„Security ist aber ein KO-Kriterium für die Akzeptanz von digitalen Diensten, die mit sensiblen Daten hantieren. Und solange das larifari behandelt wird, wird das nix.“
Richard Seidl
Gerade sitze ich im Flug UAL181 von Frankfurt nach Denver, um an einem Retreat teilzunehmen. Und mir wird mal wieder bewusst, wie wichtig Safety und Security sind. Auf meiner ganzen Strecke vom Hotel über das Parkhaus, weiter zum Check-In und der Sicherheitskontrolle, dann zur Pass- und Zollkontrolle, rein in den Flieger und dann das ganz wieder retour. Überall werde ich mit Software erfasst, gescannt, getracked, verwaltet, weitergereicht und transportiert. Ja, da möchte ich aber schon bitte, dass mir nix passiert UND auch meine Daten sicher sind. Nun ist die Flugindustrie ja schon lange im Geschäft. Die Prozesse sind klar, durch diverse Ereignisse auch nachgeschärft. Mein Vertrauen in Safety ist hier sehr hoch bis hoch.
Ich bin fürwahr kein Safety- oder Security-Experte, privat versuche ich aber 2FA/MFA zu nutzen, unterschiedliche Passwörter zu benutzen, meine Daten zu verschlüsseln und so weiter. Ich bin aber auch jemand, der in Software und Technologie DAS Werkzeug sieht, mit dem wir uns eine schöne und lebenswerte Zukunft bauen können. Ich möchte auf einer Karte, meinem Smartphone oder in der Cloud all meine Kranken-, Medikamenten- und Patientendaten haben. Ich möchte mich digital ausweisen können, keine Schlüssel mit mir rumtragen und alle meine Behördengänge digital erledigen können.
ABER: sicher muss es sein. Und wenn ich mir die Historie der Gesundheitskarte ansehe, Onlineformulare der Behörden und Kommunen im 90er-Jahre-Style und all die unterschiedlichen Offline-Zahlmöglichkeiten, die mal gehen oder nicht – da ist es bei mir nicht weit mit dem Vertrauen in Sicherheit. Sozusagen mein persönliches Zero Trust.
Security ist ein KO-Kriterium
Security ist aber ein KO-Kriterium für die Akzeptanz von digitalen Diensten, die mit sensiblen Daten hantieren. Und solange das larifari behandelt wird, wird das nix.
Gut, die Stakeholder sind am Zug. Wir brauchen dafür Anforderungen! Und Security-Tests! Aber was können wir noch tun?
Ich glaube es ist auch hier wie bei Software-Qualität im Allgemeinen: es braucht ein Grundverständnis für Security über alle Projektbeteiligten hinweg. Wir müssen nicht Top-Security-Cracks in den Projekten werden, aber ein gewissen Maß an Wissen darüber ist im ganzen Entwicklungsprozess hilfreich.
Ein guter Einstieg ist einschlägige Literatur zu IT- und Software-Security. Aber auch Ausbildungen und Zertifizierungen wie die A4Q Security Essentials Zertifizierung, die sich diesen Einstieg für alle Projektbeteiligten auf die Fahne geschrieben hat.
Wichtig ist auf jeden Fall, dass Security-Wissen kein Inselwissen bleibt. Jeder im Projekt kann Security mitdenken, ob Tester, Entwickler, Projektleiter oder Anforderer. Dann klappt’s auch mit der Akzeptanz und dem Vertrauen der Anwender. Wahrscheinlich nicht morgen oder übermorgen. Aber vielleicht in ein paar Monaten.