essential
essential

Risikomanagement

Durch das Management Ihrer Risiken können Sie Ihre begrenzten Ressourcen effizient nutzen

Wie viele Ressourcen sollte man wann in die Sicherheit investieren?

Investitionen in die Sicherheit sollten genauso behandelt werden wie andere Investitionen - beispielsweise in Marketing, Personal, Hardware oder Software. In jedem dieser Fälle stehen grundsätzlich folgende Fragen im Mittelpunkt:

  • Welchen zusätzlichen Umsatz können wir erzielen, wenn wir in die Sicherheit investieren?
  • Welche Konsequenzen drohen, wenn wir dies unterlassen?
  • Wie wahrscheinlich ist es, dass solche Ereignisse eintreten?

Die Antworten hängen von zahlreichen Faktoren ab - etwa Branche, Firmengröße, Wettbewerb und Unternehmenszielen. Dennoch haben sich einige grundlegende Ratschläge als allgemeingültig erwiesen:

  • Alle durch einen Pentest entdeckten Lücken, die in einem einzigen Schritt zu einem Datenverlust führen können, müssen sofort behoben werden.
  • Schwachstellen mit einem hohen Risikoscore - also über 7 - sind zügig in den Entwicklungsprozess zu integrieren.
  • Je nach Branche sollte langfristig 10% bis 20% der Entwicklungskapazität für Sicherheitsmaßnahmen eingeplant werden.

Solche allgemeingültigen Regeln erläutern wir Ihnen im individuellen Abschlussgespräch, in dem wir Ihre konkrete Situation berücksichtigen.

Allerdings liegt häufig der Teufel im Detail: Was bedeutet etwa “sofort”? Sollte ein Patch zunächst ausgiebig getestet werden - was das Deployment verzögern kann - oder dürfen ungetestete Patches eingespielt werden, getreu dem Motto: Besser eine funktionsunfähige Webseite als eine Webseite, in der Kundendaten verloren gehen? Diese Abwägung zwischen zwei Risiken durchzieht das gesamte Sicherheitsmanagement.

Grundlegende Dokumentation der Risikobehandlung

Hier unterstützen wir Sie mit unseren Beratungsdiensten: Ein Senior Consultant erarbeitet gemeinsam mit Ihnen eine Liste grundlegender Fragestellungen und leitet daraus konkrete Prozesse sowie Handlungsanweisungen ab. Vor allem entwickelt unser Consultant mit Ihnen einen Prozess zur Behandlung zentraler, risikorelevanter Themen - denn ebenso wichtig wie die Antwort auf eine Frage ist die Dokumentation aller Abwägungen und Begründungen der jeweiligen Entscheidung.

Zudem helfen wir Ihnen, die optimale Form der Dokumentation zu finden. In vielen Fällen genügt bereits eine Excel-Datei; in komplexeren Situationen beraten wir Sie bei der Auswahl geeigneter Software. Dabei können Sie sich auf unsere Erfahrung und vor allem auf unsere unabhängige Beratung verlassen - wir nehmen in keiner Situation Zahlungen (z.B. Kickbacks) von Dritten an.

Eine solche Dokumentation grundlegender Risikorichtlinien bietet zahlreiche Vorteile:

  • Nachvollziehbarkeit: Daraus abgeleitete Richtlinien - etwa Programmierrichtlinien - sind für die Entwickler langfristig nachvollziehbar und somit umsetzbar.
  • Schulung: Neue Mitarbeiter können gezielt anhand dieser Richtlinien geschult werden, sodass sie vom ersten Tag an die wesentlichen Verhaltensweisen einhalten.
  • Nachweisbarkeit: Das Management kann im Falle von Sicherheitsvorfällen belegen, dass angemessene Sicherheitsmaßnahmen ergriffen wurden.
  • Kontrolle: Nach jedem Sicherheitsvorfall lässt sich überprüfen, inwieweit die bestehenden Risikorichtlinien umgesetzt wurden - und gegebenenfalls sowohl die Umsetzung als auch die Richtlinien anpassen.
  • Evaluierung: Weitere Investitionen in Software oder Dienstleistungen können anhand dieser Risikolisten bewertet werden, um sicherzustellen, dass alle Schritte der Wertschöpfungskette den erforderlichen Sicherheitsstandard gewährleisten.

Kontinuierliche Dokumentation aktueller Risiken

Im nächsten Schritt unterstützen wir Sie dabei, auch die im Rahmen eines Pentests identifizierten aktuellen Risiken in diese Liste zu integrieren. So behalten Sie stets den Überblick darüber, welche Risiken bereits behoben und welche noch offen sind.

Diese Übersicht hilft Ihnen langfristig, den Aufwand für Sicherheitsmaßnahmen in Ihrem Entwicklungsprozess zu optimieren. Sinkt der Umfang der Liste, können Sie davon ausgehen, dass Ihre aktuellen Maßnahmen ausreichend sind. Treten hingegen neue Risiken schneller auf, als bestehende behoben werden können, müssen Sie entweder den Prozess anpassen oder schlichtweg mehr Ressourcen für Sicherheitsthemen bereitstellen. Außerdem lassen sich so Duplikate schneller erkennen und Maßnahmen zusammenführen - was in der Regel zu einer höheren Effizienz führt.

Zudem unterstützt Sie die Liste bei der schnellen Analyse neuer Exploits. So können Sie rasch feststellen, ob Sie betroffen sind und welche Komponenten ausgetauscht oder gepatcht werden müssen, um Ihre Angriffsfläche zu reduzieren.

Transformationen aufgrund des Risikomanagements planen

Oft zeigt der erste durchgeführte Pentest einer Firma auf, dass kontinuierliche Sicherheitsarbeit auf allen Ebenen unerlässlich ist. In dieser Situation besteht häufig eine signifikante Diskrepanz zwischen den unmittelbar umzusetzenden Maßnahmen und den verfügbaren Ressourcen. Selbst wenn Einsicht, Wille und finanzielles Engagement vorhanden sind, erfordert die Umsetzung vieler Maßnahmen einfach Zeit.

Auch die schiere Anzahl an identifizierten Risiken birgt die Gefahr, dass einzelne Aspekte übersehen werden oder dass allein die Risikobewertung zu viel Zeit in Anspruch nimmt.

In dieser kritischen Anfangsphase unterstützen wir Sie bei der Durchführung einer Triage, um die wirklich hohen Risiken rasch zu identifizieren - ohne dabei wichtige Punkte zu übersehen. Zudem zeigen wir Ihnen verschiedene, auf den ersten Blick unkonventionelle Handlungsoptionen auf, die Ihnen in Ihrem Fall helfen können, sehr schnell und mit geringem Aufwand zumindest das Schlimmste zu verhindern.

Beispielsweise verwendete ein Kunde eine veraltete und damit verwundbare Library zur Verwaltung von Business Rules. Die naheliegende Lösung wäre gewesen, diese Library auf die neueste Version zu aktualisieren. Allerdings war dies im konkreten Fall zu zeitintensiv, da zwischen der aktuellen und der eingesetzten Version massive Unterschiede in Syntax und Semantik der Business Rules bestanden. Zwar wäre ein Neuschreiben der Regeln theoretisch möglich gewesen, jedoch hätte das fachliche Testen zu einem nicht akzeptablen Aufwand geführt.

Daher haben wir für den Kunden eine externe Firewall (in diesem Fall Akamai) implementiert und die Schwachstelle durch eine kundenspezifische Regel in dieser Firewall behoben. Dies war zwar keine perfekte Lösung, ermöglichte es dem Kunden jedoch, eine schwerwiegende Sicherheitslücke innerhalb von drei Tagen zu schließen - eine Maßnahme, die sonst Monate in Anspruch genommen hätte.

Dank unserer teilweise jahrzehntelangen Erfahrung können wir häufig die Zeit zur Wiederherstellung eines sicheren Betriebs erheblich verkürzen.

© 2024 JUBECO GmbH
essential