ProjekthintergrundVor dem Hintergrund einer steigenden Häufigkeit und Perfidie von Angriffen auf die IT-Infrastruktur von Organisationen wird es immer wichtiger, dass diese über ihren Sicherheitszustand gut informiert sind. Dazu gehört insbesondere das Wissen um Schwachstellen und das Ergreifen geeigneter Maßnahmen und damit die Bewertung der Sicherheit.
In der Praxis existieren zwar für große Organisationen Standards, mit deren Hilfe eine solche Bewertung vorgenommen werden kann. Diese Standards beziehen sich aber auf das Management der IT-Sicherheit und gehen immer davon aus, dass Expertenwissen vorhanden ist. In kleineren Organisationen existiert jedoch gerade diesbezüglich ein gewisses Defizit, wodurch die Bewertungsgrundlage dieser Standards nicht erfüllt werden kann. Zudem sind die Standards aus wissenschaftlicher Ansicht als äußerst zweifelhaft anzusehen, da sie wichtige Anforderungen von Metriken nicht erfüllen.
Ziel des Projektes
Ziel des Projekts ist daher die Entwicklung eines Modells, welches neben einer geeigneten Darstellung des Wissens auch eine solide Bewertungsgrundlage enthält und in der Praxis einsetzbar ist.
Projektstatus
Es wurde Konzept entwickelt, welches erlaubt, die Sicherheit von Organisationen zu modellieren und Aggregationen von Einzelaspekten zu einer gesamtheitlich(er)en Sicht vorzunehmen.
Dieses Konzept wird zurzeit an Beispielen erprobt. Dabei wird untersucht, in wiefern die Modellelemente ausreichen bzw. ob und wo Erweiterungen notwendig sind.
Arbeiten
Folgende Arbeiten wurden bzw. werden im Rahmen des Projektes bearbeitet:
Messung des Vertraulichkeitsverlustes in Unternehmen
Sicherheitsmodellierung von Datenverarbeitungssystemen
Modellierung von Sicherheitsbedrohungen und Gegenmaßnahmen in Firmennetzwerken
Modellierung von Sicherheitsvorfällen