In Deutschland gab es bereits 1999 mehr als 14000 IT-Beratungsgesellschaften. Die tatsächliche Qualität dieser Experten und ihrer Leistungen ist für ein Unternehmen nur schwer oder gar nicht messbar. Es empfiehlt sich daher, IT-Projekte von einer Qualitätssicherung mittels Dritter begleiten zu lassen - besonders, wenn es um das sensible Thema Sicherheit geht.

Doch gerade im Bereich der IT-Sicherheit haben viele Unternehmen noch einen starken Nachholbedarf. "Uns passiert schon nichts" lautet leider immer noch ein weit verbreitetes "Sicherheitskonzept". Dabei reicht die Installation einer Standard-Firewall zum tatsächlichen Schutz eines Unternehmensnetzes heutzutage nicht mehr aus. Allein für das vergangene Jahr wird der gesamtwirtschaftliche Schaden durch Datenspionage, Hackerattacken und Manipulation an Unternehmensnetzwerken auf rund 20 Milliarden Mark geschätzt. Gestützt wird diese Zahl durch die im Mai veröffentlichte Polizeiliche Kriminalstatistik 2000. Diese verzeichnet allein beim kriminellen Ausspähen von Daten im Vergleich zum Vorjahr einen Anstieg um fast 160 Prozent. Die Dunkelziffer dürfte noch um einiges höher liegen.

Neben der Sicherheitsproblematik sollte auch die Überprüfung der Beratungsqualität im Vordergrund stehen. Schließlich gelten IT-Projekte an sich bereits als zeit- und kostenintensiv. Einer Studie der "Standish Group" zufolge werden nur neun bis 16 Prozent aller IT-Projekte im geplanten Zeit- und Budgetrahmen zu Ende geführt - knapp ein Drittel wird abgebrochen. Hinzu kommt, dass abgeschlossene Projekte oft zwei- bis dreimal so lange wie ursprünglich geplant dauern und mit durchschnittlich 189 Prozent deutlich über dem geschätzten Budgetrahmen liegen.

Fehlentscheidungen während der Planungsphase eines Projektes können das Unternehmen teuer zu stehen kommen. Die Kosten pro Fehler multiplizieren sich bei der Implementierung einer Software um den Faktor sechs, bei der nachfolgenden Pflege des Systems sogar um den Faktor zehn. Kostet ein Analysefehler beispielsweise 1000 Mark, multiplizieren sich die späteren Pflegekosten bezogen auf diesen Fehler bereits auf 60 000 Mark.

Im Bereich IT-Sicherheit lassen sich dagegen die Folgekosten von Fehlern kaum in Zahlen ausdrücken. Wenn Analysefehler letztendlich dazu führen, dass Angreifer Forschungsergebnisse oder Kundendaten stehlen können, ist dies für das Unternehmen existenzbedrohend.

Sicherheit ist nicht nur eine TechnikfrageFolglich ist auch IT-Sicherheit keine vorrangig technische Angelegenheit mehr. Sie ist betriebswirtschaftlich zu sehen und ein wichtiger Bestandteil der Unternehmensplanung. Da jedoch viele IT-Abteilungen und Administratoren mit ihren täglichen Aufgaben ausgelastet sind, suchen Unternehmen zunehmend Hilfe bei externen Beratern. Diese nehmen regelmäßig organisatorische und technische Sicherheitsüberprüfungen vor und decken Schwachstellen präventiv auf, da sie nicht betriebsblind sind. Doch auch hier kommt es im Rahmen des Projektes zu Zeit- und Budget-Überschreitungen.

Für die Qualitätssicherung ist es daher wichtig, einen Standard zu erreichen und diesen zu halten. Einen entscheidenden Bestandteil hierfür bildet das Prozess-Management und die Prozessbewertung mit ISO 15504. Die ursprünglich unter dem Namen SPICE (Software Process Improvement Capability Determination) bekannt gewordene Norm existiert seit Mitte 1999. Ziel von SPICE ist es, auf der Grundlage einer objektiven Bewertung der aktuellen Situation optimale Voraussetzungen für eine nachhaltige Verbesserung der Software-Entwicklungsprozesse zu schaffen. In der ISO 15504 werden alle Prozesse, die für die Software-Entwicklung wichtig sind, so detailliert beschrieben, dass die Voraussetzung für eine objektive Bewertung der Prozesse gegeben ist. Fachleute erwarten, dass sich die ISO 15504 als neuer Qualitätsstandard für Softwareentwicklung durchsetzt und die ISO 9000 in diesem Bereich ablösen wird.

Das Thema IT-Sicherheit fordert von den Beteiligten zudem das Verständnis, dass es sich um einen Prozess handelt. Selbst eine perfekte technische Abschottung bleibt wirkungslos, wenn nicht die Organisation unter Sicherheitsaspekten optimiert wird. Ein Security Process Framework (SPF) definiert die allgemeinen Sicherheitsrichtlinien des Unternehmens - die Security Declarations - und überträgt diese in ein umsetzungsfähiges Sicherheits-Konzept. Aus diesem leiten sich Richtlinien und Verhaltensregeln (Policies) ab. Hierzu zählen sowohl die Konfiguration einer Firewall als auch Zutrittsberechtigungen für sicherheitsrelevante Bereiche, Datenschutzpolicies, die regelmäßige Änderung aller Passwörter und die Vergabe von Benutzerrechten.

Grundsätzlich muss man zu einem Sicherheits-Gesamtkonzept gelangen, das über den unstrukturierten Einsatz von Einzelmaßnahmen hinausgeht, da sich diese gegenseitig behindern, Gefahren falsch eingeschätzt oder Symptome anstatt Ursachen bekämpft werden könnten.

*Tobias Kirchhoff ist Leiter Öffentlichkeitsarbeit bei der TÜV Secure iT GmbH in Köln.

Abb: Computerkriminalität - Keine Bagatelldelikte mehr

Polizeiliche Kriminalstatistik: Im vergangenen Jahr stieg die Zahl der polizeilich erfassten Fälle von Computerkriminalität um 25 Prozent. Quelle: PKS