Die jüngsten Vorfälle verdeutlichen schmerzhaft, dass Cyber Security ein fundamentaler Bestandteil der IT sein muss und nicht länger eine optionale Ergänzung darstellt. Dieser Artikel zeigt auf, wie die frühzeitige Integration von Sicherheitsaspekten in IT-Beschaffungsprojekte, insbesondere Software-Beschaffungsprojekte, Ihre Organisation stärken und weniger verwundbar machen kann.

Zusammenarbeit der Fach- mit den Beschaffungsstellen

Die Lehren aus dem Datenabfluss bei IT-Dienstleistern öffentlicher Auftraggeber, unterstreichen die Notwendigkeit, Sicherheitsaspekte bereits in der Initialphase von Softwareprojekten zu berücksichtigen – von der Bedarfserhebung bis zur Erstellung der Ausschreibungsunterlagen. Eine enge Zusammenarbeit zwischen Fachabteilungen und Beschaffungsstellen ist dabei unerlässlich, um adäquate Sicherheitsanforderungen zu definieren. Angesichts komplexer Lieferketten ist ein ganzheitlicher Security-Ansatz notwendig, der sämtliche Komponenten umfasst.

Herausforderungen für Behörden

• Fehlendes Security-Know-how: Oft mangelt es an spezialisiertem Wissen innerhalb der Behörde, um umfassende Sicherheitsanforderungen zu definieren und Angebote adäquat zu bewerten.
• Komplexe Lieferketten: Die Abhängigkeit von Drittanbietern und deren Subunternehmern erhöht die Angriffsfläche und erschwert die Kontrolle der Sicherheitsstandards.
• Widersprüchliche Anforderungen: Fachabteilungen haben möglicherweise unterschiedliche oder unklare Vorstellungen von den benötigten Sicherheitsmassnahmen.
• Übermächtige Lieferanten: Bei grösseren Anbietern ist selbst die Bundesebene security-technisch weitgehend abhängig von deren Wohlverhalten und kann keine Sonderwünsche anmelden. Gegebenenfalls müssen für eine lauffähige Software sogar einige Security Controls deaktiviert werden.
• Mangelnde Abstimmung: Eine fehlende oder ineffiziente Kommunikation zwischen Fachabteilungen und Beschaffungsstellen kann zu unvollständigen oder fehlerhaften Ausschreibungsunterlagen führen.
• Budgetbeschränkungen: Sicherheitsaspekte werden möglicherweise aus Kostengründen vernachlässigt.
• Schnelle technologische Entwicklung: Die ständige Weiterentwicklung von Bedrohungen und Technologien erfordert eine kontinuierliche Anpassung der Sicherheitsmassnahmen. Schnelle Release Cycles machen das Prüfobjekt zu einem beweglichen Ziel. Enge Projektzeiten bedingen oft einen engen Testzeitraum.

Redguard unterstützt Sie in folgenden Bereichen

• Sichere Sicherheits-Architektur: Wir unterstützen Sie dabei, Ihre IT-Umgebung auch in Zukunft bestmöglich zu schützen, u.a. mit Ansätzen wie Defense-in-Depth», «Least Privilege» und «Zero Trust».
• Definition von Software- und Hardware-Beschaffungsprozessen: Wir definieren mit Ihnen zusammen die Anforderungserstellungs- und Beschaffungsprozesse, die absichern, dass die von Ihnen beschaffte Software und Hardware einen hohen Sicherheitsstandard hat.
  
• Definition von Sicherheitsanforderungen: Wir helfen Ihnen, spezifische Sicherheitsbedürfnisse zu analysieren und klare Anforderungen für Ihre Ausschreibungen zu definieren, z. B. in Form von Informationssicherheitsanforderungen.
• Definition der Anforderungen an Ihre Cloud Security: Unterstützung bei der Festlegung von optimale Sicherheitsanforderungen in dem cloud-typischen Shared Responsibility Model in Anlehnung an Best Practices wie Cloud Security Alliance (CSA) oder der Cloud Native Computing Foundation (CNCF).
• Bewertung von Software-Angeboten: Wir unterstützen Sie bei der sicherheitstechnischen Bewertung von Software und Anbietern.
• Lieferketten-Sicherheitsprüfung: Wir analysieren Ihre Lieferketten und helfen Ihnen, Risiken zu minimieren.
• Security by Design Beratung: Wir beraten Sie gerne, wie Sie welche Anforderungen Sie an Ihre Software-Lieferanten bzw. welche Sie bei Individualentwicklungen stellen sollten.
• Sichere Konfiguration: Basierend auf erprobten Security Standards nehmen wir gerne einen Review Ihrer Konfiguration der sicherheitsrelevanten Controls Ihrer Standardsoftware vor.
  
• Durchführung von Security Audits und Penetrationstests: Wir überprüfen Ihre bestehende Software und Infrastruktur auf Schwachstellen.

Durch die frühzeitige Integration von Cyber Security in den Software-Beschaffungszyklus und die Expertise von Redguard erhöhen Sie die Sicherheit Ihrer Softwarelösungen und IT-Systeme.

Haben Sie Fragen oder benötigen Sie Unterstützung bei der Integration von Cyber Security in Ihre Beschaffungsprozesse? Wir freuen uns über Ihre Kontaktaufnahme.