Das Gesamtprojekt

Das Framework..
..ist praxisorientiert und dient sowohl dem Management für die Standortbestimmung, wie auch den Mitarbeitenden der Organisation zur konkreten Umsetzung der Massnahmen. Das Projekt ist in zwei Teilprojekte unterteilt und bildet als gesamtes das Core-Framework. Als übergeordnetes Ziel soll das Projekt ein höchstes Mass an Vollständigkeit und Praxisbezug erreichen. Dies ist der Leitgedanke im gesamten Framework.

In der Anwendung..
..kombiniert das Framework die Sichtweisen der offensiven und der defensiven Elemente. Es sammelt dabei alle im Betrachtungsfeld relevanten Angriffsmöglichkeiten in übersichtlichen Modulen und stellt den Angriffen konkrete ebenfalls kategorisierte Massnahmen gegenüber. Durch die Überprüfung der Wirksamkeit mit möglichst realistischen Ethical Hacking-Methoden werden die Massnahmen nach ihrem Wirksamkeit in einem Raster von 1 – 4 eingestuft. Damit wird nicht eine Massnahme sondern deren effektive Wirkung beim Audit belohnt. So werden die vielfach begrenzten Budgets auf Massnahmen mit hoher Wirkung ausgerichtet.

Der erste Teil des Frameworks..
..beschäftigt sich mit der Analyse der bestehenden Cyber-Exposition der Organisation. Dabei werden die Assets (Kronjuwelen) erhoben und dann den möglichen Motiven der Angreifer gegenüber gestellt. In einem zweiten Schritt können daraus die realistischen Angriffsflächen konsequent erhoben werden, welche danach im dritten Schritt für die gezielte Massnahmenauswahl und Priorisierung genutzt werden. So geht die Risikobeurteilung konkret auf die Angreifer ein, was aus Sicht der von uns propagierten offensiven Security der zielführendste Ansatz bei der Minimierung von Cyber-Risiken ist.

Der zweite Teil des Frameworks..
..beschäftigt sich mit den konkreten Massnahmen und deren effektiven Wirksamkeit. Es werden dazu Prüfmethoden und Tools vorgeschlagen und weiterentwickelt, welche im Security-Testing zur Wirksamkeitsprüfung genutzt werden können.