Sicherheitskonzepte
Beratung und Unterstützung bei der Erstellung von Sicherheitskonzepten
Bei der Entwicklung neuer IT-Umgebungen oder auch einzelner Komponenten, wie zum Beispiel Webanwendungen, mobile Apps oder IoT-Geräten, stellt die Integration von Sicherheitsmaßnahmen einen essentiellen Bestandteil dar. Je nach Einsatzgebiet und den damit verbundenen Sicherheitsanforderungen, müssen angemessene Sicherheitskonzepte definiert werden. Existieren keine oder lückenhafte Sicherheitskonzepte, sind erfolgreiche Angriffe auf die späteren produktiven Systeme meist nur eine Frage der Zeit.
Um dies möglichst zu vermeiden, können wir Sie beim gesamten Entwicklungsprozess neuer IT-Umgebungen oder auch einzelner Komponenten begleiten. Unsere erfahrenen Sicherheitsarchitekten unterstützen Sie bei der Erstellung angemessener Sicherheitskonzepte unter Berücksichtigung individueller Anforderungen und Rahmenbedingungen sowie in Anlehnung allgemein anerkannter Standards (BSI Grundschutz, ISO 27001).
Vorgehensweise
Bevor geeignete Security Controls und Maßnahmen im Rahmen des Sicherheitskonzepts definiert werden können, ist es zunächst wichtig, den Geltungsbereich sowie involvierte Assets und relevante Bedrohungsszenarien zu erfassen. Dies geschieht üblicherweise innerhalb von mehreren Workshops bzw. Interviews kombiniert mit der Sichtung vorhandener Dokumentationen. Hierbei werden insbesondere die folgenden Punkte berücksichtigt:
- Definition des Geltungsbereichs / des Informationsverbundes
- z.B. Organisation, Amt, Einrichtung, Abteilung etc.
- Darstellung der Schnittstellen zu anderen IT-Systemen
- ggf. Schnittstellen zu externen Parteien
- Strukturanalyse, u.a.
- Anwendungsebene
- IT-Systeme und Vernetzung
- Infrastrukturebene
- Definition der Schutzziele
- Vertraulichkeit, Integrität, Verfügbarkeit
- ggf. weitere Schutzziele wie z.B. Revisionssicherheit, Authentizität etc.
- Feststellung des Schutzbedarfs
- Definition der Schutzbedarfskategorien (z.B. normal, hoch, sehr hoch) für die Schutzziele
- Identifikation von Bedrohungs- und Angriffsszenarien
- Analyse allgemeiner und spezifischer Bedrohungen
- Ausarbeitung von Angriffsszenarien
- Definition von Maßnahmen
- Definition geeigneter Maßnahmen zur Erreichung des Schutzbedarfs
- Berücksichtigung interner Richtlinien oder auch gesetzlicher Vorgaben und Standards
- Risikoanalyse (Restrisiko)
- Sicherheitsanalyse zur Ermittlung bestehender Restrisiken
- Dokumentation
Die definierten Security Controls und Maßnahmen sind stark vom jeweiligen Systemkontext abhängig. Beispiele hierfür sind:
- Rollen- und Rechte-Konzepte
- Authentisierungsmethoden und -abläufe
- Verschlüsselungsmethoden und Schlüsselmanagement
- Härtungsmaßnahmen
- Patchmanagement und Updateprozesse
- Backup- und Notfallplanung
Inhalte des Sicherheitskonzepts
Der konkrete Inhalt des Sicherheitskonzepts richtet sich nach Ihren Wünschen und Anforderungen. Generell können die folgenden Themenpunkte enthalten sein:
- Einleitung
- Management Summary
- Mitgeltende Unterlagen
- Geltungsbereich
- Allgemeine Beschreibung der Anwendung / des Systems / der Infrastruktur
- Strukturanalyse / Technische Beschreibung
- Schutzbedarfsfeststellung
- Modellierung der Maßnahmen
- Risikoanalyse
- Anhang
Bei Bedarf verwenden wir eine von Ihnen bereitgestellte Vorlage zur Erstellung eines Sicherheitskonzepts.
Ergebnis
Als Ergebnis erhalten Sie ein ausführliches Sicherheitskonzept, das die Ergebnisse der oben beschriebenen Bestandteile schriftlich festhält und als Kontrollinstrument für die spätere Umsetzung dient.
Wir empfehlen vorhandene Sicherheitskonzepte immer auch von einer unabhängigen dritten Instanz begutachten zu lassen. Insbesondere bei der Definition neuer Sicherheitskonzepte, die zuverlässig und nachhaltig die Sicherheit eines Systems garantieren sollen, ist das 4-Augen-Prinzip eine unerlässliche Methode, um die Angemessenheit und Vollständigkeit der enthaltenen Security Controls zu bewerten. Für Sicherheitskonzepte, die nicht durch uns erstellt wurden, bieten wir Ihnen hierzu unsere Dienstleistung Analyse von Sicherheitskonzepten an.