Der Datenwert bestimmt das Sicherheitsniveau
Die Sicherheit von IT-Systemen beginnt mit einer Analyse der Daten, Zuständigkeiten und Risiken. Mit Threat Modeling können geeignete Sicherheitsmassnahmen ohne grossen Aufwand bis ins Detail geplant und implementiert werden.
Entwickler wollen Lösungen erstellen, Fachabteilungen wünschen Ergebnisse, die Führungsebene drückt auf die Kosten: Security geniesst in IT-Projekten oft den Status eines hinderlichen Muss. Dabei sind Gefahren wie Identitätsdiebstahl, manipulierte Daten, lahmgelegte IT-Dienste oder Bedienungsfehler real.
Der Wert der Daten
Das Wichtigste an IT-Systemen sind die Daten. Dennoch zeigt die Praxis, dass viele Organisationen den Wert ihrer Daten nicht kennen. Dieser bemisst sich am Schaden, der entsteht, wenn die Vertraulichkeit, die Integrität und/oder die Verfügbarkeit der Daten leidet.
Ein griffiges Sicherheitsdispositiv beginnt deshalb mit der Analyse und Klassifizierung aller relevanten Datenarten, inklusive der «Eigentümerschaft» – wem «gehören» die Daten intern? Gemeinsam mit der betreffenden Person oder Fachabteilung werden die Sicherheitsanforderungen festgelegt. Es muss klar sein, dass Security nicht für die IT gemacht wird, sondern für die Abteilungen, welche die Daten im Geschäftsalltag benötigen.
Das Risiko, das von Bedrohungen wie Ha cking oder fehlenden Back-ups ausgeht, lässt sich konkret berechnen: Es ist proportional zur Wahrscheinlichkeit und den Folgen, die wiederum mit dem Wert der betroffenen Daten zusammenhängen. Für die Bewertung im Rahmen des Threat Modeling spielt weiter eine Rolle, welches Mass an Risiko in Kauf genommen wird – sozusagen der «Risiko-Appetit» der Organisation oder Abteilung.
Sicherheit bis ins Detail
Auf Basis der generellen Risikobewertung kann man das fragliche System – eine Anwendung, einen Server oder die ganze IT-Infrastruktur – im Detail analysieren und passende Sicherheitsmassnahmen treffen. Zur Analyse der Systemkomponenten und Abhängigkeiten eignen sich etwa Datenflussdiagramme. Bedrohungen lassen sich für jedes einzelne Element anhand der STRIDE-Klassifikation identifizieren, die Microsoft für den eigenen «Secure Development Process» entwickelt hat. Für die Einteilung der Risiken in niedrig, mittel, hoch und kritisch gibt es die DREAD-Methode. Die konkreten Sicherheitsmassnahmen – etwa ein kürzerer Session-Timeout gegen Datendiebstahl – ermittelt man für jede Bedrohung mit Hilfe von sogenann-ten «Threat Trees».
Strukturiert, aber einfach
Threat Modeling ist weder hohe Wissenschaft, noch braucht es dazu komplizierte Werkzeuge. Im Prinzip genügen Stift und Papier oder eine Excel-Tabelle. Es geht um Kategorisieren, Risikobewertung und die Definition von Gegenmassnahmen, um kostengünstig ein adäquates Sicherheitsniveau zu erreichen. So findet man ein gemeinsames Sicherheitsverständnis. Hilfreich ist es natürlich, Threat Modeling von Anfang an ins Projekt zu integrieren und dann im Projektverlauf agil weiterzuführen.
mehr davon...
...gibt es im neuen swiss-made-software-Buch "Public Innovation". Erhältlich als Print und eBook hier.