Sicherheit richtig umsetzen

IT-Security für Projektleiter

07.06.2016
Frank Hißen studierte an der TU Darmstadt Informatik mit Schwerpunkt IT-Sicherheit. Seit über 15 Jahren arbeitet er als Software-Entwickler und IT-Berater; machte sich 2009 selbständig. Er ist sowohl für große aber auch mittelständische Unternehmen tätig. Im Bereich IT-Security ist Frank Hißen spezialisiert auf Applikationssicherheit und Kryptographie, im Entwicklungsbereich vor allem auf Java.
Trotz vieler anerkannter IT-Sicherheitsstandards scheitern viele IT-Projekte am Thema Sicherheit. Wir sagen Ihnen, was Sie beachten und welche Fehler Sie vermeiden sollten.

IT-Projekte beinhalten per Definition den Aufbau eines Systems der Informationstechnologie. Hierbei kann es sich um die reine Installation existierender Lösungen handeln oder die komplette Neuentwicklung eigener Komponenten. Auch eine Kombination ist möglich, etwa wenn Standard- oder Open-Source-Software mit eigenen Erweiterungen weiterentwickelt wird. Egal ob am Ende ein Produkt entsteht oder ein IT-System, welches anderweitig kommerziell genutzt wird: IT-Sicherheit spielt heutzutage eine zentrale Rolle für den Projekterfolg. Dies gilt auch für Systeme, bei denen IT nur eine untergeordnete Rolle für das Gesamtprodukt spielt, wie zum Beispiel die Bedienungsschnittstelle für die Zentralheizung. Auch Projekte wie Aufbau und Hosting eines Standard-Web-Shops betrifft das Thema IT-Sicherheit in gleichem Maße.

Das Thema IT-Sicherheit beschäftigt dabei Firmen aller Größen. Großkonzerne implementieren in den meisten Fällen bestimmte Sicherheitsstandards, die sie in die Lage versetzen, in IT-Projekten auf standardisierte Weise höchste Sicherheitsanforderungen zu erfüllen. Kleinere und mittelständische Unternehmen haben es dabei erfahrungsgemäß schwerer. Meist alleine deshalb, weil knappe Budgets wenig Raum für Sicherheitsthemen lassen oder das entsprechende Know-how fehlt und nicht immer leicht beschafft werden kann.

IT-Projekte und die Sicherheit

Die meisten IT-Projekte haben ein enges Budget. In den seltensten Fällen kann ein Projektleiter finanziell aus dem Vollen schöpfen. Das gilt für Projekte großer wie kleinerer Unternehmen gleichermaßen und wirkt in der Regel schwerer, je kleiner das Unternehmen ist. Wenn Sicherheit nicht als Verkaufsargument für ein Produkt oder für den Aufbau eines Systems genutzt werden kann, hat der Projektleiter es oft schwer, einen angemessenen Topf im Budget für Sicherheitsthemen vorzusehen. Denn:

  • Sicherheit sieht man nicht (oberflächlich)

  • Sicherheit macht das System nicht schneller

  • Sicherheit macht das System nicht einfacher zu bedienen

  • Sicherheit verkompliziert die Prozesse rund um den Betrieb

Provokativ kann man also die Frage stellen: Warum Geld ausgeben für etwas, dass das Endprodukt verschlechtert? Erschwerend kommt hinzu, dass in den meisten Fällen die wenigsten Projektbeteiligten technisches Verständnis für das Thema Sicherheit oder schlimmer noch das sogenannte "gefährliche Halbwissen" mitbringen. Das ist durchaus verständlich: IT-Sicherheit gehört schließlich zu den kompliziertesten Themen überhaupt. Ein geeigneter Spezialist in diesem Bereich benötigt nicht nur eine entsprechende Ausbildung, sondern auch jahrelange Praxiserfahrung, um Sicherheitsthemen sinnvoll und angemessen angehen und umsetzen zu können.

Der Mehrwert von IT-Sicherheit sollte nicht kurzfristig betrachtet werden. Eine Microsite für eine einwöchige Werbekampagne etwa kann von Hackern völlig unbeachtet bleiben. Dennoch wäre es fahrlässig, den Aspekt der IT-Security bei einem solchen Projekt auszuklammern. Ein erfolgreich gestarteter Web-Dienst, der nach einiger Zeit unvermeidlich Hacker anlocken wird, kann sehr schnell an Reputation verlieren, wenn Sicherheitslücken offengelegt werden. Wurde die IT-Security im Projekt zu wenig beachtet, kann es zudem ein äußerst schwieriges Unterfangen darstellen, die Lücken im Nachgang zu schließen. In der Folge könnte sogar eine Neuentwicklung notwendig werden, wenn ein Sicherheitskonzept im vorhandenen System nicht sinnvoll umsetzbar ist.

Mittel- und langfristig setzen sich Produkte durch, die die Sicherheit ihrer Nutzer und deren Daten ernst nehmen. Lücken sind unvermeidlich - wie mit diesen umgegangen wird, ist jedoch entscheidend. Des Weiteren lassen sich aus diversen Gesetzen Mindestanforderungen an Systeme und Produkte ableiten, um auch als Geschäftsführer nicht in den Bereich der Fahrlässigkeit zu geraten und somit haftbar für Angriffe Dritter zu werden. Das sollte für jeden Projektleiter Grund genug sein, sich mit dem Thema IT-Sicherheit auseinanderzusetzen. Die Geschäftsführung muss die dafür notwendigen Grundlagen bereit- und sicherstellen - in eigenem Interesse.