>_ help
Hilfe & Methodik
Wie funktionieren STRIDE-LM, OWASP ASVS und der Threat-Modeling-Composer? Ein Überblick über Methodik und Frameworks.
Der Composer
Statt einer Wissensdatenbank zum Durchstöbern: Du wählst die Assets/Features deines Projekts (Login, Zahlungen, API, ...) sowie optional verarbeitete Datenkategorien und dein Hosting-Modell — der Composer erzeugt daraus ein dedupliziertes Risiko-Register in drei klar getrennten Schichten.
1. Auswahl
Assets/Features, Datenkategorien (z.B. Gesundheits-, HR-, Finanzdaten) und Hosting-Modell (On-Premise/IaaS/SaaS).
2. STRIDE-LM-Risiken
Die relevanten Bedrohungen pro gewähltem Asset — dedupliziert, kein Risiko erscheint doppelt.
3. ASVS-5.0-Anforderungen (Code)
Konkrete Requirements nach OWASP ASVS 5.0 — dieselbe Liste dient als Entwickler-Checkliste und als Pentest-Scope.
4. Kompensierende Massnahmen
CIS v8 / NIST-CSF-Controls für Infrastruktur/Betrieb (WAF, IAM, Netzwerksegmentierung) — Defense-in-Depth, kein Ersatz für sauberen Code.
STRIDE-LM
STRIDE ist ein Modell zur Identifizierung von Computersicherheitsbedrohungen. Wir nutzen die erweiterte Variante STRIDE-LM, um moderne Cloud- und Netzwerk-Architekturen abzubilden.
Spoofing
Identitätsvortäuschung
Tampering
Datenmanipulation
Repudiation
Abstreitbarkeit
Information Disclosure
Informationsenthüllung
Denial of Service
Dienstverweigerung
Elevation of Privilege
Rechteausweitung
Lateral Movement
Seitwärtsbewegung im Netzwerk
Monitoring Gaps
Lücken in Überwachung & Logging
OWASP ASVS 5.0
Der Application Security Verification Standard definiert 345 code-nahe, als "Verify that…" formulierte Anforderungen über 17 Kapitel (Authentication, Authorization, Kryptografie, ...) — kumulativ in drei Levels gestaffelt. Dieselbe Liste dient im Composer sowohl als Entwickler-Checkliste als auch als Pentest-Scope.
CIS Controls
Die Center for Internet Security (CIS) Controls sind eine priorisierte Reihe von Sicherheitsmassnahmen gegen die häufigsten Cyberangriffe.
Offizielle Webseite →NIST CSF
Das Cybersecurity Framework des NIST bietet einen Leitfaden für organisatorische Cybersicherheit und Risikomanagement.
Offizielle Webseite →NIST AI RMF
Das NIST AI Risk Management Framework (AI RMF 1.0, veröffentlicht 2023) ist ein eigenständiges Framework neben dem NIST CSF. Es unterstützt Organisationen dabei, Risiken von KI-Systemen zu erkennen, zu bewerten und zu minimieren — mit Fokus auf Vertrauenswürdigkeit, Fairness, Transparenz und Sicherheit.
DSGVO
Statt eines vollständigen 99-Artikel-Katalogs taggen wir gezielt die Artikel, auf die sich unsere technischen Controls tatsächlich beziehen — als Ergänzung zu, nicht als Ersatz für Rechtsberatung. Gilt als gemeinsames Vokabular auch für Liechtenstein/Schweiz (DSG/DSV), da diese inhaltlich eng an die DSGVO angelehnt sind.
Controls Bibliothek
Die Controls Bibliothek enthält alle Sicherheitsmassnahmen der Plattform mit Mapping auf CIS v8, NIST CSF, NIST AI RMF, OWASP ASVS 5.0 und DSGVO. Mit dem Framework-Filter lassen sich Controls gezielt nach Standard anzeigen — gruppiert nach CIS-Kontrollgruppe (1–18), NIST-CSF-Funktion (GV · ID · PR · DE · RS · RC), ASVS-Kapitel oder DSGVO-Artikel.
Security-Assessment-Methodik
Das Security Assessment bewertet den Sicherheitsstatus einer Organisation in zwei Stufen. Der Quick Check (ca. 40 Fragen) liefert eine erste Standortbestimmung über sieben Domänen. Das Deep Assessment vertieft anschliessend offene oder teilweise erfüllte Punkte mit gezielten Nachfragen — insgesamt bis zu 142 Fragen.
Quick Check
Schnelle Erstbewertung, ca. 40 Fragen, Ergebnis als Score 0–100
Deep Assessment
Vertiefung bei Teilumsetzungen, detailliertere Empfehlungen
N/A — Nicht zutreffend
Fragen können als nicht anwendbar markiert werden und fliessen nicht in die Bewertung ein
Ampelfarben
Grün ≥ 70 · Gelb 40–69 · Rot < 40 — pro Domain und gesamt
TLP 2.0
Das Traffic Light Protocol (TLP) ist ein von FIRST (Forum of Incident Response and Security Teams) definierter Standard zur Klassifizierung sensibler Informationen. TLP legt fest, mit wem Informationen geteilt werden dürfen. Version 2.0 umfasst fünf Klassifizierungsstufen.
Keine Einschränkung
Informationen können ohne Einschränkung verbreitet werden. Empfänger können diese Information frei weitergeben, ohne dabei Quellen oder Formatierungen berücksichtigen zu müssen.
Community-Weitergabe
Informationen sind für die gesamte Community bestimmt. Sie können innerhalb der Community, aber nicht öffentlich oder ausserhalb davon geteilt werden.
Eingeschränkte Weitergabe
Informationen dürfen innerhalb der empfangenden Organisation an Personen weitergegeben werden, die sie benötigen. Eine Weitergabe ausserhalb der Organisation ist nicht erlaubt.
Nur direkte Empfänger
Wie TLP:AMBER, jedoch noch restriktiver: Informationen dürfen ausschliesslich an die direkten Empfänger weitergegeben werden – nicht an andere Personen innerhalb der Organisation.
Keine Weitergabe
Informationen dürfen nicht weitergegeben werden. Sie sind nur für die direkt beteiligten Personen bestimmt. Mündliche oder persönliche Kommunikation ist inbegriffen.