Durch die wachsende Komplexität, die rasante Weiterentwicklung und die fortschreitende Vernetzung von IT-Systemen nehmen Störungen und Gefahren durch Angriffe von innen sowie von außen immer weiter zu. Mit Stefan Allemann, IT-Sicherheitbeauftragter der CSS Versicherung, haben wir über die Ausrichtung eines modernen IT-Sicherheitsmanagements gesprochen.

Im Interview mit Stefan Allemann

Im Interview mit Stefan Allemann

IT-Sicherheitsbeauftragter und Security-Architekt, CSS Versicherung AG

„Security sollte kein zusätzlicher Schritt sein, sondern sich in den Prozess einpassen.“

Muss sich das IT-Sicherheitsmanagement an agile Arbeitsweisen anpassen?

In einer idealen Welt nicht . Wenn die Security-Architektur stabil ist und die Kultur des Unternehmens das Information Security Management System mitträgt, braucht es wenig Anpassungen. In der Praxis ist das natürlich selten der Fall. Security sollte aber im agilen Entwicklungsprozess kein zusätzlicher Schritt sein, sondern sollte sich im Rahmen von „Security-by-design“ in den Prozess einpassen. Ich finde es wichtig, dass es immer einen Security-Spezialisten gibt, der für die Entwickler ansprechbar ist und agil mit einbezogen werden kann. Änderungen gibt es sicher auch im Bereich Dev-Ops. Je mehr automatisiert wird, desto mehr muss auch das Security-Testing automatisiert werden.

Wie kann Sicherheit bei immer komplexeren, hochgradig vernetzten Systemen gewährleistet werden?

Eine Hauptherausforderung sehe ich bei verteilten Systemen, wie z.B. in der Cloud. Häufig hat der Nutzer bei SaaS weniger Einflussmöglichkeiten als klassisch On-Premis. Die Anbieter geben vielfach vor was sie in welcher Art anbieten. Somit verzetteln sich auch Sicherheitslösungen immer mehr. Helfen können aus meiner Sicht klar definierte Schnittstellen. Diese müssen auch geprüft werden. Ausserdem bleiben häufig auch „nur“ klassische Security-Review, um die Einhaltung der Vorgaben zu prüfen. Weil die Systeme uneinheitlicher werden, finde ich ein durchgehendes Identity- und Accessmanagement umso wichtiger. Der User mit seinen Rechten wird so quasi zum neuen Perimeter.

Wie entwickelt sich das Verhältnis zwischen Security-Reviews und Security-by-Design?

Es braucht auf jeden Fall beides. Ich sehe Security-by-Design eher auf einer formellen und vorgabengetriebenen Seite. Auch eine Security-Kultur gehört dazu. Trotzdem werden in der Entwicklung natürlich Fehler passieren. Da setzen automatisierte oder manuelle Security-Reviews ein.

Das Interview erschien zuerst im Themendossier zum Thema IT-Sicherheit.

Treffen Sie Stefan Allemann und weitere IT-Sicherheitsexperten am 7./8. Mai in Leipzig!

Seien Sie bei der Fachkonferenz „IT-Sicherheitsmanagement in Versicherungen“dabei!

Zum Event
Magdalena Dröse
Magdalena Dröse unterstützt seit 2013 das Team „Unternehmenskommunikation und Partnerbetreuung" der Versicherungsforen Leipzig. Neben ihren redaktionellen Tätigkeiten für das Online-Wissensportal und die Themendossiers der Versicherungsforen Leipzig, ist sie für die Betreuung der Forenpartner verantwortlich. Zudem unterstützt sie die Fachteams bei der Erstellung von Studien und Whitepapern.