Der Acht-Punkte-Plan

Sichere Software-Rollouts im Ausland

30.04.2012
Von Bernd Stange und Florian Stahl

6. Security-Konzept entwickeln

Die fachlichen und technischen Konzepte für das Softwaresystem sollten die Anforderungen an die Verfügbarkeit der Prozesse sowie die Vertraulichkeit und Integrität der Informationen abdecken. Die wichtige Basis für eine solche Entwicklung war die einheitliche Prozessgestaltung im Mutterkonzern und in den Joint Ventures. Des Weiteren kam es darauf an, Systeme und Prozesse aufeinander abzustimmen - gerade auch, was die Terminierung von Systemanpassungen anging. Um sowohl dem Schutzbedarf der Informationen Rechnung zu tragen als auch den Aufwand der Administration in Grenzen zu halten, wurde für die Authentisierung die bereits vorhandene globale Definition der Sicherheitsvorgaben und systemgestützte Nutzerzuordnung zu einem Werk innerhalb der Konzern-Struktur verwendet.

7. Prozesse testen

Besondere Bedeutung kam Realitäts-Checks und Tests der erforderlichen Sicherheitsprozesse zu. Wichtige Fragen konnten so besser beantwortet werden:

  • Ist der Schutz der Informationen in allen Prozessschritten sichergestellt oder zeigen sich Widersprüche in der Umsetzung?

  • Sind die im Prozess erzeugten Dokumente und Informationen in der definierten Qualität verfügbar?

  • Haben die zukünftigen Nutzer ausreichende, aber auch nicht zu viele Rechte, um die Daten zu bearbeiten und die für ihre Arbeit notwendigen Informationen zu erhalten (Need-to-know-Prinzip)?

  • Sind alle Auswertungen berücksichtigt, die eventuell Informationen offenlegen?

  • Sind technische Maßnahmen zur Systemsicherheit effektiv getroffen worden (Penetrationstest)?

  • Welche Ausnahmen gibt es, die eine gesonderte Behandlung erfordern?