Haben Sie alles bei der Sicherheit Ihrer Web-Anwendung berücksichtigt?

Mit einem Sicherheitskonzept werden keine Risiken und Bedrohungen übersehen!

Hinweise: Dieses Beratungspacket wird durch einen unserer Partnern angeboten

Häufig werden die Web-Anwendungen ohne die Sicherheit im Hinterkopf implementiert. Oder die Sicherheit wird hinterher obendrauf implementiert. Oder die Entscheidung über die Implementierung der Schutzmaßnahmen wird allein den Entwicklern überlassen. Doch erst mit Kenntnis der Infrastruktur und der Ziele ist es möglich, effektive Schutzmaßnahmen umzusetzen. Deswegen sollte die Sicherheit der Web-Anwendung schon bei der Entwicklung eine wichtige Rolle spielen. Denn nur mit den richtigen Entscheidungen kann die Sicherheit entscheidend beeinflußt werden. Genau das ist der Zweck eines Sicherheitskonzeptes, objektive Entscheidungen bezüglich Sicherheit zu treffen und zu dokumentieren.

Allgemein

Kontakt

Haben Sie Fragen oder Anregungen? Schicken Sie uns eine E-Mail an info@jsperts.de oder rufen Sie uns unter 06151-8005540 an. Sie können auch gerne unser Anfrage-Formular benutzen.

Ablauf

1) Strukturanalyse

In einem Gespräch mit den Betreibern und den Entwicklern erarbeiten wir die Infrastrukur und bestimmen die schützenswerten Daten. Ein Sicherheitskonzept hat das Ziel, den Schutz der ausgewählten Web-Anwendung optimal zu organisieren. Dazu ist es notwendig, das zu schützende Objekt in seiner Gesamtheit zu erfassen. Dazu gehört neben der Web-Anwendung selbst auch seine Umgebung. Vor allem die schützenswerten Daten und Prozesse der Web-Anwendung müssen bestimmt werden. Einerseits kann man als Außenstehender die schützenswerten Eigenschaften weniger gut einschätzen. Andererseits sieht man den Schutzbedarf vieler Eigenschaften, die sonst übersehen werden.

Bei der Strukturanalyse geht es vor allem um folgendes:

  • Wo und wie wird die Web-Anwendung betrieben?
  • Wo sind die Grenzen/Schnittstellen der Web-Anwendung?
  • Welche Komponenten wirken wie auf die Web-Anwendung?
  • Welchen Zweck hat die Anwendung und was sind die wichtigen Geschäftsprozesse?
  • Welche geschäftskritischen Daten werden verarbeitet und gespeichert?

2) Auswertung

Während der Analyse stimmen wir den Schutzbedarf der einzelnen Komponenten ab, führen eine Risikobewertung durch und bestimmen effektive Schutzmaßnahen

Ein gelungenes Sicherheitskonzept setzt voraus, dass der Schutzbedarf einstimmig festgelegt wurde. Dazu erarbeiten wir einen unabhängigen Vorschlag für den Schutzbedarf der einzelnen Komponenten und der Daten. Die Risikoanalyse und die Auswahl der Schutzmaßnahmen führen wir weitestgehend autark durch, nachdem wir mit Ihnen den Schutzbedarf abgestimmt haben.

Feststellung des Schutzbedarfs

  • Welche Schäden können entstehen, wenn eine Funktionalität beeinträchtigt wird?
  • Welche Auswirkungen hat die Beeinträchtigung von Vertraulichkeit, Integrität oder Verfügbarkeit?
  • Welche Schadensszenarien können durch die Beeinträchtigung entstehen?

Risikoanalyse

  • Welche Gefährdungen können die Schutzziele bedrohen?
  • Wie wahrscheinlich ist die Gefährdung und wie groß sind die Auswirkungen?
  • Welche essentiellen Gefährdungen existieren außerhalb von konventionellen Angriffen?

Auswahl der Schutzmaßnahmen

  • Welche Gefährdungen sollen durch zusätzliche Schutzmaßnahmen geschützt werden?
  • Bewertung der Schutzmaßnahmen bezüglich der Vollständigkeit, Wirksamkeit und Zuverlässigkeit?
  • Bieten die Schutzmaßnahmen ausreichenden Schutz gegen die ermittelten Gefährdungen?

3) Dokumentation

Unser Sicherheitskonzept enthält eine ausführliche Dokumentation zu allen durchgeführten Analysen und Bewertungen. Die getroffenen Entscheidungen werden im Kontext der konkreten Anwendung begründet und nachvollziehbar dokumentiert. Die Bewertung der Gefährdungen wird aufgrund von objektiven Kriterien durchgeführt, ebenso wie die Auswahl der passenden Schutzmaßnahmen. Damit wird ein optimales Ergebnis mit maximaler Transparenz erreicht, so dass dieses Sicherheitskonzept Dritten zugänglich gemacht werden kann.

4) Präsentation

In einer gemeinsamen Besprechung wird das ausgearbeitete Sicherheitskonzept vorgestellt und die getroffenen Entscheidungen und Schutzmaßnahmen erörtet. Dieser Abschitt kann entweder in einer Telefonkonferenz oder bei Ihnen vor Ort durchgeführt werden.

Anfrage