Schutz durch System: Wie SSI Schäfer Software und Daten schützt

Wie bleibt Softwareentwicklung in einer zunehmend digitalisierten Welt sicher? Bei SSI SCHÄFER sorgt ein umfassendes Sicherheitskonzept dafür, dass Informationssicherheit in allen Unternehmensbereichen konsequent umgesetzt wird. Das Herzstück bildet das Informationssicherheits-Managementsystem (ISMS). Es umfasst nicht nur alle technischen Maßnahmen in sämtlichen Ebenen und Bereichen, sondern fungiert auch als organisatorische Leitstruktur mit entsprechend ausgearbeiteten Sicherheitszielen und -strategien. Dieses System basiert auf einem soliden Risikomanagement und wird regelmäßig durch fortlaufende Evaluierung der Aktivitäten und kontinuierliche Weiterentwicklung der Sicherheitsmaßnahmen optimiert.

Ein wichtiger Fokus liegt auf der Softwareentwicklung für die intralogistischen Lösungen von SSI SCHÄFER. Neben der Integration von Sicherheitsmaßnahmen in den Softwareentwicklungsprozess gilt es, bei der Implementierung und Wartung der Kundensysteme sowie dem damit verbundenen Datenaustausch stets die Kontrolle über die Sicherheit zu behalten.

Schutzziele im Vordergrund

SSI SCHÄFER legt großen Wert auf eine enge Abstimmung mit den Kunden, um im Bereich der Informationssicherheit, die Schutzziele Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität zu wahren. Diese Schutzziele sind auch zentrale Anforderungen der NIS2-Richtlinie, die darauf abzielt, die Cybersicherheitsstandards europaweit zu stärken. Die Umsetzung dieser Standards schützt vor Cyberbedrohungen und stärkt die Resilienz der IT-Systeme. Konkret bedeutet dies:

  • Verfügbarkeit: Informationen und Systeme stehen jederzeit zur Verfügung.

  • Vertraulichkeit: Daten werden vertraulich behandelt und vor unbefugtem Zugriff geschützt.

  • Integrität: Änderungen an Daten sind nachvollziehbar und manipulationssicher.

  • Authentizität: Daten stammen eindeutig von der angegebenen Quelle.

Gemeinsames Bewusstsein ist unerlässlich

Gezielte Schulungen sorgen dafür, dass Mitarbeitende Bedrohungen erkennen und die vorhandenen Schutzmaßnahmen sowie Prozesse sicher im Alltag anwenden. Dabei gibt es allgemeine Schulungen für alle Mitarbeitenden, die Themen wie den sicheren Umgang mit Passwörtern, das Erkennen und Melden von Schadsoftware und ähnliche Grundlagen abdecken.

Im Bereich der Softwareentwicklung werden hingegen ebenso spezielle Kenntnisse, wie etwa Secure Coding, vermittelt, um Sicherheitslücken bereits bei der Programmierung zu verhindern. Ergänzt wird dies durch einen umfassenden Maßnahmenkatalog auf Komponenten-, Daten-, System- und Prozessebene. Besonderes Augenmerk liegt dabei auf den technischen Systemen, auf denen Informationen gespeichert, verarbeitet oder übertragen werden. Diese müssen reibungslos funktionieren und gegen die vielfältigen Bedrohungen wirksam geschützt sein.

Einige zentrale Elemente der Softwareentwicklungspraktiken sind:

  • Bedrohungsmodellierung, sicheres Codieren, Code-Reviews werden in der Entwicklungsphase angewandt.

  • In allen Systemen und Anwendungen von SSI SCHÄFER sind Kontrollen implementiert, die den Zugriff ausschließlich auf autorisierte Benutzer beschränken. Dies wird auch in der Softwareentwicklung berücksichtigt, wo die Zugriffsrechte abhängig vom Schutzbedarf der Informationen nach dem Need-to-Use/Know-Prinzip vergeben werden. Das bedeutet beispielsweise, dass SSI SCHÄFER Mitarbeitende nur dann Zugriff auf ein Kundensystem erhalten, wenn es notwendig ist, die Serviceaufgaben oder Operationen auch durchzuführen.

  • Durch die Sicherheitsarchitekturen werden die Nachvollziehbarkeit und Unstrittigkeit in Hinblick auf die Schutzziele in den Applikationen und Systemen gewährleistet.

  • Mithilfe von Tools zur statischen Codeanalyse wird Static Application Security Testing umgesetzt und potentielle Schwachstellen werden frühzeitig erkannt und behoben.

  • Eingesetzte 3rd Party Komponenten werden regelmäßig auf bekannte Schwachstellen überprüft und aktualisiert.

  • Umfassende Penetrationstests von unabhängigen externen Partnern stellen Angriffe nach und helfen dabei, Sicherheitslücken zu finden und zu beheben.

Die erforderlichen Sicherheitspraktiken werden strukturiert durchgeführt und dokumentiert. Dabei wird eine Balance zwischen hoher Sicherheit und Benutzerfreundlichkeit angestrebt, um die Funktionalität der Software nicht zu beeinträchtigen.

Warum Sicherheit mehr als Technik ist

Die Sicherheitstechnologien von SSI SCHÄFER gehen über technische Maßnahmen hinaus. Entscheidend ist ein gemeinsames Bewusstsein aller Beteiligten. Von der Bedrohungsmodellierung über die Schulung der Mitarbeitenden bis hin zur Prüfung von IT-Systemen: Der Schutz sensibler Daten und Systeme ist eine Gemeinschaftsaufgabe.

Über den Autor

Klaus-Zlöbl_BlogInfoSichh.png

Klaus Zlöbl absolvierte ein Studium im Bereich Telematik mit dem Schwerpunkt Informatik, bevor er 2011 bei SSI SCHÄFER einstieg und dort mehrere Positionen im Bereich Softwareentwicklung innehatte. Seit 2017 widmet er sich dem Thema IT-Sicherheit. Seit Oktober 2022 ist er als Security Officer in der Produktentwicklung tätig und trägt die Verantwortung für die Sicherheit der Softwareprodukte.


Weitere Informationen:

Informationssicherheit braucht Teamarbeit

Digitalization offers a huge range of opportunities, but this is accompanied by security risks as a result of cybercrime. SSI SCHAEFER, one of the world’s leading providers of...

Mehr erfahren
Blog_P_Schlör.png

Ansprechpartner

Annika Nolte Project Manager CR & PR Telefon: +49 170 9839697 Email: annika.nolte@ssi-schaefer.com