Threat Modeling
 Risiken sichtbar machen



 und beherrschen






 Software  verarbeitet  Daten  und  die  müssen  geschützt  werden  –  so  weit,  so  klar.  Im  Falle  der  Gesundheits-IT  wird  aus  dieser
 einfachen Wahrheit aber eine mehrdimensionale Herausforderung. Zum einen, weil personalisierte Gesundheitsdaten beson-
 ders schützenswert sind. Zum anderen, weil es nicht nur um den Schutz der Daten, sondern auch um den der Patientinnen und
 Patienten geht. Und der ist gefährdet, wenn Daten manipuliert werden, nicht vorhanden, falsch oder unvollständig sind. Um
 der Komplexität der Sicherheitsfragen gerecht zu werden, setzt VISUS auf das Threat Modeling Prinzip – und auf regelmäßige
 Schulungen möglichst vieler Mitarbeiterinnen und Mitarbeiter.




 um Gefahren sichtbar zu machen und   maßnahmen so lange verbessert, bis das
 darüber ins Gespräch zu kommen“, so   Restrisiko akzeptabel ist.
 der Sicherheitsexperte. Das Erkennen   Hendrik Ewerlin: „Bevor wir dahin
 und Diskutieren ist die Basis dafür, wirk-  kommen, ermitteln wir aber zunächst,
 same Schutzmaßnahmen zu planen und   welche Gefahren überhaupt adressiert
 zu verwirklichen, sodass Gefahren ver-  werden müssen. Eine Gefahr ist die Mög-  Hendrik Ewerlin, Cyber Security Architect bei VISUS, ist für die internen Schulungen verantwortlich.
 „Entdeckte Gefahren   ringert  und bestenfalls beseitigt werden.  lichkeit, dass ein Schaden entsteht. Ent-

 werden nach einem   Risikomanagement mit   scheidende Parameter sind also Eintritts-
 wahrscheinlichkeit – Likelihood – und
 standardisierten  Threat Modeling   Auswirkung – Impact.“  die Methode beispielsweise im Rahmen   nen  und  Kollegen  für  das  Threat  Mode-
 Für VISUS  wurden auf Basis einer sol-
 Das Interessante am Threat Modeling
         ihres eigenen Cybersicherheit-Reifegrad-
                                           ling zu begeistern. Die Methode schafft
 Schema bewertet.“  Prozess  ist für  Hendrik  Ewerlin  und  sei-  chen Bewertung innerhalb der Cyber-  modells für Softwareprodukte (OWASP   die Grundlage für alle weiteren Sicher-
 nen Kollegen Stefan Sangal, Risikomana-  sicherheit folgenden Zielen der höchste   SAMM) als sehr positiv.  „Die Beurtei-  heitsanforderungen auf allen Ebenen“, so
 Stefan Sangal  ger für die Patientensicherheit, dass die   Stellenwert eingeräumt:    lung und Beherrschung von Gefahren er-  Hendrik Ewerlin abschließend.
 Risikomanager bei VISUS  Ergebnisse der Gefahrenanalyse fundiert   1.   die Gewährleistung der    hält dort und bei uns ein sehr großes Ge-
 und nachvollziehbar sind. „Entdeckte   Vertraulichkeit von personen-   wicht“, so der Cyber Security Architect.
 Gefahren werden nach einem standar-  bezogenen Patientendaten
 Allein zum Jahreswechsel schulte Hendrik   disierten Schema bewertet. So kann für   2.   die Gewährleistung der Vertraulich-  Sicherheit fängt in der
 Ewerlin, Cyber Security Architect bei    eine vorliegende Gefahr reproduzierbar   keit der Daten    Entwicklung an
 VISUS, gut 50 Kolleginnen und Kollegen   und weitgehend unabhängig von der be-  von Mitarbeitenden der Gesundheits-  Eine wichtige Erkenntnis der Software-
 auf die Anwendung des Threat Mode-  wertenden Person ermittelt werden, ob   einrichtungen  entwicklung allgemein ist, dass Sicher-
 lings und die aktuellen Sicherheitsanfor-  eine schützende Maßnahme erforderlich   3.   die Erhaltung der Verfügbarkeit    heit in all ihren Dimensionen ganz am
 derungen. Im Laufe des Jahres werden es   ist oder nicht“, erklärt Stefan Sangal. Im   versorgungskritischer Systeme  Anfang stehen muss: „Insecure Design
 noch viele mehr. „Beim Threat Modeling   Anschluss daran stellt eine zweite Be-  Dass die Threat Modeling Methode in   steht auf Platz 4 der bekannten Top Ten
 geht es darum, Sicherheitsrisiken zu er-  wertung sicher, dass ein vorgeschlagener   der  Softwareentwicklung wirksam ist,   der OWASP Cybersecurity-Risiken. Und
 kennen, sie zu klassifizieren und Ab-  Mix an Schutzmaßnahmen ausreicht, um   um Sicherheitsdefizite zu identifizieren   tatsächlich kann es sehr folgenreich sein,
 wehrstrategien zu entwickeln. Es ist es-  identifizierte  Gefahren zu  beherrschen.   und zu adressieren, ist mittlerweile be-  wenn Sicherheit nicht direkt im Design-
 senziell, dass möglichst viele Menschen   Inakzeptable Risiken werden über so-  kannt. Das Open Worldwide Applica-  prozess berücksichtigt wird. „Darum ist
 bei VISUS mit der Methode vertraut sind,   genannte Cyber Security Risikokontroll-  tion Security Project (OWASP) bewertet   es so wichtig, möglichst viele Kollegin-


 24                                                                                                        25