Hissen IT

Home Aktuelles Historie Security-Leitfaden

Der folgende Leitfaden von HissenIT richtet sich an Kunden & Kooperationspartner. Er bietet einen Überblick über unsere Empfehlungen in den Bereichen IT-Sicherheit sowie Datenschutz und dient stets als Grundlage für unsere Arbeit.

IT-Security für Projektverantwortliche - Sicherheit in Projekten richtig umsetzen

Trotz vieler anerkannter IT-Sicherheitsstandards scheitern viele IT-Projekte bzw. allgemein Produkte mit IT-Anteil am Thema Sicherheit. Was es zu beachten gilt und welche Fehler man vermeiden sollte.

Inhaltsverzeichnis

  1. Sicherheit in Projekten und Produkten
  2. IT-Sicherheit im Projekt durchsetzen
  3. IT-Sicherheit im Projekt: Von Anfang an!
  4. Sicherheit ist immer als Prozess zu verstehen
  5. Allgemeingültige Sicherheitsstandards
  6. Für Datenschutz gilt dasselbe!
  7. Checkliste für Verantwortliche / Projektleiter
  8. Faktor Mensch
  9. Zusammenfassung

Sicherheit in Projekten und Produkten

IT-Projekte bzw. Produkte mit IT-Bezug beinhalten per Definition den Aufbau eines Systems der Informationstechnologie. Hierbei kann es sich um die reine Installation existierender Lösungen handeln oder die komplette Neuentwicklung eigener Komponenten. Auch eine Kombination ist möglich, etwa wenn Standard- oder Open-Source-Software mit eigenen Erweiterungen weiterentwickelt wird. Egal ob am Ende ein Produkt entsteht oder ein IT-System, welches anderweitig kommerziell genutzt wird, IT-Sicherheit spielt heutzutage eine zentrale Rolle für den Projekterfolg. Dies gilt auch für Systeme, bei denen IT nur eine untergeordnete Rolle für das Gesamtprodukt spielt, wie zum Beispiel die Bedienungsschnittstelle für die Zentralheizung. Auch Projekte wie Aufbau und Hosting eines Standard-Web-Shops betrifft das Thema IT-Sicherheit in gleichem Maße.

Das Thema IT-Sicherheit beschäftigt dabei Firmen aller Größen. Großkonzerne implementieren in den meisten Fällen bestimmte Sicherheitsstandards, die sie in die Lage versetzen in IT-Projekten auf standardisierte Weise höchste Sicherheitsanforderungen zu erfüllen. Kleinere und mittelständische Unternehmen haben es dabei erfahrungsgemäß schwerer. Meist alleine deshalb, weil knappe Budgets wenig Raum für Sicherheitsthemen lassen oder das entsprechende Know-how fehlt und nicht immer leicht beschafft werden kann.

IT-Sicherheit im Projekt durchsetzen

Die meisten IT-Projekte haben ein enges Budget. In den seltensten Fällen kann ein Projektleiter finanziell aus dem Vollen schöpfen. Das gilt für Projekte großer wie kleinerer Unternehmen gleichermaßen und wirkt in der Regel schwerer je kleiner das Unternehmen ist.

Wenn Sicherheit nicht als Verkaufsargument für ein Produkt oder für den Aufbau eines Systems genutzt werden kann, hat der Projektleiter es oft schwer, einen angemessenen Topf im Budget für Sicherheitsthemen vorzusehen. Denn:

Provokativ kann man also die Frage stellen: Warum Geld ausgeben für etwas, dass das Endprodukt verschlechtert. Erschwerend kommt hinzu, dass in den meisten Fällen die wenigsten Projektbeteiligten ein technisches Verständnis für das Thema Sicherheit haben oder schlimmer das sogenannte „gefährliche Halbwissen“. Das ist durchaus verständlich. IT-Sicherheit gehört zu den kompliziertesten Themen überhaupt. Ein geeigneter Spezialist in diesem Bereich benötigt nicht nur eine passende Ausbildung sondern auch jahrelange Praxiserfahrung, um Sicherheitsthemen sinnvoll und angemessen umsetzen zu können.

Der Mehrwert von IT-Sicherheit lässt sich nicht kurzfristig betrachten. Eine Microsite für eine einwöchige Werbekampagne etwa kann von Hackern völlig unbeachtet bleiben. Dennoch wäre es fahrlässig, IT-Sicherheit bei einem solchen Projekt gezielt auszuklammern. Umgekehrt muss man betrachten, was passiert, wenn Projekten Sicherheit fehlt. Ein erfolgreich gestarteter Web-Dienst zum Beispiel, der nach einiger Zeit des Erfolgs unvermeidlich Hacker anlocken wird, kann sehr schnell an Reputation verlieren, wenn Sicherheitslücken offengelegt werden. Wurde Sicherheit im Projekt zu wenig beachtet, kann es sehr schwer werden, Lücken im Nachhinein nachhaltig zu schließen. In der Folge könnte der Dienst aus den Negativschlagzeilen für einige Zeit nicht herauskommen und gar eine Neuentwicklung notwendig werden, weil ein Sicherheitskonzept im vorhandenen System nicht sinnvoll umsetzbar ist.

Mittel- und langfristig setzen sich Produkte durch, die die Sicherheit ihrer Nutzen und deren Daten ernst nehmen. Lücken sind unvermeidlich – wie mit diesen umgegangen wird, ist entscheidend. Des Weiteren lassen sich aus diversen Gesetzen Mindestanforderungen an Systeme und Produkte ableiten, um auch als Geschäftsführung nicht in den Bereich der Fahrlässigkeit zu geraten und haftbar für Angriffe Dritter zu werden. Dies sollte auch für jeden Projektleiter Grund genug sein, sich mit dem Thema IT-Sicherheit auseinanderzusetzen. Die jeweilige Geschäftsführung muss dazu die Grundlagen bereit- und sicherstellen – auch aus eigenem Interesse.

IT-Sicherheit im Projekt: Von Anfang an!

Der kritische Faktor für das Thema Sicherheit bei IT-Projekten ist der Zeitpunkt. Zu oft werden Projekte aus kaufmännischer oder funktionaler Sicht betrachtet und als Proof-of-Concept realisiert, ohne Sicherheitsthemen auch nur in Betracht zu ziehen. Erfolgsaussichten und finanzielle Forecasts werden erstellt. Dann kommt es zur Realisierungsphase in welcher Sicherheitsanforderung und Datenschutzanforderungen auf welche Weise auch immer zum Vorschein kommen. Diese können im schlimmsten Falle den gesamten Business Case zerstören. Gewöhnlich sind zumindest Anpassungen vonnöten, die den Projektplan beeinflussen werden und für Projektbeteiligte zum Störfaktor werden können. Je nach dem wie weit der Proof-of-Concept als technische Basis für die tatsächliche Realisierung dienen soll, kann aufgrund der Sicherheitsanforderung eine komplette Neuentwicklung notwendig sein.

Sollte man Sicherheitsanforderung auf das nächste Release nach dem Go-Live verschieben wollen, vergrößern sich die Probleme massiv. Dies macht sich selbstverständlich auch beim Budget entsprechend bemerkbar. Ein scheidender Projektleiter kann so auch seinem Nachfolger eine entsprechende Bürde „vererben“. Jegliche Kompromisse in der Realisierung werden sich langfristig als nicht-tragbar und letztendlich teuer erweisen wie die Praxis zeigt.

Sollten bereits Verträge mit Lieferanten und anderen Partnern – zum Beispiel für Entwicklungs- oder Hosting-Leistungen – geschlossen worden sein, bevor Sicherheitsanforderung betrachtet wurden, entstehen ebenfalls massive Probleme für das Gesamtprojekt. Alle Lieferanten müssen nämlich auf die Sicherheitsanforderungen vertraglich verpflichtet werden, Standard-Verträge müssen entsprechend inhaltlich geprüft sein. Sollten diese ohnehin nicht anpassbar sein, etwa weil man Verträge mit einem größeren Unternehmen macht und eine gewisse Abhängigkeit besteht, muss selbstständig Vorsorge getroffen werden, schlimmstenfalls durch das eigene Risikomanagement. Viele Web-Agenturen beispielsweise, die knappe Preiskalkulationen vornehmen, um konkurrenzfähig sein zu können, werden Anforderungen aus Sicherheitskatalogen gesondert berechnen müssen. Auch hier ist wichtig, entsprechende Planungen frühzeitig in das Projekt zu übernehmen.

Ein praktisches Beispiel: In einem IT-Projekt soll ein Web-Shop unter Verwendung einer Standard-Software aufgebaut werden. Dies umfasst unter anderem Installation und Hosting. Änderungen an der Shop-Software seien nicht vereinbart. Das Hosting muss neben einer Härtung des Systems auch ein Patch-Management vorsehen. Dieses muss für die gesamte Betriebszeit des Web-Shops vorgesehen sein und bei kritischen Sicherheitsupdates der Shop-Software zeitnah erfolgen. Sollte dies vertraglich nicht vereinbart sein, werden Mehrkosten entstehen. Alternativ muss der Inhaber des Shops einen eigenen Prozess dafür betreiben und entsprechend Personal abstellen.

Als Erfahrung aus der Praxis lässt sich beobachten, das selbst bei Unternehmen mit einer eigenen Sicherheitsorganisation, diese oft zu spät genutzt wird. Meetings von potentiellen Projektteams sollten beispielsweise durch einen Sicherheitsberater – und übrigens auch einen Datenschutzberater – begleitet werden. So können frühzeitig auf entsprechende Sicherheits- und Datenschutzanforderungen hingewiesen und No-Gos vermieden werden. Auch sind Sicherheitsberater aufgrund ihrer Projekterfahrung meist in der Lage einfachere technische Alternativen vorzuschlagen. Die Begleitung durch einen Sicherheitsberater kann auch bei reinen Meetings zur Ideenentwicklung ohne technischen Charakter ratsam sein.

Scheitern Projekte an Thema IT-Sicherheit, dann in der Regel an lange existierenden aber dem Projektteam unbekannten oder nicht-beachteten Anforderungen.

Sicherheit ist immer als Prozess zu verstehen

IT-Sicherheit verursacht laufende Kosten. IT-Sicherheit benötigt permanent Personal. Letzteres muss nicht zwangsläufig Vollzeit sein. Wieso ist das so? - Sicherheit ist ein Prozess! Dies gilt für alle Arten von IT-Projekten. Es folgen einige Beispiele.

Beispiel A

Eine eigens entwickelte Web-Anwendung wird in Betrieb genommen. Im Laufe des Betriebs werden Sicherheitslücken gemeldet. Es muss ein Prozess existieren, diese Meldungen entgegenzunehmen, zu prüfen und zu bereinigen. Ist die Software selbst-entwickelt, muss dieser Prozess im Unternehmen selbst etabliert werden. Handelt es sich bei der Software um eine externe Auftragsleistung, muss mit dem Lieferanten eine entsprechende Vereinbarung getroffen sein. Die Schnittstelle der internen und externen Prozesse muss definiert sein, ebenso wie entsprechende Service Level Agreements, etwa zur maximalen Bearbeitungsdauer und generellen Kostenübernahme.

Beispiel B

Eine Standard-Anwendung wird im Internet gehostet. Die Systeme wurden initial gehärtet. Durch das Auftreten neu entdeckter Sicherheitslücken in Standard-Software muss ein Patch-Management-Prozess etabliert sein. Dieser beinhaltet unter anderem die Sichtung und Einspielung von Patches. Sicherheitskritische Patches müssen zeitnah gesichtet und vorgenommen werden können. Je nach der Komplexität der Anwendung ist hierfür ein gesondertes Test-System neben dem eigentlichen Produktivsystem notwendig, um die einwandfreie Funktionsweise des Systems nach dem Patchen garantieren zu können. Auch sollte ein regelmäßiger Penetrationstests obligatorisch sein, um sicherzustellen, dass keine Komponente beim Patchen ausgelassen wird.

Beispiel C

Ein System erlaubt nicht nur Systemadministratoren sondern auch bestimmten applikativen Rollen Zugriff auf Kundendaten. Dazu wurde ein angemessenes Logging von Zugriffsaktionen umgesetzt. Selbst wenn ein Automatismus etabliert wurde, der eine Missbrauchserkennung beinhaltet, muss eine entsprechende Detektion an eine Person gemeldet und von dieser geprüft werden. Hierfür ist ein Prozess vorzusehen. Unabhängig davon sind regelmäßige Audits alleine aus Datenschutzsicht durchzuführen.

Beispiel D

Für das Hosting von Systemen wird eine Intrusion Detection eingerichtet. Diese erlaubt ein Monitoring über ungewöhnliche Ereignisse und potentielle Angriffe. Von gewissen Automatismen abgesehen, ist es notwendig, dass geeignetes Personal dieses Monitoring überwacht und gegebenenfalls Gegenmaßnahmen einleitet.

Neben diesen praktischen Beispielen gilt beim Thema IT-Sicherheit das gleiche wie in allen anderen Bereichen: Mit jedem neuen Projekt lernt man dazu und passt die eigene Prozesse entsprechend an.

Allgemeingültige Sicherheitsstandards

Möchte man einen IT-Sicherheitsprozess für ein Projekt oder ein ganzen Unternehmen aufsetzen, so muss und darf man nicht bei Null anfangen. Es gibt viele anerkannte Sicherheitsstandards, auf denen man aufbauen kann. Dies gilt auch für kleinere Projekte und kleinere Unternehmen. Große Unternehmen haben in der Regel bereits einen zertifizierten IT-Sicherheitsprozess und geben Projektleitern konkrete technische und nicht-technische Anforderungen für die IT-Sicherheit wie auch den Datenschutz vor. Man sollte sich ebenfalls informieren, ob branchenspezifische Standards vorliegen, die es einzusetzen gilt.

Möchte man den „großen Schritt“ eines Sicherheitsprozesses und den Aufbau einer eigenen Sicherheitsorganisation, also eines sogenannten „Informationssicherheits-Managementsystems“ (ISMS) nicht gehen, was vor allem für kleinere Unternehmen ein verständliches Problem darstellt, helfen Sicherheitsstandards dennoch: Entweder für die eigene Software-Entwicklung oder im Umgang mit Lieferanten und Partnern.

Ein Vorteil der einschlägigen Sicherheitsstandards ist, dass sie in Verträgen als Referenz verwendet werden können. Dies garantiert zumindest ein gewisses Mindestniveau an Sicherheit. Sind die projektbeteiligten Unternehmen nach etablierten Sicherheitsstandards zertifiziert und werden diese für das Projekt auch angewendet, sollte man sich das ebenfalls vertraglich zu sichern lassen.

Ein kleiner Überblick über einige ausgewählte Sicherheitsstandards, selbstverständlich ohne einen Anspruch auf Vollständigkeit zu erheben:

Für Datenschutz gilt dasselbe!

Dieser Leitfaden bezieht sich in erster Linie auf IT-Sicherheit. Jedoch gelten die meisten dargestellten Problematiken gleichermaßen für Datenschutzanforderungen. Von Gesetzen und sonstigen Regelungen abgeleitete Anforderungen des Datenschutzes an IT-Projekte müssen ebenfalls so früh wie möglich in IT-Projekte getragen und umgesetzt werden. Aufgrund von nicht-verhandelbaren Gesetzesregelungen können beispielsweise fehlende Vertragsvereinbarungen regelrechte, selbst-verschuldete „Projektkiller“ werden. So wie für IT-Sicherheit ein entsprechender Spezialist benötigt wird, wird auch für den Datenschutz ein geeigneter Spezialist benötigt – im Idealfall mit Erfahrungen auch auf technischer Seite. Für die technische Umsetzung von Datenschutzanforderungen kann im weiteren Projektverlauf ein IT-Sicherheitsspezialist zu Rate gezogen werden.

Checkliste für Verantwortliche / Projektleiter

Die folgende Checkliste soll IT-Projektleitern als Orientierung dienen, um die oftmals unterschätzten Themen der IT-Sicherheit im Projekt umzusetzen. Die Liste erhebt keinen Anspruch auf Vollständigkeit. IT-Projekte unterscheiden sich erheblich in ihren Anforderungen. Sollten unternehmensweite Anforderungen gelten, sind diese selbstverständlich an erster Stelle zu beachten. Bei internationalen Projekten müssen gegebenenfalls länderspezifische Anforderungen, insbesondere auch an den Datenschutz, geprüft werden.

Ebenen der IT-Sicherheit

Sicherheitsanforderungen werden auf verschiedenen technischen Ebenen eines Projektes definiert. Da sich IT-Projekte stark unterscheiden, soll die folgende Aufstellung lediglich als Hilfe dienen, um frühzeitig bestimmte Sicherheitsthemen in einem Projekt aufzugreifen. Sie kann je nach Projekt nur teilweise oder auch gar nicht zutreffend sein. Ein vollständiges Sicherheitskonzept jedoch sollte mindestens all diese Ebenen abdecken.

Technische Ebenen:

Ähnlich des OSI-Schichtenmodells müssen die verschiedenen technischen Ebenen untersucht werden, die für ein Projekt zutreffend sein können.

Weitere Themen, die das Projekt für jeweils alle technischen Ebenen beinhalten muss, sind

Eigenentwicklungen (Secure Programming)

Projektidee und Projektentwicklung

Projekt-Kick-Off

Definieren des Sicherheitskonzeptes

Externe Dienstleister

Technische Abnahme

Laufende Sicherheitsprozesse

Als grober Überblick über die gängigen Sicherheitsprozesse im operativen Bereich von IT-Systemen soll folgende Aufstellung dienen:

Betriebssicherheit

Faktor Mensch

Der Anwender als Person, die täglich zahlreiche Entscheidungen zu treffen hat, ist Teil eines jeden Sicherheitsprozesses! Technische Lösungen können und sollen unterstützen, aber (Sicherheits-)Schulungen sind ein MUSS, um die Gesamtsicherheit eines Systems oder Unternehmens zu gewährleisten.

Zusammenfassung

IT-Sicherheit ist ein komplexes Unterfangen. Selbst erfahrenste Projektleiter können dieses Thema nicht alleine stemmen und benötigen fachliche Unterstützung. In kleinen Unternehmen kann die Budgetknappheit die Notwendigkeit ergeben, das Thema Sicherheit selbst stemmen zu müssen. Hier können Sicherheitsstandards helfen, um Lieferanten und Partner entsprechend zu steuern. Dabei müssen die genannten zentralen Themen berücksichtigt werden. Im Allgemeinen müssen jedoch unbedingt für das jeweilige Projekt entsprechend passende Anforderungen definiert werden.

IT-Projekte aller Größen müssen den Grundsatz beachten, schon in der Frühphase der Entstehung IT-Sicherheit und Datenschutzanforderungen in das Projekt zu integrieren. Versäumnisse in diesem Bereich können Projekte scheitern lassen oder zumindest zu hohen Folgekosten führen.