Logo des Repositoriums
 
Konferenzbeitrag

Zur Risikobestimmung bei Security-Analysen in der Eisenbahnsignaltechnik

Lade...
Vorschaubild

Volltext URI

Dokumententyp

Text/Conference Paper

Zusatzinformation

Datum

2013

Zeitschriftentitel

ISSN der Zeitschrift

Bandtitel

Verlag

Gesellschaft für Informatik e.V.

Zusammenfassung

Die CORAS-Methode [LSS11] unterstützt eine systematische, defensive Risikoanalyse, die insbesondere zur Ermittlung von IT-Security-Anforderungen eingesetzt wird. Sie ermöglicht eine Risikobeurteilung auf Basis einer Systemanalyse und der Identifikation der zu schützenden Werte. Dafür wird ein System schrittweise in sogenannten Bedrohungsdiagrammen auf Schwachstellen untersucht. Danach erfolgt die Risikobewertung auf Grundlage des möglichen Schadenausmaßes und der zu erwartenden Häufigkeit von Angriffen. In einer Fallstudie zur Risikoanalyse von IT-Security-Bedrohungen in sicherheitsrelevanten Systemen haben wir festgestellt, dass sich das Schadenausmaß durch die genaue Identifikation der Schutzziele mit der CORAS-Methode gut ermitteln lässt, während sich die Bewertung der Angriffshäufigkeit als schwierig erweist. Wir schlagen daher vor, die Angriffshäufigkeit durch eine semi-quantitative Klassifikation in mehreren Aspekten zu bewerten. In diesem Beitrag beschreiben wir eine derartige Bewertung, die die Aspekte Motivation, Mittel und Gelegenheit berücksichtigt, und diskutieren verschiedene Funktionen zur Kombination der Klassifikationen. Anhand der Fallstudie aus der Eisenbahnsignaltechnik zeigen wir, dass aus dem abgeleiteten Klassifikationschema eine sinnvolle Risikobewertung von IT-Security-Bedrohungen für sicherheitskritische Systeme resultiert.

Beschreibung

Saal, Sebastian; Klar, Dennis; Seemann, Markus; Huhn, Michaela (2013): Zur Risikobestimmung bei Security-Analysen in der Eisenbahnsignaltechnik. Software Engineering 2013 - Workshopband. Bonn: Gesellschaft für Informatik e.V.. PISSN: 1617-5468. ISBN: 978-3-88579-609-1. pp. 515-528. Regular Research Papers. Aachen. 26. Februar-1. März 2013

Schlagwörter

Zitierform

DOI

Tags