All posts in Audit

IT Projekte

Categories: Audit
Comments: No

Im letzten Jahr wurde in der Presse oft von gescheiterten IT Projekten beim Bund oder bei den Kantonen berichtet. Dadurch entstand wohl der Eindruck, nur bei Verwaltungseinheiten geschieht dies.

Aus Erfahrung weiss ich jedoch, in ähnlichen privat-rechtlichen Firmen (im Sinne von Grösse) gibt es vergleichbare IT Projekte, erfolgreiche und gescheiterte, nur ist das Medienecho bedeutend kleiner. Übrigens sind immer wieder Meldungen von gescheiterten Projekten in privat-rechtlichen Firmen zu finden.

Über das Scheitern und nicht Scheitern von IT Projekten ist schon viel, sehr viel geschrieben worden. Mit all dem Wissen, all den Artikeln, all den Vorträgen, all den wissenden Personen sollten IT Projekte nicht mehr in dem Masse scheitern oder?

Aus meiner Sicht ist primär die Grösse und damit die Dauer eines IT Projektes der kritische Faktor, dies aus zwei Gründen. Je grösser, je mehr Personen nehmen Einfluss, nicht zwingend technisch aber inhaltlich-funktional. Änderungen der Anforderungen im Verlaufe des Projektes verändern sehr oft die Grundlagen eines Projektes. Aber eine andere Grundlage hätte nicht zu dem ursprünglichen Projekt geführt.
Je länger ein Projekt dauert, desto weniger fokussiert müssen die Beteiligten sich um das Projekt kümmern und je mehr kann sich das Umfeld ändern, technisch und organisatorisch. Die Gefahr, dass zusätzlich Anforderungen wechseln steigt ebenso, womit zusätzlich auch das vorhin beschriebene Risiko hinzukommt.

Nicht dass der Eindruck entsteht, grosse Projekte können nicht erfolgreich sein aber die Gefahr eines Scheiterns ist grösser. Als Firma sind strategische Projekte nötig, jedoch plädiere ich für  kleinere agilere Umsetzungsprojekte.

Und das Wichtigste: Absolute Rückendeckung für den Projektleiter um ein Projekt in kurzer Zeit durchpauken zu können!

Seit letzter Woche ist endgültig klar geworden, dass Logindaten nirgends sicher sind. Neu ist das eigentlich nicht, und bekannt ist auch, wie Logindaten gesetzt werden sollen.
Sicherlich kennen Sie die Empfehlungen, sichere Passwörter zu setzen, sie regelmässig zu ändern, bei jedem Login ein anderes Passwort zu verwenden und wo möglich unterschiedliche Benutzernamen zu gebrauchen.

Ich kann das ohne Hilfe nicht, aber trotzdem halte ich mich an diese Empfehlungen. Und Sie?

Die einzige Lösung bieten Passwortmanager: Sie eignen sich für Einzelpersonen und für Teams. Es gibt Versionen für Windows, für Mac, iPhone/iPad und für Android. Die Nutzung eines Passwortmanagers macht es möglich, alle Empfehlungen einfach und ohne Mehraufwand umzusetzen.

Wie funktioniert ein Passwortmanager?
Im Passwortmanager hinterlegen Sie Ihre Logindaten. Beim Login – z. B. in ein Webmail-Konto, in die Online-Shop-Verwaltung, für einen FTP Upload etc. – kopieren Sie die Logindaten aus dem Passwortmanager in die Eingabefelder.
So müssen Sie sich nur noch ein einziges Passwort merken: das des Passwortmanagers. Weitere Details dazu erkläre ich Ihnen gerne persönlich.

Gehen Sie auf Nummer sicher und richten Sie sich jetzt einen Passwortmanager ein. Ich freue mich, Sie dabei zu unterstützen.

Ausgesuchte Passwortmanager, die ich selbst nutze:
– 1Password (für Mac, Windows, iPhone/iPad)
– Securesafe (für iPhone/iPad, Webseite-Daten liegen auf Server in der Schweiz)
– PasswordSafeSWT (Mac und Windows)
– KeePass Password Safe (Mac und Windows)

Diskussionen rund um IT Sicherheitsmassnahmen werden oft nicht im gebührenden Kontext geführt. Gleichzeitig müssen praktisch keine Grundsatzdiskussion über die Notwendigkeit mehr geführt werden; es ist leider eine zwingende Notwendigkeit.
Unterschätzt wird im wesentlichen, dass vielfach gar nicht die eigenen Daten im Vordergrund von Attacken stehen, sondern die Möglichkeit einen “Wirt” zu finden.
Das Thema APT “advanced persistent thread” ist im Moment nur bei grossen Firmen ein Thema. Die Übersetzung “fortschrittliche permanente Bedrohung” sagt eigentlich ziemlich deutlich um was es geht. Nun, es kann wirklich jeden treffen. Wer kann von sich und seiner Firma behaupten nicht als Lieferant (oder Lieferant ähnlich) einer grösseren Firma tätig zu sein?
Vertraut man Ihnen als Lieferant? Hoffentlich und vermutlich schon? Wer denkt daran, der Lieferant könnte der “Böse” sein? Öffnen Sie E-Mails Ihrer Lieferanten gleich misstrauisch wie von komplett Fremden?

Sie realisieren wohin das führt? Gut, damit steht klar, dass jeder IT Sicherheitsmassnahmen auf seiner Stufe mit den möglichen Mitteln ergreifen und umsetzen muss. Vor allem zum eigenen Schutz – Reputationsschutz, Datenschutz, Wasserschutz.

 

Offensichtlich trägt die überarbeitete Website Früchte. Früchte in Form von Attacken um die Logins zu knacken. Anfangs Mai ging diese Version online, seit dieser Woche versuchen nun Zombiemaschinen die Seite zu knacken. Pro Attackenschub lassen sich ungefähr 400 – 500 IP Adressen blockieren, das sind diejenigen Maschinen, welche in zu kurzer Zeit zu viele falsche Login Versuche unternehmen. Die smarteren Maschinen kriegt man nicht so einfach blockiert, auch weil deren Ursprungsadresse (IP Adresse) ständig am ändern sind.

ABER es geht schlussendlich darum zu wissen und zu zeigen, dass a) Attacken geritten werden und b) es geeignete Massnahmen zum Schutz gibt.

In allen Projekten taucht – meist sehr schnell – die Frage auf: Wo finde ich die Information?
Nun, das ist üblich. Wie organisieren Sie Ihre Informationen? Wie organisieren sich Ihre Mitarbeiter? Stellen Sie Werkzeuge zur Verfügung? Werden die auch benutzt? Fragen über Fragen.

ABER es geht um viel. Aus diesen Informationen müssen Sie Wissen extrahieren können, Wissen, das Sie als Firma am Markt benötigen um erfolgreich zu sein.

Ein Audit nach internationalen Standards (Cobit) hilft Ihnen den Wert Ihrer Informationen zu erkennen und zu schützen.