Wir haben unser Informationsmanagementsystem nach ISO 27001 erfolgreich auf die neue Version 2022 gehoben. Die internationale Norm ISO 27001 beschreibt die Anforderungen zur Errichtung, Umsetzung und Aufrechterhaltung eines dokumentierten Informationssicherheits-Managementsystems (ISMS) und dessen fortlaufende Verbesserung. Zudem beschreibt die Norm Anforderungen wie Informationssicherheitsrisiken beurteilt und behandelt werden müssen.
Erfolgreiche Migration ISO 27001
Die Auditoren attestierten uns im diesjährigen Wiederholungsaudit die effektive Umsetzung der neuen Anforderungen, zu denen u.a. folgende gehören:
- Informationen über Bedrohungen sollen erhoben und analysiert werden, um daraus Erkenntnisse zu gewinnen.
- Datenlecks sollen auf Systemen, in Netzwerken und alle anderen Geräte verhindert werden.
- Netzwerke, Systeme und Anwendungen sollen auf anormales Verhalten überwacht werden. Dieses Verhalten soll analysiert und bewertet werden.
- Noch deutlicher wird gefordert, dass die Grundsätze der sicheren Codierung angewandt werden.
Make a virtue out of necessity
Nicht nur für uns sind diese Maßnahmen wichtig, auch für unsere Kunden. Dementsprechend sehen wir es nicht nur als eine Anforderung an unser ISMS, sondern haben schon Monate zuvor antizipiert, dass es auch eine Anforderung unserer Kunde ist oder sein wird. Ergo beschäftigt sich unser Competence Center Digital Security seit 2023 verstärkt mit diesen Controls und beantwortet die Fragen:
- Wie können wir unsere Lösung direkt von Anfang an besser auf diese Anforderungen (und viel mehr noch: den dahintersteckenden Gefahren) vorbereiten?
- Welche komplementierenden Lösungen werden von unseren Kunden gebraucht?
- Wo und wie können wir unsere Kunden mit Beratung bei der erfolgreichen Umsetzung dieser Controls helfen?
In einem ersten Schritt hat das Competence Center das Thema Secure Coding bzw. Secure Software Development Lifecycle erneut unter die Lupe genommen. Hier haben wir eine neue Version unserer sicheren Design- und Kodierungsprinzipien erarbeitet und ausgerollt. Wir haben zudem klare Security Gates (neben unseren Quality Gates) definiert, welche sicherstellen, dass Security von der Anforderungsanalyse bis hin zum Betrieb bzw. Wartung zielgerichtet bedacht wird. Eine weitere Verbesserung fand im Kontext Dependency Check – also in der Sicherheitsüberprüfung bspw. externer Bibliotheken – statt. Zukünftig sollen alle anwendungsspezifischen Software Bill of Materials (vereinfacht gesprochen: Inventarlisten) zu einer gemeinsamen zusammengeführt werden, um so das Schwachstellenmanagement effizienter zu gestalten und eine sichere Lieferkette für uns und unsere Kunden sicherzustellen.
In vielen unserer Projekte liegt unsere Verantwortung in der Entwicklung einzelner Applikationen, welche dann vom Kunden im Zielsystem betrieben werden. Ein konventioneller Ansatz ist es, dass es Aufgabe des Zielsystems ist, Datenlecks und auffällige Aktivitäten zu erkennen. Wir wollen diese Verantwortung teilen. In unserem Competence Center arbeiten wir an Design-Vorschlägen, wie wir bereits die Anwendung selbst dazu befähigen können, Datenlecks zu erkennen und auffällige Aktivitäten zu unterbinden.
Des weiteren haben wir für das Competence Center und unsere Projekte eine Plattform bereitgestellt, welche es ermöglicht Informationen zu Bedrohungen zu sammeln, zu analysieren, zu korrelieren und zu teilen. MISP ist eine Open-Source Lösung mit einer großen Community. Diese Plattform ist zentraler Bestandteil unserer Threat Intelligence Anstrengungen und bildet quasi das Pendent zu unserer Threat Modelling Expertise. Hier sammeln wir Events und Informationen aus unterschiedlichen externen und internen Quellen, korrelieren sie und erzielen dadurch neue Erkenntnisse zu den Bedrohungen (gegen uns und gegen unseren Markt). Hiermit kann man nicht nur das Schwachstellenmanagement anreichern, vielmehr geht man damit weit über ein Schwachstellenmanagement hinaus. Hier geht es auch darum zu verstehen, wo Motivationen, Intentionen, Fähigkeiten und Möglichkeiten liegen, und somit ein belastbareres Bild der Attack Surface zu bekommen. Selbstredend sind diese Maßnahmen nicht nur sinnvoll, wenn man eine ISO-Zertifizierung anstrebt. Vielmehr gehören sie zum Standard-Repertoire der Informationssicherheit.
Westernacher Solutions bietet damit nicht nur ein Maximum an Applikations-Sicherheit, sondern bietet Ihnen auch viele Möglichkeiten zur ganzheitlichen Betrachtung der Informationssicherheits-Architektur in einer Organisation.
Ganz im Sinne von „Go Digital. For Sure!“
Ihr Ansprechpartner
Tobias Müller
Competence Center Lead Digital Security