Wettbewerbsvorteile sichern, technologischen Vorsprung erreichen, Kundenanforderungen optimal bedienen – das sind mögliche Ziele, die durch Projekte erreicht werden können und mit denen Sie sich als Projektmanager sicher gerne identifizieren.

Wie sieht es aber aus, wenn im Projektverlauf technische Zeichnungen eines Lieferanten durch fehlgeleitete E-Mails versehentlich in falsche Hände geraten? Wenn aufgrund des unachtsamen Umgangs Speichermedien nicht mehr auffindbar sind, auf denen Sicherungen einer Kundendatenbank gespeichert waren? Oder wenn bei einem gezielten kriminellen Angriff auf ein Notebook des Projektleiters das Passwort geknackt wurde und darauf gespeicherte Details über eine neue Produktentwicklung gestohlen wurden? Wurden Details einer neu entwickelten Technologie nach außen getragen, können sich die Wettbewerbsvorteile eines Lieferanten, Kunden oder des eigenen Unternehmens in nichts auflösen.

Eine sichere Handhabung aller projektinternen Daten und Informationen sollte daher während des gesamten Projektverlaufs einen Missbrauch oder Diebstahl wichtiger Projektdaten verhindern, um mögliche Schäden für das eigene Unternehmen sowie Projektpartner abzuwenden. In diesem Artikel erfahren Sie, was eine "sichere Handhabung" im Sinne von Informationssicherheit in Bezug auf Unternehmen, Organisationen und Projekte bedeutet und welche rechtlichen Verpflichtungen zum Schutz von Daten Sie als Projektmanager kennen sollten. Um Ihnen bei der Überprüfung der IT-Sicherheit in Ihrem eigenen Projekt eine Hilfestellung zu geben, ist im Artikel ein Projekt-Check aus 20 Fragen zu Sicherheitsthemen eingebaut, der Ihnen auch Lösungsansätze für erkannte Bedrohungen bietet.

Warum sind Projekte gefährdet?

Projekte haben oft einen hohen Vernetzungsgrad, verteilte Teams erfordern zudem häufig den Einsatz von Portalen zum Austausch von Informationen. Viele Projektbeteiligte kommunizieren von unterwegs über die verschiedensten Medien und Geräte - in Hotels, Flughäfen oder Bahnhöfen. Die Mailboxen von Projektmanagern und Projektmitarbeitern sind darüber hinaus ein wahrer Fundus an Dokumenten, die (als Anlagen an E-Mails) bei vielen Empfängern direkt und in Kopie landen; von Weiterleitungen mit oder ohne Wissen der Absender ganz zu schweigen. Im "normalen" Projektalltag ist es daher schwierig, eine derartige Informationsflut zu beherrschen.

Typische Schwachstellen in Projekten

Folgende Beispiele stellen nur einen Ausschnitt der vielen "typischen" Schwachstellen dar, die in Projekten erfahrungsgemäß vorhanden sind:

• Keine oder unzureichende Kommunikation von Sicherheitszielen im Projekt
• Unkenntnis über Schutzbedarf und Klassifikation von Daten sowie über Geheimhaltungspflichten
• Fehlendes Sicherheitsbewusstsein von Projektmitarbeitern und –beteiligten
• Fehlende Vorgaben für das Erkennen und Behandeln von Sicherheitslücken im Projekt
• Unzureichende Schulungen von Projektmitarbeitern für den Umgang mit Versionsverwaltungs- und Projektmanagementsystemen
• Ungenügende Dokumentation von Prozessen
• Ungeklärte Zuständigkeiten im Projekt für Dokumentation
• Unkenntnis von Richtlinien für den Umgang mit Datenträgern (z.B. Notebooks)
• Nutzung ungeschützter (öffentlicher) Kommunikationswege für die Projektkommunikation
• Unzureichende Sicherheitsmaßnahmen für Authentifizierung bei Projektmitarbeitern

Solche Schwachstellen sind ein Risiko für die Projektdaten, denn sie