Bedrohungsanalyse und Risikomanagement

Risikomanagement umfasst die Identifikation, Bewertung und Behandlung von Risiken, um die Sicherheit und Integrität von Softwareanwendungen zu gewährleisten.

2. Schritte des Risikomanagements:

• Risikobewertung:

  • Beschreibung: Bestimmung der Wahrscheinlichkeit und des potenziellen Schadens jeder identifizierten Bedrohung.
  • Beispiel: Bewertung des Risikos einer SQL-Injection-Attacke anhand ihrer Häufigkeit und der möglichen Auswirkungen auf die Datenbankintegrität.

• Risikobehandlung:

  • Beschreibung: Implementierung von Maßnahmen zur Risikominderung, Vermeidung oder Akzeptanz.
  • Beispiele:
    • Risikominderung: Implementierung von Prepared Statements zur Verhinderung von SQL-Injection.
    • Risikoakzeptanz: Akzeptanz eines geringen Risikos, das nicht kosteneffektiv zu beheben ist.

• Überwachung und Überprüfung:

  • Beschreibung: Kontinuierliche Überwachung der Risiken und Wirksamkeit der Maßnahmen.
  • Beispiel: Regelmäßige Durchführung von Sicherheitstests und Überprüfung der angewendeten Sicherheitsmaßnahmen.

Praxisbeispiele

1. Anwendung von STRIDE:

• Szenario: Eine E-Commerce-Webanwendung soll auf Sicherheitsbedrohungen analysiert werden.
• Vorgehen:
  • Spoofing: Überprüfung der Benutzerauthentifizierung, um sicherzustellen, dass nur autorisierte Benutzer auf ihre Konten zugreifen können.
  • Tampering: Implementierung von Datenintegritätsprüfungen, um sicherzustellen, dass Transaktionsdaten nicht manipuliert werden.
  • Repudiation: Einführung von umfassenden Protokollierungsmechanismen, um alle Benutzeraktionen nachvollziehen zu können.
  • Information Disclosure: Verschlüsselung sensibler Daten, um deren unautorisierte Offenlegung zu verhindern.
  • Denial of Service: Implementierung von DDoS-Schutzmechanismen, um die Verfügbarkeit der Website zu gewährleisten.
  • Elevation of Privilege: Sicherstellung, dass Benutzer nur die minimal notwendigen Rechte haben und keine administrativen Funktionen ausführen können.

2. Risikomanagement in einer Bankanwendung:

• Szenario: Eine Bank entwickelt eine Online-Banking-Plattform und möchte sicherstellen, dass die Anwendung sicher ist.
• Vorgehen:
  • Risikobewertung: Identifizierung von Bedrohungen wie Phishing, Man-in-the-Middle-Angriffen und unautorisiertem Zugriff auf Kontodaten. Bewertung der Risiken basierend auf deren Wahrscheinlichkeit und potenziellem Schaden.
  • Risikobehandlung: Implementierung von Maßnahmen wie Zwei-Faktor-Authentifizierung, Verschlüsselung der Datenübertragung und regelmäßigen Sicherheitsüberprüfungen.
  • Überwachung und Überprüfung: Kontinuierliche Überwachung der Plattform auf verdächtige Aktivitäten und regelmäßige Überprüfung der Sicherheitsrichtlinien und -maßnahmen.