Haben Sie alles bei der Sicherheit Ihrer Web-Anwendung berücksichtigt?

Mit einem Sicherheitskonzept werden keine Risiken und Bedrohungen übersehen!

Häufig werden die Web-Anwendungen ohne die Sicherheit im Hinterkopf implementiert. Oder die Sicherheit wird hinterher obendrauf implementiert. Oder die Entscheidung über die Implementierung der Schutzmaßnahmen wird allein den Entwicklern überlassen. Doch erst mit der Kenntnis der Infrastruktur und der Ziele ist es möglich, effektive Schutzmaßnahmen umzusetzen. Deswegen sollte die Sicherheit der Web-Anwendung schon bei der Entwicklung eine wichtige Rolle spielen. Denn nur mit den richtigen Entscheidungen kann die Sicherheit entscheidend beeinflußt werden. Genau das ist der Zweck eines Sicherheitskonzeptes, objektive Entscheidungen bezüglich Sicherheit zu treffen und zu dokumentieren.

Das zeichnet unsere Sicherheitskonzepte aus

  • Systematische Analyse der gesamten Infrastruktur
  • Zweckmäßiger Schutzbedarf der beteiligten Komponenten
  • Objektive Risikobewertung der potentiellen Bedrohungen
  • Effektive Schutzmaßnahmen zur Erreichung des Schutzniveaus

Vorgehensweise

  • Informationen sammeln

    In einem Gespräch mit den Betreibern und den Entwicklern erarbeiten wir die Infrastrukur und bestimmen die schützenswerten Daten.

  • Auswertung

    Während der Analyse stimmen wir den Schutzbedarf der einzelnen Komponenten ab, führen eine Risikobewertung durch und bestimmen effektive Schutzmaßnahen.

  • Dokumentation

    Die gewählten Schutzmaßnahmen samt zugehörigen Bedrohungen werden in dem Sicherheitskonzept detailliert dokumentiert.

  • Präsentation

    Die Ergebnisse der Analyse werden besprochen und die gewählten Schutzmaßnahmen bei einem Meeting präsentiert.

Informationen sammeln

Ein Sicherheitskonzept hat das Ziel, den Schutz der ausgewählten Web-Anwendung optimal zu organisieren. Dazu ist es notwendig, das zu schützende Objekt in seiner Gesamtheit zu erfassen. Dazu gehört neben der Web-Anwendung selbst, auch seine Umgebung. Vor allem die schützenswerten Daten und Prozesse der Web-Anwendung müssen bestimmt werden. Einerseits kann man als Außenstehender die schützenswerten Eigenschaften weniger gut einschätzen. Andererseits sieht man den Schutzbedarf vieler Eigenschaften, die sonst übersehen werden.

Bei der Strukturanalyse geht vor allem um folgendes:

  • Wo und wie wird die Web-Anwendung betrieben?
  • Wo sind die Grenzen/Schnittstellen der Web-Anwendung?
  • Welche Komponenten wirken wie auf die Web-Anwendung?
  • Welchen Zweck hat die Anwendung und was sind die wichtigen Geschäftsprozesse?
  • Welche geschäftskritischen Daten werden verarbeitet und gespeichert?

Auswertung

Ein gelungenes Sicherheitskonzept setzt voraus, dass der Schutzbedarf einstimmig festgelegt wurde. Dazu erarbeiten wir einen unabhängigen Vorschlag für den Schutzbedarf der einzelnen Komponenten und der Daten. Die Risikoanalyse und die Auswahl der Schutzmaßnahmen führen wir weitestgehend autark durch, nachdem wir mit Ihnen den Schutzbedarf abgestimmt haben.

Feststellung des Schutzbedarfs

  • Welche Schäden können entstehen, wenn eine Funktionalität beeinträchtigt wird?
  • Welche Auswirkungen hat die Beeinträchtigung von Vertraulichkeit, Integrität oder Verfügbarkeit?
  • Welche Schadensszenarien können durch die Beeinträchtigung entstehen?

Risikoanalyse

  • Welche Gefährdungen können können die Schutzziele bedrohen?
  • Wie wahrscheinlich ist die Gefährdung und die groß sind die Auswirkungen?
  • Welche essentiele Gefährdungen existieren außerhalb von konventionellen Angriffen?

Auswahl der Schutzmaßnahmen

  • Welche Gefährdungen sollen durch zusätzliche Schutzmaßnahmen geschützt werden?
  • Bewertung der Schutzmaßnahmen bezüglich der Vollständigkeit, Wirksamkeit und Zuverlässigkeit?
  • Bieten die Schutzmaßnahmen ausreichenden Schutz gegen die ermittelten Gefährdungen?

Dokumentation

Unser Sicherheitskonzept enthält eine ausführliche Dokumentation zu allen durchgeführten Analysen und Bewertungen. Die getroffenen Entscheidungen werden im Kontext der konkreten Anwendung begründet und nachvollziehbar dokumentiert. Die Bewertung der Gefährdungen wird aufgrund von objektiven Kriterien durchgeführt, ebenso wie die Auswahl der passenden Schutzmaßnahmen. Damit wird ein optimales Ergebnis mit maximaler Transparenz erreicht, so dass dieses Sicherheitskonzept Dritten zugänglich gemacht werden kann.

Präsentation

In einer gemeinsamen Besprechung wird das ausgearbeitete Sicherheitskonzept vorgestellt und die getroffenen Entscheidungen und Schutzmaßnahmen erörtet.