Risikoanalysen und Konzeption

Ein strukturiertes und an allgemein akzeptierten Sicherheitsstandards angelehntes Vorgehensmodell sollte zwingend am Beginn einer jeden neuen oder ergänzenden Sicherheitskonzeption stehen. Bevor über konkrete Maßnahmen oder gar Produkte nachgedacht wird, ist zunächst eine gründliche Sicherheitsanalyse durchzuführen. Hierbei wenden wir den einen zweistufigen Ansatz an, der auch durch die Grundschutzmethodik des BSI umgesetzt wird. Bei dieser Vorgehensweise wird zunächst durch eine Schutzbedarfsanalyse das generelle Schadenspotential des Versagens in einem der drei Grundwerte (Vertraulichkeit, Verfügbarkeit und Integrität) analysiert. Durch unser langjährig erprobtes Verfahren, bestehend aus Fragebögen und Checklisten, wird die Sicherheitsanalyse auf bekannte Problemfelder fokussiert und damit zeitlich beschleunigt. Herangezogen werden sämtliche zur Verfügung gestellten Informationen und Dokumentationen. Mit ausgewählten Mitarbeitern werden zusätzlich begleitende Interviews geführt, um die Analyse im Detail zu vertiefen.

Für diejenigen Systemkomponenten, die einen normalen Schutzbedarf aufweisen, können wir in der Konzeption der Maßnahmen auf einen umfangreichen Vorrat an Standardkonzepten und Best Practices zurückgreifen. Für höher schutzbedürftige Systeme werden Maßnahmen auf Basis nachvollziehbar dokumentierter Risikoanalysen (kompatibel mit ISO 27005 oder auf Wunsch nach BSI 200-3) entwickelt. Hierbei fließen alle Variablen, die zur Beurteilung eines Risikos oder der Wirkungsweise von Maßnahmen relevant sind, ein.

Dies sind:

  • Mögliche Schwachstellen (ggf. auch durch Scan/Pentests ermittelt)
  • Potentielle Angriffsvektoren
  • Motivation des Täters
  • Eintrittswahrscheinlichkeiten elementarer Ereignisse
  • Wirksamkeit vorhandener Maßnahmen
  • Schadenswirkung bei Eintreten der Bedrohung

Anschließende Ausarbeitungen zu Sicherheitsmaßnahmen, sowohl technischer als auch organisatorischer Art, werden in der Form von Sicherheitskonzepten erstellt. Hierbei können wir aus langjähriger praktischer Erfahrung nahezu sämtliche relevanten Bereiche der Sicherheitsorganisation und Sicherheitstechnik abdecken.

  • Arbeiten zur Sicherheitsorganisation umfassen z.B. die Formulierung von Policies und Sicherheitsleitlinien, Empfehlung zu Stellen und Verantwortlichkeiten im Sicherheitsprozess, Vorgaben zur Dokumentation usw.
  • Im Bereich der Sicherheitstechnik können wir bei der Erstellung von Sicherheitskonzepten unterstützen, wie zum Beispiel zum Aufbau von sicheren Netz- und Systemstrukturen, Nutzung von Clouddiensten, der Sicherung von Endpoint-Geräten und Themen der Anwendungssicherheit.