmodell und bietet gut dargestellt konkret beschriebene Anforderungen. Eine Besonderheit bei diesem Standard ist, dass hier kein Zertifikat, sondern ein Label auf einer durch die ENX-Association bereitgestellten Plattform ausgestellt wird. Über die Plattform können dazu erforderliche Informationen zwischen den TISAX®-Teilnehmern gezielt ausgetauscht werden.

Die Nachteile bei TISAX® zeigen sich bei den sogenannten Assessment-Leveln, die den Umfang der Prüfung definieren. So kann unter anderem eine reine Plausibilitätsprüfung bei Assessment-Level 2 durch den Prüfer schon ausreichend sein, um eine angemessene Umsetzung von Informationssicherheit zu bestätigen. Bei Assessment-Level 1 genügt sogar eine reine Selbstauskunft über den Fragebogen des VDA. Berücksichtigt man daneben noch die technischen Entwicklungen und Bedrohungen in der IT-Sicherheit allein innerhalb weniger Monate, wirkt der dreijährige Prüfungszyklus ebenso weniger angemessen.

Dennoch ist TISAX® für die Branche wichtig, um das wichtige Thema der Informationssicherheit zu etablieren, ist dadurch zum Defacto-Standard geworden und unterliegt selbstverständlich einer fortlaufenden Weiterentwicklung. Eine Prüfung auf dem höchsten Assessment-Level 3 lässt sich am ehesten mit einer ISO 27001-Zertifizierung vergleichen und wird in der Praxis immer öfter durch die Automobilhersteller eingefordert.

Technologiespezifisch

Zu guter Letzt werfen wir einen Blick auf einen technologischen Standard, den Kriterienkatalog C5 (Common Computing Compliance Criteria Catalogue). Dieserdefiniert die Mindestanforderungen an ein sicheres Cloud-Computing. Ein nicht unwichtiger Aspekt und damit wichtiger Faktor, berücksichtigt man die aktuellen Strategien vieler Organisationen Anwendungen in die Cloud auszulagern. Allerdings gehen immer mehr Hersteller von Software dazu über, deren Softwareprodukte nur noch in einer Cloud als SaaS-Angebot (Software as a Service) und nicht mehr On-Premise (Selbst installierbar und auf eigenen IT-Infrastrukturen zu betreiben) anzubieten. Somit richtet sich der Kriterienkatalog C5, welcher primär durch das BSI entwickelt und spezifiziert wurde, einerseits an professionelle Cloud-Anbieter, andererseits an deren Prüfer und Kunden. Im Jahr 2016 erstmals veröffentlicht, gilt der Kriterienkatalog mittlerweile als ein Qualitätsmerkmal hinsichtlich eines sicheren Cloud-Betriebes in der Wirtschaft und somit als eine wichtige Orientierung sowie als Kriterium für die Auswahl eines Cloud-Anbieters.

Als zugrundeliegende Prüfungsmethodik bildet der International Standard on Assurance Engagement 3000 (ISAE 3000) den übergeordneten Rahmen, wodurch Prüfungen in Form einer Angemessenheits- oder einer Wirksamkeitsprüfung durchgeführt werden können und zu einem C5-Testat inkl. Bericht führen.

Als Nachteile kann auch hier der Abstand zwischen den Entwicklungen des Kriterienkataloges (letztmalig im Jahr 2019, veröffentlicht im Jahr 2020) und dem technologischen Fortschritt betrachtet werden. Außerdem bietet nur eine Wirksamkeitsprüfung und die damit verbundene höhere Prüfungstiefe (Typ 2) eine verlässliche Aussagekraft im Bericht, da hier die Durchführung der Kontrollen über den gesamten Prüfungszeitraum (Typischerweise 6 oder 12 Monate) nachgewiesen wird.

Insgesamt überwiegen bei diesem Beispiel die Vorteile durch Rückgriffe auf etablierte Standards und die technologische Spezifizierung sowie auf die Nutzung etablierter Prüfmethodiken. Nicht ohne Grund hat sich dieser Standard auf dem Markt schnell als ein wichtiges Alleinstellungsmerkmal bei der Auswahl eines Cloud-Anbieters durch den potenziellen Kunden, wie auch in der Nutzung durch den Anbieter selbst, etabliert.

ISO 27001 – Die Mutter der Standards

Zurückkommend auf die bereits kurz dargestellte ISO 27001 bleibt festzuhalten, dass am Ende alle hier genannten Standards, Normen, Gesetzgebungen oder Kriterienkataloge als Basis die ISO 27001 heranziehen. In den Unterlagen der unterschiedlichen Regelwerke werden Sie daher in der Regel Referenzen oder auch Kreuzreferenztabellen finden, weshalb diese ISO-Norm als die Mutter der hier beispielhaft dargestellten Anforderungen genannt werden könnte. Wirft man einen weiteren Blick auf die gesamte 27000-Normenfamilie, können weitere Schätze gehoben werden. So ist die ISO 27002 etwa ein hervorragendes Nachschlagewerk, um die unterschiedlichsten Lösungsansätze, für die in der ISO 27001 grob definierten Mindestanforderungen zu finden und damit eine geeignete Basis, um eine individuelle Lösung für die eigene Organisation zu implementieren. Weitere Normen in der Familie beschreiben u.a. die Umsetzung eines geeigneten Risikomanagements, welches die Basis für jedes präventive Vorgehen in der Informationssicherheit methodisch überhaupt erst ermöglicht. Daneben finden sich weitere Normen, die z.B. Datenschutzanforderungen, technologische und branchenspezifische Anforderungen im Umfeld der Informationssicherheit beschreiben. Allerdings stellt nur die ISO 27001 eine geeignete Basis für eine anerkannte, sprich akkreditierte, Zertifizierungsgrundlage bereit.

Der Vorteil in der 27000-Normenfamilie liegt somit klar in der Vielfältigkeit und uneingeschränkten Akzeptanz. Einen weiteren Vorteil bietet die Möglichkeit der individuellen und damit angemessenen Ausgestaltung im eigenen Unternehmen. Manch einer wird diese Flexibilität allerdings auch eher als Nachteil einschätzen, da es wenig konkrete Beschreibungen zur Umsetzung gibt und es daher aufwendig sein kann, die individuell beste Lösung für das eigene Unternehmen zu finden. Sicher ist, dass gerade diese Flexibilität mit der gleichzeitig bestehenden Komplexität in den Anforderungen der Informationssicherheit zu der Ausgestaltung weiterer Standards geführt haben, wie weiter oben beispielhaft beschrieben. Mit allen Vorteilen und Nachteilen, die dann wieder gesehen werden können.

Praxiserfahrungen mit den Zertifizierungen

Leider laufen nicht nur die ISO 27001-Zertifikate Gefahr an Wertigkeit zu verlieren. In der Praxis sehen wir oft Schwächen in der Umsetzung und eine damit einhergehende Verringerung des Sicherheitsniveaus für die Organisationen, welches anscheinend durch die ausstellenden Zertifizierungsgesellschaften teilweise befeuert wird. Woran machen wir das u.a. fest?

Sicherheitsbeauftragte verschiedener Unternehmen berichten von eindeutig identifizierten Schwächen in den Audits, die nicht zu formulierten Abweichungen durch die Auditoren in den Zertifizierungsverfahren führen. Die Folgen fehlender Argumentationsgrundlagen für die Sicherheitsbeauftragten gegenüber dem Management sind somit inbegriffen, wodurch es zu einer Vernachlässigung dringend durchzuführender Präventivmaßnahmen kommen kann. Das schadet der Informationssicherheit des Unternehmens, liegt aber definitiv nicht an der ISO 27001 oder an den anderen Regelwerken, welche mittlerweile einen teils sehr hohen Reifegrad aufweisen.

Dieses Beispiel zeigt aus unserer Sicht deutlich, dass sich kein Unternehmen auf den Zertifikaten ausruhen darf, wenngleich sie ein Aushängeschild für die intensive Auseinandersetzung mit dem Thema sein sollen.

Auswahlkriterien für Unternehmen

Entscheidend für Unternehmen, unabhängig von den hier dargestellten Regelwerken und der dargestellten Kritik, sind die Antworten auf die zwei wesentlichen Fragestellungen für ein Umgang mit dem Thema Informationssicherheit:

  1. Woher kommen die Anforderungen?
    Sind es gesetzliche und/oder behördliche Anforderungen, die es umzusetzen gilt (z.B. Digitalrecht, DSGVO oder IT-Sicherheitsgesetz) oder sind es kundenspezifische Forderungen, die zwingend in das Compliance-Management des Unternehmens implementiert werden müssen?

  2. Was soll damit erreicht werden?
    Gilt es eine Rechtskonformität, Haftungsreduktion oder die Erfüllung von Kundenanforderungen sicherzustellen? Wesentlich kann auch nur der präventive Umgang mit dem Thema zur Sicherheit des Fortbestands des Unternehmens sein.

Werden beide Fragestellungen betrachtet, geht es bei den möglichen Antworten vor allem um die Einhaltung von Compliance und um die Grundlage eines gesunden unternehmerischen Handels, unabhängig vom genutzten Standard. Spätestens bei den Herausforderungen der digitalen Transformation wird auch im Umfeld der Informationssicherheit eine weitere große Herausforderung schnell erkennbar: Eine sichere digitale Transformation kostet Geld. Die Informationssicherheit ist dabei geprägt von präventiven Maßnahmen, die aus einem systematisch implementierten Risikomanagementprozess resultieren. Dennoch schaffen genau diese Investitionen in die Prävention eine direkte Resilienz in der digitalen Welt und fördern damit ebenso die Wettbewerbsfähigkeit heute und in Zukunft. Das Image des Unternehmens ist ohne Negativmeldungen in der Presse ein hohes Gut und damit ebenso ein Wert, den es zu schützen gilt. Darüber hinaus werden die Kompetenzen der Mitarbeiter weiterentwickelt und damit die Sensibilität bei der Umsetzung angemessener und vor allem passenden Präventivmaßnahmen. Genau diese Investition zahlt sich am Ende aus.

Informationssicherheit ist ein wesentlicher Baustein bei der Herausforderung der digitalen Transformation, weshalb eine Berücksichtigung für jedes Unternehmen unausweichlich ist. Einen angemessenen und zukunftsorientierten Schutz gibt es, für das Unternehmen erst, wenn dieser Schutz zielgerichtet und schon beim Aufbau von Geschäftsprozessen mitbedacht wird. Steht die Produktion oder das Geschäft erst einmal für einige Wochen, wenn nicht sogar für Monate, still, werden sich die finanziellen Auswirkungen gegenüber den notwendig gewesenen Investitionen in die Informationssicherheit mehr als relativieren. Dies wurde schon durch diverse Beispiele aus der Presse im Laufe der letzten Jahre bestätigt. Denn nicht selten geht es schnell um die Existenz bzw. das Fortbestehen des Unternehmens, wenn die digitale Infrastruktur zusammenbricht oder vertrauliche Informationen in die falschen Hände geraten sind. Hier wird deutlich, dass die Auseinandersetzung mit der Aufrechterhaltung der Geschäftskontinuität ebenso einen wesentlichen Beitrag zur Unterstützung einer sicheren und resilienten digitalen Transformation leisten wird.

Es gibt keine 100 % Sicherheit mit einer Zertifizierung, daher muss eine kritische Reflexion mit dem Thema und der Beteiligung aller involvierten Parteien erlaubt sein. Nur so ist eine sinnvolle Entwicklung zu gewährleisten, die wiederum allen zugutekommen kann. Bewusst sein sollte sich jeder vor allem über die fortlaufende Veränderung der Sicherheitslage und die damit einhergehende, andauernde Neubewertung des eigenen Sicherheitsniveaus in der digitalen Transformation. Dies liegt in der täglichen Verantwortung jedes Einzelnen in einem Unternehmen. Das kann keine Zertifizierung leisten. Hierbei sind Normen und Regelwerke sehr hilfreiche Best-Practice-Werke, welche präventiv und systematisch die Informationssicherheit in eine Organisation zu etablieren und betreiben helfen. Am Ende entscheidet immer die richtige und damit individuell passende Nutzung in der Organisation über den Erfolg, unabhängig von einer Zertifizierung oder dem Regelwerk.

Dennoch: Zertifizierungen stellen jetzt und in Zukunft nach außen dar, dass sich Unternehmen mit den Themen der Informationssicherheit auseinandersetzen und dies auch wollen. Der Markt bietet dafür vielfältige Möglichkeiten, welche es sorgsam zu betrachten gilt.

Andreas Altena, ist Geschäftsführer der Sollence® GmbH aus Krefeld, einem Dienstleistungsunternehmen im Bereich Organisationsentwicklung mit vielfältigen Kompetenzfeldern.

Seit über 20 Jahren setzt sich der gelernte Betriebswirt u. a. mit Themen zur Informationssicherheit, zum Risikomanagement und zu integrierten Managementsystemen auseinander – zunächst in seiner Funktion als IT-Manager und mittlerweile breit gefächert als anerkannter Berater, Trainer und Auditor.

Über diese Tätigkeiten hinaus fördert er als Vorstand des Bundesverbands für Informationsschutz (BVFIS e. V.) das Bewusstsein für die Sicherheit von Informationen sowie für die INSTICERT® – Institut für nachhaltige Zertifizierung GmbH als Senior-Auditor die nachhaltige Qualität von Zertifizierungen und Prüfungen.

Corporate Sustainability Reporting Directive (CSRD)

Eines ist unbestritten: Nachhaltigkeit rückt immer mehr in den Fokus von Unternehmen, Investoren und Konsumenten. Die Einführung der Corporate Sustainability Reporting Directive (CSRD) durch die Europäische Union ist ein bahnbrechender Schritt hin zu mehr Transparenz und Verantwortlichkeit. Die Richtlinie, die Anfang 2023 in Kraft trat, markiert einen wichtigen Wendepunkt in der Art und Weise, wie Unternehmen über ihre Auswirkungen auf Umwelt und Gesellschaft berichten. Mit der CSRD verfolgt die EU das Ziel, die Nachhaltigkeitsberichterstattung zu standardisieren, zu vertiefen und letztlich die Nachhaltigkeitspraktiken von Unternehmen zu verbessern.

Weiterlesen »

UMFRAGE: Multi Provider Management

Multi-Provider-Management spielt eine immer wichtigere Rolle im IT Service Management, da sich Unternehmen zunehmend auf die Integration und das Management von IT Services verschiedener Anbieter konzentrieren. Ziel dieser Umfrage ist es, Einblicke in die Praktiken, Strategien und Erfahrungen von IT-Professionals im Kontext von Multi-Provider-Management zu gewinnen.

Weiterlesen »

Das europäische KI-Gesetz

Die Einführung des europäischen KI-Gesetzes stellt eine wichtige Entwicklung bei der Regulierung der Künstlichen Intelligenz (KI) dar. Das Gesetz spiegelt das wachsende Bewusstsein und die Notwendigkeit wider, eine fortschrittliche Technologie zu regulieren, die tiefgreifende Auswirkungen auf die Wirtschaft, die Gesellschaft und die Rechte des Einzelnen hat. In einer Zeit, in der KI-Technologien zunehmend in kritische und alltägliche Anwendungen integriert werden – von Gesundheits- und Finanzdienstleistungen bis hin zu öffentlicher Sicherheit und persönlicher Assistenz – stellt das Gesetz einen entscheidenden Schritt dar, um die Entwicklung und den Einsatz von KI im Einklang mit europäischen Werten und Standards zu gestalten.

Weiterlesen »

Test Account Management

Die Einführung neuer Softwarelösungen in Unternehmen ist eine regelmäßige Notwendigkeit in der heutigen digitalen Landschaft. Ein häufiger erster Schritt in diesem Prozess ist die Einrichtung von kostenlosen Test- und Probeaccounts. Obwohl diese Accounts eine scheinbar risikofreie Möglichkeit bieten, die Funktionalitäten neuer Software zu erkunden, bergen sie dennoch erhebliche Risiken und Herausforderungen. In diesem Artikel zeigen wir in sechs Schritten, wie Unternehmen mit diesen Herausforderungen umgehen und die Vorteile von Testaccounts optimal nutzen können.

Weiterlesen »

Bye Bye Birdie!

Heute verkünden wir als itSMF Deutschland, Berufs- und Fachverband für IT Service Management offiziell unseren Abschied von X (ehemals Twitter). Nach intensiven Überlegungen und Diskussionen innerhalb unserer Organisation haben wir uns entschieden, unsere Accounts auf dieser Plattform zu deaktivieren und deren Löschung zu beantragen.

Weiterlesen »

ITSM 2023 – Danke!

Die ITSM 2023 war ein eindrucksvolles Beispiel dafür, wie das enorme Wissen und die Erfahrung unserer Community allen Mitgliedern zugutekommt. Ihre aktive Teilnahme, sei es durch das Stellen von Fragen, den Austausch von Ideen oder einfach durch Ihre Anwesenheit, hat unsere Veranstaltung bereichert und inspiriert. Wir sind stolz darauf, Teil einer so dynamischen und engagierten Gemeinschaft zu sein. Ihr Beitrag macht das itSMF Deutschland zu einer lebendigen und wertvollen Plattform für alle, die im Bereich IT Service Management tätig sind.

Weiterlesen »

Community Day “Experience Level Agreements (XLAs)”

Die Zusammenarbeit zwischen Service Providern und ihren Service Kunden ist häufig durch SLAs geregelt. Diese legen u.a. fest, was der Kunde (Anwender) an Leistungen erwarten darf. Die bestehenden SLA beachten jedoch selten Themen wie “Nutzererfahrung” oder die “unausgesprochenen” Erwartungen der Anwender. Um diesem Manko entgegenzuwirken, werden seit einigen Jahren Experience Level Agreements (XLA) diskutiert und entwickelt. Dieser Vortrag widmet sich zunächst kurz der grundlegenden Frage “Was ist Experience?” und geht dann stärker darauf ein, warum Service Experience hilfreich ist.

Weiterlesen »

ITSM 2023 Marc Schachteli

Der Vortrag widmet sich der Analogie zwischen der berühmten Geschichte der Titanic und den Herausforderungen, die bei IT Service Management (ITSM) auftreten können. Der Fokus liegt darauf, wie diese historische Tragödie als Lehrstück für die Planung, Durchführung und den Erfolg von ITSM dienen kann.

Weiterlesen »