Unternehmenskultur: Datensicherheit

Der Fall: Prozesse sind wichtiger als Ergebnisse

In meinem ersten Job als IT-Spezialist hatte ich eine gute Idee, bei der die Datensicherheit ein wichtiger Bestandteil des Angebots war. Also ging ich mit meiner Idee zu einem erfahrenen Kollegen, der für die Sicherheit von Servern und Datenbanken verantwortlich war. Seine Antwort war einfach und ist auch heute noch nicht weniger wahr:

„Wenn du eine Datenbank mit Informationen schützen willst, solltest du so wenig Daten wie möglich speichern, nur uninteressante Daten zulassen und keine Benutzer erlauben.“

Hier ein schönes Beispiel der GGD, vor ein paar Wochen.

Für die Zulassung von Benutzern gibt es mittlerweile viele Möglichkeiten, den Zugang ziemlich sicher zu gestalten. Zum Glück, denn ohne Benutzer haben wir nicht viel von unserer Software. Bei Payt sprechen wir wöchentlich über neue Funktionen, die viel Benutzerfreundlichkeit bieten, aber einen Kompromiss beim Schutz der Daten erfordern. Unsere Daten sind (leider) auch interessant genug, um sehr wertvoll zu sein, daher sind wir ISO27001 zertifiziert. Das bedeutet, dass wir den internationalen Standard für Informationssicherheits-Managementsysteme (ISMS) erfüllen. Gerne möchte ich ein Beispiel beschreiben, wohin das innerhalb des Unternehmens führen kann.

Wir waren erst 20 Mitarbeiter, als wir das Zertifikat erhielten. Wir hatten viel vorbereitet und eine gut durchdachte Sicherheitsrichtlinie ausgearbeitet. Innerhalb eines Jahres kam jemand bei Payt auf die Idee, dass dieses Richtliniendokument nicht nur den Entscheidungsträgern bekannt sein sollte, sondern auch allen anderen Mitarbeitern. Und das konnte am besten erreicht werden, indem es von allen unterzeichnet wurde. Dafür fanden wir, dass ein allgemeiner Text über Vertraulichkeit im Arbeitsvertrag ausreichte. Nicht lange danach kam eine umfangreiche Liste mit aller Hardware, Software und Prozessen für jeden neuen Mitarbeiter, die abgearbeitet werden musste (eine Checkliste). Seit einem Jahr ist eine Person nun dafür verantwortlich, alle Zugänge im Blick zu haben. Die Checkliste wurde durch eine umfassende Autorisierungsmatrix ersetzt. Um den Prozess des Zugangs, bei dem Sicherheit im Spiel ist, etwas einfacher zu gestalten, haben wir in Slack einen access_request Kanal. Klingt gut, oder?

Für eine neue Kollegin hatte ich im access_request Kanal Zugang beantragt. Ich wollte Eindruck auf sie machen mit unserer schnellen Handlungsweise, damit sie einen fliegenden Start hinlegen konnte. Nach einer Woche gab es immer noch keinen Zugang. Eine Nachfrage ergab, dass ein Entwickler beschlossen hatte, diesen Zugang nicht zu gewähren, da die neue Kollegin die Sicherheitsrichtlinie noch nicht unterzeichnet hatte. Und kurz darauf erhielt ich eine Rüge, dass ich auch die Autorisierungsmatrix noch nicht ausgefüllt hatte.

Es ist viel schwieriger, ergebnisorientiert zu arbeiten als prozessorientiert. Ein ausgeschriebener Prozess kann einfach befolgt werden. Und wenn man ihn gut befolgt, hat man zumindest nie Schuld.