Es war mal wieder einer dieser Tage
( English version see below)
Ein ganz normales IT-Security-Assessment. Oder nicht?
Es war mal wieder einer dieser Tage. Ein Tag, den man am liebsten in die Geh-Weiter-Schublade einsortieren und sofort wieder vergessen würde. Dabei hatte alles so vielversprechend angefangen: Ein vielversprechendes Großprojekt, der Aufbau eines komplett neuen CRM-Systems, und ich hatte mich behaupten können, gegen Klaus, den Angeber aus dem anderen Team.
Jawohl, ich war der Hauptprojektleiter und stand nun kurz vorm Livegang des Systems. Doch zwischen einer gefeierten Systemeinführung und mir stand noch das finale Security Audit der Anwendung. Aber was sollte hier schon schief gehen? Ich hatte mir alle notwendigen Unterlagen von unserer Security-Abteilung schicken lassen und das Excel an alle Teammitglieder verteilt. Natürlich fragte ich mich dabei schon – wieso muss es Excel sein? Wir waren doch sonst so modern im Unternehmen aufgestellt – egal, ich hatte gelernt die Vorgaben der IT-Sicherheit nicht zu hinterfragen.
Auf dem Weg ins Büro beschlich mich trotzdem ein ungutes Gefühl. Lag es am Wetter, lag es am Berufsverkehr? Im Office sollte ich schnell meine Antwort erhalten. Im morgendlichen Standup hatte ich bereits vor Wochen das kommende Sicherheitsaudit angekündigt und das Team um die Beantwortung der Fragen gebeten. Natürlich gab es dafür keine Pluspunkte – niemand hatte Lust dazu die Fragen in Excel zu beantworten. Jeder war im Stress, seine Arbeitspakete für den Livegang rechtzeitig abzuarbeiten. Dennoch hatte mir das Team versprochen sich darum zu kümmern. Nach meinem ersten Kaffee folgte sogleich die Ernüchterung. Auf dem Fileshare lag zwar meine Originalliste, doch daneben noch weitere fünf andere Listen. Offenbar hatten einzelne Teammitglieder die Liste für sich selbst beantwortet und nicht an der Masterliste gearbeitet, weil diese zum Bearbeitungszeitpunkt wohl von Klaus gesperrt gewesen war. Wie sollte ich nun die Informationen aus all diesen Listen konsolidieren?
Wer war ich, an so einer Lappalie zu scheitern? Schließlich hatte man mich für das Projekt ausgewählt. Ein Blick in die erste Liste offenbarte: Der betreffende Kollege hatte durchaus alle Fragen beantwortet. Nur anstelle die Fragen in die dazugehörigen Spalten einzutragen, hatte er eine zusätzliche Spalte eingefügt und dort eigene Kommentare sowie Verweise auf ein anderes Dokument hinterlegt. In der Masterliste waren ebenfalls einige Dinge ausgefüllt. Beim genaueren Vergleich dieser ersten beiden Listen entdeckte ich allerdings, dass irgendwer offenbar einige Zeilen aus dem Originaldokument herausgelöscht hatte.
Nun gut, bis zum Review mit dem Auditor war ja noch Zeit bis morgen. Also rief ich bei der IT-Security an, um mir die Masterliste erneut schicken zu lassen. So schwer konnte es ja nicht sein, einige Excel-Listen abzugleichen – so dachte ich zumindest. Wenige Minuten später hatte ich die neue Masterliste in meinem Postfach. Beim Öffnen musste ich jedoch feststellen, dass ich offenbar eine neuere Version der Vorlage erhalten hatte, vielleicht sogar einen komplett anderen Fragebogen?
Im Vergleich zu der mir bereits vorliegenden Liste hatten sich an einigen Stellen die Ids verändert und die Zeilen stimmten auch nicht mehr überein. Ein einfaches „copy/paste“ aus meinen teilweise befüllten Listen in die Masterliste war also ausgeschlossen. Mehr als ungläubig darüber rief ich erneut den Kollegen der IT-Security-Abteilung an. Nach einem gemeinsamen Abgleich der Template-Versionen versicherte mir der Kollege am anderen Ende tatsächlich meinen Verdacht: Die Kollegen hatten in der Tat eine neuere Version des Fragebogens erstellt. Mein Team und ich hatten hingegen angefangen auf Basis des alten Templates die Fragen zu beantworten. Auf meine Frage, ob das alte Template noch gültig wäre, gab es eine klare Antwort: „Nein, bitte die neuere Version verwenden, das Audit kann nur auf Basis des aktuell gültigen Templates abgeschlossen werden. Ich wünsche Ihnen viel Erfolg!“ Mit diesen Worten beendete der Kollege das Telefonat, ich merkte wie meine Pulsfrequenz zu steigen begann.
In diesem Moment kam mein Chef ins Büro, um sich nach dem aktuellen Projektstand zu erkundigen. Der Zeitpunkt hätte nicht passender sein können! Wahrheitsgemäß berichtete ich über das aktuelle Problem mit dem Security Audit und dem gerade erlittenen Rückschlag. Entgegen meiner Erwartung auf eine verständnisvolle Reaktion meines Chefs gab es eine Ansage, die meinen Puls noch weiter in die Höhe trieb: Warum das noch nicht fertig sei, ich wüsste doch schließlich vom geplanten Golive der Anwendung. Womöglich wäre Klaus hier doch der besser geeignete Projektleiter gewesen? Mein Chef gab mir bis zum Folgetag Zeit, das Ganze in Ordnung zu bringen. Als ob mir nicht selbst daran gelegen wäre.
Inzwischen mehr als wütend machte ich mich erneut an die Konsolidierung der Excel-Listen. Wieso bloß in Excel? Wer hatte sich diesen Mist ausgedacht? Für jeden Quatsch hatte man im Unternehmen Geld. Für jedes Problem gab es eine Toolunterstützung, warum nicht auch hierfür? Extrem genervt begann ich die Listen miteinander abzugleichen, als ich erneut unterbrochen wurde. Dieses Mal war es Klaus, mein verhasster Kollege, der ins Büro kam. „Wir müssen los!“, sagte er. „Kommst du?“ „Wohin?“, antwortete ich harsch. „Wir haben doch das Vorstandsmeeting zur Vorstellung des CRM-Projektes? Hast du das vergessen?“, entgegnete er.
Oh nein, er hatte Recht! Vor lauter Excelchaos hatte ich diesen Termin komplett übersehen.
Zurück von diesem Meeting zeigte ein Blick auf die Uhr: Ich hatte ein Problem. Inzwischen hatte ich zwar Teile der Antworten in das neue Template übernommen, von fertig konnte jedoch keine Rede sein. Zum Glück fiel mir ein, ich war ja nicht allein. Wieso sollte ich mich mit diesem Thema weiter stressen? Ich griff also erneut zum Telefon und rief meinen externen Berater an. Dieser versicherte mir, sich um diese Angelegenheit zu kümmern, ich sollte ihm nur schnell die Excel-Templates schicken. Sehr gut – mein Abend war also gerettet. Ein wenig zumindest.
Die darauffolgende Nacht schlief ich schlecht. Ich träumte sogar von den Anforderungslisten und wie diese meinen Zeitplan nun doch noch durcheinander bringen würden. Ein Blick auf mein Handy in der Früh ließ nichts Gutes erahnen. Mehrere Anrufe in Abwesenheit, warum hatte ich es nicht gehört? Natürlich, ich hatte das Handy für die Vorstandspräsentation auf lautlos gestellt und danach vergessen, es wieder zu aktivieren. Das Abhören meiner Mailbox ließ meinen nächtlichen Albtraum nun Realität werden. Der Virenscanner des externen Beraters hatte die Excel-Tabellen mit den vollgestopften Macros einfach aussortiert. Es war gar nichts passiert, für mein Audit hatte ich also nur die unvollständig ausgefüllten Listen.
Im Büro angekommen warteten bereits der Prüfer sowie der Kollege der IT-Sicherheit auf mich. Ein kurzer Blick der Kollegen auf meine Listen zeigte, damit würde man kein Audit durchführen können. Mein gesetztes Golive-Datum war dahin. Mein Vorgesetzter könnte ja das Risiko tragen, so die Aussage des Auditors. Mein Chef tat natürlich nichts dergleichen, ganz im Gegenteil: Der Schuldige war schnell identifiziert und dieses Projekt mein letztes im Unternehmen….
Sie finden die Geschichte übertrieben? Ihnen wäre das nicht passiert? Natürlich ist unsere Erzählung fiktiv und doch zeigt sie die Arbeitsweise in unzähligen Firmen. Viel zu spät wird auf die Umsetzung von gesetzlichen Anforderungen eingegangen, immer wieder werden Methoden angewandt, wie sie veralteter nicht sein könnten. Niemand würde heutzutage auf die Idee kommen, einen Ticketprozess in Excel durchzuführen oder seine Softwareentwicklungsprozesse nicht an allen Stellen zu automatisieren.
Doch beim Thema regulatorische Anforderungen scheinen die Entscheider in puncto neue Anwendungen noch immer in einer Art Dornröschenschlaf zu liegen. Hier ist es vollkommen in Ordnung, Anforderungen und Ergebnisse in Excel-Listen auf irgendwelchen Fileshares dieser Welt abzulegen, diese per Mail an x beteiligte Personen zu schicken und am Ende mühsam wieder zusammenzusetzen. Als wäre diese Tatsache allein nicht schon schlimm genug, scheint dabei auch jede Abteilung ihr eigenes „Süppchen“ zu kochen. Am Ende führt dieses Vorgehen zu Frust bei allen Beteiligten und ist bei sich ständig ändernden gesetzlichen Anforderungen auch nicht mehr durchführbar.
Wir glauben, dass Sie das das besser können. Nutzen Sie Strix-Assessment für Ihre Assessments. Interessiert? Buchen Sie eine 30min Demo Session.
Ich würde mich über Anregungen und Feedback zu unserem Blog freuen.
stefan.schoettle@takso.de
Herzlichst ihr Stefan Schöttle
Takso GmbH
A completely normal IT security assessment, or?
It was one of those days again. A day that you would like to put in your „go away“ drawer and forget about immediately. And everything had started so promisingly: A promising major project, the development of a completely new CRM system, and I had managed to hold my own against Klaus, the braggart from the other team.
Yes, I was the main project manager and was about to go live with the system. But between a celebrated system introduction and me was the final security audit of the application. But what could possibly go wrong here? I had our security department send me all the necessary documents and distributed the Excel to all team members. Of course, I asked myself – why did it have to be Excel? After all, we were usually so modern in our company – no matter, I had learned not to question the IT security requirements.
On the way to the office, I still had a bad feeling. Was it the weather, was it rush hour traffic? In the office, I should get my answer quickly. In the morning standup, I had announced the upcoming security audit weeks ago and asked the team to answer the questions. Of course, there were no advantages – nobody wanted to answer the questions in Excel. Everyone was under stress to work through their work packages for the live run in time. Nevertheless, the team had promised to take care of it. After my first coffee, disillusionment followed immediately. On the file share was my original list, but there were five other lists next to it. Apparently, some team members had answered the list for themselves and had not worked on the master list because it had been blocked by Klaus at the time of processing. How should I consolidate the information from all these lists?
Who was I to fail at such a trivial task? After all, I had been selected for the project. A glance at the first list revealed that the colleague in question had answered all the questions. Only instead of entering the questions in the corresponding columns, he had added an additional column and stored his own comments and references to another document there. In the master list, some things were also filled in. However, when comparing these first two lists more closely, I discovered that someone had apparently deleted some lines from the original document.
Well, there was still time until the review with the auditor tomorrow. So I called IT Security to have the master list sent to me again. It couldn’t be that difficult to reconcile some Excel lists – at least that’s what I thought. A few minutes later I had the new master list in my mailbox. But when I opened it, I realized that I had obviously received a newer version of the template, maybe even a completely different questionnaire?
Compared to the list I already had, the Ids had changed in some places and the lines no longer matched. A simple „copy/paste“ from my partially filled lists into the master list was therefore impossible. More than disbelieving about this I called the colleague from the IT security department again. After a joint comparison of the template versions, the colleague at the other end actually assured me of my suspicion: The colleagues had indeed created a newer version of the questionnaire. My team and I, however, had started to answer the questions based on the old template. When I asked whether the old template was still valid, there was a clear answer: „No, please use the newer version, the audit can only be completed on the basis of the currently valid template. I wish you much success!“ With these words the colleague ended the phone call, I noticed how my pulse rate started to rise.
At that moment my boss came into the office to inquire about the current project status. The timing could not have been more appropriate! I truthfully reported about the current problem with the security audit and the setback I had just suffered. Contrary to my expectation of an understanding reaction from my boss, there was an announcement that raised my pulse even more: Why this was not yet ready, I would finally know about the planned Golive of the application. Maybe Klaus would have been the better-suited project manager here after all? My boss gave me until the following day to get the whole thing in order. As if I did not care about it myself.
In the meantime, I was more than angry and started to consolidate the Excel lists again. Why only in Excel? Who came up with this crap? The company had the money for every nonsense. There was tool support for every problem, why not for this one too? Extremely annoyed, I started to compare the lists with each other when I was interrupted again. This time it was Klaus, my hated colleague, who came into the office. „We have to go,“ he said. „Are you coming?“ „Where to?“, I replied harshly, „We have the board meeting to present the CRM project, right? Have you forgotten that?“, he replied.
Oh no, he was right! I had completely missed this date because of all the Excel chaos.
Back from that meeting, a glance at the clock showed: I had a problem. In the meantime, I had transferred parts of the answers into the new template, but there was no question of being finished. Fortunately, I remembered that I was not alone. Why should I stress myself further with this topic? So I picked up the phone again and called my external consultant. He assured me that he would take care of this matter and that I should only send him the Excel templates quickly. Very good – my evening was saved. At least a little bit.
The following night I slept badly. I even dreamed about the requirement lists and how they would finally mess up my schedule. A look at my cell phone in the morning did not bode well. Several calls in my absence, why hadn’t I heard it? Of course, I had set my cell phone to silent for the board presentation and forgot to activate it again afterward. Listening to my mailbox made my nightmare become reality. The virus scanner of the external consultant had simply sorted out the Excel spreadsheets with the stuffed macros. Nothing had happened at all, so for my audit, I only had the incomplete lists.
When I arrived at the office, the auditor and the IT security colleague were already waiting for me. A quick look at my lists by my colleagues showed that they would not be able to conduct an audit with them. My set Golive date was gone. My supervisor could bear the risk, according to the auditor. My boss, of course, did nothing of the sort, quite the opposite: the culprit was quickly identified and this project was my last in the company….
Do you think the story is exaggerated? It wouldn’t have happened to you? Of course, our story is fictional, but it shows how things work in countless companies. Much too late, the implementation of legal requirements is dealt with, and methods are used time and again that could not be more outdated. Nowadays, no one would think of running a ticket process in Excel or not automating their software development processes at all points.
But when it comes to regulatory requirements, the decision-makers still seem to be in a kind of deep sleep when it comes to new applications. Here, it is perfectly okay to store requirements and results in Excel lists on any file share in the world, send them by e-mail to x involved persons, and finally put them together again with a lot of effort. As if this fact alone was not bad enough, every department seems to do its own „soup“. In the end, this procedure leads to frustration for all involved and is no longer feasible in the face of constantly changing legal requirements.
We believe that you can do it better. Use Strix-Assessment for your assessments. Interested? Book a 30min demo session.
I would be pleased to receive suggestions and feedback on our blog.
stefan.schoettle@takso.de
Sincerely yours Stefan Schöttle
Takso GmbH