IT-Sicherheit

Zusammenfassung

Die 10 Gebote der Informationstechnologie (IT)? Wieso 10? Gibt es nicht wesentlich mehr zu beachten? - Sicherlich kann man ohne weiteres viele Ideen für Vorschriften, Gebote und Verbote generieren - eine Brainstorming-Sitzung mit einigen Experten genügte. Daher ist diese subjektiv geprägte Aufstellung keine abschließende Aufzählung, sondern als eine offene Liste zu verstehen. Sie entstand als Sammlung aus dem Meinungsaustausch mit Fachleuten und soll weiter diskutiert werden. Der Autor freut sich auf Anregungen

1. Du sollst strategisch denken!

Das erste Gebot verlangt die Zielorientierung der IT, d.h. eine enge Abstimmung mit den Unternehmenszielen und der Unternehmensplanung. Die dafür erforderliche strategische Informationssystemplanung ist ein systematisch- methodisches Verfahren, welches eine Vorgehensweise zur Erreichung strategischer IT-Ziele beschreibt.

Es geht also darum, die Unternehmens- und die IT-Strategie miteinander zu koppeln, um langfristig erfolgreich zu sein. Typische Themen sind: Wie kann die IT die Geschäftsmodelle/-prozesse unterstützen? Wie können neue Geschäftsfelder durch die IT erschlossen werden? Im Vordergrund steht nicht der kurzfristige Erfolg, die schnelle Lösung, sondern die optimal ausbalancierte IT, die genau zum Unternehmen passt.

2. Du sollst den Anwender achten!

Das zweite Gebot beinhaltet, dass der Anwender nicht nur Betroffener einer IT-Lösung ist, sondern aktiv zu beteiligen, zu integrieren ist. Die Benutzer-Partizipation umfasst z.B. die Funktionalität, die Ergonomie und Bedienbarkeit oder die Implementierung des "Prinzips der geringsten Verwunderung", d.h. die Sinnhaftigkeit. Ferner gehört dazu die Anwenderschulung, unterstützt durch das entsprechende Change Management.

Beachtet man das zweite Gebot, so minimiert man das Risiko einer fehlenden Akzeptanz und damit das Scheitern von Projekten.

3. Du sollst Komplexität meiden!

Das dritte Gebot beinhaltet Empfehlungen wie: Du sollst deine Systeme und Prozesse vereinfachen und vereinheitlichen. KISS - Keep it short & simple. Du sollst deine Schnittstellen minimieren. Beachte das Pareto- Prinzip (80%-Lösungen), denn eine 100%-Lösung beansprucht viel Aufmerksamkeit. Verwende eine gute Architektur u.v.a.m.

Richtet man sich nach diesem Gebot, erhält man gut handhabbare Systeme, denn Komplexität schafft Intransparenz, diese führt zu Fehlern, mangelnder Wartbarkeit und schlechter Performance, Migrations- und Integrationsproblemen und letztlich zur Unbeherrschbarkeit des IT-Systems.

4. Du sollst die IT-Sicherheit befolgen!

Du sollst deine Daten und Programme sichern. Benutze die Kryptografie, ändere regelmäßig sinnneutrale Passwörter, verwende sichere Kommunikationsverbindungen, kümmere dich um den Virenschutz und den organisatorischen Schutz (4- Augen-Prinzip, Berechtigungen) u.v.a.m.

Der Nutzen einer sicheren IT ist hoch, denn die Risiken sind immens: Missbrauch, Informationsdiebstahl, Datenverlust und manipulation, um nur einige zu nennen.

5. Du sollst Standards nutzen!

Nutze Standards, wo immer es geht und sinnvoll möglich ist (und es geht öfter als man denkt!). Dazu zählen auch Industriestandards, Standardschnittstellen und Standardsoftware. Den Weg der Tugend verlässt, wer Standardsoftware modifiziert oder herstellerspezifische Erweiterungen - z.B. bei genormten Programmiersprachen - nutzt.

Für die Einhaltung des fünften Gebots gibt es eine Belohnung: Wartung und Integration (von Fremdsystemen) werden leichter, Migrationsprobleme (z.B. bei proprietären Systemen, wenn der Hersteller nicht mehr existiert) oder Release-Wechsel sind kein großes Problem mehr (sondern nur noch ein kleines).

6. Du sollst laufende Systeme bewahren!

Das sechste Gebot, besser bekannt als: Never change a running system bzw. never touch a running system - im Klartext: Ändere laufende System nicht grundlos! (Anm.: Dies betrifft die Software eines IT-Systems, nicht die vorbeugende Wartung der Hardware.)

Beachtet man die vorstehenden Gebote, so folgt fast unmittelbar, dass man robuste Systeme erzeugen bzw. einsetzen sollte. Das schont die Nerven. Also: Kleine Fehler tolerieren. Keine Scheinaktivitäten mehr. Keine Fummelei ("Optimierungen"). Keine unnötigen/zweifelhaften Eingriffe. Und was hat man davon? Nun, Änderungen führen zu Fehlern, diese zu Korrekturen und Änderungen, dabei werden wieder Fehler gemacht usw. Wer laufende Systeme in Ruhe lässt, vermeidet somit Fehler und Ausfälle.

7. Du sollst dokumentieren!

Die mit Abstand beliebteste Tätigkeit in der gesamten IT- Welt ist die korrekte Dokumentation (wohl nicht). Selbst die tollsten Werkzeuge haben die mentale Einstellung von Legionen von Programmierern und anderen Beteiligten nur peripher tangiert.

Dennoch: Bei Migration, Wartung, Weiterentwicklung ist jeder dankbar für die kleinste Grafik oder kryptische Inline-Sequenzen. Selbst Anwender wissen leicht verständliche Handbücher zu schätzen. Es gibt also keinen Grund darauf zu verzichten: auf das Repository, Prozessmodelle und Diagramme, ein Systeminventar u.v.a.m. Damit lassen sich Probleme bei Änderungen (Y2K, EUR), Wartung, Erweiterung und Migration verringern. Und das spart Zeit und Kosten.

8. Du sollst deine Leute fördern!

Worin unterscheidet sich eine schlechte von einer guten IT-Abteilung? Ein Faktor ist - neben der Berücksichtigung der anderen Gebote und der Auswahl der richtigen Leute - sicherlich der Aufwand, der den beteiligten Personen (Entwicklern, Projektleitern usw.) zugute kommt. Und da geht es in einer High-Tech-Gesellschaft nun mal nicht ohne die entsprechende fortwährende Weiterbildung, d.h., ein deutlicher Prozentsatz des Budgets wird für Personalentwicklungs- und Qualifizierungsmaßnahmen benötigt.

Das Geld ist gut angelegt, denn es erhöht den Systemnutzen und die Akzeptanz. Und es verhindert Fehlbedienungen, Unsicherheit, falsche Entscheidungen im Projektteam, z.B. die Verwendung veralteter ("bewährter") Technologien, u.v.a.m.

9. Du sollst das Gesetz achten!

Das neunte Gebot der Bibel lautet: Du sollst nicht begehren deines Nächsten Haus (2. Moses 20). Frei übertragen in die IT: Du sollst nicht begehren deines Nächsten Daten! Das bedeutet beispielsweise, dass das Recht auf informationelle Selbstbestimmung zu achten ist. Das Ausspähen von Personen, der sorglose Umgang mit personenbezogenen, sensiblen Daten ist nicht seriös. Ferner gelten viele weitere Gesetze, etwa die Grundsätze ordnungsmäßiger Speicherbuchführung, das Signaturgesetz oder Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU).

Die Vergangenheit hat oft gezeigt, dass Unternehmen durch die Missachtung der Gesetze zumindest eine Schädigung ihres Ansehens (Vertrauensverlust) erlangt haben, darüber hinaus auch den Verlust von Geld und Geschäftspartnern. Gesetzestreue Unternehmen haben also nicht nur die Moral auf ihrer Seite, sondern auch den Nutzen.

10. Du sollst Rat einholen!

Gute Berater sind nicht billig. Aber sie sparen Zeit, Geld und falsche Entscheidungen. Sie bringen den Betriebsblinden das Augenlicht zurück. Nur: Woran erkennt man einen guten Berater? Nun, man sollte seine Referenzen und das Know-how ernsthaft prüfen. Wer nur das Konzept machen will, sollte eine gute Antwort auf die Frage haben, warum er nicht realisieren will (weil es nicht so einfach ist?).

Außerdem: Ein guter Berater berät, begleitet und zieht sich zurück, er ist nur kurz im Projekt. Er stiftet Nutzen, einen Nutzen, der deutlich höher zu sein hat als seine Kosten.