iX Special 2017
S. 127
Security & Recht
Auswahl externer Partner
Aufmacherbild

Management von Projekten der Informationssicherheit

Auf Kurs

Da beim Thema Informationssicherheit in Unternehmen und Behörden häufig das interne Know-how fehlt und das Projekt somit stark von der Qualität externer Experten abhängig ist, sind Projekte in diesem Bereich den üblichen Herausforderungen wie Verzögerungen, Budgetüberschreitungen oder auch eingeschränkten Projektergebnissen in besonderem Maße unterworfen. Wie kann man solche Projekte dennoch zum Erfolg führen?

Projekte in der Informationssicherheit benötigen spezielle Kompetenzen, die in der Regel nur durch das Einbinden externer Experten zur Verfügung stehen. Dies führt dazu, dass einerseits Unternehmen und Behörden intern fachliches Neuland betreten und nicht auf ausreichende Erfahrung und spezielles Know-how zurückgreifen können. Die betreffende Organisation muss es während des Projektes erst „erlernen“.

Andererseits müssen die externen Berater die Organisationen während des Projektverlaufes oft erst kennenlernen, um in deren Kontext der Risikobereitschaft und der internen Kultur die Informationssicherheit oder das Informationsmanagementsystem (ISMS) zu implementieren. Die Projektziele lassen sich normalerweise nicht durch einfaches „Vorlesen“ oder blindes Anwenden eines Sicherheitsstandards oder -frameworks erreichen.

Oft wünschen die Verantwortlichen im Unternehmen, dass effektive und effiziente Informationssicherheit etabliert oder ein nach dem Projekt weiter funktionierendes, also an die Organisation angepasstes ISMS aufgebaut wird. Sinnvoll kann es außerdem sein, eine Zertifizierung nach einem Standard wie BSI IT-Grundschutz oder ISO 27001 zu erreichen.

Die unterschätzte Partnersuche

Der Autor schätzt, dass Security-Projekte zwei bis drei Mal durchgeführt werden müssen, bis die eigentlich mit dem Projekt verbundene Erwartungshaltung erfüllt ist. Einige Aspekte, die zum sofortigen Erfolg eines Security-Projekts beitragen, sind nachfolgend geschildert.

Projekte sind auf eine begrenzte, oft kurze Dauer ausgerichtet. Daher investieren Unternehmen und Behörden ebenfalls nur wenig Zeit und Aufmerksamkeit in die Projektpartnersuche. Wenn jedoch absehbar ist, dass in kurzer Zeit sowohl seitens der eigenen Organisation das Thema Informationssicherheit erlernt werden als auch mehr als ein Nullachtfünfzehn-Niveau des zugrundeliegenden Sicherheitsstandards im eigenen Hause ankommen soll, ist es sinnvoll, die Suche nicht auf den reinen Beschaffungs- oder Einkaufsvorgang zu beschränken.

Im Gegenteil, es zeugt von einer gewissen Weitsicht und ist eine Herausforderung, die zuständige Einkaufs- und Beschaffungsabteilung genau zu instruieren, was benötigt wird und in welcher Qualität. Die Abteilung hat im Regelfall nur ein Ziel, und das verfolgt sie gelegentlich gnadenlos und ohne gesunden Menschenverstand: Hauptsache billig! Das soll keine Kritik an denjenigen sein, die in solchen Abteilungen arbeiten. Vielmehr liegt der Fehler beim Einkaufsprozess der Organisationen.

Beschaffungsparadoxon

Die zuständigen Abteilungen oder Bereiche sind sehr wohl in der Lage, weitere Parameter bei der Auswahl der Partner zu berücksichtigen, und haben sich beim Autor sogar schon einige Male dafür entschuldigt, dass sie vermutlich falsch beschaffen müssen, aber keine anderen Instruktionen bekommen haben. Die Ursache dafür ist ein Paradoxon: Es muss ja etwas Artfremdes beschafft werden, wie sollen da der zuständigen Fachabteilung oder der Stabsstelle die richtigen Parameter bekannt sein? Mit etwas Mühe gibt es im Internet bereits nach kurzer Suche eine Reihe von Hinweisen.

Tabelle
Tabelle: Generische Kriterien zur Auswahl von Dienstleistern im Umfeld Beratung zur Informationssicherheit

Beim BSI sind in den IT-Grundschutz-Maßnahmen zur Vertragsgestaltung mit externen Informationssicherheitsbeauftragten (zu finden über „Alle Links“ im blauen Kästchen) einige wichtige Punkte genannt, die sich für den eigenen Fall anpassen lassen. Die Seiten von Beratungshäusern zur Informationssicherheit sind ebenfalls eine gute Quelle, um Parameter für den Vergleich von Anbietern der benötigten Leistung zu ermitteln. Hier sind oft Referenzen, Qualifikationen der Mitarbeiter und eigene Zertifizierungen aufgeführt. Daraus lassen sich schon rund fünf bis sieben Aspekte zusammenstellen (siehe Tabelle „Generische Kriterien …“).

So kann es beispielsweise sinnvoll sein, einen Auditor einzusetzen, der die Zertifizierung zu einer Sicherheitsnorm vorbereitet. Denn nach Projektende ist es ebenfalls ein Auditor, der überprüft, ob das Zertifikat erteilt werden kann. Oder wenn ein Beratungsunternehmen angibt, an gängigen Standards mitzuarbeiten, so wird es wohl auch über Mitarbeiter verfügen, die sich in der betreffenden Thematik auskennen und kompetent beraten können. Deren Mitarbeiterprofile könnten Berücksichtigung finden. Ebenfalls kann das Vertrauen eine Rolle spielen. Projektreferenzen und Zertifizierungen, die ein potenzieller Auftraggeber auch stichprobenartig überprüfen sollte, können bei der Wahl eines zukünftigen Partners eine Rolle spielen.

Erlösung durch den externen Partner?

Zusammenarbeit ist nur möglich, wenn beide Partner bereit sind, ihren Teil zum Projekt beizutragen. Häufiger „fremdelt“ die Organisation mit dem Themengebiet, in das sie sich eigentlich einarbeiten müsste, was einer impliziten Verweigerung der Beschäftigung damit gleichkommt. Das kann verschiedene Ursachen haben. Es kann an der mangelnden Bereitschaft der verantwortlichen Personen liegen, sich auf etwas Neues einzulassen. Oder sie können fachlich oder persönlich etwa für die Stelle des Informationssicherheits-Beauftragten ungeeignet sein.

Oft stehen den Verantwortlichen weder ausreichend Zeit noch Geld zur Verfügung. Dies führt dann entweder zur falschen Beschaffung oder verlängert die Projektlaufzeit unter Umständen erheblich. Die internen Partner nutzen in solchen Fällen häufig das Projekt als Mittel, mit seinem Scheitern eine erhöhte Aufmerksamkeit in der Leitungsebene zu erhalten, selbst wenn sie das nicht bewusst tun. Das Scheitern ist dann natürlich die Schuld der Externen.

Gerangel in den Fachabteilungen

Es gibt auch die Problematik der falschen organisatorischen Einbindung des Themas. Beispielsweise werden Security-Projekte oft aus der IT-Abteilung heraus gestartet. Diese „Revolution von unten“ funktioniert jedoch nur in wenigen Fällen, da das mit organisatorischen und technischen Sicherheitsmaßnahmen abteilungsübergreifend eingeführte Veränderungsmanagement bei anderen, „gleichrangigen“ Fachabteilungen auf Ablehnung stößt. Der erfahrene, externe Partner wird sich an solchen Projekten voraussichtlich nicht beteiligen, da er keinen erfolgreichen Verlauf erwarten kann.

Ein neuer Trend, der den Projektleitern zurzeit Schwierigkeiten bereitet, ist die ingenieurtechnische Betrachtung des Themas Informationssicherheit in der Industrie. Dort begreift man Informationssicherheit nicht als organisatorischen Veränderungsprozess, sondern als „Bauteil“, das sich nach Lieferung durch den Externen nahtlos in das „Getriebe“ des Unternehmens einpassen lassen soll. Da das Ingenieursprinzip hier nicht anwendbar und eine Lernphase vorzuschalten ist, verlängert sich daraus häufig das Projekt.

Insbesondere, wenn man Informationssicherheit zum ersten Mal in einem Projekt umsetzen will oder einen neuen Partner dafür verpflichtet, ist eine Erhebung des aktuellen IST-Zustandes in Form einer sogenannten GAP-Analyse oder Reifegradbestimmung empfehlenswert. Dieses Vorgehen bietet beiden Seiten eine Möglichkeit, die gegenseitige Kennenlernphase stark zu verkürzen, was der Qualität und Laufzeit des Projekts zugutekommt.

Security-Know-how erwerben

Wie eingangs geschildert muss die Organisation das bisher fehlende Security Know-how neu „erwerben“. Dazu ist es zielführend, sich die der Bewertung des IST-Zustands zugrundeliegende Methode des Partners erklären zu lassen. Danach ist es zumindest teilweise möglich, eine solche Bewertung auch intern durchzuführen oder bei zukünftigen Bewertungen den Einsatz des externen Know-hows zu begrenzen.

Auf der anderen Seite bietet sich dem externen Partner die Chance, die Behörde oder das Unternehmen besser kennenzulernen. Durch die in der Regel mit einem hohen Interview-Anteil durchgeführte Anfangsanalyse kommt der Externe zwangsläufig mit Personen und damit mit der Kultur der Organisation in Berührung. Da Informationssicherheit auch als Projekt immer wieder die Balance zwischen Risiken und Chancen finden muss, ist die Kenntnis, wie der Kunde „tickt“ ein entscheidender Parameter für die spätere Abwägung beider Anteile.

Klassisch oder agil – (k)eine schwierige Entscheidung

Ebenso erhalten Externe dadurch einen Einblick in das vorhandene Know-how der Organisation. In der Regel wird der Projektleiter danach die notwendigen Spezialisten in seinem Projektteam noch einmal neu zusammenstellen oder er hat aus Erfahrung ohnehin die konkrete Ausprägung des Teams auf den Zeitpunkt nach dieser Erstphase gelegt. Auch bekommt der externe Partner durch diese ersten Sondierungsgespräche einen Einblick, wie (erfolgreich) bisher Veränderungsmanagement mit den betroffenen Mitarbeitern seitens der Organisation durchgeführt wurde, und kann für dieses Arbeitspaket mehr oder weniger Aufmerksamkeit einplanen.

Bei Security-Projekten gibt es die Besonderheit, dass diese niemals vollständig klassisch, also mit vordefinierten Projektziel ablaufen können (siehe Kasten „Weder klassisch noch agil“). Beide Seiten sollten sich daher grundsätzlich immer wieder darüber abstimmen, welche Projektänderungen das Erreichen des Ziels beeinflussen. Hier ist ein fairer Umgang miteinander erforderlich, statt sturer Fehlersuche oder Schuldzuweisungen, wie sie hierzulande insbesondere aufgrund der fehlenden deutschen Fehlerkultur verbreitet sind.

Wie erwähnt lernen beide Seiten bewusst voneinander, damit am Ende das passende Projektergebnis herauskommt. Insbesondere bei Erstprojekten hat der Externe hier großen Einfluss. Da das Thema Informationssicherheit ja intern noch völlig neu ist, ist es für die Organisation erforderlich, erst einmal ein Gespür für das notwenige Security-Know-how zu bekommen. Dies enthebt sie aber nicht von der Pflicht, die von außen mitgebrachten Methoden und Verfahrensweisen zu diskutieren, zu hinterfragen und sich erklären zu lassen – es sei denn, beide Seiten sind sich beispielsweise aufgrund einer äußerst kurzen Projektlaufzeit einig, dass hier nur ein geringer Reifegrad im Projekt erreicht werden soll.

Gute Partner liefern brauchbare Lösungenauch bei Zertifizierungen

Gute Partner werden beispielweise auch bei Zertifizierungsprojekten, bei denen die Projektlaufzeit häufig durch den Termin zum Zertifizierungsaudit ein hartes Projektende hat, Lösungen liefern, die eine Einflussnahme durch den Kunden ermöglichen, wenn ein interner, zukünftiger Mehrwert zu erwarten ist. Natürlich ist der Partner gehalten, den Kunden zu stoppen, wenn er die erforderliche Konformität derart verlassen würde, dass ein Zertifikat gefährdet ist. Aber das erwartet der Kunde in der Regel ja auch.

Insofern starten die Projekte oft mit dem klassischen Projektansatz, werden aber zwischendurch immer wieder agil – was für die Projektleiter, die das „Schiff“ auf Kurs halten sollen, eine größere Herausforderung als bei anderen IT-Projekten ist, und von der sie wissen sollten. Aber auch die Organisation sollte die Lernphase einplanen und gegebenenfalls die Änderungen im Projektverlauf mittragen, statt an den vorher im Angebot definierten Arbeitspaketen festzuhalten. Es kommt schließlich ihr selbst zu Gute.

Fazit

Die Suche nach einem externen Partner wird häufig unterschätzt und so kommt das Briefing des Einkaufs in vielen Beschaffungsprozessen zu kurz. Auch können die Partner das Unternehmen oder die Behörde nicht von ihrer Verantwortung für das Thema Informationssicherheit erlösen. Nur Zusammenarbeit und Vertrauen in einem fairen Umgang miteinander führen jedoch zum gewünschten Projekterfolg. Viele Organisationen binden sich nach erfolgreich abgeschlossenen Erstprojekten für lange Zeit an den Partner, denn daraus resultieren in vielen Fällen weitere Optimierungspotenziale. Beim ersten Mal ist eine IST-Bestandsaufnahme für beide Seiten sinnvoll, um einander kennenzulernen. (ur)