Cyber Security by Design: wie Sie mit Threat Modeling+ Standards, Richtlinien und Normen erfüllen[V]

Cyber Threats gehen auf 4 Problemfelder zurück. Die Komplexität von Systemen, wie sie die heutige Welt von IoT uns darstellt, sind offene, interagierende Systeme, die manuell nicht beherrschbar sind. Jede Software hat Fehler, was in der Folge alle Systeme eines Unternehmens vulnerabel macht. Bis diese Fehler erkannt werden, vergehen Tage, bis diese Lücken dann geschlossen sind, oft Wochen. Diese Schwachstellen im System erkennen Angreifer leider früher wie das Unternehmen, das Know-How von Angreifern und die Werkzeuge dazu sind heute frei verfügbar. Der Knackpunkt zeigt sich im Entwicklungsprozess von Systemen. Doch hier folgen Security-Überlegungen erst am Schluss, was zu einer unzureichenden Dokumentation führt.

Neue Spielregeln erfüllen mit Threat Modeling+

Diese unzureichende Dokumentation widerspricht branchenspezifischen Standards und Normen, die Unternehmen zu erfüllen haben. So ist zum Beispiel der Industrial Security Standard (IEC62443) zu erwähnen oder auch die ISO/SAE-214343, die Risikoanalyse und Systemdesign gleichermaßen verpflichtend vorsieht. Zukünftig wird durch den Cyber Resilience Act ein solcher Ansatz für alle digitalen Systeme vorgeschrieben.

Threat Modeling+: Digitalisierung der Lösungsfelder mit „Cyber Security by Design“.

Mit welchen Lösungen lassen sich diese vier skizierten Problemfelder gezielt lösen? Der Ansatz von „Cyber Security by Design“ mit seiner Umsetzung in Threat Modelling existiert schon länger. Hier geht es darum, potenzielle Gefahren im Systemmodell auf Basis eines Gefahrenmodells zu erkennen. Das AIT Austrian Institute of Technology hat dieses Modellierungs-Verfahren mit Künstlicher Intelligenz und branchenspezifischen Gefahrenkatalogen unter den Namen „ThreatGet“ weiterentwickelt. Diese neu entwickelte „Threat Modeling+“ Methodik berücksichtigt zusätzlich das potenzielle Angreifer-Modell und zeigt in der Risikoanalyse auch den Angriffsweg auf einzelne Systemelemente auf. Gefahren werden also über das gesamte System evaluiert, das Entwickeln ganzheitlicher Abwehrmechanismen wird möglich. Für die Erfüllung von Standards, Normen und Richtlinien ist das Verfolgen dieses Prozesses und die damit verbundene Dokumentation verpflichtend. ThreatGet, wie es vom AIT entwickelt wurde, entdeckt nicht nur automatisiert diese Gefahren, sondern ermöglicht die Rückverfolgbarkeit und dokumentiert sie richtlinienkonform.

Kontakt

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cyber Security by Design: wie Sie mit Threat Modeling+ Standards, Richtlinien und Normen erfüllen[V]

Digital Business und IT-Management (Modul 3: IT-Strategie)

Datenarchitektur entwickeln und umsetzen: Data-Excellence, Datenintegration, Data-Governance (EAM-Lehrgang Modul 3)

Technologie-, Integrations- und Plattformarchitekturen entwickeln und umsetzen – als Live Online Seminar (EAM Modul 5)