top of page

Gemba-Security: Was ist das?

  • Klaus Kilvinger
  • vor 1 Tag
  • 3 Min. Lesezeit

Der Gemba‑Walk ist Teil der Philosophie des Lean‑Management und lässt sich auf die Informationssicherheit (z. B. nach ISO 27001) übertragen


Der Ursprung


Der Begriff „Gemba“ bedeutet im Japanischen „der eigentliche Ort“ – also der Ort, an dem Wertschöpfung stattfindet und an dem die konkreten Probleme (z. B. mit der Sicherheit) tatsächlich entstehen.


Sein Ursprung liegt in den 1950er Jahren beim Toyota-Produktionssystem (TPS), entwickelt von Taiichi Ohno.


Ein Gemba-Walk ist daher ein Vor-Ort-Besuch von Führungskräften oder Fachleuten, um:

• direkt zu beobachten, wie Prozesse tatsächlich ablaufen,

• Abweichungen zwischen Papier und Realität zu erkennen,

• Mitarbeitende einzubeziehen, die täglich mit den Prozessen arbeiten,

• Verbesserungspotenziale unmittelbar zu identifizieren.


Es geht also nicht um theoretische Bewertungen oder Kontrolle, sondern um praktische Einsicht und das Ziel ist es, Probleme vor Ort zu verstehen und kontinuierliche Verbesserungen (KVP) zu fördern.


Übertragung auf Informationssicherheit: Die Idee der „Gemba-Security“


Auch in der Informationssicherheit (z. B. nach ISO 27001 oder TISAX bzw. NIS2) existiert ggf. eine große Lücke zwischen dem, was auf dem Papier steht (Policies, Richtlinien, Prozesse) und dem, was Menschen im Arbeitsalltag tatsächlich tun. Ein Gemba-Security‑Walk schließt genau diese Lücke.


Analog zum Gemba-Walk bedeutet Gemba-Security:

  • Sicherheitskontrollen dort prüfen, wo sie wirklich wirken sollen (Serverräume, Arbeitsplätze, Fertigungshallen, Logistikbereiche, Außendienstprozesse …)

  • Beobachten, wie Mitarbeiter und Systeme tatsächlich mit Informationen umgehen

  • Prüfen, ob Sicherheitsmaßnahmen praktisch umsetzbar und wirksam sind

  • Direkten Kontakt mit Anwendern, um Probleme, Workarounds oder Lücken zu erkennen

  • Praxis statt Dokumentation


Während ein ISMS nach z. B. ISO 27001 häufig stark dokumentenorientiert wahrgenommen wird, stellt Gemba-Security sicher, dass das ISMS nicht nur auf dem Papier existiert, sondern real gelebt wird.


Was wird bei einem Gemba-Security-Walk geprüft?


Einige typische Beobachtungsschwerpunkte sind:


Physische Sicherheit

  • Werden Türen, Serverräume, Büros wirklich abgeschlossen?

  • Ist das Besucherhandling korrekt?

  • Liegen vertrauliche Dokumente oder Geräte offen herum?

Technische Sicherheit

  • Wie werden Passwörter tatsächlich gehandhabt?

  • Werden USB-Sticks genutzt?

  • Sind sensible Systeme unbeaufsichtigt angemeldet?

Organisatorische Sicherheit

  • Befolgen Mitarbeitende die Richtlinien?

  • Gibt es informelle Workarounds („Schattenprozesse“)?

  • Werden Schulungen verstanden und angewendet?

Operationelle Sicherheit

  • Funktioniert Incident-Meldung in der Praxis?

  • Sind Backups wirklich vorhanden und benutzbar?

  • Stimmen reale Abläufe mit Prozessbeschreibungen überein?


Nutzen für das ISMS nach ISO 27001


  • Stärkere Wirksamkeit der Kontrollen: Viele Controls der ISO 27001 betreffen Verhalten, Prozesse und Technik. Gemba-Security zeigt, ob sie real funktionieren!

  • Schließen der Lücke zwischen Dokumentation und Realität: Ein Dokument mag perfekt sein – aber Tests und Beobachtungen zeigen, ob es auch gelebt wird.

  • Prüfung der physischen Anforderungen: Ideal ist der Gemba-Walk geeignet, die Anforderungen an die physische Sicherheit gem. Anhang der ISO 27001 zu prüfen.


Aber Achtung: Im Gegensatz zu strukturierten Audits, die konkret Compliance abprüfen, fokussiert der Gemba Walk auf Lernen, Verständnis und Verbesserungen! Er ersetzt kein Audit, ist aber ein bewährtes Instrument im „Werkzeugkasten“ des ISMS.


Praxis ist wichtig


Der Gemba-Walk dient der Unterstützung der kontinuierlichen Verbesserung (PDCA-Zyklus), denn Gemba-Security liefert echte, praxisbasierte Erkenntnisse für:

  • Risikobewertungen

  • Maßnahmenplanung

  • interne Audits

  • Management Reviews


Er dient der Stärkung der Sicherheitskultur, denn Mitarbeitende erleben Sicherheitsverantwortliche als nahbar und interessiert, statt abstrakt und dokumentengetrieben.


Gemba-Walk: Schritte und Checkliste


Es gibt i. d. R. folgende Schritte:

  • Gehen

  • Sehen und Hören

  • Sofortmaßnahmen

  • Quelle finden

  • Ursachenbeseitigung

  • Standardisieren


Dabei ist wichtig, auf den respektvollen Umgang mit den Mitarbeitern zu achten und nicht nur auf mögliche Fehler hinzuweisen bzw. diese mit Macht zu suchen. Man sollte außerdem ein Thema wählen, das einen auf dem Gemba-Walk begleitet.


Und nehmen Sie sich nicht alle Themen auf einmal vor, fokussieren Sie! Und eine Checkliste hilft, strukturiert vorzugehen.


Fazit


Der Gemba-Walk aus dem Lean‑Management lässt sich hervorragend auf die Informationssicherheit übertragen.


Gemba-Security bedeutet: Das ISMS dort prüfen, wo Informationsverarbeitung tatsächlich stattfindet – nicht nur auf dem Papier.


Das Ergebnis ist ein ehrliches Bild der Sicherheitslage, realitätsnahe Verbesserungen und ein ISMS, das praktisch wirksam ist und nicht nur formal existiert.



Sprechen Sie uns an, wir machen für Sie den "Gemba-Walk"!

 
 
bottom of page