Dokumentenerstellung
Dieser Artikel gibt allgemeine Hinweise und Tips zur Erstellung von Sicherheitsdokumenten (was schreibe ich wie, warum, für wen?).
Einleitung
Die Erstellung von klarer, verständlicher, aussagekräftiger und qualitativ hochwertiger Dokumentation ist von entscheidender Bedeutung, ob es sich nun um Betriebsdokumentation, Anleitungen und Konzepte oder um organisatorische Richtlinien und Anweisungen handelt. Eine gut erstellte Dokumentation trägt nicht nur zur Effizienz bei, sondern hilft auch, Missverständnisse zu vermeiden und das Wissen innerhalb einer Organisation zu bewahren. Dieser Artikel beschreibt Schritte und bewährte Methoden sowie häufige Fehler bei der Erstellung qualitativ hochwertiger Dokumente, die sowohl den Anforderungen der Zielgruppe als auch den Zielen des Dokuments gerecht werden.
Begriffsklärung
Zum besseren Verständnis hier einige allgemeine Definitionen der häufig verwendeten Begriffe und Dokumenttypen.
IT-Sicherheit vs. Informationssicherheit
In der einschlägigen Literatur werden die beiden Begriffe oft synonym verwendet, aber gibt es einen Unterschied?
Ja, grundsätzlich gilt: Informationssicherheit ist mehr als "nur" IT-Sicherheit.
Der Begriff IT-Sicherheit ist älter und stammt aus den Anfängen der IT. Er ist stärker auf die reine Technik fokussiert und beschreibt häufig die technischen und funktionalen Sicherheitsaspekte der IT. Informationssicherheit hingegen hat einen ganzheitlicheren Ansatz und betrachtet den gesamten Prozess der Informationsverarbeitung, von dem die reine IT nur eine - wenn auch meist große - Teilmenge darstellt.
Moderne Bedrohungen beschränken sich aber längst nicht mehr auf die reine Technik.
Häufig verwendete Dokumenttypen
Je nach Größe der Organisation finden sich typischerweise folgende Arten von Dokumenten
Leitlinien
Eine Leitlinie ist ein allgemeines, übergeordnetes Dokument, das die grundlegenden Prinzipien, Ziele und Vorgehensweisen für die gesamte Organisation und für ein bestimmtes Thema festlegt und als Leitfaden für Entscheidungen und Maßnahmen dient (z. B. Leitlinie zur Informationssicherheit oder Leitlinie zum Datenschutz). Eine Leitlinie sollte allgemein und unabhängig von konkreten Produkten und technischen Lösungen formuliert werden.
Richtlinien
Eine Richtlinie ist ein Dokument, das produkt- und verfahrensunabhängig für einen bestimmten Geltungsbereich klare Regeln, Verfahren oder Standards für das Verhalten, die Entscheidungsfindung oder die Aufgabenerfüllung in einer Organisation festlegt. Sie dient als Richtschnur, um einheitliche Vorgehensweisen zu gewährleisten und sicherzustellen, dass die Mitarbeitenden in Übereinstimmung mit den definierten Vorgaben handeln.
Konzepte
Ein Konzept ist eine strukturierte Darstellung einer Idee oder eines Vorhabens, in der die Ziele, die Vorgehensweise und die möglichen Wege der Umsetzung unter Einhaltung der relevanten Richtlinien beschrieben werden.
Konzepte sind der Ausgangspunkt für eine detailliertere Planung und Umsetzung. Sie ermöglichen es, eine gemeinsame Vision zu entwickeln und sicherzustellen, dass alle Beteiligten das gleiche Verständnis von den Zielen und der Vorgehensweise haben, bevor mit der Umsetzung begonnen wird.
Leitfäden
Ein Leitfaden ist ein praxisorientiertes Dokument, das Schritt-für-Schritt-Anleitungen, Tipps und Empfehlungen für die Durchführung bestimmter Aufgaben oder Prozesse enthält.
Betriebshandbücher
Ein Betriebshandbuch ist ein Dokument, das detaillierte Anweisungen, Verfahren und technische Informationen für den Betrieb, die Wartung und die Fehlerbehebung von Systemen oder Geräten enthält. Es konzentriert sich auf die technischen Aspekte eines Systems, einer Anlage oder eines Prozesses. Ein Betriebshandbuch kann Informationen wie technische Spezifikationen, Wartungspläne, Prozessbeschreibungen und Verfahren zur Fehlerbehebung enthalten. Es richtet sich an technisches Personal, das mit der praktischen Durchführung betrieblicher Aufgaben betraut ist.
Betriebsführungshandbücher
Ein Betriebsführungshandbuch (ggf auch Betriebskonzept) geht über rein technische Aspekte hinaus und umfasst auch (oder nur) organisatorische und verwaltungstechnische Elemente. Es enthält Anweisungen, Verfahren und Vorgaben zur Steuerung und Verwaltung der Betriebsaktivitäten, einschließlich organisatorischer Strukturen, Zuständigkeiten, Kommunikationswege und Koordinationsprozesse. Ein Betriebsführungshandbuch kann Aspekte wie Personalmanagement, Budgetierung, Planung, Koordination zwischen verschiedenen Abteilungen und die Einhaltung von Unternehmensrichtlinien behandeln. Es richtet sich an Führungskräfte und Manager, die die Betriebsführung und -verwaltung verantworten.
Anweisungen
Eine Anweisung oder Arbeitsanweisung ist ein präzises Dokument, das klare Anweisungen oder Vorgaben für bestimmte Tätigkeiten oder Aufgaben in einer Organisationseinheit enthält.
Checklisten
Eine Checkliste ist eine strukturierte Liste von Kriterien, die abgehakt werden, um sicherzustellen, dass bestimmte Schritte, Standards oder Anforderungen ggf. auch in einer bestimmten Reihenfolge erfüllt werden.
Reports
Ein Report ist ein Bericht oder Auszug, der Daten, Informationen, Analysen oder Ergebnisse zu einem bestimmten Thema oder einer spezifischen Untersuchung zusammenfasst und präsentiert.
Es kann weitere Dokumententyen in der Organisation geben oder einzelne Typen nicht vorkommen.
[[[GRAFIK]]]Typischerweise sind die einzelnen Typen pyramidenartig gestaffelt, begonnen mit einer oder wenigen organisationsweiten Leitlinien bis hin zu einer Vielzahl von betrieblichen Dokumenten und Aufzeichnungen für jedes einzelne Verfahren.
Häufige Fehler beim Erstellen von Dokumenten
Der Elfenbeinturm
Dokumente werden erstellt, ohne sich mit anderen Bereichen abzustimmen. Z.B. wird eine Richtlinie oder ein Konzept von einem externen Berater für die Organisation erstellt und in Kraft gesetzt, ohne diese noch einmal intern in den betroffenen Bereichen abzustimmen oder Feedback wird ignoriert, weil es nicht für relevant gehalten wird. Das ist eine sichere Methode wie es häufig schief geht.
Unklare Zielgruppe
Wenn nicht klar ist, für wen das Dokument geschrieben ist, können die einen vom Inhalt überfordert sein, die anderen fühlen sich nicht ernst genommen oder zweifeln an der Kompetenz des Verfassers.
Zuviel Prosa
Dokumente sollten so lang wie nötig und so kurz wie möglich sein. Wer sich durch fünf Seiten einführende Prosa kämpfen muss, um dann erst festzustellen, dass das Dokument für ihn eigentlich nicht relevant ist oder nicht die Information enthält, die er braucht, wird das nächste Dokument dieser Art gleich ungelesen beiseite gelegt.
Falsche Ansprache
"Der Ton macht die Musik". Oberlehrerhafte oder übergriffige Formulierungen können beim Leser eine natürliche Abwehrhaltung auslösen.
Formulierungen wie z.B:
„Es ist nicht erlaubt...“
„Unterlassen Sie ....“
„Es ist strengstens verboten...“
sollten sparsam eingesetzt und, wo nötig, gut begründet werden.
Fehlende Praxisrelevanz
Was in der Theorie in einer Richtlinie oder einem Konzept logisch klingt, ist in der Praxis nicht immer umsetzbar.
Ein Beispiel: Ein Satz wie „Es dürfen nur freigegebene USB-Sticks verwendet werden“ liest sich in einer IT-Sicherheitsrichtlinie plausibel. In der Praxis wirft er jedoch viele Fragen auf:
- Was ist ein „freigegebener USB-Stick“ und woran erkenne ich, dass er freigegeben ist?
- Was mache ich, wenn ein Kunde oder Dienstleister einen USB-Stick mit Daten mitbringt? Gibt es ein praktikables Verfahren, wie die Daten darauf sicher in die Organisation gelangen?
- Darf ein „freigegebener USB-Stick“ der Organisation auch von Kunden oder Dienstleistern genutzt werden?
Eine vermeintlich logische und sinnvolle Regelung kann in der Praxis mehr Fragen aufwerfen als Klarheit schaffen.
Alle Ziele und Anforderungen, die in einem Dokument formuliert werden, sollten auch in der Praxis realistisch und mit vertretbarem Aufwand umgesetzt werden können.
Redundanzen
Wenn ein Sachverhalt mehrfach in verschiedenen Dokumenten geregelt ist, führt dies oft zu widersprüchlichen Regelungen.
Maximalanforderungen
Ein weiterer häufiger Fehler sind unrealistische Ziele und Anforderungen in Richtlinien, die zwangsläufig zu Regelverstößen oder einer Vielzahl von Ausnahmeregelungen führen.Manchmal ist weniger mehr.
Tote Verweise
Verweise auf andere Dokumente sollte sehr sparsam genutzt werden und möglichst in einem Kapitel oder Anhang leicht pflegbar zusammen gefasst sein.
Der Verweis auf ein anderes Dokument sollte nur erfolgen, wenn der Betreff des Verweises ein elementares Kernthema des Dokuments ist, auf das verwiesen wird.
Tiefergehende Verweise auf Kapitel oder Unterkapitel sollten vermieden werden, diese werden auf Dauer nicht pflegbar sein.
Unklare Entscheidungen und Beweggründe
Insbesondere bei einschränkenden oder aufwendigen Vorgaben und Anweisungen ist es für eine breite Akzeptanz wichtig, dem Leser die Beweggründe zu vermitteln, die zu dieser Vorgabe geführt haben. Nur wenn die Mitarbeitenden verstehen, warum sie dies nicht dürfen oder jenes tun müssen, werden sie solche Vorgaben auch befolgen. Scheinbar unsinnige oder nicht nachvollziehbare Vorgaben - insbesondere wenn sie mit erhöhtem Aufwand verbunden sind - werden gerne mit dem Hinweis auf fehlende Zeit oder Ressourcen ignoriert.
Vermischte Dokumenttypen
Je nach Herkunft des Verfassers finden sich in Richtlinien oft konkrete technische oder produktspezifische Umsetzungen und in Konzepten oder Betriebshandbüchern allgemeine "könnte", "sollte" und "müsste" Formulierungen.
Dies entspricht nicht dem Charakter der jeweiligen Dokumentart. Eine Richtlinie sollte grundsätzliche Anforderungen und Vorgaben enthalten, ein Konzept konkrete Umsetzungen.
Tips für gute Dokumente
Bedarf prüfen
Wird das Dokument wirklich benötigt? Je größer die Anzahl der Dokumente in einer Organisation ist, desto größer ist die Wahrscheinlichkeit, dass sie nicht mehr (alle) gelesen werden. Prüfe daher, ob das Dokument wirklich benötigt wird und wenn ja, ob es wirklich ein eigenes Dokument sein muss, oder ob es nicht ein Dokument zu einem ähnlichen Thema gibt, wo dieses Thema ergänzt werden kann.
Klar abgegrenztes Thema
Das Thema des Dokuments sollte klar abgegrenzt und beschrieben werden, und das gesamte Dokument sollte sich ausschließlich auf dieses Thema konzentrieren. Dies vermeidet ausufernde Dokumente, die "von Höcksken zu Stöksken" kommen.
Definiere auch den Zweck des Dokuments. Soll es informieren, anleiten, regeln, schulen, Anweisungen geben oder etwas anderes erreichen? Ein klarer Zweck führt zu zielgerichteterem Schreiben.
Eindeutigen Titel wählen
Der Titel des Dokuments sollte den Inhalt kurz und prägnant wiedergeben, so dass das Thema und die Relevanz des Inhalts aus dem Titel ersichtlich sind.
Zielgruppe definieren
Die Zielgruppe muss klar definiert sein. Eine Richtlinie, die sich an Anwender richtet, muss anders formuliert werden als eine Richtlinie für Administratoren oder eine Richtlinie für Entscheider und Führungskräfte.
Regelungen für Dokumentation beachten
Wenn es in der Organisation eine Richtlinie für die Lenkung von Dokumenten gibt, muss diese befolgt werden. Diese Richtlinie regelt, wie Dokumente in der Organisation erstellt, geprüft und freigegeben werden.
Gleiches gilt für die Verwendung von eventuell vorhandenen Dokumentvorlagen (Templates) und das Corporate Design der Organisation.
Dokument klassifizieren
Nicht jedes Dokument ist für die Öffentlichkeit bestimmt. Bereits bei der Erstellung muss berücksichtigt werden, für welche Zielgruppe das Dokument bestimmt ist und ob es sich um öffentliche, interne oder gar kritische bzw. vertrauliche Informationen handelt.
Logische Struktur und Gliederung
Zuerst sollte eine Gliederung mit Überschriften erstellt werden, die die Hauptabschnitte und Unterkategorien der Dokumentation logisch und übersichtlich auflistet, erst dann sollten die einzelnen Abschnitte mit Inhalt gefüllt werden. Eine klare und logische Struktur hilft dem Leser, sich im Dokument zurechtzufinden.
Kurz, klar und sachlich schreiben
Die Dokumente sollten eine einfache, klare und präzise Sprache verwenden. Fachjargon und ausschmückende Prosa sind zu vermeiden. Generell müssen Sprache, Ausdrucksweise und fachliche Tiefe der Zielgruppe angemessen sein.
Rechliche Regelungen, Normen und Standards beachten
Die Dokumentation muss alle in der Organisation geltenden gesetzlichen Regelungen, Normen und Standards berücksichtigen und darf diesen inhaltlich nicht widersprechen.
Sinnvolle Visualisierung
Ein Bild sagt mehr als tausend Worte. Gerade Prozesse und Abläufe lassen sich mit einem Ablaufdiagramm besser und verständlicher darstellen als mit viel Text.
Ablage und Verteilung
Die Dokumentation sollte nur in der jeweils gültigen Version in einem geeigneten Format (z.B. PDF) an einem zentralen Ort abgelegt werden, der für die Zielgruppe jederzeit zugänglich und bekannt ist.
Je nach Einstufung der Dokumentation ist der Zugriff auf die jeweils Berechtigten zu beschränken.
Über neue oder überarbeitete Dokumente muss die betroffene Zielgruppe in geeigneter Weise zeitnah informiert werden (Email, Intranet, Gruppenrunden).
Eine Notfalldokumentation muss auch offline verfügbar sein (z.B. auf lokalen Geräten oder in Papierform).