Axt oder Skalpell
Lernen Sie, wie Sie Ihre IT-Sicherheitsmaßnahmen gezielt und präzise einsetzen.
mehr zu unserem Leistungsspektrum im Bereich IT-SicherheitRisikoanalyse
IT-Sicherheitsmaßnahmen gezielt und präzise einsetzen
Einleitung
Wissen Sie, welches Schutzniveau Sie für Ihre Anwendungen und Systeme brauchen? Und wie Sie dieses Niveau erreichen? Risikoanalyse oder Threat Modeling beschäftigt sich mit der Frage, welche Sicherheitsrisiken bestehen, welche relevant sind und welche Gegenmaßnahmen eingeleitet werden sollen. Ausgangsbasis für die Analyse sind verschiedene Bedrohungsszenarien oder Angreifer:innen mit unterschiedlichen Motivationen sowie verschiedenen technischen und finanziellen Möglichkeiten. Das bedeutet, dass wir zunächst die Perspektive ändern und analysieren, welche Schutzbedarfe Ihre Anwendungen und die Anwendungslandschaft haben und durch welche Bedrohungen ein Schaden entstehen kann. Diese Informationen werden im Folgenden verwendet, um Angriffsvektoren zu blockieren und potenzielle Schwachstellen auszumerzen.
Nutzen
Der Hauptnutzen aus der Risikoanalyse ist, dass Sie die Effektivität im Bereich der IT-Sicherheit deutlich steigern werden, weil Sie Ihre Ressourcen und Maßnahmen gezielt einsetzen. Nebenbei gewinnen Sie wichtige Einsichten, u.a.:
- Erkennen von möglichen Schwachstellen im Design oder in der Architektur Ihrer Anwendung
- Verständnis zum Schutzniveau, den Sie mit den aktuellen Sicherheitsfeatures erreichen
- Einsicht in die Wirksamkeit der organisatorischen Prozesse Ihrer Organisation
Ansprechperson
Dr. Tobias Heide
Tel: +49 251 777770
Unser Vorgehen
Für diese Aufgabe nutzen wir ein strukturiertes Vorgehen. In sechs Schritten erstellen wir gemeinsam mit Ihren Expert:innen eine individuelle Analyse für Ihre Anwendung / Organisation:
-
Auftrag beschreiben
Umfang und Inhalt:
- Betroffene Systeme
- Einschlüsse, Ausschlüsse, Annahmen
- Zeitpunkt im Lebenszyklus
-
System & Umfeld analysieren
Fragen:
- Wer nutzt die Systeme?
- Welche Daten werden verarbeitet?
- Welche Werte sind eventuell gefährdet?
- Technologie?
-
Bedrohungen identifizieren
Fokus:
- Angreifer:innen
- Bedrohungen der Assets / Systeme durch Angreifer:innen
-
Risiken bewerten
Bewertung und Priorisierung nach:
- Eintrittswahrscheinlichkeit
- (mögliche) Auswirkungen
-
Maßnahmen ableiten
Maßnahmen:
- Ableitung auf Basis der Bedrohungen
- Fokus auf die priorisierten Risiken
-
Entscheidung vorbereiten
Entscheidung:
- Bericht und Empfehlungen für Auftraggeber:in
- Entscheidung über Folgeschritte durch Auftraggeber:in
Methoden
Die Analyse erfolgt jeweils spezifisch für Ihre Organisation sowie für Ihre Systeme. Bei unseren Methoden setzen wir auf bewährte Standards, die wir sinnvoll miteinander verbinden, u.a.:
- STRIDE Modell (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, and Elevation of Privilege.)
- Bestehende Bedrohungskataloge (BSI, CVE, CWE, CAPEC)
- OWASP Threat Modeling Cheat Sheet
Diese Methoden passen wir stets auf die jeweilige Projektsituation an. Die Informationen zu Ihrem Projekt beschaffen wir u.a. über:
- Interviews mit Entwickler:innen, Architekt:innen, Betrieb, Fachliche Expert:innen, Manager:innen, Security Expert:innen etc.
- Systemdokumentation
- System-Scan
Die Strukturierung und Bewertung der gewonnenen Informationen ist Aufgabe unserer Berater:innen. Aufgrund ihrer Erfahrung im Bereich IT-Sicherheit erarbeiten Sie die wesentlichen Erkenntnisse aus dem Projekt und erstellen Empfehlungen zum weiteren Vorgehen.
Ergebnis
Als Resultat der Analyse bekommen Sie eine Zusammenfassung der Analyseergebnisse mit einer Einschätzung zum sinnvollen Schutzniveau sowie Vorschläge für Maßnahmen, um dieses Niveau zu erreichen. Eine Präsentation der Ergebnisse vor Techniker:innen und/oder dem Management gehört ebenfalls zum Leistungsumfang. Mit den Erkenntnissen der Risikoanalyse können Sie IT-Sicherheitsmaßnahmen gezielt einsetzen. Die Entscheidung dazu, wie, wann und in welcher Tiefe Sie die Maßnahmen umsetzen möchten, bleibt in Ihrer Hand.