Entwickler wollen Lösungen erstellen, Fachabteilungen wünschen Ergebnisse, und die Führungsebene drückt auf die Kosten: Security geniesst in IT-Projekten oft den Status als hinderlicher Zwang. Dabei sind Gefahren wie Identitätsdiebstahl, manipulierte Daten, lahmgelegte IT-Dienste oder Bedienungsfehler nach wie vor real. Das Wichtigste an IT-Systemen sind die Daten. Dennoch zeigt sich in der Praxis, dass viele Organisationen den Wert ihrer Daten nicht kennen. Dieser bemisst sich am Schaden, der entsteht, wenn die Vertraulichkeit, die Integrität und/oder die Verfügbarkeit der Daten leiden. Ein griffiges Sicherheitsdispositiv beginnt deshalb mit der Analyse und Klassifizierung aller relevanten Datenarten inklusive der Abklärung, wem die Daten intern «gehören». Beim Festlegen der Sicherheitsanforderungen muss klar sein, dass Security nicht für die IT gemacht wird, sondern für die jeweiligen Abteilungen, welche die Daten im Geschäftsalltag benötigen. Das Risiko, das von Bedrohungen wie Hacking oder fehlenden Backups ausgeht, lässt sich konkret berechnen: Es ist proportional zur Wahrscheinlichkeit eines Datenverlusts und den Folgen daraus, die wiederum mit dem Wert der betroffenen Daten zusammenhängen. Für die Bewertung im Rahmen des Threat Modeling spielt weiter eine Rolle, welches Mass an Risiko die Organisation oder die Abteilung in Kauf nimmt.
Sicherheit bis ins Detail Auf Basis der generellen Risikobewertung kann das fragliche System – eine Anwendung, ein Server oder die ganze IT-Infrastruktur – im Detail analysiert werden. Zudem können entsprechende Sicherheitsmassnahmen getroffen werden. Zur Analyse der Systemkomponenten und Abhängigkeiten eignen sich etwa Datenflussdiagramme. Bedrohungen lassen sich für jedes einzelne Element anhand der STRIDE-Klassifikation identifizieren, die Microsoft für den eigenen «Secure Development Process» entwickelt hat. Für die Einteilung der Risiken in die Kategorien «niedrig», «mittel», «hoch» und «kritisch» gibt es die DREAD-Methode. Die konkreten Sicherheitsmassnahmen, etwa ein kürzerer Session-Timeout gegen Datendiebstahl, ermittelt man für jede Bedrohung mit Hilfe von so genannten «Threat Trees». Threat Modeling ist weder hohe Wissenschaft noch braucht es dazu komplizierte Werkzeuge. Im Prinzip genügen Stift und Papier oder eine Excel-Tabelle. Es geht darum, zu kategorisieren, eine Risikobewertung zu machen und die Gegenmassnahmen zu definieren, um kostengünstig ein adäquates Sicherheitsniveau zu erreichen. So findet man in der Organisation ein gemeinsames Sicherheitsverständnis. Hilfreich ist es, Threat Modeling von Anfang an ins Projekt zu integrieren und später im Projektverlauf agil weiterzuführen.
