K.Zlöbl
Aus Schaden wird man klug. Bei SSI Schäfer bietet seit einiger Zeit ein IT-Sicherheits-Management (ISMS) Gewähr für Informationssicherheit, das nicht nur alle technischen Massnahmen umfasst, sondern auch als organisatorische Leitstruktur mit entsprechenden Sicherheitszielen und -strategien fortlaufend evaluiert wird.
Klaus Zlöbl, verantwortlich für die Sicherheit der Software bei SSI Schäfer,verweist auf die Notwendigkeit einer engen Abstimmung mit den Kunden, um die Schutzziele Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität zu wahren. Diese Schutzziele sind auch zentrale Anforderungen einer NIS2-Richtlinie 2022/2555 des Europäischen Parlaments und des Rates von 2022 über, die darauf abzielt, die Cybersicherheitsstandards europaweit zu stärken. Die Umsetzung dieser Standards schützt vor Cyberbedrohungen und stärkt die Resilienz der IT-Systeme. Konkret bedeutet dies, dass Informationen und Systeme jederzeit zur Verfügung stehen, aber zugleich vertraulich behandelt und vor unbefugtem Zugriff geschützt werden sollen. Änderungen an Daten müssen nachvollziehbar und manipulationssicher sowie eindeutig als von der jeweils angegebenen Quelle stammend identifizierbar sein.
Gezielte Schulungen sorgen dafür, dass Mitarbeitende Bedrohungen erkennen und die vorhandenen Schutzmassnahmen sowie Prozesse sicher im Alltag anwenden. Dabei gibt es allgemeine Schulungen für alle Mitarbeitenden, die Themen wie den sicheren Umgang mit Passwörtern, das Erkennen und Melden von Schadsoftware und ähnliche Grundlagen abdecken.
Abb.: SSI Schäfer
Im Bereich der Softwareentwicklung werden hingegen ebenso spezielle Kenntnisse, wie etwa Secure Coding, vermittelt, um Sicherheitslücken bereits bei der Programmierung zu verhindern. Ergänzt wird dies durch einen umfassenden Massnahmenkatalog auf Komponenten-, Daten-, System- und Prozessebene. Besonderes Augenmerk liegt dabei auf den technischen Systemen, auf denen Informationen gespeichert, verarbeitet oder übertragen werden. Zlöbl: «Die müssen reibungslos funktionieren und gegen die vielfältigen Bedrohungen wirksam geschützt sein».
Zentrale Elemente
- - Bedrohungsmodellierung, sicheres Codieren, Code-Reviews werden in der Entwicklungsphase angewandt.
- - In allen Systemen und Anwendungen sind Kontrollen implementiert, die den Zugriff ausschliesslich auf autorisierte Benutzer beschränken. Dies wird auch in der Softwareentwicklung berücksichtigt, wo die Zugriffsrechte abhängig vom Schutzbedarf der Informationen nach dem Need-to-Use/Know-Prinzip vergeben werden. Das bedeutet beispielsweise, dass Mitarbeitende nur dann Zugriff auf ein Kundensystem erhalten, wenn es notwendig ist, die Serviceaufgaben oder Operationen auch durchzuführen.
- - Durch die Sicherheitsarchitekturen werden die Nachvollziehbarkeit und Unstrittigkeit in Hinblick auf die Schutzziele in den Applikationen und Systemen gewährleistet.
- - Mithilfe von Tools zur statischen Codeanalyse wird Static Application Security Testing umgesetzt und potentielle Schwachstellen werden frühzeitig erkannt und behoben.
- - Eingesetzte 3rd Party Komponenten werden regelmässig auf bekannte Schwachstellen überprüft und aktualisiert.
- - Umfassende Penetrations-Tests von unabhängigen externen Partnern stellen Angriffe nach und helfen dabei, Sicherheitslücken zu finden und zu beheben.
Die erforderlichen Sicherheitspraktiken werden strukturiert durchgeführt und dokumentiert. Dabei wird eine Balance zwischen hoher Sicherheit und Benutzerfreundlichkeit angestrebt, um die Funktionalität der Software nicht zu beeinträchtigen. Zlöbl, der seit Oktober 2022 als Security Officer in der Produktentwicklung die Verantwortung für die Sicherheit der Softwareprodukte trägt: «Der Schutz sensibler Daten und Systeme ist eine Gemeinschaftsaufgabe».
Klaus Zlöbl absolvierte ein Studium im Bereich Telematik mit dem Schwerpunkt Informatik, bevor er 2011 bei SSI Schäfer einstieg und dort mehrere Positionen im Bereich Softwareentwicklung innehatte. Seit 2017 widmet er sich dem Thema IT-Sicherheit.
- Details
- Geschrieben von: Klaus Koch
