Sicherheitsanforderungen
Was ist Sicherheitsanforderungen?
SicherheitsanforderungenExplizite, testbare Aussagen darüber, was ein System tun muss bzw. nicht tun darf, um Vertraulichkeit, Integrität, Verfügbarkeit und Privatsphäre zu schützen.
Sicherheitsanforderungen übersetzen Bedrohungen, Regulatorik und Risikoentscheidungen in umsetzbare Aussagen wie 'Passwörter sind mit Argon2id und Parametern X zu speichern' oder 'alle Admin-Endpunkte verlangen Step-up-MFA'. Sie umfassen funktionale Sicherheit (Authentifizierung, Autorisierung, Logging) und nicht-funktionale Eigenschaften (kryptografische Stärke, Datenaufbewahrung, Resilienz). Rahmenwerke wie OWASP ASVS, NIST SP 800-53 oder PCI DSS liefern anpassbare Kataloge. Werden sie früh im SDLC erfasst — getrieben durch Bedrohungsmodellierung sowie Abuse- und Misuse-Cases —, lassen sie sich per Code-Review, SAST, DAST und Akzeptanztests prüfen.
● Beispiele
- 01
ASVS V2.1.1: Anwendungen müssen eine Mindestpasswortlänge von 12 Zeichen erzwingen.
- 02
Anforderung: Alle PII-Felder müssen ruhend mit kundenverwaltetem Schlüssel verschlüsselt sein.
● Häufige Fragen
Was ist Sicherheitsanforderungen?
Explizite, testbare Aussagen darüber, was ein System tun muss bzw. nicht tun darf, um Vertraulichkeit, Integrität, Verfügbarkeit und Privatsphäre zu schützen. Es gehört zur Kategorie Anwendungssicherheit der Cybersicherheit.
Was bedeutet Sicherheitsanforderungen?
Explizite, testbare Aussagen darüber, was ein System tun muss bzw. nicht tun darf, um Vertraulichkeit, Integrität, Verfügbarkeit und Privatsphäre zu schützen.
Wie schützt man sich gegen Sicherheitsanforderungen?
Schutzmaßnahmen gegen Sicherheitsanforderungen kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Sicherheitsanforderungen?
Übliche alternative Bezeichnungen: Sichere Anforderungen, AppSec-Anforderungen.