Fokusthema: Regulatorik

APPLICATION SECURITY SERVICES: APPLIKATIONEN VOR CYBERKRIMINALITÄT SCHÜTZEN

Applikationen sind heute der strategische Motor vieler Unternehmen und werden daher auch immer häufiger zur Zielscheibe von Cyberkriminalität. Mit den Application Security Services werden Prozesse und Lösungen bereitgestellt, welche jede Art von Applikationen eines Unternehmens (vor allem Webanwendungen), in Bezug auf die Datenverfügbarkeit, Datenintegrität und Vertraulichkeit von Daten sicherer machen sollen. Konkret bedeutet das: Die Bereitstellung von Kontrollen und Gegenmaßnahmen, welche nach erfolgreicher Implementierung die Unternehmensanwendungen sowie die entsprechende IT-Infrastruktur grundlegend sicherer machen und diese dadurch auch vor Angriffen von außen, generellem Datenverlust oder missbräuchlicher Nutzung schützen. Auch in Bezug auf regulatorische Anforderungen zum Beispiel aus dem Bereich Datenschutz oder Compliance, unterstützen die Application Security Services den gesetzlichen Vorgaben zu entsprechen. Q_PERIOR hat bereits viele Großunternehmen in den Bereichen Application Security, Business Continuity Management, IT Service Continuity Management und Datenschutz fit gemacht. Die Berater von Q_PERIOR greifen auf viel Erfahrung aus den unterschiedlichsten Branchen zurück, sodass sie Ihnen einen gangbaren Weg in Richtung Cybersicherheit aufzeigen können. Wir verfügen über praxiserprobte Prozesse, Tools und Templates, die wir problemlos auch auf Ihre individuellen Anforderungen adaptieren können.

Nachfolgend finden Sie detaillierte Informationen zu unserem fünfstufigen Application-Security-Prozess. Der Prozess kann dabei komplett oder in Teilen durchlaufen werden. Basierend auf unserer Erfahrung raten wir allerdings immer zu einer Analyse Ihrer IT-Landschaft, weshalb Sie die ersten beiden Prozessschritte nicht auslassen sollten. Teilweise kann es sogar notwendig sein, einen Schritt vor dem Application-Security-Prozess anzusetzen, um sich erst einmal ein Gesamtbild der jeweiligen IT-Systeme zu machen.

Prozess zur Umsetzung von Application Security

1. Klassifizierung von Informationen

  • Datenklassifizierung zum Datenschutz: Es wird untersucht, welche Arten von Daten verarbeitet werden und wie diese zu klassifizieren sind. Dies hat wiederum direkte Auswirkungen auf die Schutzbedarfsklasse.

  • Tools: Automatisierter Fragenkatlog und Excel-basierte Listen und Kalkulationstools
    Ein mögliches Ergebnis ist eine Unterteilung der Daten in Public -, Internal-, Confidential – oder Strictly-Confidential-Daten.

2. Durchführung einer Business-Impact-Analyse

  • Bestimmung des Risikolevels der Applikation: Es wird mittels einer Prüfung der Wichtigkeit der Applikation, etwa in Bezug auf Verfügbarkeit und Integrität der Daten, der Schadenshöhe bei einem Ausfall oder High-Level-Fragen zur technischen Implementierung der Applikation (z.B. in Bezug auf die Authentifizierungsmethode) für den Geschäftsbetrieb noch einmal die Schutzbedarfsklasse weiter validiert. Hierbei fließt auch die Informationsklassifizierung mit ein.

  • Tools: Automatisierter Fragenkatlog und Excel basierte Listen und Kalkulationstools
    Durch unterschiedliche Kalkulationen, je nach Beantwortung des Fragenkatlogs, gibt es eine Beurteilung des Risikolevels von sehr gering bis sehr hoch.

3. Assessment des Application-Security-Status

  • Feststellung des aktuellen Sicherheitsstatus: Für die Abfrage zur Umsetzung von Kontrollen und Gegenmaßnahmen sind kurzgefasste und gut strukturierte Checklisten zu empfehlen, die auf Best Practices und Branchen-Standards basieren. Mittels dieser Checklisten und weiterer Abfragen, soll der aktuelle Implementierungsstatus in Bezug auf die jeweiligen Kontrollen herausgefunden werden, um daraus konkrete Implementierungsmaßnahmen vorzugeben.

  • Tools: Excel-basierte Checklisten und Best-Practice-Kontrollen-Kataloge (mit Vorschlägen zu Schutzmaßnahmen zu allen relevanten Sicherheitsaspekten)

4. Gegenmaßnahmen und Kontrollen

  • Umsetzung der Implementierungsmaßnahmen: Je nach Schutzbedarfsklasse und Risikolevel werden unterschiedliche Kontrollen und Gegenmaßnahmen eingefordert. Weiterhin gibt es klare Empfehlungen, welche Maßnahmen umgesetzt werden sollten und wie hoch das Risiko bei einer mangelhaften Umsetzung ist.

  • Tools: Excel-basierte Checklisten und auf die jeweilige Applikation angepasste Kontrollen-Kataloge.

5. Auditierung der Umsetzung von Kontrollen sowie mögliche weitere Tests

  • Überprüfung der Umsetzung: Durch eine spätere Auditierung zur Umsetzung der Kontrollen wird geprüft, ob die Gegenmaßnahmen entsprechend implementiert wurden. Zudem empfiehlt es sich, durch Penetrationstests die Applikationssicherheit zusätzlich zu analysieren.

  • Tools: diverse Audit-Management-Tools und weitere Programme für Sourcecode-Analysen und Penetrationstests (ausschließlich von externen Partnern durchgeführt).

Der Nutzen von Application Security

Mithilfe einer ganzheitlichen Umsetzung von Application Security und der Implementierung der dazugehörigen Kontrollen und Gegenmaßnahmen lassen sich die Risiken für einen Angriff auf Applikation und Daten eines Unternehmens deutlich verringern. Zusätzlich werden die Applikationen und die darunterliegende IT-Infrastruktur nach erfolgreicher Umsetzung ausfallsicherer. Durch die Definition klarer Verantwortlichkeiten, Dokumentationen und Notfallplänen lassen sich die Applikationen im Falle eines Desasters schneller wiederherstellen. Ohne einen Schutz der Applikationen besteht das Risiko des Verlustes von Wirtschaftsgeheimnissen oder anderen sensiblen Daten. Weiterhin kann der Stillstand einer geschäftskritischen Applikation negative Folgen für die Aufrechterhaltung des Betriebs bedeuten. Dies hat wiederrum zur Folge, dass monetäre Schäden entstehen. Auch das Ansehen des Unternehmens kann auf Seiten des Marktes, der Partner und der Mitarbeiter beschädigt werden. Dies kann wiederrum hohe Strafen durch mögliche Klagen und weitere rechtliche Konsequenzen zur Folge haben. Wie bereits beschrieben empfehlen wir unbedingt eine Bestandaufnahme der Unternehmens-IT und eine erfolgreiche Umsetzung der Application Security Services, um für die Zukunft in Bezug auf IT-Sicherheit und regulatorische Anforderungen eine gute Ausgangsposition zu schaffen.

Mehr

Q_PERIOR kann dabei als professioneller Partner im Bereich Application Security unterstützen, um Ihr Unternehmen, Ihre Applikationen und damit Ihre Daten sicherer zu machen.
Mehr zu unseren Leistungen im Bereich Risikomanagement und Compliance finden Sie hier!

Mehr

Weitere Fokusthemen

WIR SIND FÜR SIE DA!

Mit Q_PERIOR steht Ihnen ein starker Partner zur Seite.
Wir freuen uns auf Ihre Herausforderung!

24. November 2017|