Compliance: Zu viele Köche verderben den Brei!
Kaum ein Geschäftsprozess funktioniert heute noch ohne IT. Die IT wird immer mehr zum Rückgrat unserer Geschäftswelt. Probleme der IT führen mittlerweile in vielen Unternehmen zu gravierenden Problemen wie Reputationsverlust oder Betriebsunterbrüchen und damit zu Umsatzausfall. Wer also die Verantwortung für ein IT-Projekt übernimmt, tut gut daran, sich einige Gedanken zur Sicherheit und Prüfung des Projektes zu machen.
IT-Projekte sind komplex und haben viele Facetten. Von der Bedarfsaufnahme über die Spezifikation, die Kostenkalkulation und Gutsprache bis zu Implementierung, Test und Betrieb ist viel Spezialwissen sowohl auf der Auftraggeberseite wie auf der Erbringerseite gefordert. Dabei auch immer die Compliance, also die Einhaltung aller Vorgaben und Regeln im Fokus zu haben, ist durch ein einzelnes Team kaum möglich. Auch wird das spezialisierte Wissen, das hierfür nötig ist, während einem Projekt bzw. innerhalb eines Unternehmens nur punktuell benötigt. Um trotzdem "alles richtig zu machen" greifen viele Organisationen auf externe Auditoren zu, beziehungsweise erteilen dafür spezialisierten Unternehmen den Auftrag zur Durchführung eines Audits bei zum Beispiel einem der Leistungserbringer.
Prüfung jeder Projektphase ist Wunschdenken!
Die Wahl des geeigneten Audits und des geeigneten Auditors ist die erste Herausforderung. Je nach Phase des Projektes, zum Beispiel Spezifikation oder Betrieb, sind unterschiedliche Arten von Audits und Reviews sinnvoll. Will man alles richtig machen und hat man genügend Zeit und Geld zur Verfügung, wäre es natürlich sinnvoll, für jede Phase die entsprechende Prüfung durchzuführen. Doch die Realität ist eine etwas andere. Typischerweise plant man neben internen Reviews ein externes Audit ein. Dieses Audit setzt man meistens gegen das Ende des Projektes an und packt dementsprechend viele Themen in dieses. Das Budget eines solchen Audits liegt meist im tiefen einstelligen Prozent-Bereich der Gesamtprojektkosten. Da Dauer und Kosten für ein solches Audit somit beschränkt sind, lässt sich die Effizienz beziehungsweise der Nutzen eines solchen Audits meist ableiten. Auch ist nicht selten der Livetermin unabhängig von Audits bereits in Stein gemeisselt.
Formen von Audits
Wie muss man sich ein Audit nun effektiv vorstellen? Aufgrund der Vielzahl der möglichen Audits ist auch die Art und Weise deren Durchführung sehr unterschiedlich. Technische Audits, wie zum Beispiel Penetrations- und/oder Vulnerability-Tests können automatisiert durchgeführt werden. Hierzu werden Applikationen von Anwendersystemen wie Browser oder PCs mittels Robotern getestet. Das Resultat sind klare Auswertungen über das Verhalten der Anwendung.
Eine weitere Form des Audits ist das "White Box Testing". Dabei werden dem Auditor alle verfügbaren Unterlagen wie Architektur, Datenmodell etc. zur Verfügung gestellt. Der Auditor versucht nun anhand der bekannten Grössen darin Schwächen zu finden oder Fehlmanipulationen zu erzwingen. Eine weitere Form der Audits, sind Interviews durch die Auditoren bei dem zu prüfenden Leistungserbringer. Dabei werden Dokumente studiert, Fragen gestellt, Auswertungen verlangt etc. Diese Form des Audits lassen dem durchführenden Prüfer am meisten Spielraum, verlangen aber auch das grösste Expertenwissen von ihm.
Das Audit der Audits
Da grössere Projekte meist durch verschiedene Leistungserbringer umgesetzt werden, sind auch mehrere Instanzen für Qualität und Prüfung der einzelnen Schritte zuständig. Dies führt automatisch zu mehreren Audits für ein Projekt. Die Kunst liegt nun darin, in den verschiedenen Audits die richtigen Informationen zu erkennen und daraus adäquate Massnahmen abzuleiten. Da dies in der Praxis vor allem für einen Endkunden beziehungsweise Anwender einer Applikation nicht ganz einfach ist, wird selbst dieses Audit, also das Audit der Audits an einen Dritten delegiert. So kann es also gut sein, dass ein und dasselbe Projekt dreimal auditiert wird. Doch macht dies ein Projekt sicherer? Wem dienen diese Audits? Was ist die Folge dieser Audits?
Die Weisheit "Zu viel Köche verderben den Brei" gilt bestimmt auch für Audits von IT-Projekten. Wer den Weitblick hat, wählt seine Partner anhand bekannter Qualitätsmerkmale und Referenzen, erstellt saubere Spezifikationen und legt bereits zu Beginn des Projektes die Ziele sowie die durchführende Instanz eines Audits fest. Dadurch werden dem Projekt die entsprechenden Leitplanken gesetzt und der Auditor hat die Chance das Projekt von Beginn an zu verfolgen und regelmässige Prüfungen im Hinblick auf das Endziel durchzuführen. So bleiben die Mitarbeiter motiviert, das Projekt wird nicht gebremst und die Auditziele werden erreicht.
Schweden seit Nato-Beitritt verstärkt im DDoS-Visier
SAP würdigt seine Schweizer Lieblingskunden
Ergon wächst zweistellig
Die Stimmen zu den Best of Swiss Web Awards 2024
visiONstage – wo Business auf Zukunft trifft
Schweizer Strafverfolger überwachen etwas weniger, holen aber mehr Auskünfte ein
HPE und Bosch bringen Lösungen zusammen für Digital Twins
Red Hat stellt neue Lösungen für Entwickler vor
Wieso man nicht ziellos herumirren sollte beim Telefonieren
