IT-SicherheitSchon bei der Planung von Projekten daran denken

Die Digitalisierung unserer Gesellschaft schreitet immer schneller voran. Nach der Durchdringung der Unternehmenswelt in den letzten zwei Jahrzehnten werden aktuell weite Teile der Versorgungsinfrastruktur digitalisiert. Damit einher geht die zunehmende Abhängigkeit von den zugrunde liegenden Technologien und deren sicherem Funktionieren. Das Bundesamt für Sicherheit in der Informationsverarbeitung (BSI) definiert: „IT-Sicherheit beschäftigt sich an erster Stelle mit dem Schutz elektronisch gespeicherter Informationen und deren Verarbeitung. Die klassischen Grundwerte der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit“.

Der Aufbau und die Weiterentwicklung komplexer technischer Infrastrukturen erfolgt durch Projekte. Die Eingriffe der Projekte in die, zunehmend miteinander verknüpften, IT-Landschaften bedeuten immer auch Eingriffe in bestehende IT-Sicherheitsstrukturen. Insbesondere in den Projektphasen „Vorbereitung“, „Durchführung“, „Übergabe in den Betrieb“ sowie „Betrieb“ kann es dabei zu Fehlern mit schwerwiegenden Folgen kommen.

Der Schwerpunkt in der Phase Vorbereitung liegt in der Abstimmung und Planung fachlicher Funktionen und deren grundsätzlicher technischer Umsetzung. Themen der IT-Sicherheit haben hier in der Regel noch keine Priorität. Sobald aber Funktionalität und Technik grundlegend geklärt sind, muss IT-Sicherheit zum Thema werden. Wird das in dieser Phase verpasst, kommt es schnell zu aufwändigen Nachbesserungen und Verzögerungen zur Betriebsübergabe.

Als Einstieg in die IT-Sicherheit einer Anwendung bietet sich eine Schutzbedarfsanalyse an. Damit wird sichergestellt, dass alle notwendigen Aufgaben Teil des Projektplans werden. Dabei wird hinterfragt, welche Konsequenzen etwa aus der Nichtverfügbarkeit der Anwendung im Zeitverlauf entstehen. Die Hauptverantwortung bei der Schutzbedarfsanalyse liegt bei den Fachbereichen. Nur diese können die Auswirkungen auf den Geschäftsbetrieb und auf externe Beziehungen realistisch abschätzen. Das Ergebnis ist ein Schutzbedarfsprofil, das in technische und organisatorische Lösungen umgesetzt werden kann.

Ebenfalls kritisch ist die rechtzeitige Planung und Vorbereitung der notwendigen fachlichen und technischen Tests, der entsprechenden Testumgebungen, ausreichender Ressourcen und Zeit zur Fehlerbehebung. Bereits in der Vorbereitungsphase von Projekten werden oft externe Berater und Dienstleister eingesetzt. Dabei für einen ausreichenden Schutz der Vertraulichkeit von Firmeninformationen, Zugangsdaten und Kundendaten zu sorgen, liegt in der Verantwortung der Auftraggeber. Ziel muss sein, mit vertretbarem Aufwand die richtigen Weichen zu stellen und die notwendigen Aufgaben und Ressourcen einzuplanen. Wird dies erreicht, ist ein solides Fundament für die Durchführungsphase gelegt.

In dieser Phase erfolgt primär die Umsetzung der geplanten Aufgaben, um eine Übergabe in den produktiven Betrieb zu erreichen. Hinzu kommt ein laufendes Management geänderter oder neuer Anforderungen an das Projekt. Diese können neue oder geänderte Anforderungen an die IT-Sicherheit mit sich bringen. IT-Sicherheit wir dadurch zum Bestandteil eines Change Managements des Projektumfangs. Bei der Umsetzung und Durchsetzung geplanter Maßnahmen zur IT-Sicherheit müssen grundlegende Problemfelder und Fehlerquellen erkannt und vermieden werden.

Ein generelles Thema ist der Faktor Zeit. So muss zum Beispiel für die Betriebseinführung in der Regel ein abgenommenes Sicherheitskonzept vorliegen. Für dessen Erstellung muss geklärt sein, wie dem festgestellten Schutzbedarf der Anwendung entsprochen werden soll. Die Freigabe des Konzeptes erfordert üblicherweise einige Zeit zur Prüfung. Stellt sich heraus, dass Vorgaben oder Richtlinien zur IT-Sicherheit im Unternehmen nicht berücksichtigt wurden, geht die Diskussion in die nächste Runde. Gleichzeitig muss aber eine Lösung implementiert werden. Dies legt nahe, möglichst frühzeitig eine grundlegende Klärung mit den Verantwortlichen der IT-Sicherheit herbeizuführen – idealerweise sobald der Schutzbedarf initial ermittelt wurde.

Bei der Einrichtung von Testsystemen sollten Unternehmen auf eine durchgängige Trennung von Test- und Produktivsystemen und der zugehörigen Netze achten. Wird hier nicht sorgfältig gearbeitet, kommt es zu erheblichen Beeinträchtigungen des laufenden Betriebs. Ein weiterer kritischer Punkt sind erforderliche Testdaten. Hier ist die Versuchung groß, Datenkopien aus produktiven Systemen zu verwenden. Dies mag manchmal unproblematisch sein. Im Vorfeld sollte dennoch geklärt werden, ob schützenswerte Daten wie etwa die von Personen oder Konten vorliegen oder Datenelemente, über die eine Verbindung zu solchen Daten möglich sind. Eine Anonymisierung dieser Daten ist zwingend, um deren Vertraulichkeit zu gewährleisten.

Notwendige Tests der Anwendungen und der Technik kommen häufig aus Zeitgründen oder Budgetgründen zu kurz. Die Folge von Fehlern, die in dieser Phase durchrutschen, sind aufwändige Nacharbeiten in der Betriebsphase. Auch technische Sicherheitsvorkehrungen, wie Cluster-Lösungen zur Sicherstellung einer hohen Verfügbarkeit der Anwendung, müssen ausreichend getestet werden. Ansonsten sind sie weitgehend sinnlos.

Bei der Betriebsübergabe zeigt sich, ob alle notwendigen Voraussetzungen für den Betrieb geschaffen wurden. Komponenten einer Betriebsübergabe können zum Beispiel Funktionsumfang, Performance, Tests, Serverleistung oder Freigaben sein.

In der Realität wird nur selten jede dieser Aufgaben zu 100 Prozent erfüllt sein. Es ist gemeinsame Aufgabe von Fachbereich, Projekt und Betrieb, die Lücken aufzuzeigen, bestehende Risiken zu bewerten und zu einer Entscheidung für oder gegen eine Betriebsübergabe zu kommen. Aspekte der IT-Sicherheit spielen hierbei eine zentrale Rolle.

Mit der Betriebsübergabe wird die technische Voraussetzung zur Nutzung der Anwendung geschaffen. Die Übernahme der Verantwortung durch den Betrieb beinhaltet den alleinigen Zugriff auf die Basisinfrastruktur der Anwendung. Weder Fachabteilungen noch externe Partner sollten dort Zugriffsrechte erhalten. Rechte, die zum Beispiel durch Wartungsverträge abgesichert sind, bleiben hiervon ausgenommen. Die inhaltliche Anwendungsadministration der Fachbereiche sollte über die Anwendung selbst erfolgen.

Wichtig ist im laufenden Betrieb die detaillierte Analyse und Verfolgung auftretender Störungen. Damit kann gezielt eine Nachbesserung oder Fehlerbehebung in weiteren Releases der Anwendung unterstützt werden.

Entscheidend in Projekten sind die rechtzeitige Berücksichtigung von Themen der IT-Sicherheit und deren konsequente Verfolgung durch die Projektphasen. Bei komplexen Fragestellungen müssen die Sicherheitsverantwortlichen des Unternehmens zur Beratung herangezogen werden. Ein einfacher Einstieg ist eine Schutzbedarfsanalyse, schon in der Planungsphase des Projekts. Grundsätze zu Sicherheitsaspekten in IT-Projekten sind:

• Einbindung von Themen der Verfügbarkeit, der Integrität und Vertraulichkeit in die Standardregeln und –prozesse für IT-Projekte und deren Betriebsübergaben
• Strikte Trennung von Test- und Produktionsnetzen und Umgebungen
• Anonymisierung personenbezogener Daten
• Restriktive Handhabung und aktuelle Dokumentation von Zugriffsrechten
• Aufbau und Administration von Entwicklungs- und Testumgebungen durch den IT-Betrieb

Wichtig ist das Bewusstsein für Aspekte der IT-Sicherheit und der Auswirkungen von Schwachstellen im Sicherheitssystem in den Führungsebenen. Diese müssen bei Interessenskonflikten fundierte Entscheidungen treffen und Verantwortung übernehmen. Sicherheitslecks lassen sich einfach und kostengünstig an der Quelle vermeiden.