Horst Walther: Projektmanagement hilft aus der Patsche

Besonderheiten sind zu beachten - Formaler Rahmen nötig

Computer Zeitung, 2003 / 37

Horst Walther^[1]

IT Sicherheitsprojekte sind oft langwierig und daher unbeliebt. Mit guter Planung können Unternehmen diese Hürde aber nehmen.

warum gerade Security-Projekte häufig vom Scheitern bedroht sind:

Es gibt keinen zahlenden Kunden. IT Sicherheitsprojekte werden oft aufgrund interner Überlegungen gestartet und sollen helfen, Infrastruktur, Organisation und Geschäftsprozesse zu verbessern. Nur: Damit ist kein Geld zu verdienen.
Dazu kommt das schlechte Image der Security als der Behinderer der täglichen Arbeit. Selbst einsichtige Kollegen fluchen oft über den Aufwand mit komplizierten Passwörtern.
Da die Projekte meist unternehmensübergreifenden Charakter haben, gibt es häufig keine eindeutige Zuordnung. Folge: Die nicht zu 100 Prozent abgestellten Mitarbeiter am Projekt klinken sich aus, weil das Tagesgeschäft Priorität hat.
Die Allgegenwärtigkeit: Sicherheitsbelange sind auf allen Ebenen eines Unternehmens zu regeln. Dies erhöht Aufwand und Skill-Ansprüche.
Last not least wird oft mehr gefordert, als das Unternehmen zu tragen bereit ist. Es gilt also abzuwägen, wie groß der potenzielle Schaden sein kann und wie viel es kostet, diese Sicherheitslücken zu schließen.

Prozesse sollte man festzurren

Es gibt aber Lösungsansätze:

Wenn die Maßnahmen vom Beauftragten für Informationssicherheit - üblicherweise eine Stabsfunktion - ausgehen und damit nicht in einer hierarchischen Linie durchgeführt werden können, empfiehlt sich die Organisationsform eines Projekts. Dazu gehört aber auch Mission, Anforderungen und Projektplan konkret zu definieren und am Ende abzunehmen.
Projektergebnisse müssen in kleine handhabbare Einheiten zerlegt werden, um überschaubar und steuerbar zu bleiben.
Der Projektkommunikation hilft es, den Gesamtauftrag in einem einzigen Bild zu fassen und immer vor Augen zu haben. Dieses Big Picture kann durch Zuständigkeiten und Liefertermine ergänzt werden.
Ohne Qualitätssicherung gibt es keinen Projekterfolg. Wichtig ist dabei die Flächendeckung: Jedes Ergebnis - nicht nur Stichproben - wird geprüft, freigegeben und zählt erst danach als Ergebnis.
Da Security-Projekte keine Produkte erzeugen, sondern die Erfüllung bestimmter Qualitätsmerkmale sicher stellen, ist ein ausgeprägter formaler Rahmen nötig, damit gerade die Teilzeitmitarbeiter das Projekt nicht irgendwann einfach vergessen. Dazu dienen regelmäßige Meetings, die alle ein bis zwei Wochen an einem festen Wochentag zu festgelegter Zeit stattfinden sollten.
Schließlich: "Wir machen Vertrauen möglich", klingt besser, als "aus Sicherheitsgründen müssen wir scharfe Restriktionen erlassen". Außerdem kann vertrauensbildende IT-Security auch ein Wettbewerbsvorteil sein - eine Chance für die ungeliebten Security-Projekte, ihren geschäftlichem Bedarf zu begründen und zumindest den temporären Einsatz externer Unterstützung zu rechtfertigen.

[1] Herr Dr. Horst Walther, Geschäftsführer SiG Software Integration GmbH/ab

Horst Walther, Hamburg