
Kurz vor dem Ende eines Projektes zur Entwicklung einer neuen E-Commerce-Webanwendung, wendet sich der Projektleiter an die
IT-Sicherheit und bittet um schnellstmögliche Freigabe der Applikation für den IT-Betrieb, da seinerseits feste Zusagen bezüglich des Live-Gangs getroffen wurden und jede weitere Verzögerung das
ohnehin schon knappe Projektbudget überfordern würde. Die IT-Sicherheit erkennt die Dringlichkeit seines Anliegens und bittet den Datenschutzbeauftragten, den Informationssicherheitsbeauftragten
sowie den verantwortlichen Softwareentwickler und IT-Administrator zum Gespräch. Der Softwareentwickler sieht bei der gewählten Programmiersprache einige Schwachstellen, die beispielsweise durch
Codereviews abgefangen werden müssen. Jedoch traut er sich nicht seine Bedenken zu äußern, da seine Abteilung bereits bei mehreren Projekten in Verzug ist und die Überstunden deshalb stark
zugenommen haben. Der IT-Administrator erkennt, dass ihm die geplante Wartung der Anwendung durch einen externen Dienstleister zusätzliche Arbeit ersparen kann und verdrängt seine Gedanken
bezüglich der dafür benötigten Zugriffsrechte in das Unternehmensnetzwerk, die der Fremdfirma gewährt werden müssen. Der Datenschutzbeauftragte arbeitet kommissarisch und seine primäre Tätigkeit
lässt ihm leider kaum Zeit an solchen Besprechung teilzunehmen. Er bittet den Informationssicherheitsbeauftragten in seinem Interesse zu handeln und freut sich über eine Zusammenfassung der
Ergebnisse via Mail. Der Informationssicherheitsbeauftragte wiederum erkennt die Reichweite des Projekts (Auswirkung bei Verfügbarkeitseinschränkungen oder Datenabfluss) und fordert daher einen
Penetrationstest vor dem Live-Gang sowie die Einhaltung der relevanten Richtlinien. Ihm ist bewusst, dass das Projekt weder über die Zeit noch das Budget für seine Forderungen verfügt und
bedauert, dass die von ihm vor geraumer Zeit überarbeitete Informationssicherheitsrichtlinie noch nicht Unterzeichnet worden ist. Diese Neufassung soll nämlich wichtige Aspekte der
Informationssicherheit regeln und grundlegende Anforderungen sowie Quality Gates für neue Projekte vorgeben.
Diese fiktive Geschichte wurde von mir bewusst überspitzt. Falls Ihnen jedoch der eine oder andere Punkt bekannt vorkommt, besteht Handlungsbedarf und externe Unterstützung kann zur Steigerung
des Senior Management Commitments sehr hilfreich sein.