EN
Taktiken zum Qualitätsmerkmal Sicherheit.
Vertraulichkeit
Verschlüsselung
Daten bei Übertragung und Speicherung verschlüsseln
Sicherheit
Taktiken (76)
Authentizität
Authentifizierung
Identität von Benutzern und Systemen überprüfen
Authentizität, Integrität
Zwei-Faktor-Authentifizierung
Identität über zwei unabhängige Faktoren nachweisen
Integrität, Vertraulichkeit
Autorisierung
Zugriff auf Ressourcen anhand von Berechtigungen steuern
Vertraulichkeit
Fördert auch: Integrität, Analysierbarkeit
Berechtigungskonzept
Zugriff auf kritische Daten und Funktionen definieren
Vertraulichkeit
Fördert auch: Analysierbarkeit
Role-Based Access Control
Zugriff auf Anwendungsteile basierend auf Rollen steuern
Integrität
Fördert auch: Verfügbarkeit
Least Privilege
Benutzer und Prozesse nur mit minimal notwendigen Rechten ausstatten
Verantwortlichkeit
Logging und Monitoring
Sicherheitsrelevante Ereignisse protokollieren und überwachen
Integrität
Eingabevalidierung
Alle Eingaben von Benutzern und externen Systemen validieren
Authentizität, Integrität
Sichere Session-Verwaltung
Sessions auf Basis von zufälligen, zeitlich begrenzten IDs verwalten
Integrität
Fördert auch: Verfügbarkeit
Sichere Konfiguration
Systeme mit sicheren Standardeinstellungen ausliefern und betreiben
Vertraulichkeit
Sicherheits-Community
Sicheren Softwareentwurf durch den Austausch mit Experten und Gleichgesinnten fördern
Integrität, Vertraulichkeit
Fördert auch: Verfügbarkeit
Sicherheitsrichtlinien für Benutzer
Verbindliche Regeln für die sichere Anwendungsnutzung definieren
Integrität
Fördert auch: Verfügbarkeit
Sicherheitsrichtlinien für Entwicklung
Verbindliche Regeln für die sichere Entwicklung von Software definieren
Integrität, Vertraulichkeit
Fördert auch: Verfügbarkeit
Sicherheitsschulungen
Mitarbeiter für Sicherheitsthemen sensibilisieren und weiterbilden
Integrität, Vertraulichkeit
Fördert auch: Verfügbarkeit
Benutzersensibilisierung
Mitarbeiter und Benutzer für Sicherheitsthemen sensibilisieren und schulen
Integrität
Fördert auch: Verfügbarkeit
Netzwerksegmentierung
Netzwerk in Sicherheitszonen mit getrennten Vertrauensstufen aufteilen
Integrität
Fördert auch: Verfügbarkeit
Sichere Softwareentwicklung
Sicherheit als integralen Bestandteil des Entwicklungsprozesses etablieren
Integrität
Fördert auch: Verfügbarkeit
Security by Design
Sicherheit bereits im Entwurf der Architektur und des Designs berücksichtigen
Vertraulichkeit, Integrität
Sicherheits-Frameworks
Strukturierte Ansätze zur Identifizierung und Minderung von Sicherheitsrisiken nutzen
Vertraulichkeit, Integrität
Sicherheitszertifizierung
Strukturierten Rahmen zur Bewertung und Verbesserung der Sicherheitspraktiken einführen
Integrität, Vertraulichkeit
Fördert auch: Verfügbarkeit
Sicherheits-Audits
Systeme und Prozesse regelmäßig auf Sicherheit prüfen
Integrität, Vertraulichkeit
Fördert auch: Verfügbarkeit
Risikoanalyse
Risiken identifizieren, bewerten und behandeln
Integrität, Verantwortlichkeit
Fördert auch: Verfügbarkeit
Incident-Response-Maßnahmen
Prozesse und Werkzeuge für die Reaktion auf Sicherheitsvorfälle etablieren
Integrität
Fördert auch: Verfügbarkeit
Backup und Recovery
Daten regelmäßig sichern und wiederherstellbar machen
Integrität, Authentizität
Fördert auch: Verfügbarkeit
Sichere Protokolle
Nur sichere und aktuelle Versionen von Netzwerkprotokollen verwenden
Vertraulichkeit
Fördert auch: Angemessenheit, Korrektheit, Zeitverhalten
Datensparsamkeit
Nur die personenbezogenen Daten erheben und speichern, die für den Zweck erforderlich sind
Integrität, Vertraulichkeit
Fördert auch: Verfügbarkeit
Sicherheitstests
Sicherheitseigenschaften durch spezielle Testverfahren überprüfen
Integrität
Fördert auch: Verfügbarkeit
Threat Intelligence
Aktuelle Bedrohungen und Angriffsmethoden sammeln und auswerten
Integrität, Vertraulichkeit
Fördert auch: Verfügbarkeit
Red Teaming
Umfassende und realistische Angriffe auf die eigenen Systeme durchführen
Integrität
Fördert auch: Verfügbarkeit
Sicherheitsarchitekturanalyse
Architektur und Design auf konzeptionelle Sicherheitslücken untersuchen
Nachweisbarkeit
Digitale Forensik
Methoden zur Untersuchung von Sicherheitsvorfällen und Straftaten etablieren
Integrität
Fördert auch: Verfügbarkeit
Honeypots
Angreifer mit speziell gesicherten Systemen ködern
Integrität, Vertraulichkeit
Fördert auch: Verfügbarkeit
Sicherheitskennzahlen
Messgrößen definieren, erheben und auswerten, um den Sicherheitsstatus zu quantifizieren
Integrität, Vertraulichkeit
Fördert auch: Verfügbarkeit
Bedrohungsmodellierung
Systematisch Bedrohungen, Angreifer und Schutzmaßnahmen analysieren
Integrität, Vertraulichkeit
Fördert auch: Verfügbarkeit
Missbrauchsfalldefinition
Unerwünschte Anwendungsfälle aus Sicht von Angreifern beschreiben
Integrität, Vertraulichkeit
Fördert auch: Verfügbarkeit
Sicherheitsanforderungsdefinition
Spezifische Anforderungen an die Informationssicherheit erheben und dokumentieren
Integrität
Fördert auch: Verfügbarkeit
Secure-by-Default
Standardeinstellungen und Auslieferungszustand auf maximale Sicherheit ausrichten
Integrität, Vertraulichkeit
Fördert auch: Verfügbarkeit
Vertrauensgrenzen
Grenzen zwischen Systemen und Komponenten mit unterschiedlichen Vertrauensstufen definieren
Integrität, Vertraulichkeit
Datenflusskontrolle
Datenflüsse zwischen Komponenten und Systemen kontrollieren und filtern
Vertraulichkeit, Integrität, Authentizität
Kryptografische Verfahren
Bewährte und standardisierte Algorithmen und Protokolle für kryptografische Funktionen einsetzen
Vertraulichkeit, Integrität, Authentizität
Schlüsselmanagement
Abläufe für die sichere Erzeugung, Verteilung und Speicherung von kryptografischen Schlüsseln etablieren
Integrität
Fördert auch: Verfügbarkeit
Secure Coding Guidelines
Verbindliche Regeln und Best Practices für die sichere Programmierung definieren
Integrität
Fördert auch: Verfügbarkeit
Statische Codeanalyse
Quelltexte automatisiert auf Programmierfehler und Sicherheitslücken prüfen
Integrität
Fördert auch: Verfügbarkeit
Dynamische Codeanalyse
Sicherheitseigenschaften durch Ausführung und Beobachtung des Programmverhaltens prüfen
Integrität
Fördert auch: Verfügbarkeit
Sichere Programmierschnittstellen
Bibliotheken und Frameworks mit Sicherheitsfunktionen verwenden
Integrität
Fördert auch: Verfügbarkeit
Prepared Statements
Parametrisierte Abfragen verwenden, um SQL-Injection zu verhindern
Integrität
Fördert auch: Verfügbarkeit
Output Encoding
Ausgaben maskieren, um Injection-Angriffe zu verhindern
Integrität
Fördert auch: Verfügbarkeit
Canonicalization
Eingabedaten in eine kanonische Darstellung überführen
Integrität
Fördert auch: Verfügbarkeit
Fuzz-Testing
Mit zufallsgenerierten Eingabedaten testen, um unerwartetes Verhalten aufzudecken
Integrität
Fördert auch: Verfügbarkeit
Negativ-Tests
Bewusst ungültige Eingaben und Grenzfälle testen, um Fehlerbehandlung zu prüfen
Integrität
Fördert auch: Vertraulichkeit, Nachweisbarkeit
Sicherheits-Regressionstests
Bereits behobene Sicherheitslücken erneut testen, um deren Wiederauftreten zu verhindern
Integrität, Vertraulichkeit
Fördert auch: Verfügbarkeit
Sicherheitstests durch Externe
Unabhängige Sicherheitsexperten mit dem Testen der Anwendung beauftragen
Integrität, Vertraulichkeit
Fördert auch: Verfügbarkeit
Penetrationstests
Sicherheitslücken durch simulierte Angriffe aufdecken
Integrität, Vertraulichkeit
Fördert auch: Verfügbarkeit
Systemhärtung
Auslieferungszustand von Systemen und Komponenten sicherheitstechnisch verbessern
Integrität, Vertraulichkeit
Fördert auch: Verfügbarkeit
Patch-Management
Sicherheitsupdates und Patches zeitnah einspielen
Integrität, Vertraulichkeit
Fördert auch: Verfügbarkeit
Verteidigungslinien
Sicherheitsmechanismen in mehreren Schichten und Ebenen implementieren
Integrität
Fördert auch: Verfügbarkeit
Malware-Schutz
Schadsoftware durch technische Maßnahmen erkennen und abwehren
Verantwortlichkeit
Fördert auch: Verfügbarkeit
Sicherheitsüberwachung
Sicherheitsrelevante Ereignisse und Daten kontinuierlich erfassen und auswerten
Integrität
Fördert auch: Nachweisbarkeit, Authentizität
Endpoint Detection and Response
Endgeräte kontinuierlich in Echtzeit auf Bedrohungen überwachen
Integrität
Fördert auch: Verfügbarkeit
Schwachstellenscans
Systeme und Anwendungen regelmäßig auf bekannte Schwachstellen prüfen
Integrität
Fördert auch: Verfügbarkeit
Drittanbieterabhängigkeits-Check
Abhängigkeiten zu fremder Software regelmäßig überprüfen
Integrität, Verantwortlichkeit
Fördert auch: Verfügbarkeit
Konfigurationschecks
Sicherheitsrelevante Einstellungen dokumentieren und regelmäßig prüfen
Integrität
Fördert auch: Verfügbarkeit
Notfallübungen
Verhalten bei Sicherheitsvorfällen trainieren und Notfallprozesse erproben
Vertraulichkeit
Fördert auch: Verfügbarkeit
Physische Sicherheit
Zutritts- und Zugangsschutz für IT-Infrastruktur durch bauliche und organisatorische Maßnahmen gewährleisten
Integrität, Vertraulichkeit
Fördert auch: Verfügbarkeit
Sicherheitskultur
Sicherheit als gemeinsamen Wert im Unternehmen verankern
Vertraulichkeit, Authentizität
Fördert auch: Integrität
Zero-Trust-Architektur
Jede Anfrage unabhängig vom Netzwerkstandort verifizieren — niemals implizit vertrauen
Vertraulichkeit, Integrität
Fördert auch: Authentizität
API-Sicherheit
APIs durch Ratenbegrenzung, Schemavalidierung, Gateways und tokenbasierte Authentifizierung absichern
Vertraulichkeit, Integrität
Geheimnisverwaltung
Anwendungsgeheimnisse sicher in dedizierten Tresoren verwalten und regelmäßig rotieren
Authentizität, Integrität
Fördert auch: Nachweisbarkeit
Zertifikatsverwaltung
X.509-Zertifikatslebenszyklen einschließlich PKI, Widerruf und Pinning verwalten
Nachweisbarkeit, Integrität
Fördert auch: Authentizität
Digitale Signaturen
Kryptographische Signaturen für Codesignierung, Dokumentenverifizierung und Urheberschaftsnachweis einsetzen
Authentizität
Fördert auch: Verantwortlichkeit
Föderierte Identität (OAuth/OIDC)
Authentifizierung an vertrauenswürdige externe Identitätsanbieter delegieren
Vertraulichkeit
Fördert auch: Verantwortlichkeit
Privacy by Design
Datenschutz von Beginn an als Architekturprinzip verankern
Integrität, Vertraulichkeit
Fördert auch: Verfügbarkeit
Web Application Firewall
HTTP-Verkehr auf Anwendungsschicht gegen Webangriffe filtern
Integrität, Authentizität
Lieferkettensicherheit
Software-Lieferkette durch SBOMs und Herkunftsverifizierung absichern
Nachweisbarkeit, Verantwortlichkeit
Audit-Trail-Verwaltung
Manipulationssichere, kryptografisch verkettete Audit-Datensätze für Compliance pflegen