Wie verankert man Cybersecurity in einer Firma und deren Köpfe? – Ein Erfahrungsbericht

Cybersecurity kann man aus zwei Perspektiven betrachten. Zum einen gibt es die technische Sicht, bei der es um die Suche nach auf Schwachstellen, um sichere Design-Patterns, Security Testing und ähnliche, entwicklungsnahe Themen geht. Zum anderen gibt es die holistische Sicht, wonach der gesamte Produktlebenszyklus, vom Start der Entwicklung bis zur Deinstallation, auf Cybersecurity ausgerichtet sein sollte. Darin ähnelt die IT Security der Qualitätssicherung von Software, die ebenfalls mit klar formulierten Anforderungen beginnt. Beide Themen erfordern die passende Grundeinstellung und ein gehöriges Maß an Sensibilisierung bei den Mitarbeitern.

Ein wichtiger Aspekt der Cybersecurity ist der Umgang mit möglichen Security Issues. Hier müssen Prozesse definiert und Werkzeuge zur Verfügung gestellt werden. Doch wie verankert man Cybersecurity in den Köpfen der Mitarbeiter? Wie vermittelt man den Entwicklern wirksam, worauf sie achten müssen? Ein möglicher Weg sind Schulungen, wie z.B. der A4Q Security Essentials. Diese Schulung vermittelt ein Grundverständnis und trägt definitiv zur Sensibilisierung bei. Die technische Sicht kommt dabei jedoch ein wenig zu kurz, da nur bedingt Zeit für praktische Übungen vorhanden ist und kaum Tools genutzt werden können.

In diesem Vortrag möchten wir von unseren Erfahrungen der letzten Jahre berichten. Beispielsweise organisierte sepp.med in der Vergangenheit zwei interne Hackathons, bei denen sich die Teilnehmer in Arbeitsgruppen aufgeteilt mit der Perspektive und den Möglichkeiten eines Hackers befassten. Im Rahmen der Einführung von TISAX für unsere Kunden im Automotive-Bereich mussten wir eigene Prozesse festlegen und unsere Mitarbeiter schulen. Auch in unseren Kundenprojekten sehen wir, dass Cybersecurity einen zunehmend hohen Stellenwert einnimmt. Last, but not least, haben wir den A4Q Security Essentials in unser internes Schulungsprogramm aufgenommen.

Referent: Jürgen Menzinger, sepp.med GmbH

Jürgen Menzinger ist Experte für automatisierte Softwaretests. Er hat bereits eine Vielzahl von Projekten in der Medizintechnik für bildgebende Verfahren betreut und und ist seit mehreren Jahren als Experte für Testautomatisierung mit Schwerpunkt auf der Qualitätssicherung von webbasierten Kundenapplikationen in einer CI/CD Umgebung aktiv.
Innerhalb der sepp.med gmbh ist Jürgen Menzinger Mitglied der Arbeitsgruppe Cybersecurity, welche sich mit den Aspekten der IT-Sicherheit beschäftigt und sich zum Ziel gesetzt hat, das Thema IT-Sicherheit und Software Security intern weiterzuentwickeln.