IT-Security

IT-Security Planung

Planung ohne Ausführung ist nutzlos – Ausführung ohne Planung ist fatal

Informationssicherheit ist Chefsache

Es liegt in der Verantwortung von Management und Geschäftsleitung, dass alle Geschäftsbereiche zielgerichtet funktionieren und Risiken des Betriebs frühzeitig erkannt und minimiert werden.

Durch die zunehmende Abhängigkeit der Geschäftsprozesse von der Informationstechnik wachsen auch die Anforderungen, dass Informationssicherheit nach innen und außen gewährleistet ist. Ob Informationssicherheit erreicht und erhalten wird, ist somit weitgehend vom Engagement und der Unterstützung des Managements abhängig. Abgesehen von der Bereitstellung dafür notwendiger finanzieller und personeller Ressourcen sind klare Ziele und Richtlinien vom Management vorzugegeben.

Ein wesentlicher Faktor bei Planung und Auswahl von Maßnahmen zur Informationssicherheit, ist ein fundiertes Risikomanagement. Die Ergebnisse des Risikomanagements bilden die Grundlage für eine bedarfsgerechte Behandlung der Risiken, um die von der Geschäftsleitung vorgegebenen allgemeinen Sicherheitsziele und Sicherheitsanforderungen erfolgreich umzusetzen.

Profitieren Sie von unserer langjährigen Erfahrung in der strategischen Planung von Informationssicherheit und der technischen Umsetzung von IT-Security aus einer Vielzahl erfolgreicher Projekte.

Schutzbedarf von IT-Assets
Compliance bestimmt die erste Phase der Planungen zur Informationssicherheit. Welche gesetzlichen Regelungen sind zu beachten und welcher Schutzbedarf resultiert daraus für die IT-Assets der Internet Applikation.
Bedrohungsanalyse und Risikobewertung
Die Bewertung der Risiken basiert auf der Grundlage einer Bedrohungsanalyse unter Berücksichtigung möglicher Schwachstellen. Für die Einstufung sind technische und wirtschaftliche Auswirkungen von Bedeutung.
Security Controls und Risikominimierung
Durch die Auswahl von Security Controls lassen sich Risiken reduzieren. Die Wirksamkeit dieser Controls ist durch ein umfassendes Monitoring turnusmäßig zu überprüfen. KPIs helfen Informationssicherheit messbar zu machen.

Ongoing Risikomanagement für E-Commerce Anwendungen

Das für unsere Hosting Infrastruktur implementierte Risikomanagementsystem (RMS) ermöglicht die automatisierte Bestimmung des Sicherheitsniveaus aufgrund Veränderungen im technischen Umfeld oder beim Eintritt sicherheitsrelevanter Ereignisse. Der entscheidende Vorteil des von uns angewandten Verfahrens einer stetigen (Ongoing) Risikobeurteilung liegt darin, dass Maßnahmen zur Behebung von Schwachstellen schon unmittelbar nach deren Kenntnis initiiert und umgesetzt werden können.

Anders als beim klassischem periodisch durchgeführten Risikomanagement, erfordert das Ongoing Risikomanagement eine hohe Integration der operativen Softwaresysteme. So erfassen wir technische Assets unmittelbar nach deren Inbetriebnahme in unsere Systeme für Monitoring und Risikomanagement. Unter Berücksichtigung der vom Kunden vorgegebenen Einstufung des Schutzbedarfs und verschiedener technischer Einflußgrößen wie Firewall und installierte Software, ermittelt das RMS automatisch eine Einschätzung des technischen Risikos für die in unserer Infrastruktur gehosteten Internetanwendung.

Die Bewertung bestehender Sicherheitsmaßnahmen und das daraus abgeleitete technische Sicherheitsniveaus wird einem steten Aktualisierungsprozeß unterzogen. Hierzu liefern Monitoring Systeme, Sicherheitsreports, KPI Trendanalysen und Audits (z.B. Kontrollen zur Installation und Konfiguration) wertvolle Informationen für eine aktuelle und realistische Risikobeurteilung.

Ongoing Risikomanagement

Schwachstellenanalyse

Die Schwachstellenanalyse beinhaltet die Bewertung von Schwachstellen (Vulnerabilities) hinsichtlich des Schadenpotentials bzgl. Vertraulichkeit, Integrität und Verfügbarkeit und der Eintrittswahrscheinlichkeit. Für Schwachstellen in Software und Applikationen werden offizielle Register wie OWASP oder CVSS als Bewertungsquelle der inhärenten Eintrittswahrscheinlichkeit in Abhängigkeit von Exploitability (EXP) und Collateral Damage Potential (CDP) verwendet.

Bedrohungsanalyse

Die Ergebnisse der Schwachstellenanalyse werden vom System automatisch aggregiert, wobei das Worst-Case-Prinzip angewendet wird. Dies bedeutet, dass jene Schwachstelle mit der höchsten Eintrittswahrscheinlichkeit und der höchsten Schadensbewertung das Bedrohungsrisiko eines der Schutzziele bestimmt.

Risikoanalyse und technische Risikobewertung

In der technischen Risikoanalyse erfolgt der Abgleich zwischen dem geforderten Schutzbedarf für Assets und den errechneten Bedrohungsrisiken. Diese werden auf der Grundlage der Zuordnungstabellen (Assets und Threats) nach dem Worst-Case Prinzip aggregiert und mit den Anforderungen bzgl. Vertraulichkeit, Integrität und Verfügbarkeit verglichen. Die Aggregierung berücksichtigt auch spezifische Sicherheitsmaßnahmen, die getroffen wurden, um Schwachstellen bestimmter Assets oder Assetgruppen zu beseitigen.

Business Risk Analyse

Ergebnisse der technischen Risikoanalyse sind sog. Risk Weighted Assets, die in eine nachfolgende Business Risk Analyse einfließen können. Sie bilden somit die Schnittstelle zum Risikomanagement unserer Kunden.

Neben der technischen Risikobewertung gemäß der vorgegebenen Schutzziele sind die damit einhergehenden geschäftlichen Risikofaktoren, wie Unternehmensgewinn, Wettbewerbsfähigkeit, Unternehmensruf und Kundenerwartung von entscheidender Bedeutung. Zudem muss Ihre Internetanwendung und somit Ihr Unternehmen gesetzliche und vertragliche Anforderungen erfüllen.

Auf der Grundlage von Risk Weighted Assets können unsere Kunden spezifische Risikobewertungen unter Berücksichtigung von Business Impacts durchführen und eine fundierte Entscheidungen zur Behandlung von Risiken treffen.