info@conplement.de |  +49 911 25509760
conplement AG

conplement Blog


Security (Canvas): Wie fange ich an?

Jürgen Acker - 02.03.2020

Mit dem Cherokee-Hack (2015), Mirai (2016), Equifax Datendiebstahl (2017) oder Melt-down/Spectre (2018) taucht Cyper Security mittlerweile nahezu regelmäßig in den Nachrichten auf. Security ist nicht mehr nur ein Fachthema für Experten, sondern hat die breite Öffentlichkeit längst erreicht.

Das richtige Maß finden 

Mediale Präsenz ist von Firmen gerne gesehen, nur in die Hauptnachrichten in Folge eines eigenen Security Vorfalls möchte niemand. Mittlerweile ist die Wichtigkeit von Security in der vernetzten Welt und für IoT unbestritten. Die Cyberwar-Debatte zeigt eine Verschärfung der Bedrohungslage durch professionelle und ressourcenstarke Angreifer. Sie lässt Forderungen nach gesetzlicher Regulierung laut werden. Schließlich droht die DSGVO durchaus empfindliche Strafen an. 

Aber hundertprozentige Sicherheit ist grundsätzlich nicht möglich. Nicht jedes Projekt ist ein Hochsicherheitsprodukt. Schließlich soll die Angst vor Sicherheitsvorfällen Innovationen nicht im Keim ersticken. Trotzdem ist es wichtig, sich Gedanken über Security zu machen. Insbesondere müssen sich Verantwortliche die Frage nach dem richtigen Maß für das jeweilige Vorhaben stellen. Das ist oft nicht einfach. Denn Security ist ein komplexes, weitreichendes und umfassendes Thema. Es stellt sich außerdem die Frage: Wie lassen sich die verschiedenen Beteiligten im Projekt auf einen Nenner bringen?

Schnell, einfach und lean Ergebnisse erzielen
Ein Blick über den Tellerrand zu Lean & Agile hilft auch in diesem Bereich weiter. Deshalb haben wir bei der conplement AG die Methodik des Business Model Canvas auf Security übertragen. So konnten wir mit unserem Security Canvas (vgl. Abbildung/V1) ein leichtgewichtiges Werkzeug schaffen. Durch die Visualisierung im Canvas lässt sich gerade bei unterschiedlichsten Stakeholdern im Team ein erster Überblick erstellen. 



Im Zentrum stehen die Funktionen. Denn es gilt die Funktionalität – ob bestehend oder geplant – zu sichern. Im Hinblick auf Security ist vor allem der Zugang zu den Funktionen zu betrachten. Entsprechend sind rechts im Canvas die Zugänge und Personen, die diese nutzen, zu sehen. Zu dieser äußeren Sicht kommt auf der linken Seite die innere Sicht, d.h. die (angedachte) Architektur des Systems mit seinen Komponenten. Diese Komponenten kommunizieren beispielsweise über Feldbusse, Internet oder bieten direkt ein API an.  Solche Kommunikations- und Schnittstellen sind ein weiterer Punkt der Securitybetrachtung. Deshalb nehmen die zugehörigen Schutzmechanismen ein weiteres Feld im Canvas ein (z.B. HTTPS als sicheres Protokoll).

Natürlich macht aller Aufwand nur Sinn, wenn es etwas zu schützen gibt. Deswegen bilden die Schutzgüter ein weiteres Feld. Typischerweise schützenswert sind personenbezogene Daten oder bestimmte Funktionen (z.B. Wartungszugang nur für Service). Wird der Schutz verletzt, entsteht ein Schaden, beispielsweise indem der Ruf der Firma leidet. Daher gilt es die Schadenspotenziale zu erfassen und auch die wahrscheinlichen Angreifer zu charakterisieren. Schließlich macht es einen großen Unterschied, ob ein Projekt ein Angriffsziel im Cyberwar sein könnte oder nur unbeabsichtigte Fehlbedienung ausgeschlossen werden muss. Rahmenbedingungen, wie Einsatzumgebung oder regulatorische Anforderungen runden das Ganze ab. Gerade zu Projektbeginn können Verantwortliche so durch das Canvas einen fundierten Überblick gewinnen und das benötigte Securitylevel abschätzen.

Und dann – wie geht es weiter?
Das kommt auf die Ergebnisse an. Ist eine Reihe von zu schützenden Gütern gefunden – egal, ob personenbezogene Daten oder Intellectual Property – ist eine vollständige Threat and Risk Analysis (TRA) als nächster Schritt sinnvoll. So lassen sich Risiken aus technischer und organisatorischer Sicht einschätzen und geeignete Gegenmaßnahmen definieren. Die Ergebnisse aus allen Feldern des Security Canvas finden hier ihre Verwendung. Entwicklungsbegleitend lässt sich der Security Canvas bei der Umsetzung weiter nutzen – dann mit Fokus auf einzelne Komponenten oder Funktionen. Besonders gut passt der Canvas zu agilen Teams.Die Ergebnisse lassen sich je nach Umfang in die Verfeinerung der TRA, Backlog Items oder eine Komponenten-TRA überführen. 

Zurück


Kommentare



Kommentar erstellen

Name:*
E-Mail:*
Webseite:
Kommentar:
Die mit * markierten Felder sind Pflichtfelder.


Sie haben noch Fragen?

Franziska Stephan
Ihre Ansprechpartnerin

Franziska Stephan
Marketing Specialist

Kontakt
franziska.stephan@conplement.de
Tel.: +49 911 25 50 976 862


Sie wollen ein Teil der conplement AG werden?

Jetzt bewerben


Cookies erleichtern die Bereitstellung unserer Dienste. Hierzu nutzen wir nur technisch notwendig Cookies. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.
Datenschutzerklärung
OK