Erstmalig erschienen auf Security-Insider.de am 28.09.15.

Autor: Patrick Michaelis, CISSP & CSSLP, Leiter Bereich Informationssicherheit bei AC – The Auditing Company, Sachverständigen-Sozietät Dr. Schwerhoff.

Sicherheit als Baustein fürs IT-Projekt-Management

Jedes IT-Projekt sollte möglichst früh auch aus Sicherheitssicht betrachtet werden. In der Regel wird IT-Sicherheit aber eher als hinderlich für den Geschäftsbetrieb gesehen, denn als Chance für Innovationen. Daran haben auch die Sicherheitsvorfälle der vergangenen Monate nichts geändert.

Informationssicherheit ist eine Notwendigkeit. Trotz der hohen medialen Präsenz der letzten Monate gilt sie aufgrund von Sorglosigkeit und der immer kürzeren Produkt- und Projektzyklen trotzdem als Hindernis, statt als Chance für Innovationen. Mit dem im Juli 2015 veröffentlichten IT-Sicherheitsgesetz hat die Bundesregierung auf die zunehmenden Risiken reagiert und entsprechende Maßnahmen gefordert.

Dies führt zwar zu einer allgemein steigenden Sensibilisierung in Unternehmen, Sicherheit kann jedoch nicht allein über Investitionen bei Sach- und Personalmitteln erhöht werden. Für ein langfristig hohes Sicherheitsniveau müssen etablierte Prozesse überarbeitet und neue Verfahren konsequent umgesetzt werden.

„Security by Design“ und „Secure by Default“ sind Grundsätze, die nicht nur in Software-Entwicklungsprojekten Anwendung finden müssen. Jedes IT-Projekt sollte zukünftig unter diesen Maßgaben aufgesetzt und geplant werden. Das schafft eine nachhaltige Verbesserung der Gesamtsicherheit von Unternehmensinfrastrukturen und bietet Chancen für neue, innovative und gleichzeitig sichere Lösungen.

Klassische IT im Wandel

Fortschritt, neue Einsatzszenarien und die Verzahnung sowie Abhängigkeiten von IT-Systemen halten Einzug in nahezu allen Bereichen unseres täglichen Lebens. Schlagworte wie „Industrie 4.0“, „Mobile Payment“ oder das „Digitale Krankenhaus“ zeigen, dass auch vormals konservativ ausgerichtete Infrastrukturen einem rasanten Wandel ausgesetzt sind.

Die intensive Diskussion zum Thema Informationssicherheit der vergangenen Monate hat gezeigt: trotz des jahrelangen Bemühens, sichere Lösungen anzubieten und Sicherheitskonzepte in standardisierten Management-Frameworks abzubilden, sind Umfang und Auswirkungen möglicher Lücken und Angriffsvektoren in IT-Systemen oft nicht ausreichend oder zu spät erfasst und behandelt worden.

Der Kosten- und Zeitdruck auf der einen und die zunehmende Komplexität heutiger IT-Systeme auf der anderen Seite erschwert es den auf das jeweilige Projektziel spezialisierten Projektteams, die Folgen ihres Handelns in Bezug auf Datenschutz und Datensicherheit umfassend abzuschätzen.

Der Security Manager hat in klassischen IT-Projekten für gewöhnlich kein Mandat, schon in den ersten Phasen steuernd und verbindlich in den Umfang und das Design einer Lösung einzugreifen. So werden neue IT-Systeme oder Software-Produkte oft erst unmittelbar vor, schlimmstenfalls nach der Überführung in den Betrieb auf Schwachstellen untersucht und Handlungsempfehlungen für Gegenmaßnahmen entwickelt.

Der Aufwand, notwendige Maßnahmen zur Informationssicherheit nachträglich umzusetzen, steigt erfahrungsgemäß jede Projektphase deutlich an. Dies führt in vielen Fällen dazu, dass Lösungen mit bekannten Sicherheitslücken eingesetzt werden oder es zu erheblichen Projektverzögerungen und -mehrkosten kommt, um die erkannten Risiken zu minimieren.

„Security by Design“ als grundlegendes Prinzip

Ein Ausweg aus dieser Lage lässt sich bereits in vorhandenen Projektstrukturen realisieren. Es bedarf jedoch eines Umdenkens der IT-Projektverantwortlichen und der Unternehmensleitung. IT-Projekte müssen das Thema Informationssicherheit von Beginn an transparent und messbar behandeln.

Projektorganisationen in Unternehmen müssen zu einem strengeren, wiederholbaren Prozess übergehen, der das Thema Sicherheit als elementaren Baustein in jeder Phase einschließt und verbindliche Verantwortlichkeiten für den Security Manager in jeder Projektphase festlegt.

Diese Vorgaben müssen durch die Unternehmensleitung bekräftigt und legitimiert sein. Insbesondere bei den Phasenübergängen muss eine formelle Freigabe-Regelung getroffen werden, um den obligatorischen Aspekt von „Security by Design“ im IT-Prozess zu unterstreichen.

Erfahrungen zeigen, dass das Sicherheitsteam, insbesondere in der Planungs- und Realisierungsphase, in enger Abstimmung mit dem Projektteam stehen sollte. Es bietet sich daher an, einen dedizierten Security Advisor innerhalb jedes Projekts vorzusehen und vollständig in die Projektorganisation aufzunehmen. Er sollte jederzeit für alle Projektmitglieder als Ansprechpartner zur Verfügung stehen.

Kostenreduktion bei konsequenter Umsetzung

Diese Abbildung zeigt schematisch die Rollen zu Beginn eines IT-Projekts. Je mehr Beiträge der Security Manager zu Beginn des Projekts liefern kann, desto geringer sind die notwendigen Anpassungen in späteren Projektphasen und damit die Projektkosten. Dies gilt für neue Systeme wie für die „nächste Generation“ eines bestehenden Systems.

Das Sicherheitsteam sollte zusätzliche Sicherheitsanforderungen und eine verbindliche Sicherheitsarchitektur definieren sowie eine Bedrohungsanalyse durchführen. Die Ergebnisse fließen dann in die Gesamtkonzeption ein und verhindern so aufwändige Korrekturen in späteren Projektphasen.

Eine konsequente Mitarbeit des Sicherheitsteams im Verlauf des Projekts, seine Analysen und Dokumentationen, sichern den Erfolg des Projekts im Hinblick auf Datenschutz und Datensicherheit.

Messbarer Erfolg

Darüber hinaus können kosten- und zeitintensive Nacharbeiten vermieden werden, so dass Budget-Überschreitungen und Projektverzögerungen minimiert werden. Eine Reduktion von sicherheitskritischen Fehlern und eine schnellere Überführung der Lösung in das Informationssicherheits-Management-System (ISMS) dienen als weitere Kennzahlen für einen wirksamen Sicherheitsprozess.

Bei einer durchgängigen Anwendung des neuen Prozesses wird sich auch das Grundverständnis der Mitarbeiter zum Thema Informationssicherheit erhöhen. In Folgeprojekten lässt sich dementsprechend ein kürzerer Projektzyklus erreichen.

Gerade bei der Einführung dieses strengeren Prozesses sind flankierende Schulungen aller Projektmitglieder und eine regelmäßige Revision der Projekte notwendig. Die Ergebnisse und abgeleiteten Handlungsempfehlungen aus unabhängigen Audits helfen, den Prozess zu optimieren, verbleibende Schwachstellen aufzudecken und die Voll¬ständigkeit der Dokumentation zu beurteilen.

Die zunehmende Verzahnung und Abhängigkeit von IT-Systemen untereinander erhöht nicht nur die Komplexität der eigenen Lösungslandschaft, sondern auch die Anforderungen an das Sicherheits- und Projekt-Management. Neue Technologien und die Nutzung bewährter Technik in veränderten Einsatzszenarien vergrößern die Angriffsoberfläche auf die Umgebungen und die schützenswerten Daten von Unternehmen.

Waren IT-Systeme in der Vergangenheit oft Insellösungen und in klar abgrenzbare Perimeter voneinander getrennt, so verschwimmen diese Grenzen durch die steigende Vernetzung und Mobilität zusehends. IT-Projekte bedürfen mehr, als zuvor einer intensiven Planung und durchgängigen Steuerung über alle Phasen hinweg.