IT-Sicherheit – eine Frage der Qualität

/, Qualitätsmanagement, Risikomanagement/IT-Sicherheit – eine Frage der Qualität

IT-Sicherheit – eine Frage der Qualität

Sicherheit in der IT bzw. im Internet der Dinge bedeutet Qualität in der Software.

Die IT ist im Vergleich zu anderen Branchen, wie beispielsweise Fahrzeug-, Eisenbahn-, Maschinenbau oder Luftfahrt, eine sehr junge Branche. Namhafte Politiker entdeckten die allgegenwärtige Informationstechnik, wie z.B. das Internet, erst vor Kurzem, was bei dem ein oder anderen unter uns Lesern für eine gewisse Erheiterung sorgen kann.

Es vergeht mittlerweile keine Woche, in der nicht eine Nachricht über sogenannte IT-Sicherheitsvorfälle publiziert wird. Dass es Schwächen, sogar Lücken in den Systemen der Informationstechnik gibt weiß heute jeder. Dass dies Schwachstellen auch ausgenützt werden bezweifelt keiner mehr. Derzeit gibt es bereits Äußerungen, dass bestimmte Organisationen gezielt Schwächen der IT-Technologie nutzen, um Manipulationen durchzuführen. Ein Beispiel dafür könnte die letzte US-Präsidentenwahl gewesen sein. Die zunehmende Digitalisierung, Vernetzung der Maschinen, das Cloud-Computing und Internet of things, etc.. wird diese Bedrohung verschärfen.

Die alte Industrie (old economy), wie unter anderem die oben genannten Autobauer und Flugzeughersteller, haben in den vergangenen hundert Jahren leidvolle und schmerzhafte Erfahrungen gesammelt und daraus Methoden und Techniken zum Schutz von Leib und Leben der Nutzer und Insassen erarbeitet und fordern diese auch verbindlich ein. Während in der Softwarebranche all zu oft noch die Philosophie vertreten wird, dass es wichtiger sei, dass die Software funktioniere und bestimmte Qualitätsanforderungen, wie z.B. die Dokumentation, vernachlässigt werden könnten. Können Sie sich ein Medikament ohne Beipackzettel vorstellen? Wohl kaum, denn Sie möchten nachlesen können, wie die Dosierung des Medikamentes und die Nebenwirkungen sind. Bei Software kann es Ihnen passieren, dass Sie diesen Beipackzettel (technische Dokumentation) vergeblich suchen. Okay, wir reden hier nicht von einer App auf ihrem Smartphone, mit der Sie hübsche Bildchen hin- und herschieben.

An dieser Stelle sprechen wir von Softwareanwendungen, wie beispielsweise der automatisierten Fertigungsprozesssteuerung, der Verkehrsüberwachung sowohl auf den Straßen als auch im Luftraum, der vollautomatisierten Lebensmittelherstellung, aber neuerdings auch von individuellen Anwendungen für jeden einzelnen Menschen, wie z.B. der App zu Medikamenteneinnahme.

Unzulänglichkeiten und Schwachstellen in der Software oder der Hardware sind eine Frage der Produktqualität. Ein wesentlicher Bestandteil des Qualitätsmanagements ist die Risikobetrachtung auch für das jeweilige Produkt. Software als Produkt hat heute einen ganz anderen und in Teilen wesentlich lebensbedrohlicheren Aspekt als noch vor 50 Jahren. Wenn Sie jetzt glauben Software könne nicht tödlich sein, dann fragen Sie einmal Ihren KFZ-Mechatroniker, was passieren kann, wenn der Bordcomputer ihres Fahrzeuges einen Bug (Softwarefehler) hat. Eine Vielzahl der Bugs werden überhaupt nicht bekannt, da sie regelmäßig in Ihrer Werkstatt über ein Update behoben werden.

Qualitätsstandards für Software

Aus diesem Grunde ist Software den gleichen Qualitätsstandards zu unterwerfen wie wir es in der Lebensmittel-, der Pharma-, der Fahrzeugindustrie etc.. haben.

Folglich sollte jeder Unternehmer Qualitätsmanagement mit funktionsfähigem Risikomanagement zu betreiben, um Fehler zu vermeiden und Gefahren zu minimieren.  Besonders in einer Industrie wie der IT können kleine Fehler ganz viele Menschen betreffen. So hat zum Beispiel das Qualitätsmanagement in Pharmakonzernen langjährige Tradition. Hier weiß man sehr wohl, dass kleine Ursachen eine große Wirkung haben können. Würde nur eine Substanz während der Produktion minimal verändert, ist die Wirkung des Medikaments am Ende eine völlig andere – ein nur sehr schwer bis nicht einzuschätzendes Risiko für die Gesundheit.

Auf Skandale in der Pharmaindustrie oder auch Lebensmittelskandale reagiert der Gesetzgeber mit strenger Regulierung. Das hat zur Folge, dass die Qualitätsanforderungen erhöht und die Voraussetzungen für Produktzulassungen verschärft werden.

Vergleichbares entwickelt sich heute in der IT-Industrie. Software, die in Flugzeugen, Eisenbahnen und Kraftfahrzeugen zum Einsatz kommt, unterliegt wesentlich höheren Anforderungen aus Qualität und funktionaler Sicherheit.

Die Datenschutzgrundverordnung im Bereich des Datenschutzes ist ein weiteres Beispiel. Hier wurden die Qualitätsanforderungen ebenfalls erhöht, auch wenn manch ein Datenschützer noch weiter gehen würde. Im Gesetzestext steht zwar noch nicht explizit der Terminus des Qualitätsmanagements und des Risikomanagements, aber als Unternehmer tun Sie gut daran, diese gesetzlichen Anforderungen des Datenschutzes mit in Ihr Qualitätsmanagement und Ihr Risikomanagement aufzunehmen.

Fazit

So wie Sie als Unternehmer bzw. Geschäftsführer eine ordentlichen Buchführung machen, sollten Sie auch ein Qualitätsmanagement im Unternehmen etablieren und praktizieren. Es gibt genügend Gründe, ein Qualitätsmanagement in der IT, der SW-Entwicklung oder im viel gerühmten Hightech-Sektor zu starten – damit nicht nur das Produkt groß rauskommt, sondern die Menschen wirklich davon profitieren. Wenn Sie sich jetzt fragen, wie Sie risikobasiertes Qualitätsmanagement bei sich einführen sollen, vielleicht sogar ergänzt um Aspekte der Informationssicherheit, dann wenden Sie sich ruhig an uns!

About the Author:

Alexander Glöckner hat nach einem Wirtschaftsstudium und mehrjähriger Tätigkeit im Key Account Management für einen IT-Dienstleister seine Leidenschaft für das Total Quality Management mit dem Schwerpunkt integrierte Managementsysteme entdeckt. Er war viele Jahre als Leiter Qualitätsmanagement für Qualität, Funktionale Sicherheit, Produktkonformität, Umwelt- und Servicemanagement bei einem Hardware- und Softwarehersteller für sicherheitskritische Systeme der Luftfahrtindustrie/Flugsicherung tätig. Seither befasst er sich intensiv mit der Zusammenführung von Anforderungen aus der Software-Entwicklung, der IT-Sicherheit, der Funktionalen Sicherheit, dem Service Engineering und einem kundenorientierten Beziehungsmanagement in ein praktikables System zum Unternehmensmanagement.