24. August 2020

7 Tipps für Cyber-Security-Projekte im Behördenumfeld

Cyber Security im Behördenumfeld muss ganz spezifischen Anforderungen genügen. Die folgenden Tipps können externen Dienstleistern helfen, das Schiff bei Mandaten auf Kurs zu halten.

von Gianni Lepore, Ironforge Consulting

Cyber Security spielt im Behördenumfeld eine wichtige Rolle. Anfang 2019 gab der Bundesrat den Startschuss für ein neu zu schaffendes Kompetenzzentrum im Bereich Cyber Security. Das Kompetenzzentrum soll eine nationale Anlaufstelle für Fragen zu Cyber Risiken werden.

Im Mai dieses Jahres verabschiedete der Bundesrat die neue Verordnung über den Schutz vor Cyber Risiken in der Bundesverwaltung. Der Bund und allgemein die öffentliche Verwaltung müssen nicht nur Bescheid wissen, sondern selbst aktiv werden und sich gegen Cyber  Attacken schützen.

Als Unternehmen, das Security-Projekte im Bundesumfeld betreut, erachten wir die folgenden Schritte für Auftragnehmer im Umgang mit Behörden als zentral:

Sicher beginnen

  1. Anforderungen (an die Sicherheit) kennen: Die Planung der Sicherheit sollte bereits von Beginn an – beim Start der Projektplanung berücksichtigt werden. Noch vor dem Projektstart sollten Anforderungen an die Sicherheit formuliert werden. Die Identifikation dieser Anforderungen ist nicht immer trivial und wird oft übersehen. Die Folge sind hohe Kosten im späteren Verlauf des Projekts oder noch schlimmer – ein unsicheres Produkt. Aus den Sicherheitsanforderungen können bereits Projekt-Leitlinien (z.B. Coding Conventions) abgeleitet und ein «Security-Fahrplan» erstellt werden.
  2. Vorgaben kennen: Traditionell konzentrierte sich die Sicherheit sehr auf die Policies und die Compliance. Sie sind zwar zentrale Aspekte der Sicherheit, müssen aber die richtige Balance zwischen den Anforderungen der Sicherheit und jenen des Business wahren. In diesem Umfeld gilt es, eine gute und solide Arbeit abzuliefern – in Partnerschaft mit den Geschäftsbereichen und den anderen Stellen innerhalb der Sicherheitsorganisation. Projekte im Behördenumfeld sind stets mit strengen Sicherheitsvorgaben verbunden. Es ist essenziell, dass der Dienstleister die unterschiedlichen und in der Regel öffentlich zugänglichen Vorgaben kennt und bereits bei der Lösungseingabe berücksichtigt.

Sicher durchführen

Während des Projekts können viele Massnahmen getroffen werden, um das Endprodukt sicher zu gestalten.

  1. Pilotdurchführung über alle Abteilungen hinweg: Aufträge im Behördenumfeld sind oft anspruchsvoll, da die Bedürfnisse über Abteilungen und Departemente hinweg nicht einheitlich sind. Für den erfolgreichen Abschluss eines Projekts ist es deshalb unabdinglich, dass die Pilottests über alle Abteilungen hinweg durchgeführt werden. So können die individuellen Bedürfnisse abgefangen und erfüllt werden.
  2. Ganzheitliches Kommunikationskonzept: Aufgrund der Komplexität des Behördenumfelds empfiehlt es sich, zu Beginn ein hieb- und stichfestes Kommunikationskonzept auf die Beine zu stellen. Eine klare und transparente Kommunikation zwischen allen Schnittstellen ist unerlässlich, um erfolgreich ans Ziel zu kommen. Aktiver Kontakt mittels Mailings, Schulungen und Informationsveranstaltungen sind nützlich, um alle Beteiligten auf den gleichen Wissenstand zu bringen. Findet ein regelmässiger Austausch statt, können unter den Arbeitsgruppen Erfahrungen geteilt werden, die dazu beitragen, dass das Projekt als Ganzes reibungslos abläuft.
  3. Einsatz einer fixen Ansprechperson: Gerade als externer Dienstleister sollte man sicherstellen, dass der Kunde jederzeit eine Ansprechperson hat. Eine Ansprechperson beim Kunden vor Ort ist die optimale Lösung, um eine reibungslose und effiziente Bearbeitung der Anliegen des Kunden zu gewährleisten.

Sicher abschliessen

Auch nach Abschluss des Projekts sollten Massnahmen zur Erhaltung der Sicherheit getroffen werden – besonders die Überführung in einen sicheren Betrieb ist essenziell.

  1. Überführung in den Betrieb als Schlüssel für einen längerfristigen Schutz: In der Regel wird mit einem Projekt eine signifikante Service-Änderung erfolgen. Dieser Übergang ist ein essenzieller Einflussfaktor auf die IT-Services und die Arbeit eines IT-Betriebes. Die Einführung neuer Prozesse in eine eingespielte IT-Betreiberorganisation muss behutsam erfolgen. Um die Sicherheit des Produkts längerfristig zu gewährleiten, ist es wichtig, bei den Betreibern eine Awareness für das «Neue» zu schaffen.
  2. Sicheres «Lifecycle-Management»: Je nach Projektergebnis kann es Sinn machen die implementierten Systeme über deren gesamte Lebensdauer weiter zu betreuen. Dieser Service sollte alles von der Risiko- und Wirtschaftlichkeitsanalyse über Updates und regelmässigen Services bis hin zur Modernisierung abdecken.

 

Autor: Gianni Lepore, CEO von Ironforge Consulting AG. Das ICT-Beratungsunternehmen betreut Security-Projekte im Bundesumfeld. 

Foto: ?? Claudio Schwarz | @purzlbaum on Unsplash

Disclaimer: Ironforge Consulting ist ein swissICT Firmen-Mitglied. Firmen-Mitgliedern steht unser Blog offen für Themen-Inputs und Fachartikel. Die Beiträge müssen journalistischen Anforderungen genügen und dürfen nicht werblich sein. Sie möchten auch einen Beitrag publizieren? Für Fragen dazu benutzen Sie gerne dieses Kontaktformular.

Mit Ihrem Besuch auf unserer Website stimmen Sie unserer Datenschutzerklärung und der Verwendung von Cookies zu. Dies erlaubt uns unsere Services weiter für Sie zu verbessern. Datenschutzerklärung

OK