Informationssicherheit ist ein Framework aus Governance, Management und Delivery; mit Vorgaben, Prozessen, Methodiken, Personen und Werkzeugen. Jede einzelne Maßnahme interagiert mit anderen Maßnahmen. Doch wie fängt man mit der Verbesserung meiner Informationssicherheit an?
Es gibt zwei Ansätze, die zur Lösung führen: Bottom-Up oder Top-Down. Mit dem Bottom-Up-Ansatz lässt sich ein sehr konkretes Problem lösen oder ein sehr konkretes Best Practice implementieren. Der Top-Down Ansatz gestattet einen holistischen Blick auf die Informationssicherheit. So gelangt man strukturiert zu einem individuellen Informationssicherheitsmanagementsystem (ISMS).
Um die Informationssicherheit ganzer Organisationen bewerten und verbessern zu können, sind zunächst erst einmal Asset- und Risk-Identifikation notwendig. Um einzelne Systeme und Applikationen zu prüfen, bietet sich das Threat Modelling an. Beides benötigt ein auf das jeweilige Gebiet zugeschnittenes Vorgehen: zugeschnitten auf die Branche und Organisationsform bzw. zugeschnitten auf die Art der Anwendung. Aus diesem Grund beschäftigt sich Westernacher Solutions mit dem Asset- und Riskmanagement, der Strukturanalyse und Schutzbedarfsfeststellung in der Justiz, der öffentlichen Verwaltung aber auch in Kirchen. Wir beschäftigen uns zudem mit einer spezifischen Threat Modelling Methodik für Cloud-Architekturen und KI-unterstützte Lösungen. Dafür erweitern und spezialisieren wir das allgemeine Vorgehen, um Aspekte der Cloud, KI und der Justiz, öffentlichen Verwaltung bzw. Kirche, mit dem Ergebnis ein besonders effizientes Cloud & KI Thread Model Framework aus Methodik und Tooling bereit zu halten.
Aus der anderen Blickrichtung heraus (dem Bottom-Up Ansatz) beschäftigen wir uns u.a. mit den OWASP Projekten (bspw. Top Ten und Top Ten for LLM) und IT Grundschutz Bausteinen (Modellierung unter Verwendung der Bausteine). Wir antizipieren spezifische Informationssicherheitsherausforderungen unserer Branche und denken über Lösungen nach, bevor sich unsere Kunden konkret damit beschäftigen. Ein Beispiel dafür ist die sichere Kommunikation im (Pre-) Quantencomputerzeitalter. Diese spezialisieren wir für die Branche und für typische Architekturen unserer Kunden. Dafür beschäftigen wir uns mit dem Threat- und Vulnerability-Management bezogen auf unseren Markt, um so marktspezifische Schwachstellen und Bedrohungen zu erkennen und aktiv Behandlungsmaßnahmen in unsere Produkte einfließen zu lassen bzw. diese mit unseren Kunden sehr konkret zu besprechen. Das Thema Threat Intelligence – also die Generierung von Erkenntnissen zu Bedrohungen durch (u.a.) Event-Monitoring, Korrelation und Analyse von Schwachstellen, Exploits, Motivationen und Fähigkeiten – flankiert nahezu alle Aktivitäten.
Eine weitere sehr spezielle Herausforderung – mindestens durch NIS2 promotet – bildet die Sicherheit der Supply Chain. Hier ist es unser Ziel eine Methodik zu entwickeln, welches die fortlaufende Bewertung von Lieferanten, Softwares und kleinerer Artefakte unter Berücksichtigung einer Vielzahl von Informationsquellen bei gleichzeitiger hoher Effizienz sicherstellt. Gemeinsam mit unseren Kunden entwickeln wir Supply Chain Management Systeme, welche in das gesamte Informationssicherheitsframework des Kunden integrieren.
Ihr Ansprechpartner
Tobias Müller
Competence Center Lead Digital Security