Sicherheitsanforderungen identifizieren
Bedrohungsmodelle und Risikobewertung
Bedrohungsmodelle sind systematische Darstellungen von Bedrohungen, die ein System gefährden können. Sie helfen dabei, potenzielle Sicherheitslücken und Angriffspunkte zu identifizieren.
Risikobewertung ist der Prozess der Identifizierung, Bewertung und Priorisierung von Risiken, gefolgt von der Anwendung von Ressourcen, um diese Risiken zu minimieren, zu überwachen und zu kontrollieren.
Schritte zur Erstellung eines Bedrohungsmodells:
- Systembeschreibung: Detaillierte Beschreibung des Systems und seiner Komponenten.
- Bedrohungsidentifikation: Ermittlung potenzieller Bedrohungen, z.B. durch Brainstorming oder Verwendung von Bedrohungskatalogen wie STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege).
- Risikobewertung: Bewertung der identifizierten Bedrohungen hinsichtlich ihrer Wahrscheinlichkeit und potenziellen Auswirkungen.
- Priorisierung: Einstufung der Bedrohungen nach ihrer Kritikalität und Dringlichkeit der Maßnahmen.
Beispiel: Bedrohungsmodell für ein E-Commerce-System
| Bedrohung | Beschreibung | Wahrscheinlichkeit | Auswirkung | Risiko |
|---|---|---|---|---|
| Spoofing | Angreifer geben sich als legitime Benutzer aus | Mittel | Hoch | Hoch |
| Tampering | Manipulation von Daten während der Übertragung | Hoch | Mittel | Hoch |
| Denial of Service (DoS) | Überlastung des Systems durch Angriffe | Mittel | Hoch | Hoch |
| Information Disclosure | Unbefugter Zugriff auf vertrauliche Informationen | Hoch | Hoch | Sehr Hoch |
Sicherheitsanforderungen in verschiedenen Kontexten
Sicherheitsanforderungen variieren je nach Kontext und System. Hier sind einige typische Kontexte und die entsprechenden Anforderungen:
Datenschutz
- Anforderung: Schutz personenbezogener Daten vor unbefugtem Zugriff.
- Maßnahmen:
- Verschlüsselung sensibler Daten (z.B. AES, RSA)
- Implementierung von Zugangskontrollen (z.B. Rollen- und Rechtemanagement)
Netzwerk-Sicherheit
- Anforderung: Schutz des Netzwerks vor unbefugtem Zugriff und Angriffen.
- Maßnahmen:
- Einsatz von Firewalls und Intrusion Detection Systems (IDS)
- VPN für sichere Remote-Zugriffe
Applikationssicherheit
- Anforderung: Schutz der Anwendung vor Sicherheitslücken und Angriffen.
- Maßnahmen:
- Regelmäßige Sicherheitsupdates und Patches
- Durchführung von Sicherheitsüberprüfungen und Penetrationstests
Einhaltung gesetzlicher und regulatorischer Vorgaben
Viele Unternehmen müssen gesetzliche und regulatorische Anforderungen einhalten, um die Sicherheit ihrer Systeme und Daten zu gewährleisten. Hier sind einige wichtige Standards und Gesetze:
- DSGVO (Datenschutz-Grundverordnung): Europäische Verordnung zum Schutz personenbezogener Daten.
- ISO/IEC 27001: Internationaler Standard für Informationssicherheits-Managementsysteme.
- BSI-Grundschutz: Vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebene Standards und Empfehlungen für IT-Sicherheit.