IT-Security sollte sich in den Prozess einpassen

Muss sich das IT-Sicherheitsmanagement an agile Arbeitsweisen anpassen?

In einer idealen Welt nicht . Wenn die Security-Architektur stabil ist und die Kultur des Unternehmens das Information Security Management System mitträgt, braucht es wenig Anpassungen. In der Praxis ist das natürlich selten der Fall. Security sollte aber im agilen Entwicklungsprozess kein zusätzlicher Schritt sein, sondern sollte sich im Rahmen von „Security-by-design“ in den Prozess einpassen. Ich finde es wichtig, dass es immer einen Security-Spezialisten gibt, der für die Entwickler ansprechbar ist und agil mit einbezogen werden kann. Änderungen gibt es sicher auch im Bereich Dev-Ops. Je mehr automatisiert wird, desto mehr muss auch das Security-Testing automatisiert werden.

Wie kann Sicherheit bei immer komplexeren, hochgradig vernetzten Systemen gewährleistet werden?

Eine Hauptherausforderung sehe ich bei verteilten Systemen, wie z.B. in der Cloud. Häufig hat der Nutzer bei SaaS weniger Einflussmöglichkeiten als klassisch On-Premis. Die Anbieter geben vielfach vor was sie in welcher Art anbieten. Somit verzetteln sich auch Sicherheitslösungen immer mehr. Helfen können aus meiner Sicht klar definierte Schnittstellen. Diese müssen auch geprüft werden. Ausserdem bleiben häufig auch „nur“ klassische Security-Review, um die Einhaltung der Vorgaben zu prüfen. Weil die Systeme uneinheitlicher werden, finde ich ein durchgehendes Identity- und Accessmanagement umso wichtiger. Der User mit seinen Rechten wird so quasi zum neuen Perimeter.

Wie entwickelt sich das Verhältnis zwischen Security-Reviews und Security-by-Design?

Es braucht auf jeden Fall beides. Ich sehe Security-by-Design eher auf einer formellen und vorgabengetriebenen Seite. Auch eine Security-Kultur gehört dazu. Trotzdem werden in der Entwicklung natürlich Fehler passieren. Da setzen automatisierte oder manuelle Security-Reviews ein.

Das Interview erschien zuerst im Themendossier zum Thema IT-Sicherheit.