Sicherheit, aber mit System: Threat Modelling für Datenplattformen

In Datenplattformen hat Sicherheit eine besondere Bedeutung, weil dort Unternehmensdaten konsolidiert werden und damit für potenzielle Angreifer hohe Anreize entstehen. Eine Umsetzung der Datensicherheit in der Praxis bedarf eines systematischen Vorgehens, um alle Facetten des Themas abzudecken.

In dem Vortrag stellen wir unsere Adaption der etablierten Methode "Threat Modelling" für Datenplattformen vor: Ausgehend vom bekannten "Four Question Framework" wird der Fokus auf die vorhandenen Daten und ihre Verarbeitung gelegt. Von der Identifikation der schützenswerten Data Assets über die Aufstellung der Bedrohungsszenarien (anhand der STRIDE-Methodik) bis hin zur Ableitung von effizienten Gegenmaßnahmen stellen wir das Vorgehen anhand eines praktischen Beispiels dar.

Vorkenntnisse

  • Für das Verständnis der Konzepte und Empfehlungen sind keine Vorkenntnisse erforderlich
  • Praktische Beispiele beziehen sich auf linuxbasierte on-premise Umgebungen und Microsoft Azure, hier sind grundlegende Kenntnisse von Vorteil

Lernziele

Der Vortrag richtet sich an Entwickler:innen, Architekt:innen und Product Owner in Datenprojekten, die eine andere Vorgehensweise kennen lernen möchten, um Authentifizierung, Autorisierung, Verschlüsselung und Auditing zu implementieren oder bestehende Datenplattformen zu validieren. Die allgemeingültigen Regeln ergänzen wir mit Hinweisen zu häufigen Schwachstellen und bewährten Lösungsansätzen aus unseren Projekten.

Speaker

 

Rostislaw Krassow
Rostislaw Krassow arbeitet seit über zehn Jahren in Projekten mit dem Schwerpunkt auf verteilten Datenbanken, Apache-Hadoop-Ökosystem und verwandten Cloud-Diensten. Als Data Architect bei der RATIONAL AG gestaltet er die unternehmensweite Data & Analytics Plattform.

Clemens Hübner
Clemens Hübner studierte Mathematik und Informatik und schloss mit einer Masterarbeit zur Sicherheit in agilen Entwicklungsmodellen ab. Nach Tätigkeiten als Software Developer sowie im Penetration Testing ist er seit 2018 als Security Engineer bei inovex. Dort begleitet er heute Entwicklungsprojekte auf Konzeptions- und Implementierungsebene, schult Kolleg:innen und berät zu Data Security.

data2day-Newsletter

Ihr möchtet über die data2day
auf dem Laufenden gehalten werden?

 

Anmelden