Let’s talk about CyberSecurity... …eine Einführung
Cyber Security ist im Zeitalter der Digitalisierung von entscheidender Bedeutung. Niemand geht morgens aus dem Haus, ohne die Eingangstür zu verschließen. Wenn es um persönliche Daten geht, lassen viele aber das Tor zu den eigenen Daten weit offen und nehmen die Sicherheit vertraulicher Informationen weniger ernst! Aber Vorsicht, Cyber Attacken nehmen zu – genauso wie die Menge an Daten, die wir produzieren und die Anzahl an Geräten, die angegriffen werden können. In unserem Berufsalltag beobachten wir häufig, dass viele Unternehmen sich auf ihrer Reise zu mehr Digitalisierung zu wenig mit dem Thema Sicherheit beschäftigen und sich einer falschen Sicherheit mit veralteter technischer Infrastruktur hingeben. Als Digitalisierungsdienstleister fühlen wir uns verantwortlich, Aufklärung zu leisten, warum die IT-Sicherheit einen großen Teil der digitalen Transformation einnimmt und wie wir als Unternehmen diesen Umständen gerecht werden.
Vorweg möchten wir aber beleuchten, warum eine Sicherheitsstrategie für Unternehmen so wichtig ist:
Gesetzliche Vorgaben und Prüfungen
Als Unternehmer*in ist man gesetzlich dazu verpflichtet, eine ausreichende IT-Sicherheit zu gewährleisten. Wenn beispielsweise personenbezogene Daten erhoben oder anderweitig sensible Daten verarbeitet werden, muss sich an die geltenden Datenschutzgesetze und Verordnungen gehalten werden. Ein weiterer Punkt, ist die Wirtschaftsprüfung, zu der auch die Prüfung der IT-Sicherheit gehört.
Kostenfalle Cybercrime
Cyber-Angriffe treffen kleine wie große Unternehmen, teils mit verheerenden Konsequenzen. Ziel der Angreifenden ist es, IT-Komponenten oder die IT-Infrastruktur eines Unternehmens zu verlangsamen, zu schädigen oder komplett lahmzulegen. Es ist keine Seltenheit, dass ein einziger Cyber-Angriff die Existenz eines Unternehmens bedroht. Einerseits kann es durch Industriespionage zum Diebstahl von Geschäftsgeheimnissen kommen. Andererseits drohen sehr hohe Kosten aufgrund von notwendigen Wiederherstellungsmaßnahmen, Schadensersatzforderungen und Strafen.
Banken- und Kundenvertrauen gewinnen durch IT-Sicherheit
Ein wesentlicher Faktor beim Thema IT-Sicherheit ist Vertrauen. Kundinnen und Kunden entscheiden sich für die Unternehmen, denen sie am meisten vertrauen und bei denen sie ihre Daten in besten Händen wissen. Falls sensible Auftraggebendendaten nicht auf den Servern gesichert vorliegen, drohen Unternehmen massive Reputationsschäden, mit denen dann meist auch der Verlust der betroffenen Kundschaft einhergeht.
Marktvorteile und wirtschaftlicher Erfolg
Last but not least, zahlt sich die Etablierung starker IT-Sicherheitsmaßnahmen in wirtschaftlichem Erfolg aus. In einer Zeit, in der wir ständig mit neuen Technologien und neuen Trends konfrontiert werden, wird Cyber-Sicherheit immer komplexer und anspruchsvoller. Es braucht geschulte Expert*innen mit langjähriger Erfahrung, um bestehende IT-Systeme an neue technische Herausforderungen und sich ständig verändernde Bedrohungen anzupassen. Eine klare Positionierung zugunsten Datensicherheit schafft Wettbewerbsvorteile und Erfolge.
Die Digitalisierung hat entscheidende Vorteile für Unternehmen, erhöht aber auch das Risiko von unbefugtem Zugriff und kriminellen Machenschaften. IT-Sicherheit ist ohne Zweifel eines der wichtigsten Themen, mit denen sich Unternehmen, egal ob klein oder groß, befassen müssen.
In einer Welt, die immer digitaler wird, gewinnt auch die Sicherheit von digitalen Produkten mehr und mehr an Bedeutung. Als Digitalisierungsdienstleister möchten wir diesen Herausforderungen gerecht werden. Einerseits, weil wir den Anspruch haben, qualitativ hochwertige digitale Produkte zu entwickeln und zum anderen, weil unsichere Produkte gesellschaftlichen und wirtschaftlichen Schaden verursachen können.
Um sichere Software zu entwickeln, nutzen wir als Vorgehensmodell den BRICKMAKERS SDL. SDL steht für Security Development Lifecycle. Ein SDL ist im Wesentlichen eine Reihe von Schritten oder Phasen, die einen Rahmen für die Entwicklung von Software und deren Verwaltung über den gesamten Lebenszyklus bieten. Obwohl es nicht nur eine Technik oder Möglichkeit gibt, Anwendungen und Softwarekomponenten zu entwickeln, gibt es etablierte Methoden, die von Unternehmen verwendet werden und Modelle, um unterschiedliche Herausforderungen und Ziele zu bewältigen.
In unserem Fall, wird im BRICKMAKERS SDL folgendes definiert:
a) ... Rollen, die für die Planung, Umsetzung, Kontrolle und Einhaltung des BRICKMAKERS SDL verantwortlich sind.
b) ... Aktivitäten, die während der Projektplanung und -durchführung regelmäßig umgesetzt werden und sicherstellen, dass die Sicherheit der Software von Anfang an berücksichtigt wird.
c) ... Maßnahmen, die während Design, Implementierung und Betrieb der Software eine sichere Umsetzung unterstützen.
Der BRICKMAKERS SDL basiert auf den aktuellen Best Practices und Erkenntnissen aus den Bereichen Information Security (InfoSec), Application Security (AppSec) und der agilen Software-Entwicklung. Das Vorgehensmodell wird regelmäßig durch die BRICKMAKERS GmbH evaluiert und aktualisiert.
Seit 2020 gibt es in unserem Unternehmen einen Security Manager, um zu gewährleisten, die Ziele des Unternehmens im Sinne der CyberSecurity kontinuierlich voranzubringen. Falls ihr weitere Ideen, Wünsche und Fragen zu dem Thema SDL oder Security habt, richtet diese gerne an uns. Wir helfen gerne weiter!
Fortsetzung folgt: In den nachfolgenden Beiträgen unserer Blogreihe beschreiben wir zum einen, welche Grundsätze dem SDL zugrunde liegen und in welche Phasen sich der SDL einteilen lässt. Ebenfalls werden wir beleuchten, wie man die Sicherheit in verschiedenen Phasen eines Projekts sicherstellt und welche Maßnahmen abgeleitet werden können. Bleibt gespannt!