Zur Risikobestimmung bei Security-Analysen in der Eisenbahnsignaltechnik
Author:
Abstract
Die CORAS-Methode [LSS11] unterstützt eine systematische, defensive Risikoanalyse, die insbesondere zur Ermittlung von IT-Security-Anforderungen eingesetzt wird. Sie ermöglicht eine Risikobeurteilung auf Basis einer Systemanalyse und der Identifikation der zu schützenden Werte. Dafür wird ein System schrittweise in sogenannten Bedrohungsdiagrammen auf Schwachstellen untersucht. Danach erfolgt die Risikobewertung auf Grundlage des möglichen Schadenausmaßes und der zu erwartenden Häufigkeit von Angriffen. In einer Fallstudie zur Risikoanalyse von IT-Security-Bedrohungen in sicherheitsrelevanten Systemen haben wir festgestellt, dass sich das Schadenausmaß durch die genaue Identifikation der Schutzziele mit der CORAS-Methode gut ermitteln lässt, während sich die Bewertung der Angriffshäufigkeit als schwierig erweist. Wir schlagen daher vor, die Angriffshäufigkeit durch eine semi-quantitative Klassifikation in mehreren Aspekten zu bewerten. In diesem Beitrag beschreiben wir eine derartige Bewertung, die die Aspekte Motivation, Mittel und Gelegenheit berücksichtigt, und diskutieren verschiedene Funktionen zur Kombination der Klassifikationen. Anhand der Fallstudie aus der Eisenbahnsignaltechnik zeigen wir, dass aus dem abgeleiteten Klassifikationschema eine sinnvolle Risikobewertung von IT-Security-Bedrohungen für sicherheitskritische Systeme resultiert.
- Citation
- BibTeX
Saal, S., Klar, D., Seemann, M. & Huhn, M.,
(2013).
Zur Risikobestimmung bei Security-Analysen in der Eisenbahnsignaltechnik.
In:
Wagner, S. & Lichter, H.
(Hrsg.),
Software Engineering 2013 - Workshopband.
Bonn:
Gesellschaft für Informatik e.V..
(S. 515-528).
@inproceedings{mci/Saal2013,
author = {Saal, Sebastian AND Klar, Dennis AND Seemann, Markus AND Huhn, Michaela},
title = {Zur Risikobestimmung bei Security-Analysen in der Eisenbahnsignaltechnik},
booktitle = {Software Engineering 2013 - Workshopband},
year = {2013},
editor = {Wagner, Stefan AND Lichter, Horst} ,
pages = { 515-528 },
publisher = {Gesellschaft für Informatik e.V.},
address = {Bonn}
}
author = {Saal, Sebastian AND Klar, Dennis AND Seemann, Markus AND Huhn, Michaela},
title = {Zur Risikobestimmung bei Security-Analysen in der Eisenbahnsignaltechnik},
booktitle = {Software Engineering 2013 - Workshopband},
year = {2013},
editor = {Wagner, Stefan AND Lichter, Horst} ,
pages = { 515-528 },
publisher = {Gesellschaft für Informatik e.V.},
address = {Bonn}
}
Haben Sie fehlerhafte Angaben entdeckt? Sagen Sie uns Bescheid: Send Feedback
More Info
ISBN: 978-3-88579-609-1
ISSN: 1617-5468
xmlui.MetaDataDisplay.field.date: 2013
Language: (de)
Content Type: Text/Conference Paper