Als Interessenverband der IT-Industrie beruft die BITKOM regelmäßig Arbeitskreise zu unterschiedlichen Themen der Digitalisierung ein. Diesen Herbst trat der Arbeitskreis Quality Management mit dem Schwerpunkt IT-Security zusammen. Tobias Pressel, Leitung Operations & Security bei Micromata, war eingeladen, mit seinem Vortrag ein Schlaglicht auf die IT-Security-Praxis bei Micromata zu werfen. Hier sein kurzer Rückblick.
IT-Security ist mehr als nur Technologie
Um eine möglichst umfängliche Betrachtung des Themas zu ermöglichen, gab es im AK Quality Management diesen Herbst nicht nur Vorträge zu technischen Fragen der IT-Security. Zwar sind Themen wie Pentesting, Bedrohungsanalyse und Security by Design naturgemäß zentral und stehen deshalb zu Recht oft im Mittelpunkt. Darüber hinaus gibt es indes weitere Faktoren, die unmittelbare Auswirkung auf die Security-Standards in Unternehmen haben: Allen voran die Mitarbeiter selbst, mit deren Kenntnisstand und Verhalten der Erfolg von IT-Security steht oder fällt.
Security denken, Security machen
In meinem Vortrag „How to Hack Your Company – wie wir Mitarbeiter zu Security-Denkern & -Machern weiterentwickeln“ habe ich versucht, die Zuhörerschaft dafür zu sensibilisieren, wie wichtig es ist, IT-Security als ganzheitliches Konzept in Unternehmen zu verankern. Dabei helfen konkrete Maßnahmen, die das Thema IT-Security in die Fläche tragen und helfen, es dort in der täglichen Routine zu verankern.
Der Vortrag gab einen Einblick, welche Maßnahmen dies bei Micromata sind. Von besonderer Bedeutung sind dabei diese Faktoren:
- Organisatorische Maßnahmen: Pentester sind Entwickler – Entwickler sind Pentester
- Prozessuale Maßnahmen: Architektur-Reviews, Security-Verantwortliche in allen Unternehmensbereichen
- Technische Maßnahmen: einfach wiederherstellbare Pentestumgebungen, zielgruppenorientierte Dokumentation
- Maßnahmen zur Weiterentwicklung: Zertifizierungen, Know-how-Transfer, Community
- Social-Engineering-Prävention
Zu jedem dieser Punkte gab es Praxisbeispiele, wie es bei Micromata gelang, die Mitarbeiter so einzubinden, dass Security nicht nur auf dem Papier existiert, sondern täglich gelebt wird.
