Risikoanalyse

Axt oder Skalpell

Lernen Sie, wie Sie Ihre IT-Sicherheitsmaßnahmen gezielt und präzise einsetzen.

mehr zu unserem Leistungsspektrum im Bereich IT-Sicherheit

Risikoanalyse

IT-Sicherheitsmaßnahmen gezielt und präzise einsetzen

Einleitung

Wissen Sie, welches Schutzniveau Sie für Ihre Anwendungen und Systeme brauchen? Und wie Sie dieses Niveau erreichen? Risikoanalyse oder Threat Modeling beschäftigt sich mit der Frage, welche Sicherheitsrisiken bestehen, welche relevant sind und welche Gegenmaßnahmen eingeleitet werden sollen. Ausgangsbasis für die Analyse sind verschiedene Bedrohungsszenarien oder Angreifer:innen mit unterschiedlichen Motivationen sowie verschiedenen technischen und finanziellen Möglichkeiten. Das bedeutet, dass wir zunächst die Perspektive ändern und analysieren, welche Schutzbedarfe Ihre Anwendungen und die Anwendungslandschaft haben und durch welche Bedrohungen ein Schaden entstehen kann. Diese Informationen werden im Folgenden verwendet, um Angriffsvektoren zu blockieren und potenzielle Schwachstellen auszumerzen.

Nutzen

Der Hauptnutzen aus der Risikoanalyse ist, dass Sie die Effektivität im Bereich der IT-Sicherheit deutlich steigern werden, weil Sie Ihre Ressourcen und Maßnahmen gezielt einsetzen. Nebenbei gewinnen Sie wichtige Einsichten, u.a.:

  • Erkennen von möglichen Schwachstellen im Design oder in der Architektur Ihrer Anwendung
  • Verständnis zum Schutzniveau, den Sie mit den aktuellen Sicherheitsfeatures erreichen
  • Einsicht in die Wirksamkeit der organisatorischen Prozesse Ihrer Organisation

Ansprechperson

Dr. Tobias Heide

Tel: +49 251 777770

Schulung: IT-Sicherheit für Entwicklerteams

In der Schulung vermitteln wir Ihren Entwickler:innen die Grundlagen der IT-Sicherheit, zusammen mit vielen Tipps und Tricks aus der Praxis.

Unser Vorgehen

Für diese Aufgabe nutzen wir ein strukturiertes Vorgehen. In sechs Schritten erstellen wir gemeinsam mit Ihren Expert:innen eine individuelle Analyse für Ihre Anwendung / Organisation:

Auftrag beschreibenAuftrag beschreiben

System & Umfeld analysierenSystem & Umfeld analysieren

Bedrohungen identifizierenBedrohungen identifizieren

Risiken bewertenRisiken bewerten

Maßnahmen ableitenMaßnahmen ableiten

Entscheidung vorbereitenEntscheidung vorbereiten

  1. Auftrag beschreiben

    Umfang und Inhalt:

    • Betroffene Systeme
    • Einschlüsse, Ausschlüsse, Annahmen
    • Zeitpunkt im Lebenszyklus

  2. System & Umfeld analysieren

    Fragen:

    • Wer nutzt die Systeme?
    • Welche Daten werden verarbeitet?
    • Welche Werte sind eventuell gefährdet?
    • Technologie?

  3. Bedrohungen identifizieren

    Fokus:

    • Angreifer:innen
    • Bedrohungen der Assets / Systeme durch Angreifer:innen

  4. Risiken bewerten

    Bewertung und Priorisierung nach:

    • Eintrittswahrscheinlichkeit
    • (mögliche) Auswirkungen

  5. Maßnahmen ableiten

    Maßnahmen:

    • Ableitung auf Basis der Bedrohungen
    • Fokus auf die priorisierten Risiken

  6. Entscheidung vorbereiten

    Entscheidung:

    • Bericht und Empfehlungen für Auftraggeber:in
    • Entscheidung über Folgeschritte durch Auftraggeber:in

Methoden

Die Analyse erfolgt jeweils spezifisch für Ihre Organisation sowie für Ihre Systeme. Bei unseren Methoden setzen wir auf bewährte Standards, die wir sinnvoll miteinander verbinden, u.a.:

  • STRIDE Modell (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, and Elevation of Privilege.)
  • Bestehende Bedrohungskataloge (BSI, CVE, CWE, CAPEC)
  • OWASP Threat Modeling Cheat Sheet

Diese Methoden passen wir stets auf die jeweilige Projektsituation an. Die Informationen zu Ihrem Projekt beschaffen wir u.a. über:

  • Interviews mit Entwickler:innen, Architekt:innen, Betrieb, Fachliche Expert:innen, Manager:innen, Security Expert:innen etc.
  • Systemdokumentation
  • System-Scan

Die Strukturierung und Bewertung der gewonnenen Informationen ist Aufgabe unserer Berater:innen. Aufgrund ihrer Erfahrung im Bereich IT-Sicherheit erarbeiten Sie die wesentlichen Erkenntnisse aus dem Projekt und erstellen Empfehlungen zum weiteren Vorgehen.

Ergebnis

Als Resultat der Analyse bekommen Sie eine Zusammenfassung der Analyseergebnisse mit einer Einschätzung zum sinnvollen Schutzniveau sowie Vorschläge für Maßnahmen, um dieses Niveau zu erreichen. Eine Präsentation der Ergebnisse vor Techniker:innen und/oder dem Management gehört ebenfalls zum Leistungsumfang. Mit den Erkenntnissen der Risikoanalyse können Sie IT-Sicherheitsmaßnahmen gezielt einsetzen. Die Entscheidung dazu, wie, wann und in welcher Tiefe Sie die Maßnahmen umsetzen möchten, bleibt in Ihrer Hand.

Aktuelle Blogbeiträge

Sie wollen mehr über die viadee, unsere Projekte, Kund:innen und Kolleg:innen erfahren? Dann besuchen Sie unseren Blog. Sie haben die Wahl und können entweder alle Blogbeiträge aus sämtlichen Unternehmensbereichen lesen oder nur die Blogbeiträge aus dem Bereich “IT-Sicherheit”.

zum Blog #IT-Sicherheit

Unsere Lösungen für
BANKEN, VERSICHERUNGEN, HANDEL UND WEITERE BRANCHEN

Agile MethodenAgile Methoden

Business Process ManagementBusiness Process Management

Clean CodeClean Code

CloudCloud

IT-SicherheitIT-Sicherheit

Java & ArchitekturJava & Architektur

Legacy ITLegacy IT

Frontend-EntwicklungFrontend-Entwicklung

Robotic Process AutomationRobotic Process Automation

Software-QualitätssicherungSoftware-Qualitätssicherung