Video Tipp
Das besondere Buch
Aktuelle News
Weitere News
Vor-Ort-Reportagen
Service
RSS-Feed Aktuelle News
Multimedia
 
  








Veröffentlicht: 16.12.2019


WANN WERDEN ABHÄNGIGKEITEN ZUM
RISIKO?

Sicherheitsaspekte bei IT-Beschaffungen


Die Berner Tagung für Informationssicherheit fand am 19.11.2019 bereits zum 22. Mal in Bern statt. Die von der Information Security Society Switzerland (ISSS) (www.isss.ch) gemeinsam mit dem Informatiksteuerungsorgan des Bundes (ISB) (www.isb.admin.ch) organisierte Konferenz hat sich in der diesjährigen Ausgabe mit dem Thema «Sicherheitsaspekte bei IT-Beschaffungen» befasst.


© Michael Stahl

Das Thema ist vielschichtig und brandaktuell. Das zeigen nicht nur die 160 Teilnehmenden, die den Weg in das Berner Hotel Bellevue gefunden haben. Die verschiedenen Referentinnen und Referenten beleuchteten dabei das Thema von technischer, organisatorischer und rechtlicher Sicht. Der gemeinsame Nenner war offensichtlich: Das Beschaffen von IT-Lösungen bestehend aus Hard-, Software und Dienstleistungen ist eine Herausforderung. Zum einen gilt es, die passenden Produkte und Lösungen zu finden, zum anderen nehmen Sicherheitsaspekte einen zunehmend wichtigeren Stellenwert ein.

© Michael Stahl

Bereits die Begrüssung von Peter Fischer (Delegierter für die Informatiksteuerung des Bundes) machte die Wichtigkeit der Thematik deutlich – der optimale Start in einen spannenden Nachmittag. Darauf folgte Florian Schütz, neu ernannter Delegierter des Bundes für die Cybersicherheit. Er motivierte das Publikum, den Fokus nebst den Risiken auch auf die Chancen der Cybersicherheit zu legen. Insbesondere in der Schweiz haben wir im internationalen Vergleich zahlreiche Vorteile, die im bisherigen Diskurs mit dem Thema Cybersicherheit zu wenig präsent waren. Er wünscht sich in Zukunft auch einen systematischen und laufenden Blick auf die Chancen.

Finden wir in Produkte eingebaute Hintertüren?

Dr. Stefan Frei ist Leiter Arbeitsgruppe Supply Chain Security ICT-Switzerland und befasste sich mit den technischen Aspekten und Abhängigkeiten innerhalb einer Lieferkette. Die zentrale Frage lautete, ob wir moderne IT-Geräte wirklich auch noch besitzen und wie überprüft werden kann, ob unerwünschte Hintertüren eingebaut sind, welche zu einer Beeinträchtigung der Funktion oder zu ungewolltem Datenabfluss führen können. Solche Tests sind anspruchsvoll und nur wenige Organisationen verfügen über die dafür notwendigen Ressourcen und das entsprechende Know-How. Im Sinne von «Trust but verifiy» möchte Dr. Stefan Frei entsprechende Fähigkeiten in der Schweiz aufbauen, um solche Tests eigenständig und zuverlässig durchführen zu können.


«Berufsphisher mit Lizenz»?

In einem Exkurs entführte Dominique Brack von T-Systems Schweiz AG das Publikum in die Welt der Berufsphisher. Er zeigte verschiedene Ansätze, wie mit dem Versand von Phishing-Mails die Sensibilisierung von Mitarbeitenden erhoben und gleichzeitig auch gesteigert werden kann. Im Sinne eines Erfahrungsaustausches gewährte Dominique Brack Einblick in verschiedene, durchgeführte Phishing-Tests. Sein Referat zeigte auch, was es bei solchen Tests besonders zu beachten gilt.


© Dominique Brack, T-Systems Schweiz AG


© Michael Stahl

Mit dem IT-Grundschutz die Sicherheit erhöhen

Standards helfen, die Informationssicherheit zu erhöhen. Bei Beschaffungen unterstützen sie zudem ein gemeinsames Verständnis zwischen der Beschaffungsstelle und dem Anbieter. Holger Schildt vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) ist Referatsleiter für BSI Standards und den IT-Grundschutz. Besagter IT-Grundschutz wurde nun modernisiert und inhaltlich stärker auf die Bedürfnisse der Anwenderorganisationen ausgerichtet. Dabei können die einzelnen Elemente aus dem IT-Grundschutz als Grundlage für die Erarbeitung von (Sicherheits)Anforderungen dienen oder die Abnahme von IT-Systemen und Anwendungen unterstützen. Dank umfassender Überarbeitung stehen praxiserprobte Hilfsmittel für zahlreiche IT-Komponenten zur Verfügung. Die Aspekte der IT-Beschaffungen finden sich fast in jedem Baustein. Daher verzichtete das BSI darauf, dafür einen eignen Baustein zu schaffen.



© Michael Stahl

© Holger Schildt, Bundesamt für Sicherheit in der Informationstechnik (BSI), Deutschland

Welche Abhängigkeiten zu IT-Dienstleister bestehen?

Nach einer kurzen Stärkung und einem Statusbericht seitens des ISSS Präsidenten Umberto Annino beleuchtete Caroline Kiselev von der Universität St. Gallen das Thema «Abhängigkeiten von IT-Anbietern – welche gibt es und wie lassen sie sich gezielt reduzieren?». Das Thema basiert auf einer im Auftrag des Informatiksteuerungsorgans des Bunds durchgeführten Studie der Universität St. Gallen. Die Studie setzte sich zum Ziel, die Thematik der Abhängigkeit in unterschiedlichster Art im Gesamtkontext zu verstehen. Hierfür wurden verschiedene Personen innerhalb der Bundesverwaltung befragt. Demnach können Abhängigkeiten technischer, rechtlicher, wirtschaftlicher oder organisatorischer Natur sein.
Mögliche Auswirkungen sind vielseitig. Erhöhte Kosten oder schlechte Leistungsqualität können sich negativ auswirken. Auch der Verlust von internen Kompetenzen ist möglich und führt zu einer nochmals erhöhten Abhängigkeit. Fehlende Innovationskraft kann längerfristig zu einem Problem werden. Obwohl es verschiedene Strategien gibt, um allzu grosse Abhängigkeiten zu vermeiden, sind diese aufgrund der Marktmacht von einzelnen Anbietern sowie modernen Bereitstellungsmodellen wie Cloud Computing unumgänglich. Die Schaffung von funktions- und organisationsübergreifenden Teams bei strategisch relevanten Beschaffungen ist von grosser Wichtigkeit. Die Durchführung von kontinuierlichen Risikoanalysen schaffen Transparenz und ermöglichen somit das Eingehen von «gezielten» und «gewollten» und damit notwendigen Abhängigkeiten.

Rechtliche Aspekte bei IT Beschaffungen

Im Referat von Reto C. Zbinden standen die rechtlichen Aspekte im Vordergrund. Die möglichen Vertragswerke sind vielfältig und die damit verbundenen Haftungsansprüche ebenso. Es gilt im Einzelfall zu prüfen, welches Vertragswerk die Bedürfnisse am besten abzudecken vermag. Aus der Perspektive der Informationssicherheit sollten im Vertrag unter anderem grundlegende Aspekte zur Datenhaltung (Datenstandort) sowie die Verpflichtungen zum Schutz der Daten sowie Möglichkeiten zur Überprüfung (Audit-/Kontrollrecht) geregelt werden. Wie auch im privaten Umfeld gilt es, beim Kleingedruckten sowie bei allfälligen Haftungsausschlüssen entsprechende Vorsicht walten zu lassen. Eine sorgfältige Prüfung von Vertragsunterlagen ist daher zwingend notwendig.

Rosetta: Mission mit technischen Herausforderungen

Ein etwas anderer Blick auf die Thematik hatte Prof. Dr. Kathrin Altweg, Physikerin und Dozentin für Weltraumforschung und Planetologie an der Universität Bern. In einem sehr abwechslungsreichen und humorvollen Vortrag präsentierte sie, wie eine langjährige Weltraummission mit IT-Unterstützung gelingen kann. Nebst umsichtiger und langfristiger Planung braucht es in gewissen Situationen flexible und rasche Entscheidungen und ein Blick auf das Wesentliche. In Kombination mit einem eingespielten und schlagkräftigen Team gelingen auch anspruchsvolle Missionen. Diese Analogie lässt sich vermutlich auch auf IT-Beschaffungen übertragen.

IT-Beschaffungen sind anspruchsvoll – sie müssen kulturelle, organisatorische, technische und rechtliche Aspekte vereinen. Nur so lassen sich langfristig gefährliche Abhängigkeiten in Griff bekommen. Mit übergreifenden Projektteams, etablierten Standards, einem ausgefeilten Vertragswerk sowie initialen und wiederkehrenden Tests können die in der Beschaffung verfolgten Ziele und die notwendige Informationssicherheit erreicht werden. Schlussendlich wird dadurch auch eine wertvolle Grundlage für die spätere Zusammenarbeit zwischen Anbieter und Leistungsbezüger geschaffen.

SAVE THE DATE! 23. Berner Tagung am 18. November 2020 in Bern

Über den Autor

Als erfahrener Berater unterstützt Alexander Hermann in sämtlichen Bereichen der Informationssicherheit. Seine Stärken liegen in der 360°-Betrachtung einer Unternehmung und sein Ziel ist stets, dem Kunden den höchsten Nutzen zu generieren. Seit 2003 arbeitet er im Bereich Informationssicherheit und 2012 gründete er mit seinen Geschäftspartnern Redguard. Als Managing Partner führt er heute das Unternehmen operativ und strategisch. Nach seinem Studium zum Dipl. Wirtschaftsinformatiker verfügt Alexander Hermann über Zertifizierungen, darunter CISA, CISM und CISSP. Als Vorstandsmitglied der Information Security Society Switzerland (ISSS) setzt er sich für den Know-how-Austausch ein und tritt regelmässig als Referent zum Thema Informationssicherheit auf.

Drucker geeignete Seite Sende diesen Artikel einem Freund


Aktuelle Ausgabe


Diese Webseite verwendet Cookies. Näheres finden Sie in unserer Datenschutzerklärung.