Überblick
Die Governance-Säule stellt die organisatorischen Kontrollen bereit, die Konsistenz, Wiederholbarkeit und Auditierbarkeit über alle ThreatZ-Projekte hinweg sicherstellen. Sie umfasst vier Kernfähigkeiten: Richtlinienmanagement zur Definition organisatorischer Sicherheitsregeln, Sicherheitskataloge zur Pflege wiederverwendbarer Bibliotheken von Sicherheitsartefakten, Blueprints zur Vorlagenerstellung von Projektkonfigurationen und Baselines zur Verfolgung des Sicherheitsstatus über die Zeit.
Richtlinienmanagement
Richtlinien sind organisatorische Regeln, die festlegen, wie Cybersecurity-Analysen projektübergreifend durchgeführt werden. Jede Richtlinie definiert:
- Geltungsbereich: Global (gilt für alle Projekte) oder Projektspezifisch
- Durchsetzungsstufe: Verpflichtend, Empfohlen oder Informativ
- Status: Aktiv oder Archiviert, mit Versionsverfolgung (Major.Minor)
- Anwendbare Module: Bedrohungsmodellierung, Vorfallmanagement, Risikobewertung, BOM-Lieferkette
Richtlinien-Konfigurationsbereiche
| Bereich | Was wird gesteuert |
|---|---|
| Risikoberechnung | Methoden, Auswirkungsgrenzen (0–2), TAF-Grenzen (0–2), Risikobewertungsgrenzen (1–5) |
| Risikoakzeptanz | Akzeptierte Risikostufen, erlaubte Behandlungsstrategien |
| Vorfallmanagement | Reaktions-SLAs, Vorfallkonfiguration |
| Vertrauenswürdige Quellen | Akzeptierte Schwachstellendatenbanken (NVD, OSV), Threat-Intelligence-Feeds |
| Lizenz-Compliance | Akzeptierte Softwarelizenzen, SBOM-Formatanforderungen |
| Auswirkung & Machbarkeit | Grenzwerte für Auswirkungsbewertungen und Angriffs-Machbarkeitsbewertungen |
Richtlinien-Lebenszyklus
- Richtlinie mit Geltungsbereich, Durchsetzungsstufe und Modulkonfigurationen erstellen
- Risikogrenzen und Methodenreferenzen validieren
- Richtlinie aktivieren (jeweils nur eine aktive globale Richtlinie)
- Richtlinie mit Projekten oder Programmen verknüpfen
- Archivieren, wenn abgelöst
Richtlinien werden auf der Service-Ebene durchgesetzt — Risikoberechnungen, Akzeptanzkriterien und Behandlungsstrategien werden während aller TARA- und Risikobewertungsoperationen gegen die aktive Richtlinie validiert.
Sicherheitskataloge
Sicherheitskataloge sind zentralisierte, versionierte Bibliotheken wiederverwendbarer Sicherheitsartefakte, die organisationsweit geteilt werden.
Katalogtypen
| Katalog | Inhalt | Wichtige Felder |
|---|---|---|
| Assets | Cybersecurity-Ziele | Domäne, Kategorie, Sicherheitseigenschaften |
| Bedrohungen | Angriffsszenarien | STRIDE-Klassifizierung, Kategorie, Tags |
| Schäden | Auswirkungsszenarien | Sicherheits-, finanzielle, betriebliche, Datenschutz-Auswirkungen |
| Kontrollen | Gegenmaßnahmen | Typ, Validierungsmethode, Kosten, Reifegrad, Framework-Referenz |
| Ziele | Sicherheitsziele | Framework-Standard, verknüpfte Anforderungen |
| Anforderungen | Sicherheitsanforderungen | Typ, Validierungstyp, Akzeptanzkriterien |
| Claims | Sicherheitsaussagen | Claim-Typ, Aussage |
| Lizenzen | Softwarelizenzen (SPDX) | Lizenzbedingungen, Compliance-Klassifizierung |
Katalogfunktionen
- Versionierung: Major.Minor-Versionsverfolgung mit Status (Aktiv, Archiviert, In Prüfung)
- Framework-Tagging: Zuordnung von Katalogelementen zu ISO 21434, ISO 26262, ISO 27001, SAE J3061 und anderen Standards
- Global vs. Projekt: Globale Kataloge sind organisationsweit; Projektkataloge instanziieren globale Elemente mit projektspezifischem Kontext
- Katalogsynchronisation: Automatisierte Synchronisation verbreitet Katalogaktualisierungen über alle Projekte, mit Tracking von Erstell-/Aktualisierungszählern für Protokollpakete, Angriffsvektoren, Testfälle, Schrittvorlagen, Assets, Bedrohungen, Kontrollen, Ziele, Anforderungen, Sicherheitsereignisse, Schwachstellen, Claims und Schäden
- Portable Kataloge: Import/Export von Katalogen im portablen Format für organisationsübergreifende Weitergabe
- Seeding: Standardkataloge (SPDX-Lizenzen, Risikomethoden, Tool-Definitionen, Threat-Intelligence-Quellen) werden automatisch bei der Tenant-Bereitstellung angelegt
Blueprints
Blueprints sind wiederverwendbare Projektvorlagen, die Modulkonfigurationen zu einem einsatzbereiten Ausgangspunkt bündeln.
- Struktur: Name, Beschreibung, anwendbare Module und Status (Aktiv, Archiviert, In Prüfung)
- Snapshots: Zeitpunktbezogene Erfassungen der Blueprint-Konfiguration zur Versionskontrolle
- Veröffentlichung: Gesteuert durch Genehmigungsworkflows mit Feature-Gate-Zugriffskontrolle
- Lizenz-Gating: Blueprint-Funktionen sind nach Organisations-Lizenzstufe abgestuft
Blueprints reduzieren die Projekteinrichtungszeit, indem sie vorkonfigurierte Modulauswahlen, Katalogzuordnungen und Richtlinienreferenzen bereitstellen, die Teams auf neue Projekte anwenden können.
Baselines
Baselines sind unveränderliche Snapshots des Kampagnen-Befundstatus, die für Regressions-Tracking und Sicherheitstrendanalyse verwendet werden.
Baseline-Struktur
- Referenz des Quell-Kampagnenlaufs
- Befund-Snapshot (Gesamtanzahl, Schweregrad-Aufschlüsselung, Status-Aufschlüsselung, Deduplizierungs-Fingerprints)
- Status-Lebenszyklus: Aktiv → Abgelöst → Archiviert
- Nur eine aktive Baseline pro Kampagnenprofil gleichzeitig
Baseline-Vergleich (Delta-Berichte)
Beim Vergleich eines neuen Kampagnenlaufs mit einer Baseline generiert die Plattform einen Delta-Bericht mit:
| Delta-Typ | Bedeutung |
|---|---|
| Neu | Befund im aktuellen Lauf, aber nicht in der Baseline |
| Behoben | Befund in der Baseline, aber nicht im aktuellen Lauf |
| Unverändert | Befund existiert in beiden |
| Regression | Befund war behoben, ist aber wieder aufgetreten |
| Schweregrad geändert | Gleicher Befund, anderer Schweregrad |
Regressionswarnungen
| Warnungstyp | Auslöser | Priorität |
|---|---|---|
| Neuer kritischer Befund | Jeder neue Befund mit kritischem Schweregrad | P1 |
| Neuer hoher Befund | 3+ neue Befunde mit hohem Schweregrad | P2 |
| Regression | Jeder zuvor behobene Befund taucht wieder auf | P1 |
| Score-Verschlechterung | Sicherheitsscore steigt um >25% | P2 |
Trendberichte
Die Plattform generiert Zeitreihen-Trendanalysen über Kampagnenläufe für ein gegebenes Profil:
- Sicherheitsscore über die Zeit mit Trendklassifizierung (Verbessernd / Stabil / Verschlechternd)
- Neue vs. behobene Befundzählungen pro Lauf
- Durchschnittlicher, minimaler und maximaler Score
- Anzahl eindeutiger Befunde über alle Läufe
Governance-Kontrollen für Baselines
- Berechtigungsbasierter Zugriff:
baseline:view(Lesen),baseline:create(Schreiben),baseline:promote(Vollzugriff),baseline:archive(Vollzugriff) - Genehmigungsworkflows für Baseline-Beförderung
- Vollständiger Audit-Trail für alle Baseline-Operationen
Integration mit anderen Säulen
| Richtung | Säule | Datenfluss |
|---|---|---|
| Ausgehend | TARA | Richtlinien definieren Risikoberechnungsmethoden, Grenzen und Akzeptanzkriterien |
| Ausgehend | Testing | Kataloge liefern Protokollpakete, Angriffsvektoren, Testfall-Vorlagen |
| Ausgehend | SBOM | Richtlinien definieren vertrauenswürdige Schwachstellenquellen und Lizenz-Compliance-Regeln |
| Ausgehend | Operations | Richtlinien definieren Incident-Response-SLAs |
| Ausgehend | Compliance | Richtlinien und Kataloge speisen Compliance-Framework-Zuordnungen |
| Ausgehend | Design | Blueprints erstellen Vorlagen für Projektmodul-Konfigurationen |
| Eingehend | Testing | Kampagnenläufe liefern Befunddaten für Baselines |
| Eingehend | Alle Säulen | Aktivitätsprotokolle und Audit-Trails speisen die Governance-Berichterstattung |