Dokumentenerstellung

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen

Dieser Artikel gibt allgemeine Hinweise und Tipps zur Erstellung sicherheitsrelevanter Dokumente, von der Richtlinie über das Konzept bis zur Checkliste (was schreibe ich wie, warum, für wen?) und zeigt häufige Fehler auf.

Einleitung

Die Erstellung von klarer, verständlicher, aussagekräftiger und qualitativ hochwertiger Dokumentation ist von entscheidender Bedeutung, ob es sich nun um Betriebsdokumentation, Anleitungen und Konzepte oder um organisatorische Richtlinien und Anweisungen handelt. Eine gut erstellte Dokumentation trägt nicht nur zur Effizienz bei, sondern hilft auch, Missverständnisse zu vermeiden und das Wissen innerhalb einer Organisation zu bewahren. Dieser Artikel beschreibt Schritte und bewährte Methoden sowie häufige Fehler bei der Erstellung qualitativ hochwertiger Dokumente, die sowohl den Anforderungen der Zielgruppe als auch den Zielen des Dokuments gerecht werden.

Begriffsklärung

Zum besseren Verständnis hier einige allgemeine Definitionen der häufig verwendeten Begriffe und Dokumentarten.

IT-Sicherheit vs. Informationssicherheit

In der einschlägigen Literatur werden die beiden Begriffe oft synonym verwendet, aber gibt es einen Unterschied?

Ja, grundsätzlich gilt: Informationssicherheit ist mehr als "nur" IT-Sicherheit.

Der Begriff IT-Sicherheit ist älter und stammt aus den Anfängen der IT. Er ist stärker auf die reine Technik fokussiert und beschreibt häufig die technischen und funktionalen Sicherheitsaspekte der IT. Informationssicherheit hingegen hat einen ganzheitlicheren Ansatz und betrachtet den gesamten Prozess der Informationsverarbeitung, von dem die reine IT nur eine - wenn auch meist große - Teilmenge darstellt.

Moderne Bedrohungen beschränken sich aber längst nicht mehr auf die reine Technik.

Dokument vs. Aufzeichnung

Ein Dokument und eine Aufzeichnung sind beide schriftliche oder digitale Aufzeichnungen, die im allgemeinen Sprachgebrauch auch beide als Dokumente bezeichnet werden, aber sie haben unterschiedliche Bedeutungen und Verwendungszwecke:

Ein Dokument ist eine schriftliche oder elektronische Darstellung von Informationen, die bestimmte Inhalte, Daten oder Konzepte aufzeichnet. Dokumente können Texte, Grafiken, Tabellen, Diagramme oder Multimedia-Inhalte enthalten. Sie werden häufig erstellt, um Informationen zu erfassen, zu kommunizieren, zu speichern oder zu teilen. Dokumente können strukturiert oder unstrukturiert sein und verschiedene Formate haben, je nach ihrem Zweck und ihrer Zielgruppe. Beispiele für Dokumente sind Handbücher, Konzepte, Verträge, Richtlinien und andere schriftliche Inhalte.

Eine Aufzeichnung bezieht sich auf eine dokumentierte oder protokollierte Aufnahme von Informationen, Ereignissen oder Aktivitäten. Aufzeichnungen werden in der Regel erstellt, um Beweise zu liefern, Vorgänge nachzuvollziehen, Abläufe zu überwachen oder rechtliche Anforderungen zu erfüllen. Sie sind oft datums- und zeitgestempelt und können in verschiedenen Formen wie Text, Audio, Video oder elektronischen Datensätzen vorliegen. Beispiele für Aufzeichnungen sind Protokolle, Transaktionsaufzeichnungen oder Checklisten.

Der Hauptunterschied zwischen einem Dokument und einer Aufzeichnung liegt in ihrer Funktion: Ein Dokument dient dazu, Informationen zu präsentieren oder zu vermitteln, während eine Aufzeichnung dazu dient, Ereignisse oder Aktivitäten festzuhalten und später als Nachweis oder Referenz verwendet zu werden.

(Geschäfts)Prozess

Ein Prozess bezieht sich auf eine geordnete Abfolge von Aktivitäten oder Schritten, die ausgeführt werden, um ein bestimmtes Ziel zu erreichen. Ein Geschäftsprozess ist eine systematische Abfolge von Aktivitäten, um ein bestimmtes Geschäftsziel zu erreichen.

Kernprozesse (oder Hauptprozesse) sind die zentralen Prozesse der Organisation, die direkt zur Wertschöpfung beitragen und damit essentiell für das Kerngeschäft sind. Sie stellen die Haupttätigkeiten dar, die die Organisation ausführen muss, um seine Produkte oder Dienstleistungen zu erstellen oder bereitzustellen.

Hilfsprozesse, oder auch Supportprozesse genannt, sind Prozesse, die nicht direkt zur Wertschöpfung beitragen, sondern die Organisation in seiner Tätigkeit unterstützen und optimieren sollen. Sie stellen damit eine indirekte Unterstützung des Kerngeschäfts dar.

Anwendung

Eine Anwendung (auch als Softwareanwendung oder App abgekürzt) ist eine Software, die entwickelt wurde, um bestimmte Aufgaben oder Funktionen auf einem Computer, Mobilgerät oder anderen elektronischen Geräten auszuführen. Anwendungen reichen von einfachen Textverarbeitungsprogrammen bis hin zu komplexen Anwendungen wie Grafikdesign-Tools, Kommunikations-Apps oder Spiele. Eine Anwendung kann auch aus einem Zusammenspiel mehrerer einzelner Programme bestehen.

Verfahren

Ein Verfahren bezieht sich auf eine festgelegte Abfolge von Schritten oder Regeln, die befolgt werden, um eine bestimmte Aufgabe, Aktivität oder einen Vorgang durchzuführen. Verfahren sind oft spezifisch und detailliert und dienen dazu, konsistente Ergebnisse zu erzielen und eine effiziente Durchführung von Aufgaben sicherzustellen.

In der Informationssicherheit wird der Begriff "Verfahren" oft als Synonym für "Anwendung" verwendet, wobei das Verfahren mehr auf die Aufgabe (was) und die Anwendung mehr auf die Software (wie) ausgerichtet ist.

Programm

Ein Programm bezieht sich auf eine Sammlung von Anweisungen oder Befehlen, die in einer bestimmten Programmiersprache geschrieben wurden, um einem Computer oder einer Maschine zu sagen, welche Aufgaben ausgeführt werden sollen. Programme können vielfältig sein, von einfachen Skripten bis hin zu komplexen Softwareanwendungen, die komplexe Aufgaben oder Berechnungen durchführen können.

Arten von Dokumenten

Je nach Größe der Organisation finden sich typischerweise folgende Arten von Dokumenten

Leitlinien

Eine Leitlinie ist ein allgemeines, übergeordnetes Dokument, das die grundlegenden Prinzipien, Ziele und Vorgehensweisen für die gesamte Organisation und für ein bestimmtes Thema festlegt und als Leitfaden für Entscheidungen und Maßnahmen dient (z. B. Leitlinie zur Informationssicherheit oder Leitlinie zum Datenschutz). Eine Leitlinie sollte allgemein und unabhängig von konkreten Produkten und technischen Lösungen formuliert werden.

Richtlinien

Eine Richtlinie ist ein Dokument, das produkt- und verfahrensunabhängig für einen bestimmten Geltungsbereich klare Regeln, Verfahren oder Standards für das Verhalten, die Entscheidungsfindung oder die Aufgabenerfüllung in einer Organisation festlegt. Sie dient als Richtschnur, um einheitliche Vorgehensweisen zu gewährleisten und sicherzustellen, dass die Mitarbeitenden in Übereinstimmung mit den definierten Vorgaben handeln.

Konzepte

Ein Konzept ist eine strukturierte Darstellung einer Idee oder eines Vorhabens, in der die Ziele, die Vorgehensweise und die möglichen Wege der Umsetzung unter Einhaltung der relevanten Richtlinien beschrieben werden.

Konzepte sind der Ausgangspunkt für eine detailliertere Planung und Umsetzung. Sie ermöglichen es, eine gemeinsame Vision zu entwickeln und sicherzustellen, dass alle Beteiligten das gleiche Verständnis von den Zielen und der Vorgehensweise haben, bevor mit der Umsetzung begonnen wird.

Leitfäden

Ein Leitfaden ist ein praxisorientiertes Dokument, das Schritt-für-Schritt-Anleitungen, Tipps und Empfehlungen für die Durchführung bestimmter Aufgaben oder Prozesse enthält.

Betriebshandbücher

Ein Betriebshandbuch ist ein Dokument, das detaillierte Anweisungen, Verfahren und technische Informationen für den Betrieb, die Wartung und die Fehlerbehebung von Systemen oder Geräten enthält. Es konzentriert sich auf die technischen Aspekte eines Systems, einer Anlage oder eines Prozesses. Ein Betriebshandbuch kann Informationen wie technische Spezifikationen, Wartungspläne, Prozessbeschreibungen und Verfahren zur Fehlerbehebung enthalten. Es richtet sich an technisches Personal, das mit der praktischen Durchführung betrieblicher Aufgaben betraut ist.

Betriebsführungshandbücher

Ein Betriebsführungshandbuch (ggf auch Betriebskonzept) geht über rein technische Aspekte hinaus und umfasst auch (oder nur) organisatorische und verwaltungstechnische Elemente. Es enthält Anweisungen, Verfahren und Vorgaben zur Steuerung und Verwaltung der Betriebsaktivitäten, einschließlich organisatorischer Strukturen, Zuständigkeiten, Kommunikationswege und Koordinationsprozesse. Ein Betriebsführungshandbuch kann Aspekte wie Personalmanagement, Budgetierung, Planung, Koordination zwischen verschiedenen Abteilungen und die Einhaltung von Unternehmensrichtlinien behandeln. Es richtet sich an Führungskräfte und Manager, die die Betriebsführung und -verwaltung verantworten.

Anweisungen

Eine Anweisung oder Arbeitsanweisung ist ein präzises Dokument, das klare Anweisungen oder Vorgaben für bestimmte Tätigkeiten oder Aufgaben in einer Organisationseinheit enthält.

Checklisten

Eine Checkliste ist eine strukturierte Liste von Kriterien, die abgehakt werden, um sicherzustellen, dass bestimmte Schritte, Standards oder Anforderungen ggf. auch in einer bestimmten Reihenfolge erfüllt werden.

Reports

Ein Report ist ein Bericht oder Auszug, der Daten, Informationen, Analysen oder Ergebnisse zu einem bestimmten Thema oder einer spezifischen Untersuchung zusammenfasst und präsentiert.

Dokumentenpyramide


Es kann andere Arten von Dokumenten in der Organisation geben oder bestimmte Arten können nicht vorhanden sein.

Typischerweise sind die einzelnen Dokumentenarten pyramidenförmig gestaffelt, beginnend mit einer oder wenigen organisationsweiten Leitlinien bis hin zu einer Vielzahl von operativen Dokumenten und Aufzeichnungen für jeden einzelnen Prozess.

Auch die technische Komplexität und die Änderungshäufigkeit der Dokumente nehmen nach unten hin zu.

Häufige Fehler bei der Erstellung von Dokumenten

Der Elfenbeinturm

Dokumente werden erstellt, ohne sich mit anderen Bereichen abzustimmen. Z.B. wird eine Richtlinie oder ein Konzept von einem externen Berater für die Organisation erstellt und von der Leitung in Kraft gesetzt, ohne diese noch einmal intern in den betroffenen Bereichen abzustimmen oder das Feedback der Fachbereiche wird ignoriert, weil es nicht für relevant gehalten wird. Das ist eine sichere Methode wie es häufig schief geht.

Unklare Zielgruppe

Wenn nicht klar ist, für wen das Dokument geschrieben ist, können die einen vom Inhalt überfordert sein, die anderen fühlen sich nicht ernst genommen oder zweifeln an der Kompetenz des Verfassers.

Zuviel Prosa

Dokumente sollten so lang wie nötig und so kurz wie möglich sein. Wer sich durch fünf Seiten einführende Prosa kämpfen muss, um dann erst festzustellen, dass das Dokument für ihn eigentlich nicht relevant ist oder nicht die Information enthält, die er braucht, wird das nächste Dokument dieser Art gleich ungelesen beiseite gelegt.

Falsche Ansprache

"Der Ton macht die Musik". Oberlehrerhafte oder übergriffige Formulierungen können beim Leser eine natürliche Abwehrhaltung auslösen.

Formulierungen wie z.B:

„Es ist nicht erlaubt...“

„Unterlassen Sie ....“

„Es ist strengstens verboten...“

sollten sparsam eingesetzt und, wo nötig, gut begründet werden.

Fehlende Praxisrelevanz

Was in der Theorie in einer Richtlinie oder einem Konzept logisch klingt, ist in der Praxis nicht immer umsetzbar.

Ein Satz wie „Es dürfen nur freigegebene USB-Sticks verwendet werden“ liest sich in einer IT-Sicherheitsrichtlinie plausibel. In der Praxis wirft er jedoch viele Fragen auf:

  • Was ist ein „freigegebener USB-Stick“ und woran erkenne ich, dass er freigegeben ist?
  • Was mache ich, wenn ein Kunde oder Dienstleister einen USB-Stick mit Daten mitbringt? Gibt es ein praktikables Verfahren, wie die Daten darauf sicher in die Organisation gelangen?
  • Darf ein „freigegebener USB-Stick“ der Organisation auch von Kunden oder Dienstleistern genutzt werden?

Eine vermeintlich logische und sinnvolle Regelung kann in der Praxis mehr Fragen aufwerfen als Klarheit schaffen.

Redundanzen

Wenn ein Sachverhalt mehrfach in verschiedenen Dokumenten geregelt ist, führt dies oft zu widersprüchlichen Regelungen.

Maximalanforderungen

Ein weiterer häufiger Fehler sind unrealistische Ziele und Anforderungen in Richtlinien, die zwangsläufig zu Regelverstößen oder einer Vielzahl von Ausnahmeregelungen führen. Manchmal ist weniger mehr.

Alle in einem Dokument formulierten Ziele und Anforderungen müssen auch in der Praxis realistisch und mit vertretbarem Aufwand umsetzbar sein.

Tote Verweise

Verweise auf andere Dokumente sollten sehr sparsam genutzt werden und möglichst in einem Kapitel oder Anhang leicht pflegbar zusammen gefasst sein.

Der Verweis auf ein anderes Dokument sollte nur erfolgen, wenn der Betreff des Verweises ein elementares Kernthema des Dokuments ist, auf das verwiesen wird.

Tiefergehende Verweise auf Kapitel oder Unterkapitel sollten vermieden werden, diese werden auf Dauer nicht pflegbar sein.

Unklare Entscheidungen und Beweggründe

Insbesondere bei einschränkenden oder aufwendigen Vorgaben und Anweisungen ist es für eine breite Akzeptanz wichtig, dem Leser die Beweggründe zu vermitteln, die zu dieser Vorgabe geführt haben. Nur wenn die Mitarbeitenden verstehen, warum sie dies nicht dürfen oder jenes tun müssen, werden sie solche Vorgaben auch befolgen. Scheinbar unsinnige oder nicht nachvollziehbare Vorgaben - insbesondere wenn sie mit erhöhtem Aufwand verbunden sind - werden gerne mit dem Hinweis auf fehlende Zeit oder Ressourcen ignoriert.

Vermischte Dokumenttypen

Je nach Herkunft des Verfassers finden sich in Richtlinien oft konkrete technische oder produktspezifische Umsetzungen und in Konzepten oder Betriebshandbüchern allgemeine "könnte", "sollte" und "müsste" Formulierungen.

Dies entspricht nicht dem Charakter der jeweiligen Dokumentart. Eine Richtlinie sollte grundsätzliche Anforderungen und Vorgaben enthalten, ein Konzept oder Betriebshandbuch konkrete Umsetzungen.

Behauptungen

Dokumente geben in der Regel einen Sachstand wieder. Sachstände sollten, sofern es sich nicht um allgemeingültige Aussagen handelt, für den Leser nachvollziehbar sein. Anderenfalls kann der Adressat eines Dokumentes die Inhalte als Willkür oder als nicht relevant interpretieren.

Weitere Tipps für gute Dokumente

Bedarf prüfen

Wird das Dokument wirklich benötigt? Je größer die Anzahl der Dokumente in einer Organisation ist, desto größer ist die Wahrscheinlichkeit, dass sie nicht mehr (alle) gelesen werden. Prüfe daher, ob das Dokument wirklich benötigt wird und wenn ja, ob es wirklich ein eigenes Dokument sein muss, oder ob es nicht ein Dokument zu einem ähnlichen Thema gibt, wo dieses Thema ergänzt werden kann.

Klar abgegrenztes Thema

Das Thema des Dokuments sollte klar abgegrenzt und beschrieben werden, und das gesamte Dokument sollte sich ausschließlich auf dieses Thema konzentrieren. Dies vermeidet ausufernde Dokumente, die "von Höcksken zu Stöksken" kommen.

Definiere auch den Zweck des Dokuments. Soll es informieren, anleiten, regeln, schulen, Anweisungen geben oder etwas anderes erreichen? Ein klarer Zweck führt zu zielgerichteterem Schreiben.

Eindeutigen Titel wählen

Der Titel des Dokuments sollte den Inhalt kurz und prägnant wiedergeben, so dass das Thema und die Relevanz des Inhalts aus dem Titel hervorgehen. Dies erleichtert die Suche nach relevanten Dokumenten erheblich.

Zielgruppe definieren

Die Zielgruppe muss klar definiert sein. Eine Richtlinie, die sich an Anwender richtet, muss anders formuliert werden als eine Richtlinie für Administratoren oder eine Richtlinie für Entscheider und Führungskräfte.

Regelungen für Dokumentation beachten

Wenn es in der Organisation eine Richtlinie für die Lenkung von Dokumenten gibt, muss diese befolgt werden. Diese Richtlinie regelt, wie Dokumente in der Organisation erstellt, geprüft und freigegeben werden.

Gleiches gilt für die Verwendung von eventuell vorhandenen Dokumentvorlagen (Templates) und das Corporate Design der Organisation.

Dokument klassifizieren

Nicht jedes Dokument ist für die Öffentlichkeit bestimmt. Bereits bei der Erstellung muss berücksichtigt werden, für welche Zielgruppe das Dokument bestimmt ist und ob es sich um öffentliche, interne oder gar sicherheitskritische bzw. vertrauliche Informationen handelt.

Logische Struktur und Gliederung

Zuerst sollte eine Gliederung mit Überschriften erstellt werden, die die Hauptabschnitte und Unterkategorien der Dokumentation logisch und übersichtlich auflistet, erst dann sollten die einzelnen Abschnitte mit Inhalt gefüllt werden. Eine klare und logische Struktur hilft dem Leser, sich im Dokument zurechtzufinden.

Kurz, klar und sachlich schreiben

Die Dokumente sollten eine einfache, klare und präzise Sprache verwenden. Fachjargon und ausschmückende Prosa sind zu vermeiden. Generell müssen Sprache, Ausdrucksweise und fachliche Tiefe der Zielgruppe angemessen sein.

Rechliche Regelungen, Normen und Standards beachten

Die Dokumentation muss alle für das jeweilige Thema oder die Organisation geltenden Gesetze, Regelungen, Normen und Standards berücksichtigen und darf diesen inhaltlich nicht widersprechen.

Sinnvolle Visualisierung

Ein Bild sagt mehr als tausend Worte. Gerade Prozesse und Abläufe lassen sich mit einem Ablaufdiagramm besser und verständlicher darstellen als mit viel Text.

Ablage und Verteilung

Die Dokumentation sollte nur in der jeweils gültigen Version in einem geeigneten Format (z.B. PDF) an einem zentralen Ort abgelegt werden, der für die Zielgruppe jederzeit zugänglich und bekannt ist.

Je nach Einstufung der Dokumentation ist der Zugriff auf die jeweils Berechtigten zu beschränken.

Über neue oder überarbeitete Dokumente muss die betroffene Zielgruppe in geeigneter Weise zeitnah informiert werden (Email, Intranet, Gruppenrunden).

Eine Notfalldokumentation muss auch offline verfügbar sein (z.B. als Kopie auf lokalen Geräten oder in Papierform).