How to Kick-off : Erfolgversprechende erste Meetings für Security-Projekte
Das erste Treffen zu einem größeren Sicherheitsprojekt, das sich auf verschiedene Abteilungen in einer Organisation auswirkt, entscheidet zuweilen bereits über dessen Erfolg – oder zumindest darüber, wie viele Nerven die Verantwortlichen im Verlauf des Vorhabens lassen müssen. Erwartungsmanagement und Auftreten des Security-Teams sind dabei oft wichtiger als Aspekte des klassischen Projektmanagements. Potenziellen Konflikten anfangs aus dem Weg zu gehen, ist fast immer die schlechteste Idee.
„Und jedem Anfang wohnt ein Zauber inne“, schreibt Hermann Hesse in seinem Gedicht „Stufen“ und meint das offenbar positiv. Dabei musste er doch schon von den Brüdern Grimm her wissen, dass es nicht nur gute Zauberer und Feen gibt, sondern auch böse. Sogar die Generation Netflix versteht das dank Disney, Herr der Ringe und Game of Thrones.
Entsprechend ambivalente Erfahrungen machen Security-Teams allzu oft: Bei Projekten aus den Bereichen Informationssicherheit und Datenschutz erleben sie dann schon beim ersten großen Meeting, wie ihnen Zweifler, Bedenkenträger und Pfennigfuchser den Spaß an der Sache vergällen können und sofort beginnen, den Verantwortlichen Steine in den Weg zu rollen. Ein besonderes Ärgernis sind Menschen, die zum Erfolg beitragen sollen oder aufgrund ihrer Rolle sogar müssen – die sich aber partout nicht beteiligen wollen. Ein missratener Start kann tatsächlich ein komplettes Projekt gefährden.
Debatte am Einstieg
Als Resultat solcher unschönen Erlebnisse hat sich hier und da eine Projektkultur herausgebildet, die Konflikte so lange wie irgend möglich zu vermeiden versucht. Als „gebrannte Kinder“ wollen die Spezialisten zu Beginn eines Vorhabens das Projekt dann zunächst unter sich vorantreiben, ohne eventuelle Quertreiber zu informieren. Sie hoffen, dass sie auf diese Weise die Gelegenheit finden, so viele vollendete Tatsachen zu schaffen, dass man das weitere Voranschreiten schließlich nicht mehr verhindern kann.
Diese Rechnung geht meistens nicht auf! Denn stoppen lässt sich ein Security-Projekt fast immer, wenn aus der Geschäftsleitung oder aus einer zentralen BusinessAbteilung heraus jemand Zweifel am Nutzen oder an den Kosten äußert oder Bedenken hinsichtlich der Auswirkungen auf die Produktivität vorbringt – zumal wenn auch noch die Möglichkeit besteht, seine Entrüstung darüber kundzutun, dass man ihn oder sie „nicht rechtzeitig eingebunden“ hat.
Besser als jede Vermeidungstaktik ist ein gut vorbereitetes und noch besser durchgeführtes Kick-off-Meeting, welches das Ansinnen tatsächlich nachvollziehbar macht, mögliche Bedenken und Einwände entweder zerstreut oder ins Projekt einfließen lässt – und echten Gegnern den Wind aus den Segeln nimmt. Wichtig ist es auch, die Positionen, Erwartungen und tatsächlich möglichen Beiträge aller Personenkreise in einem Unternehmen zu ermitteln, die in irgendeiner Weise vom Projekt betroffen sind.
Die Initiatoren eines Sicherheitsprojekts oder diejenigen, die zu dessen Durchführung auserkoren wurden, müssen sich dabei im Klaren sein, dass nicht jede Gegnerschaft aus bösem Willen entsteht: Änderungen in Betriebsabläufen oder zusätzlicher Arbeitsaufwand aus Sicherheitsgründen können das eine oder andere Team in einer Organisation tatsächlich überfordern oder zumindest unter hohen Druck setzen. Die Betroffenen müssen das Recht bekommen, ihre Einwände gegenüber denen zu äußern, die das Projekt durchsetzen wollen – und dazu muss gleich zu Beginn ein Kreis zusammensitzen, der beispielsweise echten Ressourcenproblemen auch entgegenwirken kann, ohne Forderungen einfach im Raum stehen zu lassen.
Vorarbeit: Erklären üben
Moderne Projekte aus den Bereichen Informationssicherheit und Datenschutz lassen sich in kaum einer Organisation allein unter Sicherheitsspezialisten und Technikern abhandeln. Sie betreffen Mitarbeiter jeglicher Entscheidungsebenen und aller Fachabteilungen. Häufig sind sie auf Zustimmung oder sogar direkte Mitarbeit der entsprechenden Teams angewiesen, etwa bei Informationsklassifizierungen oder bei der Absicherung einer Produktionsumgebung. Diese Kreise müssen, wie schon erwähnt, jederzeit – und erst recht zu Beginn – ihren Standpunkt zum Projekt äußern können. Das funktioniert aber nur, wenn sie in der Lage sind, die Gründe für die Unternehmung und die sie betreffenden Einzelheiten auch zu verstehen.
Weil nun aber Security-Belange und erst recht komplexe Lösungsumsetzungen (zumindest außerhalb der üblichen Sphären der Eingeweihten) meist alles andere als selbsterklärend sind, stehen die Projektverantwortlichen in der Pflicht, das jeweilige Vorhaben allen Angehörigen der Organisation verständlich zu machen, die davon beeinflusst werden könnten. Der Standpunkt, man könne sich ja schließlich auch selbst einarbeiten, hilft nicht wirklich: Wer ihn konsequent vertritt, legt sich selbst unüberwindliche Stolpersteine in Form von Missverständnissen und unwilligen Endlosdiskussionen in den Weg.
Abgesehen davon möchten sich Menschen in einer Versammlung verständlicherweise ungern als unwissend outen. Schwer nachvollziehbare Informationen einem Meeting bringen deshalb eine negative Spannung ins Spiel, die dem Gelingen nicht förderlich sein kann.
Weil Security-Spezialisten wegen ihrer typischen Ausbildungswege eher selten „Helden der Kommunikation“ sind (oder besser: sein können), sollten sie sich in der Startphase gegebenenfalls Hilfe suchen. Die nicht immer geliebte Marketingabteilung kann häufig einen guten Beitrag leisten; vielleicht springt sie dann später auch bei der Aufbereitung von Präsentationen für den Vorstand oder bei der Durchsicht von Dokumenten ein, die auch für Security-Laien verständlich sein sollen. Große Beratungsfirmen wie die berühmten „Big Four“ haben für wichtige Präsentationen übrigens häufig echte Kommunikationsspezialisten im Hintergrund, welche die Wirkung von Folien und Dokumenten und deren Eingängigkeit prüfen.
Kommunikationsbeistand suchen
Ebenso nützlich kann es sein, gezielt bei solchen Abteilungen um Beistand zu bitten, die vom Projekt besonders betroffen sein werden oder einen Beitrag dazu leisten sollen. Findet man hier jemanden, der schon bei der Vorbereitung des ersten Meetings hilft und deshalb zum Beispiel die dafür zentrale Präsentation auf Verständlichkeit hin überprüft oder als Probe-Zuhörer fungiert, dann hat man zugleich auch einen Fürsprecher gewonnen – jemanden, der während der kritischen Phase schwer verdauliche Punkte des Unterfangens eventuell aus eigener Initiative den Kollegen aus seinem Team nahebringt.
Eine besondere Rolle für das Gelingen einer Präsentation, die hohe Investitionen, tiefgreifende Prozessumstellungen oder ein hohes Maß an Mehrarbeit einfordert, spielen „Benchmarks“ (hier: Vergleichs- oder Vorgabewerte) aus anerkannten Normwerken, welche die vorgesehenen Maßnahmen vorschreiben – oder die aus der Praxis ähnlicher Organisationen stammen. Lässt sich nachweisen, dass Partner- oder Konkurrenzunternehmen ähnliche Vorhaben bereits in Angriff genommen haben, wie sie das Security-Team plant, wird es für Gegner schwieriger, das Geplante als überzogen zu kritisieren.
Wer sich schwertut, entsprechende Helfer aufzutun, kann bei einem dem Projekt zugewandten Mitglied der Geschäftsleitung anfragen, ob ein williger Zuarbeiter für seinen Job vielleicht ein „Incentive“ wie einen Bonus, eine offizielle Belobigung oder einen „Innovationspreis“ erhalten könnte. Kenntnisse in Security oder Datenschutz und erst recht entsprechende Projektmitarbeit gelten inzwischen immerhin als allgemein karrierefördernd und motivieren hoffentlich auch potenzielle Interessenten.
Ist die zentrale Präsentation dann fertig und als „nachvollziehbar“ klassifiziert, sollte ein interner Probelauf klären, ob sie vom Team auch souverän vorgetragen werden kann. Zugleich sollte die Projektgruppe im Intranet oder auf anderen Wegen ähnlich gut aufbereitetes Material allen zur Verfügung stellen, die sich einlesen wollen – und offiziell zur Einsicht und zur Meinungsäußerung über das Gebotene einladen. Dieser Schritt führt erstens dazu, dass das Team bestimmte Einwände vielleicht schon vor dem ersten Meeting kennenlernt und zweitens die Position derjenigen schwächt, die beim Kick-off mit Argumenten gegen ein Projekt schießen wollen, deren Unsinnigkeit sie bereits aus der Vorab-Dokumentation hätten erkennen können.
Der richtige Teilnehmerkreis
Wie eingangs erwähnt, ist es keine gute Idee, potenzielle Gegner vom Kick-off auszuschließen, um Ärger aus dem Weg zu gehen. Mit Gegenwind ist viel leichter umzugehen, wenn auch Menschen im Raum sind, die nicht zum Team gehören und ein Projekt dennoch unterstützen, etwa weil es ihnen Compliance-Sorgen nimmt.
Der Kreis der Beteiligten sollte sich aus folgenden Gruppen zusammensetzen:
- Mitglieder der Geschäftsleitung, die das Projekt unterstützen – sie belegen die Wichtigkeit und Richtigkeit des Vorhabens und sind der wertvollste Partner, wenn es zu unangenehmen Diskussionen kommt
- Vertreter derjenigen Abteilungen, deren Handeln (Arbeit und Arbeitsweise) einen Einfluss auf die Sicherheit der zu schützenden Assets hat
- Vertreter derjenigen Abteilungen, von denen die Umsetzung des Projekts Änderungen ihrer Arbeitspraxis verlangt
- Vertreter der Abteilungen oder Mitarbeiterkreise, die in irgendeiner Form zuarbeiten müssen
- gegebenenfalls der/die Datenschutzbeauftragte und/oder die Arbeitnehmervertretung
- Vertreter derjenigen Abteilungen, die das Budget bereitstellen müssen
- Individuen oder Vertreter aus Abteilungen, die aus irgendeinem Grund positiv zum Projekt eingestellt sind oder davon profitieren
- eventuell ein externer Moderator – häufig ein Berater, der schon am Projekt beteiligt ist
Ein Berater als Moderator kann unter anderem dabei helfen, das Projekt als „wandelndes Benchmark-Register“ zusätzlich durch Verweise auf anderswo durchgeführte ähnliche Maßnahmen sowie durch eigene Einschätzungen zu rechtfertigen. Außerdem sorgt ein unabhängiger Moderator gewöhnlich dafür, dass interne Grabenkämpfe in einem Meeting nur gedämpft zutage treten.
Abbildung 1 zeigt am Beispiel der Absicherung einer Produktionsumgebung, wie viele unterschiedliche Bereiche für ein Projekt zusammenkommen können. Statt jemanden aufgrund der puren Größe der zu erwartenden Gruppe auszuschließen, sollte das Projektteam lieber überlegen, das Kick-off-Meeting zu einem etwas längeren Halb- oder Ganztags-Workshop auszudehnen – der funktioniert dann auch mit einer 16-köpfigen oder noch größeren Teilnehmerzahl und unterstreicht die Bedeutung des Vorhabens. Außerdem gilt: Spötter und Nörgler halten sich umso mehr im Zaum, je mehr Menschen im Raum sind, deren Reaktion sie nicht vorhersehen können oder die sie als Gegner der eigenen Meinung bereits kennen.

Die Teams sollten Mitglieder der Geschäftsleitung im Fall eines ausgedehnten Treffens nur zum Einstieg und zu besonders kritischen Programmpunkten einladen. Sinnvoll ist es, wenn die Teilnehmer der Entscheiderebene auch zum Ende der Beratung noch einmal anwesend sind, etwa um berechtigte Ressourcen-Sorgen von zur Mitarbeit verdammten Abteilungen zur Kenntnis zu nehmen und gegebenenfalls Abhilfe zuzusagen. Der Versuch, hochrangige Manager für einen ganzen Tag zu gewinnen, scheitert gewöhnlich an den Terminkalendern der Adressaten – deshalb ist die Wahrscheinlichkeit, dass sie persönlich kommen und dem Treffen Gewicht geben, bei zeitlich begrenzten Einladungen höher.
Besonders wichtig ist der vorletzte Punkt in der Liste der potenziellen Teilnehmer: Jedes Datenschutz- oder Sicherheitsprojekt in einem Unternehmen hat Nutznießer, sonst hat es keinen Sinn.
Security-Teams sollten sich Zeit nehmen, um diese Adressaten zu ermitteln und im Vorfeld mit ihnen Kontakt aufzunehmen.
Ein Beispiel: Bestimmte Compliance-Verantwortliche, die regelmäßige Audits durchleiden müssen, profitieren mit hoher Wahrscheinlichkeit von jedem Projekt im Bereich Security-Information- und -Event-Management (SIEM), LogManagement, Security-OperationsCenter (SOC) sowie Resilience (Widerstandskraft) – und sei es auch nur, weil sie dem lästigen Prüfer einen direkten Blick auf die Security-Vorfälle des vergangenen Jahres und die zugehörigen Gegenwehrmaßnahmen liefern können. Sitzt jemand, der auf derartige Arbeitserleichterungen hofft, beim Kick-off-Meeting mit im Saal, wird er oder sie das Projekt auch explizit unterstützen – zumindest, wenn man ihn oder sie direkt nach seiner/ihrer Meinung fragt.
Keine Formsache
Bei der Einladung zu einem Security-Projekt muss das zuständige Team alle Register ziehen, um sich als Dienstleister und Problemlöser für den eingeladenen Kreis zu präsentieren. Also nicht: „Wir müssen die Anforderungen für die Online-Anmeldung an unseren Unternehmensressourcen verschärfen“, sondern: „Wir starten eine Initiative, um die unternehmenskritischen Informationen der Abteilungen X, Y und Z gegen Missbrauch zu schützen“.
Selbst wenn Adressaten diesen Trick durchschauen, müssen sie das Angebot zunächst akzeptieren und prüfen, wie ernst es ihr Gegenüber mit der zur Kooperation ausgestreckten Hand meint. Das Projektteam wiederum sollte sich bei dieser Gelegenheit noch einmal der Tatsache bewusst werden, dass der Trick eben nicht nur ein Trick ist, sondern dass Security immer dem Daseinszweck der jeweiligen Organisation und dem Schutz der Menschen zu dienen hat, die dort arbeiten oder von den Aktionen des Unternehmens betroffen sind.
Schon vor dem Absenden der offiziellen Einladung lohnt es sich, kurze Treffen mit allen im vorigen Schritt identifizierten Kollegen zu arrangieren, die tatsächlich und unmittelbar Vorteile von den geplanten Sicherheitsmaßnahmen haben – das erhöht die Chance, im Kick-off gemeinsam zu argumentieren. Vielleicht ist der eine oder andere Teilnehmer ja auch bereit, ein kurzes eigenes, den Plan unterstützendes Statement abzugeben.
Was die Einladung selbst betrifft, so sollte das Security-Team außerdem zumindest versuchen, einen kleinen Coup zu landen und das Kick-off-Meeting aus der Geschäftsleitung heraus auf den Weg zu bringen. Gelingt das nicht, ist es hilfreich, die Teilnahme wichtiger Manager vor der allgemeinen Einladung zu klären und die hochrangigen Personen auf eine mitgeschickte Teilnehmerliste zu setzen. Beides ist geeignet, die Bedeutung des Events zusätzlich zu untermauern.
Software-Kicks für den Kick-off
Im ersten Meeting eines Security-Projekts muss das Projekt möglichst eingängig dargestellt werden. Statt Abläufe für Programmschritte und „Meilensteine“ in Powerpoint von Hand zu malen und dann immer wieder mühselig im Detail zu ändern, wünschen sich die Projektverantwortlichen hier verständlicherweise maßgeschneiderte Hilfsmittel wie etwa Microsoft Project. Wie in diesem Beitrag erläutert, können darüber hinaus weitere Grafikwerkzeuge wie etwa Mindmap-Software nützlich sein.
Unglücklicherweise ist es in vielen Organisationen nicht einfach, eine Investitionsfreigabe für entsprechende Programme zu bekommen. Im Vergleich zu den Preisen für Massenware wie Microsoft Office erscheinen den Einkäufern die Lizenzgebühren für Projektplanungssoftware zu hoch – und dies erst recht, wenn der Controller weiß, dass ein Team die Lizenzen für ein bestimmtes Vorhaben wünscht: Das, so denkt er sich dann, endet ja auch irgendwann wieder, und dann schlummert die teure Ware auf der Platte – also sollen sich die paar Spezialisten doch bitte irgendwie behelfen.
Gegen diese Tendenz helfen mehrere Strategien: Die erste liegt darin, zu überprüfen, ob beispielsweise in den Vertragsklauseln für Büro-Pakete wie Office nicht auch Vergünstigungen für Software enthalten sind, die sich damit kombinieren lässt. Microsoft Project ist deshalb hier und da in der Praxis deutlich günstiger zu bekommen, als man zunächst denkt. Der nächste Schritt wäre es, „Projektplanung“ im Team zu einer Daueraufgabe zu erklären und jemanden aus der Gruppe ausdrücklich zum Projektmanager zu ernennen. Projektplanung ist eine Aufgabe, die sich in der Informationssicherheit häufig stellt, und es ist – auch unabhängig von der Softwarefrage – eine gute Idee, eine entsprechende Stelle zu besetzen oder jemanden aus der Gruppe in dieser Hinsicht speziell zu schulen!
Hilfreich ist es manchmal auch, zu erkunden, wer aus der Geschäftsleitung oder aus dem Controlling die Zahlen und Abläufe der teuren Securityprojekte in Augenschein nimmt: Hat diese Mitarbeiterin oder dieser Mitarbeiter MS Project oder eine vergleichbare Spezialsoftware bewilligt bekommen, möchte er oder sie die Dokumente höchstwahrscheinlich auch darin öffnen können. Dazu benötigt das zuständige Planungsteam dann kompatible Tools – und bekommt sie meistens auch.
Die vierte Strategie geht allen Auseinandersetzungen aus dem Weg und setzt auf Freeware. Die Fachzeitschrift LANline hat beispielsweise kostenlose Diagramm-Software, die typischem Admin-Bedarf (nicht nur in der Security) gerecht wird, in einer Serie ausführlich getestet, die frei im Web abrufbar ist (www.lanline.de/?s=wiele+diagramm). Die am besten bewerteten Werkzeuge verschiedener Disziplinen, die entweder komplett Freeware sind oder in gut nutzbaren freien Varianten vorliegen, sind im Folgenden kurz aufgeführt.
- Projektplanungs-Software: GanttProject (www.ganttproject.biz) und ProjectLibre (http://sourceforge.net/projects/projectlibre/). Das zuerst genannte Tool erschließt sich Einsteigern schneller, das zweite ähnelt Microsoft Project stärker und hat den größeren Funktionsumfang. Leider haben beide Werkzeuge Probleme damit, vor allem größere Projektdateien zuverlässig mit dem kommerziellen Platzhirsch MS Project auszutauschen.
- Netzwerk-Diagramme braucht man im Kick-offMeeting für ein Securityprojekt zuweilen, um fundiert über die technische Basis diskutieren zu können. Nützlich ist zunächst Libre-Office-Draw (https://de.libreoffice.org) mit der Erweiterung „VRT Network Equipment“. Um Letztere zu installieren, muss man nach der LibreOffice-Installation auf http://extensions.libreoffice.org nach „VRT“ fahnden, die Extension herunterladen und sie über den „Extension Manager“ im „Extras“-Menü von Libre Office Draw installieren. Anschließend stehen in „Draw“ Netzwerk-Geräte-Symbole zur Verfügung: Man findet sie, wenn man innerhalb des Programms über das „Ansicht“-Menü die „Gallery“ aufruft und dort nach unten scrollt. Eine Alternative ist der Klassiker Dia (dia-installer.de) – dieses Programm hat allerdings manchmal Probleme mit der präzisen Platzierung von Linien, was einen häufigen Griff zur Rückgängig-Funktion nach sich zieht.
- Datenfluss-Diagramme: Wer zeigen kann, wohin die Daten in einer Organisation fließen, macht nicht nur Auditoren glücklich, sondern kann gegebenenfalls auch leichter Risiken aufzeigen und deshalb Budgets freibekommen. Als Freeware für diesen Bereich empfehlen sich wiederum Libre Office Draw (ganz ohne Erweiterungen) und Dia (mit der enthaltenen „Gane-andSarson“-Bibliothek).
- Mindmaps: Freemind (http://freemind.sourceforge.net/wiki/) beherrscht alle gängigen Funktionen und erzeugt hinreichend attraktive Maps. Für Freeplane (freeplane.org/wiki/) gilt dasselbe, aber die Software ist eher etwas für Abenteurer mit Lust auf ein unkonventionelles Wissensmanagement-Tool. Wer zumindest ein begrenztes Budget selbst verwalten kann, sollte sich darüber hinaus auch die XMind-Produktfamilie (www.xmind.net/de/) ansehen.
Ablauf der Meetings
Beim Treffen selbst kommt es darauf an, die Positionierung als Dienstleister für die Bewältigung unumgänglicher Maßnahmen durchzuhalten. Die Agenda sollte die folgenden Punkte umfassen, und zwar möglichst in der aufgeführten Reihenfolge:
- Vorstellung und Begründung des Projekts: Hier sind die erwähnte allgemeinverständliche Erklärung und die Rechtfertigung des Vorgehens fällig – außerdem ein vorläufiger Blick auf den Projektverlauf, die Kosten und den konkreten Nutzen.
- unterstützende Statements von „Sponsoren“ aus der Geschäftsleitung
- Statements von möglichen Nutznießern des Projekts (siehe oben)
- Auflistung von Problemen und Reibungspunkten, welche die Projektleitung bereits identifiziert hat
- Pflichten und Hoffnungen sowie Erwartungen des Projektteams an die Mitarbeit/Unterstützung der Beteiligten
- offene Runde zum Einholen von Erwartungen, Bedenken, Assoziationen und anderen Gedanken der Beteiligten
- Workshop zur Diskussion möglicher Vorgehensweisen, Bewältigung von Problemen und Sammlung von Ideen
- Schlussrunde und Schlussdiskussion – möglichst wieder unter Beteiligung der Geschäftsleitung
In dieser Agenda spielen die zwei Schritte des Verständnis- und Erwartungsmanagements – die „offene Runde“ und der „Workshop“ – eine besondere Rolle: Unausgesprochene Erwartungen oder Bedenken, mit denen Teilnehmer das Kick-off-Meeting verlassen, wachsen sich später gern zu echten Projekthemmnissen aus. Außerdem kann es in diesem Stadium durchaus noch vorkommen, dass einzelne Projekteilnehmer entweder das gesamte Unterfangen oder Teile davon fundamental missverstehen.
Während die Auswirkungen eines fehlenden Projektplans oder einer mangelhaften finanziellen Fundierung häufig von Fachleuten diskutiert werden, unterschätzen selbst alte Hasen im Projektgeschäft bei Weitem die Folgen divergierender Interpretationen eines Projekts oder einzelner Teile daraus.
Durch eine spezielle Diskussions-, Notations- und Dokumentationstechnik lässt sich die Problematik des fraglichen Faktors allerdings recht gut entschärfen.
Verständnis- und Erwartungsmanagement
Haben Sie verstanden, worum es geht?“ – genau das sollte das Projekt-Team die Teilnehmer eines Kick-off-Meetings im Anschluss an die Vorstellung des Vorhabens natürlich nicht fragen. Was sich lohnt, ist dagegen eine Bitte etwa folgender Art: „Wir würden jetzt gern wissen, wie Sie das Projekt sehen, welche Erwartungen Sie daran stellen und was Sie vielleicht gern zu bedenken geben würden.“ Die Antworten lassen dann ohnehin erkennen, wenn einer der so Angesprochenen ein völlig schiefes Verständnis dessen entwickelt hat, worum es geht. Soweit möglich, sollte jeder Teilnehmer seine Überlegungen kundtun, die Frage also explizit einmal in die Tischrunde geschickt werden.
Festhalten lassen sich die Äußerungen am besten im Mindmap-Stil. Dazu stellt man den Projektnamen in den Mittelpunkt und skizziert die geäußerten Gedanken der Befragten auf sternförmig davon ausgehenden Pfaden, die beispielsweise den Abteilungen oder Verantwortlichkeiten der Sprecher zugeordnet sind. Möglicherweise kommt dabei ein Gebilde heraus, das Abbildung 2 ähnelt – es ist wie schon das erste Bild im Rahmen eines Treffens entstanden, das den Startschuss zur Security-Optimierung einer Produktionsumgebung geben sollte.

Wichtig ist, Bedenken und Einwände schonungslos mitzunotieren und gegebenenfalls hervorzuheben, aber auch positive Bemerkungen zu unterstreichen.
Als Medium kommen Tafel oder Whiteboard genauso infrage wie eine Mindmap-Software (siehe Kasten auf S. 9), in der ein entsprechend erfahrener Mitarbeiter den „Brainstorm“ sofort festhält und dabei permanent an die Wand oder auf den Raumbildschirm projiziert. Wer auf diese Technik setzt, sollte aber tatsächlich sicherstellen, dass es während des Meetings keine Hemmnisse durch die hektische Suche nach Funktionen oder Darstellungsformen gibt – das lenkt die Beteiligten ab und zerstört den Eindruck der Professionalität, den das Projektteam ja sicherlich erwecken möchte, allzu nachhaltig.
Wie auch immer die Skizze entsteht: Sie sollte anschließend Teil der Meeting-Dokumentation werden, wobei es sinnvoll ist, wichtige Punkte in separaten Texten noch einmal aufzuarbeiten.
Nacharbeit
Eines der Ziele eines Kickoff-Meetings für ein Securityprojekt sollte darin liegen, die Teilnehmer wenigstens rudimentär zu einem „Team“ zusammenzuführen. Die Veranstalter des Meetings tun deshalb gut daran, die MeetingDokumentation mit den gezeigten Präsentationen, einem Protokoll, der beschriebenen Mindmap und besonderen Kapiteln zu Problemen oder Kernpunkten erst noch einmal in die Runde zu schicken, bevor sie als „final“ wiederum an alle Teilnehmer und gezielt an die Geschäftsleitung geht.
Zu all denen, die besonders kritische Punkte auf den Tisch gebracht haben, sollte das Team direkt Kontakt suchen und schildern, wie es mit den Einwänden umzugehen gedenkt. Später, wenn das Projekt bereits gestartet wurde, ist es ebenfalls sinnvoll, die Kick-off-Teilnehmer regelmäßig auf dem Laufenden zu halten und nicht nur anzusprechen, wenn sie einen Beitrag leisten sollen. Andernfalls geht das mühsam erarbeitete Ziel, etwas gemeinsam und in abgesprochener Weise zu tun, allzu schnell wieder verloren.
Fazit
Um zum „Zauber des Anfangs“ zurückzukommen: Dass bei Sicherheits- und Datenschutzprojekten häufig gleich zu Beginn böse Magie ins Spiel kommt, liegt auch daran, dass solche Vorhaben den Mitarbeitern eines Unternehmens gewöhnlich einiges abverlangen. Da müssen lieb gewonnene und bewährte Arbeitsabläufe umgestellt werden, Kennwörter und andere lästige Mechanismen kommen ins Spiel und fast immer kostet das Mehr an Sicherheit auch fachfremde Kollegen Zeit und Geld in der Einführungsphase.
Es lohnt sich deshalb für Security-Teams, gleich beim Start etwas „Feenstaub“ in die Runde zu pusten und das initiale Treffen aller Beteiligten möglichst so zu gestalten und vorzubereiten, dass es eine friedliche und effektive Zusammenarbeit in der Folge unterstützt. Die positive Atmosphäre dieses ersten Tages kann dann durchaus die Monate oder gar Jahre überdauern, die ein Projekt an Zeitaufwand verlangt. Der böse Schatten eines missratenen Kick-offs macht das sicherlich.
Denn: „Nur wer bereit zu Aufbruch ist und Reise, mag lähmender Gewöhnung sich entraffen“, lauten zwei weitere Gedichtzeilen aus Hesses „Stufen“.
Bettina Weßelmann (bettina@wesselmann.com) ist Beraterin für Unternehmenskommunikation und Fachautorin mit dem Spezialgebiet Informationssicherheit. Dr. Johannes Wiele (johannes@wiele.com) ist freier Autor sowie GDD-geprüfter Datenschutzbeauftragter und arbeitet als Senior Manager in der Cybersecurity-Beratung.