>_ AYSOLI SECURITY HUB

>_ help

Hilfe & Methodik

Wie funktionieren STRIDE-LM, OWASP ASVS und der Threat-Modeling-Composer? Ein Überblick über Methodik und Frameworks.

Der Composer

Statt einer Wissensdatenbank zum Durchstöbern: Du wählst die Assets/Features deines Projekts (Login, Zahlungen, API, ...) sowie optional verarbeitete Datenkategorien und dein Hosting-Modell — der Composer erzeugt daraus ein dedupliziertes Risiko-Register in drei klar getrennten Schichten.

1. Auswahl

Assets/Features, Datenkategorien (z.B. Gesundheits-, HR-, Finanzdaten) und Hosting-Modell (On-Premise/IaaS/SaaS).

2. STRIDE-LM-Risiken

Die relevanten Bedrohungen pro gewähltem Asset — dedupliziert, kein Risiko erscheint doppelt.

3. ASVS-5.0-Anforderungen (Code)

Konkrete Requirements nach OWASP ASVS 5.0 — dieselbe Liste dient als Entwickler-Checkliste und als Pentest-Scope.

4. Kompensierende Massnahmen

CIS v8 / NIST-CSF-Controls für Infrastruktur/Betrieb (WAF, IAM, Netzwerksegmentierung) — Defense-in-Depth, kein Ersatz für sauberen Code.

Composer öffnen

STRIDE-LM

STRIDE ist ein Modell zur Identifizierung von Computersicherheitsbedrohungen. Wir nutzen die erweiterte Variante STRIDE-LM, um moderne Cloud- und Netzwerk-Architekturen abzubilden.

Spoofing

Identitätsvortäuschung

Tampering

Datenmanipulation

Repudiation

Abstreitbarkeit

Information Disclosure

Informationsenthüllung

Denial of Service

Dienstverweigerung

Elevation of Privilege

Rechteausweitung

Lateral Movement

Seitwärtsbewegung im Netzwerk

Monitoring Gaps

Lücken in Überwachung & Logging

OWASP ASVS 5.0

Der Application Security Verification Standard definiert 345 code-nahe, als "Verify that…" formulierte Anforderungen über 17 Kapitel (Authentication, Authorization, Kryptografie, ...) — kumulativ in drei Levels gestaffelt. Dieselbe Liste dient im Composer sowohl als Entwickler-Checkliste als auch als Pentest-Scope.

Level 1 — Grundschutz
Level 2 — Standard
Level 3 — Fortgeschritten
Offizielle Webseite

CIS Controls

Die Center for Internet Security (CIS) Controls sind eine priorisierte Reihe von Sicherheitsmassnahmen gegen die häufigsten Cyberangriffe.

Offizielle Webseite

NIST CSF

Das Cybersecurity Framework des NIST bietet einen Leitfaden für organisatorische Cybersicherheit und Risikomanagement.

Offizielle Webseite

NIST AI RMF

Das NIST AI Risk Management Framework (AI RMF 1.0, veröffentlicht 2023) ist ein eigenständiges Framework neben dem NIST CSF. Es unterstützt Organisationen dabei, Risiken von KI-Systemen zu erkennen, zu bewerten und zu minimieren — mit Fokus auf Vertrauenswürdigkeit, Fairness, Transparenz und Sicherheit.

Govern
Map
Measure
Manage
Offizielle Webseite

DSGVO

Statt eines vollständigen 99-Artikel-Katalogs taggen wir gezielt die Artikel, auf die sich unsere technischen Controls tatsächlich beziehen — als Ergänzung zu, nicht als Ersatz für Rechtsberatung. Gilt als gemeinsames Vokabular auch für Liechtenstein/Schweiz (DSG/DSV), da diese inhaltlich eng an die DSGVO angelehnt sind.

Art. 6, 7Art. 17Art. 25Art. 28Art. 32
Offizielle Webseite

Controls Bibliothek

Die Controls Bibliothek enthält alle Sicherheitsmassnahmen der Plattform mit Mapping auf CIS v8, NIST CSF, NIST AI RMF, OWASP ASVS 5.0 und DSGVO. Mit dem Framework-Filter lassen sich Controls gezielt nach Standard anzeigen — gruppiert nach CIS-Kontrollgruppe (1–18), NIST-CSF-Funktion (GV · ID · PR · DE · RS · RC), ASVS-Kapitel oder DSGVO-Artikel.

CIS v8NIST CSFNIST AI RMFOWASP ASVS 5.0DSGVO
Controls Bibliothek öffnen

Security-Assessment-Methodik

Das Security Assessment bewertet den Sicherheitsstatus einer Organisation in zwei Stufen. Der Quick Check (ca. 40 Fragen) liefert eine erste Standortbestimmung über sieben Domänen. Das Deep Assessment vertieft anschliessend offene oder teilweise erfüllte Punkte mit gezielten Nachfragen — insgesamt bis zu 142 Fragen.

Quick Check

Schnelle Erstbewertung, ca. 40 Fragen, Ergebnis als Score 0–100

Deep Assessment

Vertiefung bei Teilumsetzungen, detailliertere Empfehlungen

N/A — Nicht zutreffend

Fragen können als nicht anwendbar markiert werden und fliessen nicht in die Bewertung ein

Ampelfarben

Grün ≥ 70 · Gelb 40–69 · Rot < 40 — pro Domain und gesamt

Assessment starten

TLP 2.0

Das Traffic Light Protocol (TLP) ist ein von FIRST (Forum of Incident Response and Security Teams) definierter Standard zur Klassifizierung sensibler Informationen. TLP legt fest, mit wem Informationen geteilt werden dürfen. Version 2.0 umfasst fünf Klassifizierungsstufen.

TLP:CLEAR

Keine Einschränkung

Informationen können ohne Einschränkung verbreitet werden. Empfänger können diese Information frei weitergeben, ohne dabei Quellen oder Formatierungen berücksichtigen zu müssen.

TLP:GREEN

Community-Weitergabe

Informationen sind für die gesamte Community bestimmt. Sie können innerhalb der Community, aber nicht öffentlich oder ausserhalb davon geteilt werden.

TLP:AMBER

Eingeschränkte Weitergabe

Informationen dürfen innerhalb der empfangenden Organisation an Personen weitergegeben werden, die sie benötigen. Eine Weitergabe ausserhalb der Organisation ist nicht erlaubt.

TLP:AMBER+STRICT

Nur direkte Empfänger

Wie TLP:AMBER, jedoch noch restriktiver: Informationen dürfen ausschliesslich an die direkten Empfänger weitergegeben werden – nicht an andere Personen innerhalb der Organisation.

TLP:RED

Keine Weitergabe

Informationen dürfen nicht weitergegeben werden. Sie sind nur für die direkt beteiligten Personen bestimmt. Mündliche oder persönliche Kommunikation ist inbegriffen.

Offizieller FIRST TLP-Standard