Das Anti-Counterfeiting Trade Agreement (ACTA) – Wie Geheimabkommen unser Leben bestimmen

1. Mai 2010

Auf Reichskanzler Otto von Bismarck wird die Aussage zurückgeführt, dass es besser sei nicht so genau zu wissen, wie Würste und Gesetze gemacht würden. Und wer sich mit dem Thema Globalisierungskritik beschäftigt, stößt relativ rasch auf Institutionen wie den Weltwährungsfonds (IWF), die Welthandelsorganisation (WTO) und andere in denen einflussreiche Staaten an Parlamenten vorbei sog. „Handelsabkommen“ wie GATS, TRIPS und andere abschließen, in denen oft auch alles Mögliche geregelt ist, was wenig bis nichts mit Handel nach allgemeinem Verständnis zu tun hat. Abbau von Sozialstandards, Einschränkungen von Arbeitnehmerrechten, Absenken von Umweltstandards und Verbraucherschutz. Dafür Absicherung der Profite von Investoren, Konzernen und Oligopolen, Schwächung der Rechtsaufsicht über Unternehmenskonglomerate, Patente (d.h. staatlich garantierte Monopolansprüche unter Umgehung der Marktkräfte) auf eigentlich fast alles sowie Subventionen in Milliardenhöhe.

Solche Abkommen sind inhaltlich meist so heikel, einseitig und unausgewogen, dass sie sich mit Rechtsstaatlichkeit und Bürgerrechten nicht in Einklang bringen lassen. Und über halbwegs transparente demokratische Prozesse dafür keine Mehrheiten zu bekommen wären. Daher werden sie meist im Geheimen in Hinterzimmern und an grünen Tischen der globalen Wirtschaftsdiplomatie verhandelt und bis zu ihrer Ratifizierung als Verschlusssache behandelt.

Schon mehrfach scheiterten solche Abkommen in der Vergangenheit, nachdem ihre Inhalte vorab durchsickerten und den Zorn von Bürgerrechtlern und zivilgesellschaftlichen Organisationen an sich zogen. So zum Beispiel das „multilaterale Investitionsabkommen“ (MAI) oder die Bolkestein-Richtlinie. Wirtschaftslobbyisten und käufliche Politiker (nur wenige Formen der Korruption sind tatsächlich strafbar) greifen die entsprechenden Inhalte aber früher oder später immer wieder auf und versuchen es erneut. So entsteht eine Art politischer Salami-Taktik des schleichenden aber kontinuierlichen Abbaus von Bürgerrechten und Sozialstandards.

Ein weiteres solches Abkommen ist das Anti Counterfeiting-Trade Agreement (ACTA), an dem bereits seit 2005 zwischen der Schweiz, den USA, der EU, Kanada, Japan, Korea, Singapur, Australien, Neuseeland, Mexiko, Jordanien, Marokko und den Vereinigten Arabischen Emiraten im Geheimen verhandelt wird. Gegenstand des Abkommens sind hauptsächlich Verschärfungen im ohnehin umstrittenen Immaterialgüterrecht, so dass Rechteverwerter wirksamer gegen „Produktpiraten“ und „Raubkopierer“ vorgehen können. Im selben Fahrwasser sollen zugleich Bürgerrechte eingeschränkt, der Zugang zum Internet stärker reguliert, Zensurinfrastrukturen geschaffen und Provider zunehmend in Haftung für „Urheberrechtsverstöße“ Dritter genommen werden. Die wenigen Informationen zu ACTA, die bislang durchsickerten, lesen sich wie ein Horrorkatalog für freie Bürger.

Zumal sie von Leuten verhandelt  werden, die in unserem Namen handeln, die von uns bezahlt werden und die eigentlich uns zu dienen hätten – stattdessen dienen sie managerialen Eliten, die uns bisher hauptsächlich Gewalt, Arbeitslosigkeit, Teuerungen und die Finanzkrise gebracht haben.

Der zunehmende Missbrauch des Immaterialgüterrechts durch Verwerter und Konzerne hat jedoch in den letzten Jahren eine ebenfalls zunehmende Widerstandsbewegung entstehen lassen. Bürger, NGOs und neue Parteien wie z.B. die Piratenpartei fordern die Kontrolle über Staat und Wirtschaft zurück, wollen Auswüchse korrigieren und das Primat der Wirtschaftsinteressen über Staat und Volk wieder beseitigen.

Noch immer laufen die Verhandlungen um ACTA im Geheimen und ohne demokratisches Mandat auf Ministerial- und Staatssekretärsebene ab. Auch wenn sich Bundesjustizministerin Sabine Leutheusser-Schnarrenberger inzwischen hin und wieder genötigt sieht, den ein oder anderen Kommentar zum Stand der Dinge abzugeben.

Es gilt also umso mehr: Wachsam bleiben, sich selbst informieren (aktiv online – denn Fernsehen und Presse geben dazu fast nichts her) und auf dem Laufenden bleiben. Das aber allein reicht noch nicht. Wer Geheimabkommen wie ACTA, die unabsehbar in unsere Rechte eingreifen, ablehnt muss auch den Hintern hochbringen und Organisationen unterstützen, die sich gegen ACTA engagieren Organisationen wie den Chaos Computer Club, die Piratenpartei, den FoeBud e.V., die Initiative „Stopp Acta“ und andere.

Beginnen kann man damit, dass man sich in das Thema einliest, die E-Petition von Stopp-ACTA zur Offenlegung der Verhandlungen unterstützt und die Blogosphäre im Auge behält. Die Verhandlungen rund um ACTA laufen noch, bislang ist noch nichts entschieden.


Die 10 gefährlichsten Schwachstellen in Webanwendungen

24. April 2010

Die Experten des Open Web Application Security Project (OWASP), einer Community die sich mit den Aspekten sicherer Programmierung in Webanwendungen beschäftigt, haben kürzlich ihre alle drei Jahre neu erstellte Top-10-Liste gefährlicher Schwachstellen und qualitativer Mängel in Webapplikationen neu veröffentlicht. Grundlage der Klassifizierung der darin enthaltenen Probleme sind Risikobewertungen, die die OWASP-Experten mittels einer eigenen OWASP Risk Ratig Methodology bewertet haben. Genauere Erläuterungen dieser Schwachstellenklassen sowie Hinweise zu ihrer Eindämmung geben sie in einer 22-seitigen Broschüre „OWASP Top 10 – 2010 The Ten Most Critical Web Application Security Risks“, die man als PDF (2,5 MB) herunterladen kann.

Die Broschüre enthält eine übersichtliche Darstellung der zehn Problemklassen und stellt Bezüge zu weiteren frei verfügbaren Referenzen her, so z.B. zu den OWASP-Projekten Enterprise Security API (ESAPI) und Application Security Verfication Standard (ASVS). Gegenstand dieser Projekte ist die Entwicklung prüf- und testbarer Standards zur Implementierung von Sicherheitsfunktionen in Webanwendungen.

Bei den zehn Risiken für Webentwickler, die laut OWASP 2010 am ehesten ernst zu nehmen sind, handelt es sich um:

•    Code Injection
•    Cross-Site Scripting (XSS)
•    Broken Authentication and Session Management
•    Insecure Direct Object References
•    Cross-Site Request Forgery (CSRF)
•    Security Misconfiguration
•    Insecure Cryptographic Storage
•    Failure to Restrict URL Access
•    Insufficient Transport Layer Protection
•    Unvalidated Redirects and Forwards

Das Ziel sicherer und qualitativ hochwertiger Software wird inzwischen von mehreren Organisationen mit jeweils eigenen Schwerpunkten verfolgt. So legten die Institute MITRE und SANS im Auftrag mehrerer Unternehmen und Organisationen, darunter auch OWASP, die zweite Auflage ihrer 25 gefährlichsten Programmierfehler erst kürzlich vor.

Dave Wichers, Mitglied des OWASP-Vorstandes betont, die zunehmende Bedeutung der Risiken, die letztlich hinter den einzelnen Schwachstellen stehen. Sicherheitslücken nur zu priorisieren ohne das dazugehörige Anwendungsumfeld zu betrachten, ergäbe keinen Sinn so Wichers.

Diese neue Konzentration auch auf denkbare Risiken soll Organisationen helfen zu einem reiferen Verständnis von Anwendungssicherheit zu kommen sowie ihre Prozesse bzgl. sicherer Programmierung, Testmanagement und Softwarequalität entsprechend weiterzuenwickeln.


Zwei neue Hoeren-Skripte zum IT-Vertrags- und Internetrecht

31. März 2010

IT-Rechtsexperte Thomas Hoeren, Professor am Institut für Informations-, Telekommunikations- und Medienrecht der Universität Münster und Richter am Oberlandesgericht Düsseldorf, hat sein bekanntes Skript (mit  gut 520 Seiten eher ein dickes Buch) in neuer Fassung vorgelegt. Das Hoeren-Skript gilt inzwischen als ein einführendes Standardwerk zum deutschen Internet-Recht, das den Leser in Themen wie Domainrecht, Urheberrecht, Online-Marketing, Datenschutz, Haftungsfragen im Internet oder internationales Online-Recht einführt.

Und Prof. Hoeren hat nachgelegt! Denn jetzt gibt es zusätzlich auch noch ein Skript zum IT-Recht, das u.a. Themen wie Rechtsschutz für EDV-Produkte, IT-Vertragsrecht, Softwareentwicklung und -überlassung, -vermietung oder -leasing, Softwarewartungs- und Pflegeverträge sowie etliche weitere, meist vertrags- und lizenzrechtliche Fragen rund um die IT behandelt.

Zusammen sind das in etwa 1.000 Seiten IT-rechtliches Know-how zum Nulltarif!

Hoeren-Skript Internet-Recht (PDF, 3,1 MB)

Hoeren-Skript IT-Recht (PDF, 2,2 MB)


Mit CobiT Sicherheit und Softwarequalität verbessern

9. März 2010

Heute kam ich von einem zweitägigen Fortbildungsseminar zum Thema CobiT zurück. CobiT (Control Objectives for Information and Related Technology) ist ein internationaler Standard zur Organisation von Prozessen in der Unternehmens-IT und damit zur Umsetzung von IT-Governance im Unternehmen. CobiT gliedert die Aufgaben der IT in Prozesse und Control Objectives (Steuerungsvorgaben) und ermöglicht es IT-Prozesse bausteinartig aus Good-Practice-Komponenten zusammenzustellen. Dabei können auch andere Organisationsmodelle wie z.B. ITIL oder ISO 20.000, Standards zur IT-Sicherheit wie ISO 27.000 und IT-Grundschutz sowie Qualitätsmanagementsysteme nach ISO 9.000 angebunden oder integriert werden.

CobiT ermöglicht es demnach Aspekte der Sicherheit und der Qualität direkt in IT-Organisationen zu integrieren und somit das Professionalitätsniveau (nicht nur aber auch) bei diesen Themen im Unternehmen anzuheben.

Dafür spricht auch, dass der CobiT-Standard auf die ISACA, ein internationaler Berufsverband von IT-Prüfern und IT-Sicherheitsmanagern zurückgeht und von einer Tochterorganisation dieses Verbandes, dem IT-Governance Institut weiterentwickelt wird.

CobiT enthält auch ein vereinfachtes, an CMMI angelehntes Reifegradmodell, um die Prozessreife vorhandener oder neu implementierter Abläufe messen und beurteilen zu können („Health Check“). Überhaupt spielt die Herstellung von Messbarkeit und Transparenz eine tragende Rolle im CobiT-Standard. Und so wird auch häufiger empfohlen CobiT im Zusammenhang mit einem Balanced Scorecard-basiertem Managementsystem (BSC) einzusetzen, um so CobiT-Kennzahlen direkt aus den Unternehmenszielen der vier BSC-Perspektiven  herleiten und zum Bestandteil der Zielvereinbarungen von verantwortlichen Führungskräften machen zu können.

Letztlich lassen sich so Abläufe etablieren, die hinsichtlich ihrer Reife und ihrer Ergebnisse direkt Gegenstand von Prüfungen durch IT-Revisoren und Wirtschaftsprüfer werden können (Handreichungen wie der IT-Assurance Guide befassen sich damit schwerpunktmäßig). Und mit denen sich die Professionalität des Unternehmens dokumentieren und vermarkten  lässt.

Somit ist CobiT nicht nur ein Thema für das Management beim Nachdenken über die IT-Governance sondern auch für die Sicherheitsbeauftragten und Qualitätsexperten in der betrieblichen IT. Denn gute IT-Governance lebt (auch) von der Bereitstellung sicherer und einwandfrei funktionierender Produkte und Services. Aber auch die „informationstechnischen Tugendwächter“ (vulgo: Compliance-Experten) sollten sich mit CobiT beschäftigen, da die rechtskonforme und ordnungsgemäße Erbringung von IT-Leistungen ebenfalls eine Basisanforderung für das IT-Servicemanagement darstellt.

Einen ersten Einblick in die Gesamtsystematik der CobiT-Prozesse liefert der Prozessleitfaden „CobiT 4.0 deutsch“, den man auf der Homepage des ISACA German Chapter e.V. findet. Wobei der aktuellste Stand von CobiT inzwischen bei Version 4.1 steht und auf der ISACA-Homepage in englischer Fassung zu finden ist.


IT-Recht 2010 – was demnächst auf Unternehmen zukommt

7. März 2010

Die diesjährige CeBit brachte neben Trendthemen wie Green IT, Cloud Computing oder neue mobile Endgeräte auch zahlreiche IT-rechtliche Dinge zutage, die auf die Unternehmen zurollen bzw. diese schon seit einiger Zeit beschäftigen.

Bei rechtlichen Themen geht es im Grunde fast immer darum Interessensgegensätze neu auszutarieren und die Verteilung von Risiken zu regeln. Und genau diese Dinge stehen als Folge treibender Technologie sowie ökonomischer Exzesse der Vergangenheit (Beispiel: die zahlreichen Datenskandale der letzten Jahre in der Wirtschaft) aktuell mal wieder zur Klärung an. Die wichtigsten zehn IT-rechtlichen Baustellen des Jahres dürften sich bei folgenden Fragestellungen finden lassen:

Richtlinien für private Nutzung von Internet und E-Mail

Als Folge neuer Konzepte der Unternehmensführung lösen sich die Grenzen zwischen Arbeit und Freizeit zunehmend auf. Viele Arbeitgeber streben die Entgrenzung zwischen Dienst und Privat bewusst an, um sich zusätzliche Arbeitszeit und Leistungsbereitschaft ihrer Beschäftigten ohne  entsprechende Zeiterfassung und Entgeltpflicht aneignen zu können (Beispiel: indirekte Steuerung mit Vertrauensarbeitszeit). Als Folge dieser Entwicklung wird aber die Erledigung privater Angelegenheiten in der Arbeitszeit immer natürlicher (Fachleute sprechen von sozialaqädatem Verhalten). Zudem werden immer größere Bereiche des Lebens online organisiert (z.B. über soziale Netzwerke). Arbeitnehmer nutzen daher immer selbstverständlicher die betriebliche IT-Infrastruktur auch für private Angelegenheiten.

Dabei stecken in Themen wie der privaten Internet- und E-Mail-Nutzung zahlreiche rechtlich alles andere als triviale Detailfragen. Einerseits kann man vom Arbeitgeber nicht verlangen, dass er sein Eigentum den Beschäftigten zur privaten Nutzung überlässt (umgekehrt geht das schon – z.B. als Dienstfahrten mit dem Privat-PKW und unbezahlte Überstunden). Andererseits darf er auch nicht so ohne weiteres an private Daten heran (und sei es nur zur Systemüberwachung), wenn er die Privatnutzung nicht explizit ausschließt.

Ein Problem ganz eigener Art sind mögliche Imageschäden für die Firma, wenn ein Beschäftigter z.B. bei Hantieren mit Pornografie im Dienst erwischt wird. Zwar ist das Image der meisten Unternehmen in Deutschland längst nicht so prächtig, als dass es ein einzelner Beschäftigter nennenswert beeinträchtigen könnte. Aber z.B. für eine Stadtverwaltung kann es mehr als unangenehme politische Folgen haben, wenn Bürger und Stadträte wissen wollen, warum sowas überhaupt möglich war.

Auslagerung der Verarbeitung personenbezogener Daten (Auftragsdatenverarbeitung)
Die Datenschutzverschärfungen 2009 brachten auch deutliche Nachbesserungen bei der Regulierung der Auftragsdatenverarbeitung mit sich. Unternehmen müssen nun ihre entsprechenden Verträge mit Dienstleistern auf Konformität mit den aktuellen Regelungen des BDSG (insbes. § 11) prüfen. Zudem sind sie verpflichtet, ihre Dienstleister auch regelmäßig zu prüfen, anstatt sich nur auf die Aktenlage zu verlassen.

Datenlecks vermeiden, Publizitätspflicht im Datenschutzgesetz
Geht trotzdem etwas schief und sickern personenbezogene Daten durch Datenlecks, gestohlene Datenträger und Geräte oder gezielte Hackerangriffe nach draußen, wird es unangenehm und teuer für die Unternehmen. Denn sie müssen den Vorfall nicht nur der datenschutzrechtlichen Aufsichtsbehörde melden. Sondern im Falle der schwerwiegenden Beeinträchtigung der Rechte und Interessen der Betroffenen auch publik machen. Notfalls in Form halbseitiger Anzeigen in mindestens zwei bundesweit erscheinenden Tageszeitungen.

Datenschutz nachschärfen, personenbezogene Daten sichern

Das hat zur Folge, dass sämtliche Konzepte und Maßnahmen im Bereich der IT-Sicherheit und des Datenschutzes zu prüfen und ggf. dem aktuellen Stand der Technik anzupassen sind. So ist z.B. sicherzustellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind und dass zu unterschiedlichen Zwecken erhobene Daten getrennt und ausschließlich zweckbezogen verarbeitet werden können. In der Vergangenheit allzu laxe Handhabung solcher Fragen verbunden mit allgemeiner Investitionsunwilligkeit in der IT führen daher nun zu teilweise beträchtlichem Aufholbedarf in den Unternehmen.

Systematisches Archivieren und Löschen von Dokumenten
Die revisionssichere Langzeitarchivierung ist spätestens mit der GdPdU und der elektronischen Steuerprüfung sowie der stärkeren rechtlichen Überwachung des Einhaltens von handelsrechtlichen Aufbewahrungsfristen in den Unternehmen angekommen. Neu hinzugekommen ist allerdings das Thema e-Discovery, also die Pflicht unternehmensinterne Informationen im Zuge staatsanwaltlicher Ermittlungen im Rahmen von IT-forensischen Beweissicherungspflichten innerhalb kurzer Fristen herausgeben zu müssen. Insbesondere die weit reichenden und oftmals sehr kurzfristig geltend gemachten Offenlegungspflichten gegenüber der US-Justiz konfligieren dabei mit den Datenschutzauflagen der EU oder dem deutschen Datenschutzgesetz. Umgekehrt fordern inzwischen zunehmend Gesetze oder Verfahrensvorschriften auch eine zeitnahe Löschung von nicht mehr erforderlichen Daten. Daher sollten Unternehmen neben Richtlinien zur Archivierung auch Richtlinien zur systematischen Löschung von Datenbeständen aufstellen und umsetzen.

SLAs und Outsourcing-Verträge an neue Technologieentwicklungen anpassen
Der allfällige technologische Wandel im IT-Bereich sowie sich ausbreitende neue Managementkonzepte machen eine regelmäßige Überprüfung von Outsourcing-Verträgen und SLAs notwendig. Leistungsbeschreibungen, Metriken und Kennzahlen sollten den technischen Besonderheiten neuer Technologien Rechnung tragen. Dabei werden Unterschiede über den Leistungsinhalt von den Beteiligten allerdings oftmals erst nach Vertragsschluss im Tagesgeschäft bemerkt und werden dann zum Konfliktherd. Vertragsinhalte und deren technische Umsetzung müssen daher einerseits detailliert und vollständig, andererseits aber auch mit genügend Flexibilität zur Handhabung beschrieben werden, um Missverständnisse und rechtliche Auseinandersetzungen zu vermeiden.

Risikoverlagerung in IT-Verträgen prüfen
Dabei wird von größeren „Partnern“ gerne mal versucht, den kleineren Partner vertraglich über den Tisch zu ziehen, in dem Risiken unangemessen verteilt und Margen abgeschöpft werden. Im Automobilbau ist dieser Umgang mit Lieferanten seit langem Standard seitens der Konzerne und hat im Krisenjahr 2009 bereits zu zahlreichen Insolvenzen geführt. Umgekehrt zeigen Abmahnbetrug und Abzockerklauseln in Lizenzverträgen, dass das Gaunertum auch in IT-Firmen heimisch ist. Und man daher speziell bei Verträgen zum Cloud Computing oder für Mietsoftware (Software as a Service) sehr genau und mit juristischen Sachverstand ins Kleingedruckte der Outsourcing-Dienstleister sehen sollte.

Lizenzrechtliche Lage, Pflege und Support bei Virtualisierung von Softwareprodukten prüfen
Wer im Unternehmen Applikationen virtualisieren will, stößt rasch auf zwei Probleme. Einerseits den ungeregelten Wildwuchs bei Lizenzbedingungen, in dem Aussagen zur Virtualisierung jedoch meist fehlen und daher nachverhandelt werden müssen, bevor man die Software virtualisiert (davon kann es abhängen, ob sich das Virtualisierungsprojekt wirtschaftlich überhaupt lohnt). Und andererseits die Frage nach Herstellersupport bei Problemen. Viele Softwareanbieter schließen Support für den Betrieb ihrer Produkte in einer virtuellen Umgebung explizit aus, da es ihnen noch an einschlägigen Erfahrungen mangelt oder dem technische Probleme in der Software entgegenstehen. Zumal zielen Virtualisierungsprojekte meist darauf ab, Einsparungen bei Software- und Lizenzkosten durch Mehrfachnutzung und bessere Ressourcenauslastung im Serverpark zu erzeugen. Daran haben Softwarehersteller naturgemäß kaum Interesse.

Cloud-Computing I: Vertragliche Regelungen zu Verfügbarkeitsrisiken prüfen
Insbesondere Mittelständler und neu gegründete Firmen können durch den Einsatz von Cloud Computing rasch skalierbare IT-Infrastruktur beshaffen, ohne größere Investitionen tätigen zu müssen. Allerdings birgt die Anwendung von Cloud Computing rechtliche Risiken ganz eigener Art, da es hier noch keine allgemeinen Leistungsstandards gibt.

Daher ist es entscheidend, dass die Vertragsgrundlagen sorgfältige Beschreibungen aller relevanten Leistungen enthält. Zudem bedeutet der Einsatz von Cloud Computing zur Unterstützung kritische Geschäftsprozesse auch kritische Abhängigkeiten vom Cloud-Lieferanten. Wichtige Punkte, die sich im Vertrag wiederfinden müssen, sind daher die Aufrechterhaltung der Services im Notfall, das Eskalationsmanagement, Vergütungskriterien sowie Regelungen über Teilleistungen und deren Kündigung.

Cloud-Computing II: Compliancefragen regeln
Unternehmen können vieles auf Zuarbeiter, Dienstleister und Lieferanten delegieren. Und in vielen Fällen macht das auch Sinn, da erfahrene Experten ihr Geschäft i.A. besser, schneller und fehlerfreier abwickeln können, als ein Unternehmen, das sich nur nebenbei damit befasst, aber eigentlich ganz andere Kernkompetenzen hat. Nicht jeder gute Fliesenleger ist auch ein guter Personaler, Informatiker, Rechtsanwalt und Bilanzexperte.

Allerdings lässt sich die Letztverantwortung nicht wegdelegieren. Bauen die Zulieferer Mist, ist der Auftraggeber geschädigten Dritten gegenüber dafür verantwortlich. Die gesetzliche Verantwortung (Organisationspflicht) bleibt im Rahmen von Sorgfaltspflichten bei der Unternehmensführung (§ 91 II, 93 AktG, § 43 GmbHG), die den Lieferanten ausgewählt, geprüft und für tauglich befunden hat. Nur stur nach dem Preis zu schielen, kann daher übel ausgehen.

Speziell beim Cloud Computing wird man sich bei der Vertragsgestaltung daher auch Gedanken über kundenseitige Prüf- und Überwachungsrechte (Auftragsdatenverarbeitung – s.o.) sowie Geheimhaltungspflichten und die Einhaltung rechtlicher Auflagen (Compliance) machen müssen. Sowie über Haftungsfragen und Schadensersatz im Falle von Problemen bei diesen Themen.

Es gibt also mehr als genug zu tun für die verantwortlichen Entscheider und ihre Stäbe in den Unternehmen. Zumal die meisten genannten Problemfelder Unternehmen jeglicher Größe betreffen. Sich also Mittelständler und Kleinunternehmer nicht zurücklehnen können, in der Annahme, das wäre nur was für Konzerne. Diese Annahme kann in ungünstigen Fälle rasch für Ärger und Kosten in beträchtlichem Umfang sorgen.

Zudem werden bei vielen der genannten Themen auch die Mitbestimmungsrechte von Betriebsräten tangiert, was es ratsam erscheinen lässt, sie frühzeitig in die anstehenden Entscheidungsfindungsprozesse einzubinden.


Wie Normen entstehen und Standards gesetzt werden

7. Dezember 2009

Immer mehr werden Vorgänge in Wirtschaft und Technik neben Gesetzen auch von Normen und Standards, also von Formen technischer Regulierung bestimmt. Insbesondere in der IT, in der IT-Sicherheit aber auch im Bereich Softwarequalität sind Normen und Standards sowie der Nachweis über Verständnis und Beherrschung ihrer Inhalte von wesentlicher Bedeutung für geschäftlichen Erfolg und berufliche Qualifikation. Zeit also, sich das Zustandekommen dieser Normen und Standards mal genauer anzusehen.

Am einfachsten ist es, wenn Gesetze und Verordnungen dafür ursächlich sind, wie z.B. das Bundesdatenschutzgesetz oder die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU). Denn diese lassen sich meist als Volltext im Internet finden, so dass ihr Inhalt rasch nachgeschlagen werden kann. Seiten wie z.B. www.gesetze-im-internet.de des Bundesjustizministeriums sind da recht nützlich. Da die meisten Gerichte mittlerweile ihre Entscheidungen ins Internet stellen, ist auch die aktuelle Rechtsprechung zu diesen Gesetzen gut recherchierbar. Juristen sind zudem oftmals auch publikationsfreudige Fachartikelschreiber und Blogger, so dass sich auch fachliche Kommentierungen zu Gesetzen und Urteilen im Web finden lassen.

Ganz anders bei wichtigen Industrienormen und fast allen Dokumenten technischer Regulierung. Wer z.B. nachschlagen will, was die ISO 9000 zum Qualitätsmanagement aussagt, nach welchen Standards Produkte zertifiziert oder Bilanzen geprüft werden, kommt an die Texte der Normen nicht so ohne weiteres heran.

Denn diese werden nahezu ausschließlich durch privatrechtliche Organisationen wie das Deutsche Institut für Normung (DIN), die International Organization for Standardization (ISO), das Institute of Electrical and Electronics Engineers (IEEE) oder ähnliche Einrichtungen, von denen es allein in Deutschland etwa 150 gibt. Finanziert werden diese durch Mitgliedsbeiträge von Firmen, die an einer Standardisierung von technischen Vorgehensweisen interessiert sind, da damit Rationalisierungs- und Wettbewerbsvorteile verbunden sein können. Sowie aus den urheberrechtlichen  Lizenzerträgen der Texte und Dokumente, in denen die jeweiligen Standards abgedruckt und kommentiert werden.

Man kann davon ausgehen, dass Prüfgesellschaften und Unternehmen, in denen viel mit Standards gearbeitet wird, diese regelmäßig zur internen Verwendung nachkaufen. In Deutschland hat sich hier z.B. der Beuth-Verlag hervorgetan. Man kann dort einzelne Normtexte für recht happige Preise als PDF kaufen (z.B. die ISO 9000:2005, Qualitätsmanagementsysteme – Grundlagen und Begriffe mit ca. 40 Seiten für gute 140 €). Oder ganze Normenpakete mit Mengenrabatt bzw. als „Normenflatrate“ beim Erwerb von Perinorm, einer ziemlich umfassenden Normendatenbank für die eine vierstellige Summe pro Jahreslizenz und Nutzer fällig wird.

Schon der Einblick in die fertige Norm ist also kompliziert und teuer. Wie aber kommen die Normen zustande? Normen sind in aller Regel freiwillige Übereinkünfte derjenigen, die sie ausformulieren. Verbindlichkeit erlangen sie erst dadurch, dass sich hinreichend viele Unternehmen daran halten, dies auch von Lieferanten und Geschäftspartnern fordern und sich durch entsprechende Zertifizierungen belegen lassen. In ihnen kommen die Regeln und der Stand der zugrunde liegenden Technik zum Ausdruck. Normen und Standards entstehen innerhalb der Normungsinstitutionen durch Prozesse der konsensualen Beratung und Einigung innerhalb von Expertengremien. Bereits bestehende Normen werden in der Regel alle 3-5 Jahre überarbeitet, um sie dem technischen und methodischen Fortschritt anzupassen. In diese Gremien entsenden die Mitgliedsunternehmen und berufsständische Organisationen Fachleute aus ihren Reihen und lassen dort neben fachlichen auch Unternehmensinteressen vertreten. Der Lobbyismus ist also schon ins Verfahren „eingebaut“, so dass es sehr selten zu externer Lobbyarbeit zum Zwecke der Beeinflussung eines laufenden Normungsprozesses kommt. Wobei es dafür auf deutscher Ebene sogar eine eigene Norm gibt (die DIN 820-4), welche den Normungsprozess am DIN-Institut beschreibt.

In der Regel erreicht eine Norm daher meist erst mit Erscheinen entsprechender Fachliteratur und Fortbildungsangeboten einen größeren Bekanntheitsgrad. Ihre frühzeitige Beherrschung kann daher einen beträchtlichen Wettbewerbsvorteil darstellen und als Nachweis fachlicher Professionalität gelten. Deutlich sichtbar ist das z.B. bei Angeboten zur zertifizierbaren IT-Sicherheit nach ISO 27.000, zum Qualitätsmanagement nach ISO 9.000 oder zum Servicemanagement von Organisationen nach ISO 20.000 (aufgebaut nach den ITIL-Büchern, welche ebenfalls zum Standard wurden). Auch Vorgehensmodelle wie das V-Modell XT im Bereich der Softwareentwicklung, Prince2 im Projektmanagement oder Reifegrademodelle wie CMMI für Prozesse  sind letztlich Standards, die meistens anhand der Sekundärliteratur oder im Rahmen betrieblicher Fortbildungen erschlossen werden.

Nichtsdestotrotz werden Normen und Standards insbesondere für im IT-Bereich tätige Menschen immer wichtiger. Gerade bei Themen wie der IT-Sicherheit und zunehmend auch in der Softwarequalität geht ohne fundiertes Verständnis der einschlägigen Normen und Standards fast nichts mehr. Die privatrechtliche Normung ist in Teilen bereits deutlich umfänglicher als das deutsche Steuer- oder Arbeitsrecht. Und sie gilt weltweit. Daher werden auch Forderungen nach einem transparenten Zustandekommen von Normen sowie einem möglichst freien und niedrigschwelligen Zugang zu den Normtexten zum Zwecke der Information und Meinungsbildung an Bedeutung gewinnen.


Sicheres Programmieren lernen – Der Weg zu guter Software

3. November 2009

Sichere Software gewinnt zunehmend an Bedeutung. Sicher im Sinne von „extrem schwer angreifbar“ (Security) ebenso wie im Sinne von „extrem zuverlässig“ (Safety). Das macht es erforderlich, Sicherheitsaspekte bereits in den Entwicklungsprozess der Software zu integrieren, anstatt die Sicherheit erst nachträglich „reinzupatchen“.

Um Abhilfe zu schaffen, haben sich zahlreiche Unternehmen in einem Verein – dem International Secure Software Engineering Council (ISSECO) – zusammengeschlossen. Und dort einen zertifizierbaren Standard für sichere Softwareentwicklung entwickelt.

Will man das Problem der Sicherheitslücken und Qualitätsmängel in Softwareprodukten an der Wurzel packen, muss das Thema Sicherheit in den Entwicklungsprozess integriert werden, um so frühzeitig der Entstehung von Sicherheitslücken entgegenzuwirken.

Das hierfür notwendige Wissen zur Vermeidung von Sicherheitslücken ist jedoch bis heute nur ein Randthema in der Ausbildung von Softwareentwicklern. Auch wenn Fachverbände wie der Arbeitskreis Software-Qualität und -Fortbildung oder die Gesellschaft für Informatik hier bereits seit längerem Verbesserungen anmahnen. Zudem lässt die zunehmende Komplexität von Softwareprodukten erwarten, dass das Ausmaß der Bedrohungen durch Sicherheitslücken und Qualitätsmängeln in den kommenden Jahren weiter zunehmen wird.

Der ISSECO hat daher einen Standard sowie ein Fortbildungscurriculum (ISSECO Certified Professional for Secure Software Engineering – CPSSE) entwickelt, um diese Lücke zu schließen. Das Thema Sicherheit soll dadurch zum selbstverständlichen Bestandteil jedes Softwareentwicklungsprozesses werden. Dieser internationale Zertifizierungsstandard für sichere Softwareentwicklung soll in der Softwareindustrie etabliert werden, um den Anwendern Sicherheit bei der Verwendung von Softwareprodukten zu garantieren und so auch verlorenes Vertrauen in die Softwarequalität zurück zu gewinnen.

Inhalte des Curriculums zur sicheren Softwareentwicklung sind Themen wie die Angreiferperspektive sowie die Kundenperspektive auf Software, Thread Modeling, Methoden sicherer Softwareentwicklung und Lebenszyklusmodelle für Software, Anforderungsanalyse, sicheres Design von Software, sicheres Testen, sicherer Rollout, Reaktion auf Angriffe und Qualitätsmängel sowie Sicherheit mit Metriken transparent machen. Dies wird entlang der Etappen des Softwareentwicklungsprozesses verdeutlicht:
•    Requirements Engineering
•    Design und Spezifikation
•    Programmierung und Test
•    Evaluierung, Distribution & Maintenance

Erste Schulungsangebote zum CPSSE werden derzeit am deutschen Markt etabliert. Zielgruppen sind Anforderungsanalysten, Softwarearchitekten, Designer, Entwickler, Softwarequalitätsmanager, Softwaretester, Projektmanager – kurz alle, die entscheidend an der Entwicklung von guter Software beteiligt sind.

Wenn sich Ideen wie der CPSSE im Markt durchsetzen, kann dies ein wichtiger Schritt zu sicherer und qualitativ hochwertigerer Software sein.


Folgen

Erhalte jeden neuen Beitrag in deinen Posteingang.

Schließe dich 131 Followern an