Verantwortung für die Informationssicherheit übernehmen

Inzwischen haben wohl die meisten Unternehmenschefs und ProduktmanagerInnen die große Bedeutung der Informationssicherheit erkannt.

Die Frage ist, wie man entsprechende Strategien entwickelt und umsetzt.

Ausbilden

Viele Bestandteile einer Sicherheitsstrategie und von sicherheitsorientierten Produkten sind organisatorischer Natur.

So sollte man zunächst einmal dafür sorgen, daß die MitarbeiterInnen entsprechend ausgebildet sind, und verstehen, welche IT Gefahren existieren, und wie man sich schützt. Auf Neudeutsch könnte man von „Awareness-Trainings“ sprechen, die jeder Mitarbeiter mindestens durchlaufen sollte.

Ich persönlich habe z.B. in einer einführenden Schulung einmal gesehen, wie leicht es ist, eine Firma z.B. mit präparierten USB Sticks anzugreifen, die ein böswilliger Hacker wie zufällig vor dem Haupteingang verliert. Einmal an den Rechner angesteckt, verseuchen die dann das Gerät und das gesamte Netzwerk mit Schadcode.

Diese Demonstration und die Schulung die dazugehörte hat mir zwei Dinge gezeigt:

  • Vorsicht ist wichtig.
  • Man kann sich schützen.

Anliegende Webseite des VDE kann als Anregung dienen.

Kulturwandel

Viele denken bei Sicherheit eher an Hard- oder Software, wie z.B. Zugangskontrollen und Antivirus-Software. Mindestens genau so wichtig ist aber die Kultur, die bezüglich Sicherheit in der Firma herrscht.

In einer sinnvollen Kultur werden idealerweise alle Stolpersteine beseitigt, die die Mitarbeiter davon abhalten, sicherheitsbewußt zu handeln. Hierzu ist es notwendig, daß sich die Unternehmensleitung am selben Strang zieht und das Thema vorlebt.

Einbeziehen

Mitarbeiter und Führungskräfte, die sich dem Thema der IT Sicherheit widmen, kennen sich als Experten normalerweise eher in ihren Bereichen aus, und weniger in den Prozessen nach denen in Marketing, Sales, Fertigung oder Wartung gearbeitet wird.

Da IT-Sicherheit aber überall bedroht werden kann, ist es wichtig, diese Mitarbeiter einzubeziehen, damit sie verstehen, wie die Unternehmensprozesse funktionieren. Mit diesem Know How fällt es den IT Sicherheitsexperten dann leichter, entsprechende Abwehrmaßnahmen zu entwickeln.

Und wo Informationen alleine nicht helfen, sollte man auch nicht davor zurückschrecken, die Leute direkt in die Prozesse miteinzubeziehen.

Neue Produkte

Gerade wer neue Produkte entwickelt, sollte im Hinterkopf behalten, daß IT-Sicherheit ein zentrales Produktfeature sein kann, und oftmals schon ist.

Sinnvollerweise beginnt man die Entwicklung eines neuen Produktes nicht ohne, daß man sich die relevanten IT Sicherheitsaspekte vor Augen führt. In späteren Phasen des Prozesses bieten sich spezielle Tests an, mit denen man die sicherheitsbezogenen Aspekte des Produkts überprüft.

Techniken, wie Penetrationstests, oder Thread Modelling Workshops leisten hier dann gute Dienste, aber auch statische Codechecks und regelmäßige Überprüfungen.

Speziell mit den erstgenannten Tests versucht man die Schwachstellen eines realen Produktes mit Hilfe einer methodischen Vorgehensweise schonungslos aufzudecken. Eine andere Testmethode, die ähnlich gut funktioniert, ist die Saboteur Tour, die gerne in explorativen Testzyklen eingesetzt wird (erfahrungsgemäß lieben Tester diese Testtour).

Wenn Sie wissen wollen, wie das Thread Modelling abläuft: Microsoft gibt im Developer Network sehr gute Informationen heraus (siehe Anhang).

Angriffe einplanen

Trotz Ausbildung und aller Vorsicht, und trotz sicherer Produkte ist es nicht ausgeschlossen, daß ein Hackerangriff erfolgreich ist. In einem solchen Angriffsfall muss man wissen, wie man weiter vorgehen kann und wird.

Es bietet sich an, entsprechende Notfallpläne vorher zu erarbeiten. Solche Pläne sollten dann beschrieben, wie man Angriffe erkennt, und wie man sie bekämpft.

Auch sollte man sich überlegen, wie man vorgeht, wenn es größere Lecks gibt, die zu einem unkontrollierten Datenabfluss führen. Angriffe, bei denen z.B. Millionen ID Nummern gestohlen werden sind ja mehr als nur technischer Natur.

Was macht man in einem solchen Fall z.B. um die Öffentlichkeit zu informieren, oder wie geht man mit der Presse um. Dies sind einige der wichtigen Fragen, die man vorher klären sollte.

Weiterführende Informationen

Das Original dieses Artikels ist auf Der Produktmanager erschienen (©Andreas Rudolph). Regelmäßig neue Artikel gibt es über die (→Mailingliste), oder indem Sie →mir auf Twitter folgen.

In der Online Version des Artikels finden Sie hier die versprochenen weiterführenden Links:

Comments are closed.