„Nach dem Flug ist vor dem Flug!“ So hat das der einstige Fußballtrainer Sepp Herberger natürlich nie gesagt. Trotzdem hat das Fußballer-Zitat aus den 1950er-Jahren heute nichts an Bedeutung verloren. Nicht umsonst unterziehen die renommierten Airlines ihre Flugzeuge strikten Tests, um ihre Funktionalität sicherzustellen.
Jede Airline ist ein Unternehmen, aber nicht jedes Unternehmen ist eine Airline. Allerdings lassen sich gerade in Details Parallelen finden. Firmenfahrzeuge sollten vor der Fahrt gecheckt und am Ende der Tour betankt und sicher abgestellt werden. Deren regelmäßige Wartung schützt vor unliebsamen Pannen oder peinlichen Momenten sowohl bei der Abgassonderuntersuchung als auch bei der Hauptuntersuchung. Ähnliches gilt für Kaffeemaschinen und Mikrowellen, Klimaanlage und Lüftung, normale Beleuchtung und Notbeleuchtung, Feuerlöscher und Sprinkleranlage, die Stromversorgung und natürlich die IT.
Das Ganze ist ein Prozess in vier Phasen, die sich unter dem Kürzel PDCA zusammenfassen lassen. Dahinter stecken die englischen Begriffe für Planen (plan), Ausführen (do), Prüfen (check) und Handeln (act).
In der Planungsphase werden die Grundlagen und Kriterien definiert. Dazu zählen die IT-Sicherheitsstrategie, mögliche Risiken und Bedrohungen sowie konkrete Maßnahmen zur Prüfung der Sicherheitsarchitektur. Die Ausführungsphase sieht die Implementierung der definierten Tests vor, anhand derer das System in der Prüfphase unter die Lupe genommen wird – inklusive einer Auswertung, ob die in der Planungsphase festgelegten Ziele erreicht wurden und die Sicherheitsarchitektur den Erwartungen entsprochen hat. In Phase vier geht es dann um eventuelle Korrekturen an der Sicherheitsstrategie sowie den getroffenen Maßnahmen. Wie in einem klassischen Managementzirkel lässt sich ein PDCA dementsprechend wiederholen, da er auf den vorangegangenen Ergebnissen aufbaut.
Muss es in jedem PDCA-Zirkel einen Penetrationtest geben? Die Antwort ist ein klares Jein. Es gibt keine Pflicht, irgendeinen bestimmten Baustein zu nutzen. Und Penetrationtest ist nicht gleich Penetrationtest. Es muss ja nicht immer die komplette Sicherheitsstruktur sein, die auf dem Prüfstand steht. Mal werden die E-Mail-Server gecheckt, dann die Mitarbeiter im Call-Center, und ein andermal das W-Lan…
Wichtig ist nur, dass Sicherheit immer als Prozess verstanden wird und dementsprechend in der Firmen-DNA verankert ist. Dann klappt das auch mit Start und Landung!
