"Projekte und Informationssicherheit?" Automatisch denkt man dabei an IT-Projekte, bei denen IT-Sicherheit, als Teil der Informationssicherheit, immer eine wichtige Rolle spielt. Betrachtet man jedoch die verschiedenen Dimensionen der IT-Sicherheit – Vertraulichkeit, Integrität und Verfügbarkeit von Daten, Dokumenten und Systemen –, wird schnell deutlich, dass das zu kurz gedacht ist. IT und deren Verwendung durchdringt zunehmend die Arbeits- und Projektwelt. Ohne IT-Einsatz sind z.B. Kommunikation und Dokumentation in Projekten kaum mehr vorstellbar. Auch der Einsatz von Projektmanagement-Software ist bei komplexen Projekten oder in Multiprojektumgebungen nicht mehr wegzudenken.

Dieser Beitrag verdeutlicht anhand von Beispielen aus dem Projektalltag, wie weitreichend die Bedeutung von Informationstechnologie und IT-Sicherheit ist und sensibilisiert dafür, dass alle an Projekten Beteiligten Verantwortung übernehmen müssen.

Exkurs: Jeder trägt die (Mit-)Verantwortung für Sicherheit!

Die gut erhaltene mittelalterliche Altstadt von Regensburg ist ein bekanntes Weltkulturerbe der UNESCO. "Stadtluft macht frei!" hieß es damals. Eine Grundvoraussetzung für diese Freiheit waren Schutz und Sicherheit, die Städte damals boten. Dies wurde durch Gräben, Mauern, Türme und Tore erreicht, wie das Modell im Stadtmuseum von Regensburg deutlich zeigt.

Wichtiger noch als die sichtbaren Bauwerke war die Zusammenarbeit der Bürger. Berufswächter gab es nur wenige. Die waren viel zu teuer! Die Hauptlast trugen die Bürger und damit auch direkte (Mit)Verantwortung für die Sicherheit der Stadt! Sicherheit wurde schon damals großgeschrieben.

Was versteht man unter IT-Sicherheit eigentlich genau?

IT-Sicherheit oder IT-Security sind abstrakte Begriffe, deren Bedeutung für Laien schwer zugänglich ist. Eine leichter erfassbare Beschreibung liefert das Bundesamt für Sicherheit in der Informationstechnik (BSI): "IT-Sicherheit beschäftigt sich an erster Stelle mit dem Schutz elektronisch gespeicherter Informationen und deren Verarbeitung." Bezieht man auch die Informationen mit ein, die z.B. auf dem Papier oder in den Köpfen der Menschen gespeichert sind, lautet der hierzu passende Begriff "Informationssicherheit".

Der vorliegende Artikel verwendet bewusst meist den Begriff "IT-Sicherheit". Das bedeutet keinesfalls, dass die Sicherheit gedruckter Informationen oder verbale Kommunikation zu vernachlässigen sei. Vielmehr trägt es der Tatsache Rechnung, dass elektronisch gespeicherte und verarbeitete Daten und Informationen zunehmend Bedrohungen ausgesetzt sind.

Die Objekte der Sicherheit

Daten und Informationen sind wertvoll, denn sie sind der Rohstoff und das Kapital der modernen Wirtschaft und Gesellschaft. Diesen Wert hätten sie nicht, wenn sie nicht genutzt werden könnten. Dazu ist die Verarbeitung mit Hilfe von Software, Netzwerken und Hardware notwendig.

Die Objekte der Sicherheit sind somit festgelegt: Es sind zum einen die Daten und Informationen, zum anderen die zur Datenverarbeitung eingesetzte Hard- und Software sowie die benötigten Netzwerke (Bild 1).

Was bedeutet "Sicherheit" genau?

Als nächstes müssen wir den Begriff der Sicherheit näher beschreiben. Dafür bieten sich die klassischen Dimensionen der IT-Sicherheit an, die auch für den erweiterten Begriff der Informationssicherheit gültig sind:

• Vertraulichkeit (Confidentiality): Vertrauliche Informationen müssen wir vor unbefugter Preisgabe schützen.
• Integrität (Integrity): Die Daten sind vollständig und unverändert.
• Verfügbarkeit (Availability): Dem Benutzer stehen Dienstleistungen, Funktionen eines IT-Systems oder auch Informationen zum geforderten Zeitpunkt zur Verfügung.

Mit dieser einfachen Übersetzung des Begriffes "Sicherheit" in Themen, die bearbeitet und umgesetzt werden können, sind auch die Handlungsfelder der IT-Sicherheit greifbar.

IT-Sicherheit und Projekte

Ein Projekt ist "ein einmaliges, zeitlich befristetes, interdisziplinäres, organisiertes Vorhaben, um festgelegte Arbeitsergebnisse im Rahmen vorab definierter Anforderungen und Rahmenbedingungen zu erzielen" (GPM, Individual Competence Baseline für Projektmanagement, 2/2017, S.29). Diese Definition lässt bereits erkennen, welche zentrale Bedeutung Kommunikation und Dokumentation für den Erfolg eines Projektes haben.

Vergleichen wir die Merkmale von Projekten mit denen der IT-Sicherheit, fallen sofort zwei Konfliktfelder ins Auge (Bild 2):

1. IT-Sicherheit ist auf Dauer und Stabilität ausgelegt. Projekte sind im Gegensatz dazu zeitlich begrenzt; die Projektteams lösen sich nach Fertigstellung wieder auf.
2. Beide Themen konkurrieren um begrenzte Ressourcen.

Wer setzt sich im Konfliktfall durch? In beiden Fällen entscheiden darüber u.a. die gelebte Kultur und die Werte im Unternehmen.