Dieses Beispiel verdeutlicht, wie Sicherheitsziele für ein Softwarevorhaben formuliert und dokumentiert werden können. Nutze es als Vorlage für Workshops in der Planungsphase und passe Namen, Datenklassen und Vorgaben an dein Projekt an.

Projektkontext #

• Systemname: Kundenportal 2.0
• Verantwortliche: Product Owner (Maria Schmidt), Security Champion (Lukas Weber)
• Stand: 2024-05-10

Datenklassifizierung #

• Kundenstammdaten: Name, Anschrift, Zahlungsinfos. Einstufung Vertraulich (DSGVO, Risiko Identitätsdiebstahl).
• Supporttickets: Problemberichte mit Screenshots. Einstufung Intern (keine sensiblen personenbezogenen Daten, aber Einblick in interne Prozesse).
• Nutzungsstatistiken: Aggregierte Klickzahlen und Sessions. Einstufung Öffentlich (keine Personenbeziehbarkeit, Freigabe für Marketing erlaubt).

Sicherheitsziele nach Schutzzielen #

• Vertraulichkeit
  • Zugriff auf Kundenstammdaten ausschließlich über MFA-geschützte Backoffice-Rollen.
  • Ruhende Daten werden per AES-256 verschlüsselt; Secrets liegen im zentralen Vault.
• Integrität
  • Änderungen an Stammdaten erfordern Vier-Augen-Freigaben und werden über Audit-Logs nachvollzogen.
  • Die CI/CD-Pipeline akzeptiert nur signierte Images; Hash-Prüfungen erkennen Manipulationen.
• Verfügbarkeit
  • Portalfunktionen müssen werktags 07:00–22:00 Uhr zu mindestens 99,5 % erreichbar sein.
  • Das Incident-Runbook definiert Eskalationszeiten (P1 innerhalb von 15 Minuten via PagerDuty).

Regulatorische und organisatorische Anforderungen #

• Einhaltung DSGVO (Art. 32) durch angemessene technische und organisatorische Maßnahmen.
• Umsetzung der Unternehmensrichtlinie „INF-SEC-05 Zugangskontrolle“ inklusive jährlicher Rollenrezertifizierung.
• Durchführung halbjährlicher Awareness-Schulungen für alle beteiligten Entwicklerinnen und Entwickler.

Freigabe #

• Product Owner: Maria Schmidt, 2024-05-10
• Security: Lukas Weber, 2024-05-10