Security by Design

Sicherheit beginnt beim Design des Fundaments.

Wieso ist Security by Design wichtig?

Security by Design stammt ur­sprüng­lich aus der Soft­ware­ent­wicklung, muss jedoch ganz­heit­lich ver­stan­den wer­den: Sowohl die Pro­zesse als auch die Infra­struk­tur und Soft­ware einer Orga­nisa­tion müs­sen einem indivi­duel­len IT-Sicher­heits­niveau genü­gen, was bereits bei der Pla­nung berück­sichtigt wer­den muss.

Neben effi­ziente­ren Arbeits­pro­zes­sen ver­hin­dert Security by Design hohe Folge­kos­ten; Studien zeigen, dass die Kos­ten zur Behe­bung von Sicher­heits­män­geln wäh­rend der Imple­men­tierungs­phase 6,5 Mal, während der Test­phase 15 Mal und nach dem Re­lease 60 Mal so hoch sind, als wenn wäh­rend der Design­phase sicher ge­plant wor­den wäre.

Sicher­heit kann aus wirt­schaft­lichen Gesichts­punk­ten zudem nicht be­deuten „So sicher wie möglich“. Wir beant­worten gemein­sam mit Ihnen, wie sicher Ihre Pro­zesse und Anwen­dungen sein müssen und sorgen dafür, dass Sie statt Angst vor Gefah­ren Ver­trauen in die Archi­tektur Ihrer Pro­zes­se und An­wen­dun­gen haben.

Bedarfsgerechte IT-Sicher­heit für ökono­misch effi­ziente Pro­zesse und Anwen­dungen
Vermeidung teurer Fehler­behe­bungen zu einem spä­teren Zeit­punkt
Schutz vor Ver­mö­gens- und Re­pu­ta­tions­schä­den durch Sich­er­heits­vor­fälle
Vertrauen in die eige­nen Pro­zesse und Anwen­dungen

Welche Module für Security by Design gibt es?

Konzepterstellung

Für das Design einer siche­ren Archi­tektur, welche die vier Ebe­nen der Infor­mations­sicher­heit (Schutz, Abschreckung, Ent­deckung und Reak­tion) berück­sich­tigt, iden­tifizie­ren wir zu­nächst Risi­ken und Be­dro­hungen. Nur durch eine Risiko­ana­lyse und ein Threat Model­ling kön­nen Stra­tegien und Gegen­maß­nah­men für eine si­chere Archi­tek­tur ent­wickelt wer­den. Wir unter­stützen Sie bei der Kon­zep­tion von Pro­zes­sen und An­wen­dungen und über­neh­men die Ent­wurfs­prü­fung, sodass be­reits früh­zeitig Sicher­heits­aspek­te be­rück­sich­tigt wer­den können.

Infor­mations­sicher­heits­mana­ge­ment

Unter Informa­tions­sicher­heits­mana­gement wer­den nach ISO/IEC 27001 Maß­nahmen und Rege­lungen ver­sta­nden, welche die Sicher­heit von Infor­ma­tio­nen und Sys­temen dauer­haft garan­tieren und stän­dig verbes­sern sol­len. Wir defi­nieren gemein­sam mit Ihnen das erfor­derliche Sicher­heits­niveau für Ihre Orga­nisa­tion und erar­beiten hier­für ein IT-Sicher­heits­kon­zept. Durch diese tech­ni­schen und orga­nisa­tori­schen Maß­nahmen und Rege­lungen wird öko­nomisch-effi­zient das ange­streb­te Ziel der IT-Sicher­heit erreicht. Wir unter­stützen Sie außer­dem bei der Auf­stel­lung von Krisen-Einsatz­plänen, um im Fall der Fälle auf die Disaster Recovery vorber­eitet zu sein.

Sicherheit im Entwicklungsprozess

Im Ent­wicklungs­prozess werden die Vor­gaben einer siche­ren Archi­tek­tur umge­setzt. Wir unter­stützen Sie einen robus­ten Ent­wicklungs­prozess zu defi­nieren, der Feh­ler wäh­rend der Im­ple­men­tie­rung auf­deckt und sichere Soft­ware lie­fert. Best Prac­tices wie Peer Reviews, Automa­tisie­rung und Tes­ting, Para­digmen und Check­listen hel­fen dabei Feh­ler zu ver­mei­den.

Schulungen

Tech­nische Maß­nahmen zum Schutz von Infra­struk­tur und Da­ten sind ver­gleichs­wei­se ein­fach umzu­setzen. Diese wer­den von orga­nisationel­len Maß­nahmen unter­stützt, die das Ver­halten von Men­schen beein­flussen sol­len. Diese kom­plexe Auf­gabe kann durch Schulun­gen unter­stützt wer­den, um das Bewusst­sein für Sicher­heit und Daten­schutz zu schaf­fen. Wir demons­trieren in Live Hacking-Vor­trägen unbe­wusste Ge­fahren, schaf­fen die­ses Bewusst­sein in speziel­len Aware­ness-Schulun­gen und unter­stützen das Ent­wicklungs­team mit unserer Secure Coding-Schu­lung.

Weitere Information zum PHP Security Training
Mängel in der Pla­nung füh­ren zu hohen Folge­kosten und Image­verlust.
Sorgen Sie für Security by Design.

Aktuelle Artikel zum Thema Security by Design

Vertrauen ist gut. Kontrolle ist besser.

Andreas Sperber hat auf der 17. GPN über Ver­trauens­proble­me in PKIs gespro­chen. Mit "Ver­trauen ist gut. Kon­trolle ist bes­ser." ruft er Dienst­betrei­ber zum han­deln auf. (weiterlesen)