Das digitale Gefährdungsproblem liegt nicht in den Bedrohungen (Threat), sondern in der Art und Weise, wie digitale Lösungen entworfen, entwickelt und in Bezug auf Schwachstellen systematisch analysiert, getestet und betrieben werden. Security-Engineering ist eine strukturierte Methodik, um digitale Systeme so zu gestalten, dass sie trotz äußerer Bedrohungen, ihre Funktionsweisen idealerweise ohne Schwachstellen bereitstellen können. Security-Engineering beginnt mit Methoden für ein Security-Modelling und einer begleitenden, modellgestützten Sicherheitsbewertung.
Security Engineering –
Beratung & Leistungen
Security by Design
Jede Entscheidung zur Entwicklung einer Sicherheitsarchitektur begründet sich auf dem Ergebnis einer strukturierten Gefährdungsbewertung. Digitale Unternehmenswerte werden darüber transparent und bleiben auf allen Ebenen der Lösungsarchitektur im Fokus.
Security Problemdefinition
Die Formulierung eines Sicherheitsproblems als Modell setzt den Ausgangspunkt zur Entwicklung einer Sicherheitsarchitektur. Die Identifizierung von Sicherheitsproblemen orientiert sich an der Verteilung der zu schützenden Assets und erfordert eine strukturierte Methodik.
Security Policy Enforcement
Prozesse unterziehen sich einer Dynamik von regulativen Anforderungen. Das Architekturdesign muss daher strategische Schnittstellen für ein übergreifendes Policy-Management berücksichtigen. Policy-Beschreibungen formulieren Erwartungswerte und sind Ausgangspunkt für die adaptive Neuausrichtung regulierter Rahmenbedingungen.
Security Solution Definition
Die Entscheidung für die Anwendung eines Sicherheitsdesigns und die Anwendung von Sicherheitsfunktionen orientieren sich an den gestellten Sicherheitszielen. Security Modelling erlaubt eine zeitnahe Verknüpfung zwischen Sicherheitszielen und Elementen des Sicherheitsentwurf zur Lösung der Sicherheitsprobleme.
Der Entwurf von Sicherheitsarchitekturen bezieht alle Ebenen einer domänenspezifischen, digitalen Infrastruktur ein. Die überlagerte Sicherheitsbetrachtung umfasst Konzepte für Akteure (Identities), Netzwerke (VPNs, Router, Switche), Komponenten (ComputeNodes, Storages) und Strukturen (Roles) mit ihren Workflows und Compliance-Anforderungen.
Ganzheitlicher Sicherheitsentwurf
Jedes Segment beschreibt einen Teilaspekt im ganzheitlichen Sicherheitsentwurf. Methodische Modellierungsansätze bilden den Ausgangspunkt einer automatisierbaren Transformation einer vorliegenden Sicherheitsstrategie in abgesicherte, reproduzierbare Sicherheitslösungen.
