← Zurück zur Wissensdatenbank← Vorherige FrageNächste Frage →
Business AnalyseSystemanalytiker

Wie analysiert und dokumentiert ein Systemanalytiker die Anforderungen an die Sicherheit von Informationssystemen, damit sie umsetzbar und den Vorschriften entsprechend sind?

Bestehen Sie Vorstellungsgespräche mit dem Hintsage-KI-Assistenten

Antwort

Hintergrund der Frage:
In den letzten Jahren hat die Anzahl der Angriffe auf Informationssysteme zugenommen, und die Anforderungen an den Datenschutz werden durch das Gesetz verschärft. Unternehmen verlangen eine umfassende und kontinuierliche Bearbeitung der Sicherheitsfragen in allen Phasen des Produktlebenszyklus.

Problem:
Nicht-funktionale Sicherheitsanforderungen werden oft unklar formuliert oder aus Standards ohne Anpassung an die Projektspezifika übernommen. Dies führt zu hohen Risiken, Wiederholungen oder unerfüllbaren Aufgaben für das IT-Team.

Lösung:
Der Analyst muss:

  1. Die normative Umgebung (z. B. GDPR, FZ-152, ISO/IEC 27001) verstehen und sie an die Bedürfnisse des Projekts anpassen.
  2. Während Interviews mit IT-Sicherheitsexperten spezifische Bedrohungen und Anforderungen festhalten (Verschlüsselung, Audit, Zugangskontrolle).
  3. Die Anforderungen in einem für Architekten und Entwickler komfortablen Format dekomponieren (klare Sicherheitskriterien, Passwortrichtlinien, Anforderungen an Protokollierung und Berichterstattung).
  4. Technische Maßnahmen mit dem Team abstimmen, um sie ohne Prozessblockaden umzusetzen.

Wesentliche Merkmale:

  • Obligatorische Zusammenarbeit mit Sicherheitsexperten
  • Übersetzung von normativen Anforderungen in technisch umsetzbare Aufgaben
  • Dokumentation aktuell halten

Tricky Fragen.

Kann man Checklisten zur IT-Sicherheit beim Erstellen von Anforderungen voll vertrauen?

Checklisten sind als Einstieg nützlich, decken jedoch nicht alle geschäftlichen Besonderheiten ab. Sicherheitsanforderungen müssen individuell für jedes Projekt besprochen werden.

Ist ein Sicherheitsaudit für alle Teile des Systems erforderlich?

Einige Module verarbeiten möglicherweise keine sensiblen Daten oder sind intern. Eine Risikoanalyse ist jedoch für die gesamte Lösung obligatorisch. Das Prinzip des minimal notwendigen Zugriffs wird eingeführt.

Sollte man versuchen, Sicherheitsanforderungen zu 100% umzusetzen?

In der Regel werden die kritischsten Maßnahmen, die der Klassifizierung der Daten und dem Gefährdungsgrad entsprechen, umgesetzt. "Absolute Sicherheit" ist ein Mythos, Kompromisse sind unvermeidlich, es ist wichtig, Risiken zu steuern.

Typische Fehler und Anti-Patterns

  • Formales Kopieren von Anforderungen ohne Berücksichtigung der Spezifikationen.
  • Unzureichende Details (z. B. "Verschlüsselung verwenden" ohne Standards zu definieren).
  • Fehlende regelmäßige Überprüfung der Sicherheit bei Änderungen im System.

Beispiel aus dem Leben

Negativer Fall: Die Anforderungen an die IT-Sicherheit wurden auf den Punkt "Einhaltung des ISO-Standards" reduziert und die Verschlüsselungseinstellungen des Datenübertragungskanals wurden vergessen. Ergebnis: Vorfall, Geldstrafe. Vorteile: Dokumentation wurde schnell erstellt. Nachteile: Tatsächliche Verwundbarkeit und Probleme bei der Prüfung.

Positiver Fall: Der Analyst zog einen IT-Sicherheitsspezialisten hinzu, führte eine Bedrohungsanalyse durch und dokumentierte die Anforderungen in Form von Abnahmekriterien. Alle Maßnahmen waren abgestimmt und umsetzbar. Vorteile: Schutz wurde umgesetzt, Prüfung erfolgreich bestanden. Nachteile: Es erforderte mehr Zeit und Aufwand für die Abstimmung.