IT-Sicherheit

Ergänzend zu den allgemeinen Kriterien zur Bewertung von Software in den vorangegangenen Abschnitten haben wir hier spezifische Kriterien für die Bewertung von Software für die IT-Sicherheit aufgeführt und in weiteren fachspezifischen Unterabschnitten vertieft.

• Ermitteln Sie, welche Bedrohungsszenarien¹ (z.B. Dienstahl, Manipulation, Umwelteinflüsse etc.) am ehesten in Ihrem Betriebsumfeld zutreffen können. Software unterscheidet sich am Funktionsumfang und jede Funktion, kann bei der einen Software besser und bei einer anderen Lösung schlechter funktionieren. So ergibt sich eine unterschiedliche starke Gewichtung der Funktionalität, die bei jedem Bedrohungsszenario vielleicht anders zu beurteilen ist.
• Kann die Software mit bestehender Software in Ihrem Unternehmen kombiniert werden, so dass diese sich nicht untereinander gegenseitig im Funktionsumfang blockieren bzw. einschränken? Beispiel hierfür wäre eine Kombinations-Softwarelösung aus mehreren Modulen, die durch den Zugriff auf eine Resource ihren Dienst parallel startet und sich so untereinander blockieren würde.
• Bringen Sie in Erfahrung, welche Anforderungen an Sicherheitsstandards innerhalb Ihres Unternehmens bestehen, um eine geeignete Software-Lösung zu finden, die Ihren Standards entspricht. Beispiel: Deutsche IT-Sicherheitskriterien.
• Klären Sie, welche Lösung optimal in ihre bestehende IT-Infrastruktur passt. Hier unterscheiden sich Software-Lösungen, die vom Betrieb eher zentralisiert auf einem Server arbeiten oder Software, die nur als Einzelplatzlösung eingesetzt werden kann.
• Softwarelösungen aus dem Bereich der IT-Sicherheit müssen vom Hersteller und vom Anwender auf dem aktuellen Stand gehalten werden. Sollten beispielsweise Virensignaturen nicht aktualisiert werden oder Authentifizierungstandards vor fünf Jahren nicht unterstützt werden, besteht eine grobe Fahrlässigkeit! Man würde dem Eindringling bzw. Schädling dadurch die Hürde nehmen, das System gezielt durch alt bekannte Schwachstellen auszunutzen. Achten Sie besonders darauf, dass es möglichst einfach ist, die Software auf dem aktuellen Stand zu halten (z.B. durch mitgelieferte Update bzw. Upgrademöglichkeiten) und stellen Sie sicher, dass der Software-Anbieter die Softwarelösung auch über mehrere Jahre mit Sicherheitsaktualisierungen und Funktionserweiterungen unterstützt.
• Vertrauen gegenüber dem Anbieter der Softwarelösung. Mit dem Einsatz einer Softwarelösung sollte ein gutes Vertrauensverhältnis gegenüber dem Anbieter bestehen. Dies ist eine Grundvoraussetzung um eine Softwarelösung unternehmensintern einzusetzen. Im Unternehmen werden meist sensible Daten vom Unternehmen selbst oder von Kunden gespeichert.
• Die Integrität der Daten sollte sichergestellt sein. Im Zusammenhang mit IT-Sicherheit bedeutet das, dass die Daten inhaltlich korrekt sind und beispielsweise festgelegt ist, wer Daten bearbeiten kann.
• Die Verfügbarkeit von Daten kann ein wichtiges Kriterium darstellen. Immer mehr Anwendungen greifen auf Daten zurück, die entfernt auf fremden Webservern liegen. Daher sollten Sie hinterfragen, ob der Zugriff auf Ihre Unternehmensdaten jederzeit gewährleistet ist oder zumindest eine Datensicherung² vorliegt.