IT Security: Wie die Abacus Software sicher ist und bleibt

min Lesezeit

Sicherheit in einer Software gehört heute für Anwenderinnen und Anwender zu einer der wichtigsten Grundvoraussetzungen. Daher ist es für die Hersteller von Software umso wichtiger, bereits bei der Entwicklung an IT Security zu denken. Bei der Abacus Research AG stellt Stefan Schwizer als Information Security Manager sicher, dass die Software auch sicher ist und bleibt. Im Interview gibt Stefan Einblicke in seine Aufgaben und die Herausforderungen, die damit verbunden sind.

Was ist deine Funktion und wie bist du dazu gekommen?

Ich arbeite als Information Security Manager bei Abacus. Ursprünglich komme ich aus der Entwicklung, hatte aber immer ein Flair für Security Themen. Als es bei Abacus in diesem Themenbereich vor bald zwei Jahren einen Wechsel gab, habe ich diese Chance genutzt.

Welche Aufgaben gehören zu deiner Funktion?

Kurz gesagt: Ich werde involviert, sobald es um die Sicherheit in unserer Software geht, intern sowie extern. Kunden kommen beispielsweise auf mich zu, wenn sie das Gefühl haben, sie hätten etwas gefunden oder wenn sie bereits einen eigenen Penetration-Test gemacht haben. Intern komme ich bei neuen Projekten ins Spiel, bei denen man von Anfang an ein Auge auf IT Security oder Datenschutz wirft.

Darüber hinaus überwache ich Lizenzen unserer über 5000 Fremdsoftwares und führe regelmässige Penetration-Tests durch. Mein Zuständigkeitsbereich umfasst alle Abacus Produkte und teilweise auch Produkte von DeepCloud.

Was beinhaltet ein solcher Penetration-Test?

Ein Penetration-Test ist eine Erweiterung eines Security Audits. Bei einem Penetration-Test wird ein Teil einer Software mit klaren Vorgaben getestet. Dabei werden ähnliche oder gleiche Techniken verwendet, die auch von Hackern genutzt werden.

Wie startet dein Arbeitstag?

Wie die meisten checke ich am Morgen meine E-Mails und schaue mir die neusten Security Meldungen an – gibt es Themen, die uns betreffen könnten? Gleichzeitig führen wir ein System, das die News überwacht und uns bei Risiken warnt. Darüber hinaus können sich unsere Kundinnen und Kunden direkt an [email protected] wenden. Die meisten Anfragen erreichen mich nach wie vor via E-Mail.

«IT Security muss aus technischer Sicht einwandfrei sein, aber auch die umliegenden Prozesse müssen funktionieren.»

Stefan Schwizer, Information Security Manager bei Abacus Research AG

Was sind die Herausforderungen in deiner Arbeit?

Die Abacus pflegt eine Unternehmenskultur, die auf die Fähigkeiten der Mitarbeitenden vertraut. Ich agiere zusätzlich als eine Art Kontrollinstanz, die Regeln aufstellt und sicherstellt, dass diese eingehalten werden. Sicherheit kann ich nur gewährleisten, wenn ich auch die nötige Kontrolle habe. Dies steht teilweise im Widerspruch zu unserer Vertrauenskultur – interne Überzeugungsarbeit ist kontinuierlich gefragt.

Weg von den Herausforderungen zu den Erfolgen: Gibt es einen Fall, der dir besonders in Erinnerung geblieben ist?

Das war der Fall “Log4j” im Dezember 2021, der auch durch die Medien ging. Im Fokus war eine Java-Bibliothek, die weitverbreitet eingesetzt wurde, jedoch grosse Sicherheitslücken aufwies. Wir bei Abacus haben das Problem sofort erfasst, darauf reagiert und konnten dadurch schnell eine Entwarnung an unsere Partner rausgeben, dass unsere Software nicht betroffen ist. Dies hat uns gezeigt, dass unsere Prozesse sehr gut funktionieren und wir für einen weiteren Ernstfall gewappnet sind.

Was bedeutet IT Security für dich?

Sichere Software bedeutet für mich, dass mehrere Ebenen berücksichtigt werden. Sie muss sowohl aus technischer Sicht einwandfrei sein, aber auch die umliegenden Prozesse müssen funktionieren. Unsere Software ist ständig im Wandel, es kommt Neues dazu oder Funktionen werden ausgebaut. Daher muss eine Software fortlaufend während des gesamten Lebenszyklus gepflegt und überwacht werden.