Jürgen über unser Security Canvas

Mit dem Cherokee-Hack (2015), Mirai (2016), Equifax Datendiebstahl (2017) oder Melt-down/Spectre (2018) taucht Cyper Security mittlerweile nahezu regelmäßig in den Nachrichten auf. Security ist nicht mehr nur ein Fachthema für Experten, sondern hat die breite Öffentlichkeit längst erreicht.
Jürgen Acker
Jürgen Acker
2.03.2020
Schloss | © wk1003mike/shutterstock.com
Das richtige Maß finden

Mediale Präsenz ist von Firmen gerne gesehen, nur in die Hauptnachrichten in Folge eines eigenen Security Vorfalls möchte niemand. Mittlerweile ist die Wichtigkeit von Security in der vernetzten Welt und für IoT unbestritten. Die Cyberwar-Debatte zeigt eine Verschärfung der Bedrohungslage durch professionelle und ressourcenstarke Angreifer. Sie lässt Forderungen nach gesetzlicher Regulierung laut werden. Schließlich droht die DSGVO durchaus empfindliche Strafen an. Aber hundertprozentige Sicherheit ist grundsätzlich nicht möglich. Nicht jedes Projekt ist ein Hochsicherheitsprodukt. Schließlich soll die Angst vor Sicherheitsvorfällen Innovationen nicht im Keim ersticken. Trotzdem ist es wichtig, sich Gedanken über Security zu machen. Insbesondere müssen sich Verantwortliche die Frage nach dem richtigen Maß für das jeweilige Vorhaben stellen. Das ist oft nicht einfach. Denn Security ist ein komplexes, weitreichendes und umfassendes Thema. Es stellt sich außerdem die Frage: Wie lassen sich die verschiedenen Beteiligten im Projekt auf einen Nenner bringen?

Schnell, einfach und lean Ergebnisse erzielen

Ein Blick über den Tellerrand zu Lean & Agile hilft auch in diesem Bereich weiter. Deshalb haben wir bei der conplement AG die Methodik des Business Model Canvas auf Security übertragen. So konnten wir mit unserem Security Canvas (vgl. Abbildung/V1) ein leichtgewichtiges Werkzeug schaffen. Durch die Visualisierung im Canvas lässt sich gerade bei unterschiedlichsten Stakeholdern im Team ein erster Überblick erstellen. Im Zentrum stehen die Funktionen. Denn es gilt die Funktionalität – ob bestehend oder geplant – zu sichern. Im Hinblick auf Security ist vor allem der Zugang zu den Funktionen zu betrachten. Entsprechend sind rechts im Canvas die Zugänge und Personen, die diese nutzen, zu sehen. Zu dieser äußeren Sicht kommt auf der linken Seite die innere Sicht, d.h. die (angedachte) Architektur des Systems mit seinen Komponenten. Diese Komponenten kommunizieren beispielsweise über Feldbusse, Internet oder bieten direkt ein API an. Solche Kommunikations- und Schnittstellen sind ein weiterer Punkt der Securitybetrachtung. Deshalb nehmen die zugehörigen Schutzmechanismen ein weiteres Feld im Canvas ein (z.B. HTTPS als sicheres Protokoll).

Natürlich macht aller Aufwand nur Sinn, wenn es etwas zu schützen gibt. Deswegen bilden die Schutzgüter ein weiteres Feld. Typischerweise schützenswert sind personenbezogene Daten oder bestimmte Funktionen (z.B. Wartungszugang nur für Service). Wird der Schutz verletzt, entsteht ein Schaden, beispielsweise indem der Ruf der Firma leidet. Daher gilt es die Schadenspotenziale zu erfassen und auch die wahrscheinlichen Angreifer zu charakterisieren. Schließlich macht es einen großen Unterschied, ob ein Projekt ein Angriffsziel im Cyberwar sein könnte oder nur unbeabsichtigte Fehlbedienung ausgeschlossen werden muss. Rahmenbedingungen, wie Einsatzumgebung oder regulatorische Anforderungen runden das Ganze ab. Gerade zu Projektbeginn können Verantwortliche so durch das Canvas einen fundierten Überblick gewinnen und das benötigte Securitylevel abschätzen.

Security Canvas  | © Security Canvas von der conplement Ag basiernd auf dem BMC Canvas von strategyzerAG
Unser Security Canvas.
Und dann – wie geht es weiter?

Das kommt auf die Ergebnisse an. Ist eine Reihe von zu schützenden Gütern gefunden – egal, ob personenbezogene Daten oder Intellectual Property – ist eine vollständige Threat and Risk Analysis (TRA) als nächster Schritt sinnvoll. So lassen sich Risiken aus technischer und organisatorischer Sicht einschätzen und geeignete Gegenmaßnahmen definieren. Die Ergebnisse aus allen Feldern des Security Canvas finden hier ihre Verwendung. Entwicklungsbegleitend lässt sich der Security Canvas bei der Umsetzung weiter nutzen – dann mit Fokus auf einzelne Komponenten oder Funktionen. Besonders gut passt der Canvas zu agilen Teams.Die Ergebnisse lassen sich je nach Umfang in die Verfeinerung der TRA, Backlog Items oder eine Komponenten-TRA überführen.