Sicherheit und Datenschutz

Unter dem Titel → Gefährliche Ignoranz befaßt sich die Wirtschaftswoche mit zwei Themen, die immer wichtiger werden: Der Sicherheit, und dem Datenschutz.

Kleine Unternehmen bilden das Rückgrad der deutschen Wirtschaft. Deshalb ist es ein besonderes Problem, daß gerade die Unternehmen dieser Kategorie besonders lax mit sicherheitsrelevanten Themen umgehen.

Ich will Ihnen heute ein sehr gutes Handbuch zum Thema vorstellen, und Ihnen näherbringen, wie das Thema auch das Produktmanagement betrifft.

Gefährliche Ignoranz

Wenn Sie regelmäßig die Nachrichten zum Thema verfolgen, ist Ihnen die Kernaussage des oben erwähnten Artikels nicht neu. So war zum Beispiel neulich der Stuxnetvirus in der Presse, mit dem Angriffe auf Kraftwerke im Iran durchgeführt wurden. Auch haben Sie sicher die Nachrichten über Attacken gelesen, mit denen Betrüger an die PIN der Bankkarte kommen wollen.

Gerade heute zum Beispiel hat der →Netzwerk-Ticker auf Spiegel.de berichtet, daß es in den Steuersysteme für Industrieanlagen Sicherheitslücken gibt, die Hacker ausnutzen könnten (Stuxnet war ein Virus der solche Sicherheitslücken ausgenutzt hat).

Hier die zentrale Feststellung aus diesem Artikel, die zeigt, daß es sich nicht um einen falschen Eindruck handelt, wenn man von der zunehmenden Bedeutung der Thematik „Sicherheit“ ausgeht:

„Das Beispiel zeigt, welche Vielzahl von Angriffswegen Computer-Kriminelle inzwischen nutzen, um an sensible Daten zu von Privatanwendern und Geschäftsleuten gelangen – und sei es durch das Kopieren von in Handys gespeicherten Passwörtern oder Zugangsdaten für Kunden- oder Konstruktionsdatenbanken in den Unternehmen.

Angesichts dieser Entwicklung alarmieren die Zwischenergebnisse einer aktuellen Studie zum Schutz und verantwortlichen Umgang mit sensiblen Daten – der sogenannten Compliance – in kleinen und mittelständischen Unternehmen, die das Branchenbündnis „Deutschland sicher im Netz“ (DsiN) gemeinsam mit der Datev, Sophos und SAP durchführt und Mitte Februar publiziert hat.“

Know How

In dem Artikel wird ein Handbuch erwähnt, das Sie sich kostenlos herunterladen können. In diesem → Handbuch Sicherheit erfahren Sie, welche Bedrohungen es gibt, und wie Sie diesen begegnen können. Dabei werden nicht nur direkte Sicherheitsprobleme in der Software besprochen, sondern auch indirekte Faktoren, wie z.B. menschliches Versagen. Die Beschreibungen sind so detailliert, daß Sie nach dem Lesen des Handbuchs alles Notwendige zum Thema wissen.

Darüberhinaus finden Sie dort auch Handlungsanweisungen, die Sie direkt umsetzen können. Zum Beispiel wird Ihnen dort gezeigt, wie Sie die Systeme, die mit dem Internet verbunden sind, über eine sogenannte DMZ (Demilitarized Zone) absichern, und von den übrigen Systemen entkoppeln können.

Bedeutung

Wenn Sie im Bereich Softwareentwicklung arbeiten, ist das Thema besonders wichtig für Sie, da diese Produkte oft direkt sicherheitsrelevant sind. Das Gleiche gilt aber auch, wenn Sie Hardware verantworten. Gerade im Bereich Mechatronik vertreten Sie ja ebenfalls Softwareprodukte, oder Ihre Hardware kann den Angriffen das notwendige Vehikel geben.

Sie sollten deshalb bereits beim Zusammenstellen von User Stories und Backlog das Thema Sicherheit im Hinterkopf haben:

1. Sicherheit und Qualität hängen eng zusammen. Dies bedeutet, daß Sie für die Abarbeitung der Backlogitems definierte Qualitätskriterien benötigen. Dabei ist es langfristig sinnvoller, wenige Backlog Items abzuliefern, die jedoch qualitativ perfekt sind, statt viele Items abzuliefern bei mangelnder Qualität. Der Quality First Ansatz ist deshalb unabdingbar.
2. Die Qualität des Softwarecoding hängt eng mit der Sicherheit zusammen. Dies bedeutet, daß Ihr Entwicklungsteam unbedingt Engineering Methoden anwenden sollte, die zu einer Verbesserung der Codingqualität führen (z.B. Test-Driven-Development, oder Pair-Programming). Diese Methoden kosten jedoch zunächst Zeit und Aufwand.
3. Training und Awareness: Viele Sicherheitslücken entstehen durch Unachtsamkeit, und oft nicht einmal gewollt. Daher sollten Sie dafür sorgen, daß Ihr Entwicklungsteam ausreichend viel Zeit für den Aufbau von Wissen und Erfahrungen aufwendet. Dies geschieht am Einfachsten dadurch, daß man den Produktbacklog entsprechend schneidet, und in die Planung einlastet.
4. Weniger ist Mehr: Je größere Ihre Lösung wird, desto größere auch die Anzahl der möglichen Fehlerquellen, und Sicherheitsprobleme. Daher sollten Sie einen hohen Grad von Perfektion anstreben, und die Produkte so ausreifen lassen, daß Sie nichts mehr wegnehmen, und nichts mehr hinzufügen können, ohne das Produkt infragezustellen. Dieser Refactoring-Aufwand ist zwar groß, aber notwendig.
5. Sicherheit erfordert Wartung. Grundsätzlich können Sie Produkte wartungsfreundlich machen, oder eben nicht. Das Herstellen der Wartungsfreundlichkeit kostet generell Zeit und Aufwand, die auch zu Lasten der Funktionalität geht. Zudem erfordert Wartungsfreundlichkeit besonderen Aufwand in der Architektur des Produktes.

Weiterführende Informationen

… auf www.Produkt-Manager.net

In meinen älteren Artikeln finden Sie weiterführende Informationen zum heutigen Thema:

• →Technikfolgenabschätzung und Versagenswahrscheinlichkeiten
• →Produktmanagement in der Cloud – Änderungen zu erwarten?
• →Dresdner IT Gipfel im Internet

Kontakt

Das Original dieses Artikels ist auf →Der Produktmanager erschienen (©Andreas Rudolph). Regelmäßige Artikel gibt es über die (→Mailingliste), oder indem Sie →mir auf Twitter folgen. In der Online Version finden Sie hier die versprochenen weiterführenden Links:

This entry was posted on Donnerstag, März 24th, 2011 at 8:23 pm. It is filed under Allgemein, Thema des Tages and tagged with security, Stabilität, Umfeld. You can follow any responses to this entry through the RSS 2.0 feed.