Sicherheit ist für viele Organisationen und Unternehmen oberstes Gebot – und die Software muss Security- und Compliance-Vorgaben bestmöglich unterstützen. Dazu sollten IT-Verantwortliche die wichtigsten Kriterien kennen, die bei der Wahl der richtigen Anwendungen in sicherheitskritischen Bereichen eine entscheidende Rolle spielen.
Aktuell ist ein stark wachsendes Interesse und eine gestiegene Nachfrage nach Software aus dem Hochsicherheitsbereich zu beobachten. Der Verteidigungs- und Militärsektor, sicherheitssensible KRITIS-Unternehmen sowie die sogenannten Behörden und Organisationen mit Sicherheitsaufgaben (BOS) gehen bei der Digitalisierung auf die nächste Stufe. Für den Software-Einsatz gelten hier jedoch besonders rigide Anforderungen:
- Funktionalität: Sichere Basis jeglicher Software-Funktion ist ein auditierbarer Open-Source-Code. Er muss sowohl Infrastruktur- als auch Cloud-agnostisch und in die bestehende Sicherheitsinfrastruktur integrierbar sein. Für sensible Daten und sicherheitsaffine Kunden ist Open Source zudem die einzige Möglichkeit, unabhängig und zuverlässig auditieren zu können.
- Bereitstellung und Betrieb: Sichere Software muss beim Hosting flexibel sein und bei der Bereitstellung die freie Wahl zwischen On-premises oder einem SaaS-Provider eigener Wahl erlauben. Beim sicheren Software-Rollout hilft ein automatisiertes, containerisiertes Deployment. So sind alle Mitarbeiter bei den Software-Releases mit geringem Aufwand jederzeit auf dem gleichen, neuesten und damit sicheren Stand.
- Sicherheit: Die Software muss maximalen Schutz gegen Bedrohungen jeglicher Art (Hacks, Datenlecks, Spionage, Terrorismus) gewährleisten. Der Einsatz von avancierten Technologien wie OMEMO-Kryptografie und Blockchain-Verfahren ermöglicht besondere, automatisierte Sicherheitsmerkmale für Verschlüsselung, Signaturen, Identity Management und die Prüfung der digitalen Provenienz.
- Usability: Sichere Software entlastet Anwender durch den Einsatz moderner Bedienungs- und Nutzungskonzepte, die das Look-and-Feel privater Anwendungen wie Apps, Social Media und Gaming als Vorbild nehmen. Darüber hinaus ermöglicht sie DevOps- und SecOps-Konzepte, die Entwicklung und Betrieb von Anwendungen besser mit den internen Abläufen und Prozessen integrieren.
- Mobility: Alle genannten Kriterien müssen auch im mobilen Einsatz erfüllt werden. Voraussetzung dafür ist eine einheitliche Code-Basis für alle Clients durch ein Hybrid Code Development für die Betriebssystem-unabhängige Software-Entwicklung. Änderungen müssen dadurch nur einmal vollzogen werden und sind sofort für alle Anwendungen ungeachtet des Betriebssystems wirksam.
„Sicherheitskritische Organisationen und Behörden können in der Wahl ihrer Software-Ausstattung als Blaupause für Unternehmen aller Art dienen“, betont Andrea Wörrlein, Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug. „Sie zeigen, was aktuell machbar ist und wie sie sich bestmöglich gegen Cybergefahren rüsten können. Software, die dort den Härtetest besteht, ist häufig auch für zivile Anwendungen die beste Alternative.“ (rhh)