Archiv der Kategorie ‘IT-Security‘

 
 

Security im agilen Kontext

Diese Tage kam ich in der Diskussion mit einem Kunden auf die Berücksichtigung von Security Requirements in einem agilen Kontext.

Hintergrund war, dass bislang Security vor allem für den Betrieb und für die Produktsicherheit thematisiert wird, aber Sicherheitsaspekte in der Entwicklung und in einer Projektphase noch eher stiefmütterlich behandelt werden. Auf der anderen Seite finden agile Vorgehensweisen immer weiter Einzug in die Unternehmen und die Ausgangsfrage des Kunden war, wie man Sicherheitsbelange im agilen Kontext berücksichtigen kann.

Für die Projektsicht gibt es vor allem zwei Themenstränge (und dabei müssen wir noch nicht mal zwischen agil und klassisch unterscheiden):

  • Die Sicherheit im Projekt
  • Die Entwicklung der Sicherheit für Produkt und Betrieb

Bei letzterem Punkt könnte ich mir unterschiedliche Strategien vorstellen:

  • Ein stufenweiser Hochlauf, bei dem systematisch das Sicherheitsniveau angehoben wird. (Anfangs mit einer Sandbox, dann Aufbau einer Entwicklungsumgebung, erst noch ohne Daten, dann nur mit einem Teilset der Daten, bis hin zur vollumfänglichen Produktion)
  • Vorgabe von Leitplanken (im Qualitätsmanagement gibt es dafür das Control Chart als Werkzeug).

Grundsätzlich würde ich Security-Anforderungen im Normalfall den nicht-funktionalen Anforderungen zuordnen.

Agile SW-Entwicklung fokussiert tendenziell auf funktionalen Anforderungen. Werden dabei wichtige nicht-funktionale Anforderungen vergessen, so kann dies eine Schwäche agilen Vorgehens sein.

Im Wesentlichen finden sich drei Ansätze zur Berücksichtigung von Security Requirements im agilen Kontext:

  • Eigene nicht-funktionale Einträge ins Backlog (beispielsweise eigene User Stories. Ein Kollege hat mir berichtete mir, dass er ein eigenes Backlog für Security Anforderungen aufgebaut hat.)
  • Berücksichtigung nicht-funktionaler Anforderungen als Constraints
  • Berücksichtigung als Kriterien im Definition of Done

Wenn die Vorgaben für Security oder nicht-funktionale Anforderungen allerdings zu sehr formalisiert werden, dann birgt das bereits einen kulturellen Konflikt: Ein formaler Prozess entspricht jetzt nicht ganz den agilen Vorstellungen von eigenverantwortlichem Handeln, d.h. auch da bräuchte es klar definierten Handlungsspielraum für das Team.

Maturity Ansätze fand ich zur Berücksichtigung von Security Anforderungen nicht hilfreich. Da finden sich  CMMI-Adaptionen auf agile Vorgehensweisen. Thematisiert wird aber das Vorgehensmodell an sich und nicht die Berücksichtigung nicht-funktionaler oder sicherheitsrelevanter Anforderungen.

Beitrag #723 auf schlossBlog

#683 Gesehen: Snowden

Nachdem hier mitunter auch Themen wie IT-Sicherheit und Datenschutz angesprochen werden und auch schon Glenn Greenwalds Buch über den Fall Snowden rezensiert wurde, schreit natürlich auch der neue Film von Oliver Stone nach einer Würdigung.

Also am Sonntag Nachmittag mit der ganzen Familie ab ins Kino. Gut, Hannah (9) fand es streckenweise laaaaangweilig und auch Jonas (12) hatte bei manchen Sprüngen so seine Probleme, aber wenn sie Medienkompetenz lernen sollen, dann müssen sie da durch. FSK 6 ist ok, auch wenn der Film da inhaltlich überfordert. Es ist auch kein Film der, in die Details der Überwachungsthematik einsteigt, sondern eher ein Bio-Pic über die Person Snowden. Die Zerrissenheit und Widersprüchlichkeit der Person, die jahrelang vor der Transformation zum Whistleblower ja auch aktiv an der Überwachung beigetragen hat, könnte vielleicht noch deutlicher werden, obwohl sie sicherlich dargestellt wird.

Snowden – der Whistleblower – ist auch ein Stück Selbstinszenierung, die Snowden natürlich auch aus Selbstschutz braucht, aber für den Betrachter erschwert es die Differenzierung. Einzelne Details sind der Dramaturgie in der filmischen Umsetzung geschuldet:  Die Zuspitzung von Drohnenabsturz und epileptischen Anfall, oder das konkrete Procedere beim „Datendiebstahl“. Dass jemand, der eine hochspezifische Backup-Software schreibt, ganz banal in einer ad hoc-Aktion ein paar Dateien kopiert, die dann zufällig den ganzen Komplex so umfassend wiedergeben, scheint nicht gerade realistisch. Snowden ist sicherlich ein smartes Kerlchen, aber ob er tatsächlich Genie und Klassenprimus ist, gehört möglicherweise wieder in das Kapitel Inszenierung.

Alles in allem gebührt dem Film aber das Attribut sehenswert. Oliver Stone ist mal wieder derjenige, der als Zeitzeuge die Finger in die Wunden Amerikas legt, nach dem Vietnamkrieg (Platoon), der Kennedy-Ermordung nun der Fall Snowden. Snowden in dieser Reihe zu sehen ist mutig und sollte zum Nachdenken anregen.

Verstörend war aber weniger die hochprofessionelle Umsetzung Oliver Stones, als die dilletantische Platzierung im Kino: In der Werbung vor dem Film liefen Trailer für Agenten Thriller von Illuminati, über den neuen Tom Cruise bis hin zu einer Crime-Serie auf RTL. Wer in einem solchen Umfeld diese Werbung platziert hat wenig verstanden – am wenigsten den eigenen Job, geschweige denn diesen Film, aber letztlich bleibt dies ein kleiner Schönheitsfehler. Gott sei dank!

 

#643 Visuals zur Informationssicherheit

Sonst ist auf diesem Blog ja der visualPM unterwegs, aber Visualisierung und Bildsprache kann auch für andere Themen einsetzen und nutzen.


Und so gibt es jetzt auch hier Icons/Symbole zur Informationssicherheit.

Ausgangspunkt ist ein Symbol für Information, das gezielt mit anderen Symbolen kombiniert und erweitert wird.

 

Informationssicherheit setzt sich zusammen aus Sicherheit (hier dargestellt durch einen Tresor als sicheren Ort in dem die Information aufbewahrt wird und der zu schützenden Information.

 

Weiter sind so Symbole für die Schutzziele der Informationssicherheit entstanden:

 

(1) Vertraulichkeit

Ein Auge, das auf die Information „geworfen“ wird, symbolisiert Vertraulichkeit (Confidentiality). Eine Information soll nicht in „falsche“ Hände geraten, was auch immer dies im Einzelfall heißen mag, sei es dass die Information in die Öffentlichkeit gerät, dass ein Kunde, ein Wettbewerber oder ein Lieferant ungewollt die Information erhält.

 

(2) Integrität

Integrität (Integrity) bezieht sich darauf, dass die Information nicht ungewollt/unbemerkt verfälscht oder geändert wird. Dies kann nicht nur durch einen Hacker oder Saboteur erfolgen, sondern auch durch einen Bearbeitungsfehler oder einen technischen Defekt.

 

(3) Verfügbarkeit

Verfügbarkeit (Availability) spiegelt die Anforderung auf den Zugriff/die Zugriffsmöglichkeit auf die Information (wortwörtlich: Die Hand, die zugreift). Ist eine Information zum erforderlichen Zeitpunkt verfügbar, bzw. wie schnell steht sie nach einem Verfügabrektisverlust wieder zur Verfügung, beispielsweise durch ein Disaster Recovery?

Entwickelt wurden diese Symbole übrigens mit der Symbol Safari aus Martin Hausmanns Buch UZMO. Eine Beschreibung gibt es auch auf openPM.

#639 Gelesen: Das Neue Spiel

Michael Seemann, Das neue Spiel: Strategien für die Welt nach dem digitalen Kontrollverlust, Berlin, Freiburg 2014, ISBN 978-3936086799

Michael Seemann bloggt nicht nur über den Kontrollverlust unserer Daten, den wir längst erlitten haben, er hat seine Gedanken auch in einem lesenswerten Buch zusammengefasst. Vielleicht geht der Autor in dem einen oder anderem Punkt zu weit (braucht es wirklich eine eigene, neue digitale Lizenz für das Buch, wird die Query-Metapher nicht etwas überstrapaziert,…), aber gemessen an der medientheoritisch fundierten Auseinandersetzung mit dem Thema, sind das belanglose Details.

Zunächst belegt Seemann den Kontrollverlust:

„Wir haben die Kontrolle über die Daten […] auf dreifache Weise verloren: Wir wissen nicht mehr, welche Daten zu welcher Zeit erhoben werden können, weil die ganze Welt durch die allgegenwärtige Verbreitung von Sensoren digitalisiert wird. Wir bestimmen nicht selbst, was mit diesen Daten geschieht, wo sie gespeichert werden, wo sie hinkopiert werden, wer darauf Zugriff hat. Und wir können nicht ermessen, welche Dinge diese Daten potenziell aussagen. Kurz: Daten, von denen wir nicht wussten, dass es sie gibt, finden Wege, die nicht vorgesehen waren, und offenbaren Dinge, auf die wir nie gekommen wären.“

Im zweiten Teil versucht er Strategien zu entwickeln mit denen wir uns dem faktisch bereits eingetretenen Kontrollverlust stellen können, denn ein Lamentieren nützt uns nichts und auch das Hoffen auf den Staat oder andere Institutionen ist so naiv wie hoffnungslos in unserer globalisierten digitalen Welt.

Als Strategien für den Umgang mit dem Kontrollverlust stellt er 10 Regeln auf:

  • Es gilt das Neue – Wir müssen Lernen, das Alte zu Verlernen und die neuen Spielregeln annehmen.
  • Du kannst das Spiel nicht gegen den Kontrollverlust spielen – Eine Kontrolle von Datenströmen ist faktisch längst nicht mehr möglich, also dürfen wir uns auch nicht dieser Illusion hingeben.
  • Die Überwachung ist Teil des Spiels – Überwachung wird noch mehr zunehmen. Wir können das nicht verhindern, sondern lediglich versuchen, die Wirkung von Überwachung zu schwächen.
  • Wissen ist, die richtige Frage zu stellen – Die Wissensspeicherung verliert an Bedeutung, der Abruf von Wissen wird hingegen zur neuen Königsdisziplin.
  • Organisation und Streit für alle! – Die „positive“ Seite des Kontrollverlustes ist es, dass Transparenz und Vernetzung für alle offen stehen.
  • Du bist die Freiheit des Anderen – Die gesellschaftlichen Kommunikationsstrukturen haben sich geändert – hin zu einer End-to-End-Beziehung der einzelnen Teilnehmer. Die Daten gehören schließlich beiden Enden der Kommunikation.
  • Macht hat, wer die Plattform kontrolliert – Plattformen sind neue, machtvolle Akteure.
  • Staaten sind Teil des Problems, nicht der Lösung – Denn auch die Staaten sind „Opfer“ des Kontrollverlustes, haben z.B. beim Datenschutz längst den Bankrott erreicht.
  • Datenkontrolle schafft Herrschaft – Etwas paradox, denn Datenkontrolle ist ja faktisch nicht wirklich möglich, aber dort, wo man es versucht steigt die Macht der Plattformen. „Datenkontrolle zwingt zur zentralisierten Kontrolle und schwächt somit die Zivilgesellschaft.“
  • Der Endgegner sind wir selbst – Noch bevor die Geheimdienste etwas über uns herausgefunden haben, haben wir es längst selbst (oder jemand anderes für uns) auf Facebook & Co eingestellt oder es mit einer Videoüberwachung gefilmt. Wir müssen uns unserer Verantwortung annehmen.

Michael Seemann ist kein wirrer Verschwörungstheoretiker, er ist auch kein Snowden/NSA-Trittbrettfahrer. Er hat lediglich versucht ein intelligentes Fazit aus dem Thema seines Blogs und seiner Auseinandersetzung mit dem Thema Kontrollverlust zu ziehen. Natürlich kann man über Details streiten, aber eins macht die Lektüre allemal klar: Wir müssen uns dem Thema stellen, denn dieser gesellschaftliche Veränderungsprozess ist bereits weiter fortgeschritten als wir uns vorstellen können und es gibt kein zurück. Wir müssen lernen, uns in diesem veränderten Umfeld einer digitalen Welt zu bewegen und uns den neuen Herausforderungen widmen. In diesem Sinne: Eine klare Leseempfehlung!

#631 Informationssicherheit – Guiding Questions

Bei dem ganzen Hype, der dem Thema Informationssicherheit in den letzten Jahren widerfahren ist, darf man eines nicht vergessen: Informationssicherheit ist kein Selbstzweck, sie dient lediglich zur Sicherstellung des eigentlichen Geschäftszweckes/des eigentlichen Auftrags. Demnach gilt: Business first!

Beim Thema Informationssicherheit darf es nicht um die Befriedigung aus Normen abgeleiteter Anforderungen gehen, sondern es ist stets eine Abwägung aus Business Sicht. Dies gilt insbesondere, da es eine 100%-Sicherheit nicht gibt, insofern ist Informationssicherheit immer auch ein Risikomanagement-Prozess.

Bei einem großen Rollout-Projekt zur Implementierung eines IT-Security-Prozesses im IT Service-Management, mussten wir lernen, dass wir die Kollegen immer wieder überfordert haben. Zum Einen ging die eben erwähnte Business-Perspektive in den Köpfen immer wieder verloren, zum Anderen verloren die Kollegen bei der Vielzahl der Security Requirements schnell den Überblick und haben den Wald vor lauter Bäumen nicht mehr gesehen. Da wurden dann technische Betriebs-Details  formal mit dem Provider geklärt, anstatt sich grundsätzlich mit der Frage auseinander zu setzen, was (im konkreten Fall) eine Cloud-Lösung überhaupt ist und ob man die eigenen Daten wirklich in fremde Hände geben möchte. Natürlich braucht es auch dedizierte Anforderungen, aber ohne ein entsprechendes Mindset wurde die Bearbeitung schnell zum sinnentleerten Papiertiger.

Vor diesem Hintergrund habe ich eine Reihe von Guiding Questions formuliert, um die Kollegen wieder „abzuholen“. Natürlich gilt als oberster Grundsatz die Orientierung am Geschäftszweck (1), dann ist ein generelles Lösungsverständnis erforderlich (2) um überhaupt die klassischen Dimensionen der Informationssicherheit bearbeiten zu können (3-5). Zur Visualisierung habe ich mich des IT Security Canvas bedient:

(1) Business first!

(2) Lösung & Architektur
Um ein allgemeines Verständnis unserer Lösung zu entwickeln:

  • Wie sieht das generelle Design/die Architektur der Lösung aus?
  • Gibt es Schnittstellen zu anderen Systemen?
  • Wo sind diese Systeme räumlich angesiedelt?
  • Wo werden Daten gespeichert, verarbeitet oder transportiert?
  • Welche Parteien sind involviert (Benutzer, Administratoren, Dienstleister,…)?
  • Gibt es ein IT-Service-Management?


 
 
 
 
 

(3) Vertraulichkeit / Confidentiality
Wenn Vertraulichkeit von besonderer Relevanz für unsere Lösung ist:

  • Welche Personengruppen und Systeme sind beteiligt bzw. haben Zugriff?
  • Deckt die Zugriffskontrolle all diese ab?
  • Werden Verschlüsselungstechniken eingesetzt? Bei der Speicherung? Bei der Übertragung?


 
 
 
 
 

(4) Integrität / Integrity
Wenn Integrität von besonderer Relevanz für unsere Lösung ist:

  • Wie kann ein Integrationsverlust bemerkt werden?
  • Gibt es Optionen zur Wiederherstellung?
  • Werden unterstützende Features wie Plausibilisierungen, Verschlüsselung, Backups, etc. genutzt?


 
 
 
 
 

(5) Verfügbarkeit / Availability
Wenn die Verfügbarkeit von besonderer Relevanz für unsere Lösung ist:

  • Ist unsere Lösung in einem IT Disaster Recovery und/oder in einem Business Continuity Management zu berücksichtigen?
  • Decken Disaster Recovery und Business Continuity Pläne alle beteiligten Systeme und Parteien ab?

#613 Gelesen: Der Fall Snowden

 

Glenn Greenwald, Die globale Überwachung: Der Fall Snowden, die amerikanischen Geheimdienste und die Folgen, München 2014, ISBN-13: 9783426425169

 

Zu Beginn liest sich Greenwalds Dokumentation des Fall Snowden wie ein Spionage-Thriller. Fast schon ein bisschen billig mit Kontaktaufnahme und konspirativen Treffen. Greenwald schreibt sehr ehrlich. Er beschreibt wie Snowdens erste Versuche der Kontaktaufnahme scheitern, weil Greenwald, der Journalist und Aktivist, zunächst zu bequem ist eine verschlüsselte Kommunikation einzurichten. Diese Ehrlichkeit verleiht dem Buch aber auch Glaubwürdigkeit. Es geht eben nicht um die Eitelkeit der Beteiligten.

Bereits in den „Thriller-Passagen“ erklärt Snowden seine Motivation und äußerst die Angst, Kopf und Kragen zu riskieren für eine Sache, der die Öffentlichkeit womöglich nur mit Gleichgültigkeit begegnet:

»Bei alldem habe ich nur vor einem Angst«, sagte er, nämlich »dass die Menschen diese Dokumente sehen und mit einem Achselzucken darüber hinweggehen, dass sie sagen: ›Das haben wir uns schon gedacht, das kümmert uns nicht.‹ Ich habe Sorge, dass ich all das für nichts und wieder nichts tue.«“

Snowden moralische Ansprüche sind hoch:

»Wenn man nicht nach seinen Überzeugungen handelt, ist wahrscheinlich nicht viel dahinter.«

und

»Ich möchte nicht zu den Menschen gehören, die Angst haben, ihre Prinzipien zu verteidigen.«

Wohlüberlegt und exemplarisch veröffentlicht Greenwald Details des NSA-Materials. Dies geschieht aber nicht in Wikileaks Manier („Copy all“), sondern durchaus verantwortungsbewusst. Es hätte sicher noch anderes Material gegeben mit dem durchaus der eine oder andere Informant oder Beteiligte gefährdet worden wäre, aber gerade eine solchen Effekthascherei gehen Snowden, Greenwald und ihre Mitstreiter nicht ein. Es ist durchaus bemerkenswert, wie sensibel und trotz allem kontrolliert die Veröffentlichung erfolgt.

Zu guter letzt ordnet Greenwald noch die NSA-Aktivitäten in den gesellschaftlichen Kontext ein. Greenwald ist eben nicht der Skandalreporter, der einen internationalen Skandal kommerziell ausschlachtet, sondern er war längst vor dem Fall Snowden als Jurist und Aktivist unterwegs. Und gerade diese Einordnung zeigt auch, warum Snowden – völlig zu Recht – Greenwald als Mitstreiter ausgesucht und ins Vertrauen gezogen hat.

#587 it security canvas

Und noch ein Canvas… Nachdem der visualPM schon beim openPM-Canvas seiner Leidenschaft für die Visualisierung komplexer Themen nachgegangen ist, experimentiert er gerade wieder mit einer neuem Canvas: Einem it-security-canvas.

Dieser Canvas ordnet die Rubriken der ISO 27001:2013 (Wikipedia)  um ein stilisiertes System-Use-Case-Diagramm und erlaubt so auch eine visuelle Darstellung und Verknüpfung von IT-Security-Themen. Storytelling wird so auch für abstrakte Themen, wie IT-Sicherheit möglich. In einem ersten Anwendungsfall, habe ich versucht Defizite und Handlungsbedarfe im Vertrag mit einem IT-Service-Provider transparent herauszuarbeiten. Ich kann mir auch vorstellen den Canvas in verschiedenen Versionen als Poster weiter zu entwickeln, um Risks, Threats und Controls der relevanten Gebiete darzustellen.

Wer auch mit der it security canvas experimentieren will, ist hierzu herzlich eingeladen. Vorlagen gibt es in A0, A3 und A4 als pdf-download:

Kommentare als Feeback sind herzlich willkommen!

#578 Best of… Compliance

Compliance war schon das eine oder andere mal Thema auf schlossBlog, insbesondere Compliance-Themen vor dem Hintergrund von IT-Offshoring und Outsourcing:

#548 EU-Studie warnt vor Überwachung durch die USA

Hier zitiert Spiegel online eine EU-Studie zum Cloud Computing, die vor der Überwachung durch die USA warnt. Der einleitende Text greift allerdings zu kurz, wenn er vor dem Datentransfer in die USA warnt. Im vergangenen Jahr haben US-Unternehmen wie Amazon und Microsoft bereits öffentlich zugegeben, dass selbst ihre europäischen Hosting-Angebote dem US-Patriot-Act unterliegen und dass sie als US-Unternehmen demnach verpflichtet sind ggf. US-Behörden auch Zugriff auf europäische Rechenzentren zu gewähren.

Dieser Wahnsinn lässt von der Cloud nicht viel mehr übrig als Virtualisierungskonzepte und Cloud-Lösungen für Privatanwender, denen der Zugriff von US-Behörden auf ihre Daten reichlich egal ist.

Ich habe nichts dagegen, wenn US-Agenten meine Playlist mithören – seitdem höre ich viel mehr Volksmusik. Auch Experimental-Stücke sollen sehr beliebt sein.

😉

 

#530 Datenschutz-Reader

Wer hat meine Daten und welche Rückschlüsse können daraus gezogen werden, fragt sich Barbara Junge für die ZEIT.

Passend hierzu auch ein Blog-Beitrag von Richard Gutjahr, der über eine Schufa 2.0 sinniert und zeigt, wie unsere sozialen Aktivitäten und Beziehungen ge-/missbraucht werden.

Die Computerwoche fragt: Was macht eigentlich ein Datenschutzbeauftragter?

Und gibt die Antwort.

Und noch mal die Computerwoche zu Compliance, BDSG (Bundesdatenschutzgesetz) und Urheberrecht – Mitarbeiterdatenschutz in IT-Projekten.

Thematisiert werden u.a. der Social Media Einsatz in Unternehmen, die Einhaltung von Urheberrechten im Unternehmen und eine die Grundfragen im Datenschutz:

  • Welche personenbezogenen Daten werden gespeichert und wie lange?
  • Welche Daten werden mit Mitarbeiterbezug abgelegt bzw. wann wird dieser Bezug entfernt?
  • Werden Daten archiviert und können sie wieder reaktiviert werden?
  • Kann der Mitarbeiter seine eigenen Daten verwalten bzw. löschen?
  • Wie werden Protokolle bzw. Logdateien ausgewertet?
  • Wie werden sensible Daten, wie beispielsweise Geburtsdatum und Wohnort, verschlüsselt?