Risikoanalyse

Axt oder Skalpell

Lernen Sie, wie Sie Ihre IT-Sicherheitsmaßnahmen gezielt und präzise einsetzen.

mehr zu unserem Leistungsspektrum im Bereich IT-Sicherheit

Risikoanalyse

IT-Sicherheitsmaßnahmen gezielt und präzise einsetzen

Einleitung

Wissen Sie, welches Schutzniveau Sie für Ihre Anwendungen und Systeme brauchen? Und wie Sie dieses Niveau erreichen?

Risikoanalyse oder Threat Modeling beschäftigt sich mit der Frage, welche Sicherheitsrisiken bestehen, welche relevant sind und welche Gegenmaßnahmen eingeleitet werden sollen. Ausgangsbasis für die Analyse sind verschiedene Bedrohungsszenarien oder Angreifer mit unterschiedlichen Motivationen sowie verschiedenen technischen und finanziellen Möglichkeiten. Das bedeutet, dass wir zunächst die Perspektive ändern und analysieren, welche Schutzbedarfe Ihre Anwendungen und die Anwendungslandschaft haben und durch welche Bedrohungen ein Schaden entstehen kann. Diese Informationen werden im folgenden verwendet, um Angriffsvektoren zu blockieren und potenzielle Schwachstellen auszumerzen.

Nutzen

Der Hauptnutzen aus der Risikoanalyse ist, dass Sie die Effektivität im Bereich der IT-Sicherheit deutlich steigern werden, weil Sie Ihre Ressourcen und Maßnahmen gezielt einsetzen. Nebenbei gewinnen Sie wichtige Einsichten, u.a.:

  • Erkennen von möglichen Schwachstellen im Design oder in der Architektur Ihrer Anwendung
  • Verständnis zum Schutzniveau, den Sie mit den aktuellen Sicherheitsfeatures erreichen
  • Einsicht in die Wirksamkeit der organisatorischen Prozesse Ihrer Organisation

Ansprechpartner

Dr. Tobias Heide <br>– Leiter Kompetenzbereich IT Security

Dr. Tobias Heide
– Leiter Kompetenzbereich IT Security

Tel: +49 251 777 77 0

Schulung: IT-Sicherheit für Entwicklerteams

In der Schulung vermitteln wir Ihren Entwicklern die Grundlagen der IT-Sicherheit, zusammen mit vielen Tipps und Tricks aus der Praxis.

Unser Vorgehen

Für diese Aufgabe nutzen wir ein strukturiertes Vorgehen.
In sechs Schritten erstellen wir gemeinsam mit Ihren Experten eine individuelle Analyse für Ihre Anwendung / Organisation:

Auftrag beschreiben

System & Umfeld analysieren

Bedrohungen identifizieren

Risiken bewerten

Maßnahmen ableiten

Entscheidung vorbereiten

  1. Auftrag beschreiben

    Umfang und Inhalt:

    • Betroffene Systeme
    • Einschlüsse, Ausschlüsse, Annahmen
    • Zeitpunkt im Lebenszyklus

  2. System & Umfeld analysieren

    Fragen:

    • Wer nutzt die Systeme?
    • Welche Daten werden verarbeitet?
    • Welche Werte sind eventuell gefährdet?
    • Technologie?

  3. Bedrohungen identifizieren

    Fokus:

    • Angreifer
    • Bedrohungen der Assets / Systeme durch Angreifer

  4. Risiken bewerten

    Bewertung und Priorisierung nach:

    • Eintrittswahrscheinlichkeit
    • (mögliche) Auswirkungen

  5. Maßnahmen ableiten

    Maßnahmen:

    • Ableitung auf Basis der Bedrohungen
    • Fokus auf die priorisierten Risiken

  6. Entscheidung vorbereiten

    Entscheidung:

    • Bericht und Empfehlungen  für Auftraggeber
    • Entscheidung  über Folgeschritte  durch den Auftraggeber

Methoden

Die Analyse erfolgt jeweils spezifisch für Ihre Organisation sowie für Ihre Systeme. Bei unseren Methoden setzen wir auf bewährte Standards, die wir sinnvoll miteinander verbinden, u.a.:

  • STRIDE Modell (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, and Elevation of Privilege.)
  • Bestehende Bedrohungskataloge (BSI, CVE, CWE, CAPEC)
  • OWASP Threat Modeling Cheat Sheet

Diese Methoden passen wir stets auf die jeweilige Projektsituation an. Die Informationen zu Ihrem Projekt beschaffen wir u.a. über:

  • Interviews mit Entwicklern, Architekten, Betrieb, Fachliche Experten, Managern, Security Experten etc.
  • Systemdokumentation
  • System-Scan

Die Strukturierung und Bewertung der gewonnenen Informationen ist Aufgabe unserer Berater. Aufgrund ihrer Erfahrung im Bereich IT-Sicherheit erarbeiten Sie die wesentlichen Erkenntnisse aus dem Projekt und erstellen Empfehlungen zum weiteren Vorgehen.

Ergebnis

Als Resultat der Analyse bekommen Sie eine Zusammenfassung der Analyseergebnisse mit einer Einschätzung zum sinnvollen Schutzniveau sowie Vorschläge für Maßnahmen, um dieses Niveau zu erreichen. Eine Präsentation der Ergebnisse vor Technikern und/oder dem Management gehört ebenfalls zum Leistungsumfang.

Mit den Erkenntnissen der Risikoanalyse können Sie IT-Sicherheitsmaßnahmen gezielt einsetzen. Die Entscheidung dazu, wie, wann und in welcher Tiefe Sie die Maßnahmen umsetzen möchten, bleibt in Ihrer Hand.

Aktuelle Blogbeiträge

Sie wollen mehr über die viadee, unsere Projekte, Kunden und Kollegen erfahren? Dann besuchen Sie unseren Blog. Sie haben die Wahl und können entweder alle Blogbeiträge aus sämtlichen Unternehmensbereichen lesen oder nur die Blogbeiträge aus dem Bereich “Cloud”.

zum Blog #IT-Sicherheit

Unsere Lösungen für
BANKEN, VERSICHERUNGEN, HANDEL UND WEITERE BRANCHEN

Agile Methoden

Business Intelligence

Business Process Management

Clean Code

Cloud

IT-Sicherheit

Java

Künstliche Intelligenz

Mobile- und Weblösungen

Robotic Process Automatioon

Testautomatisierung

vivir

[if lte IE 8]
[if lte IE 8]
[if lte IE 8]
[if lte IE 8]
[if lte IE 8]
[if lte IE 8]