Advertisement

Informatik-Spektrum

, Volume 39, Issue 1, pp 2–20 | Cite as

Referenzmodell für ein Vorgehen bei der IT-Sicherheitsanalyse

  • Rüdiger GrimmEmail author
  • Daniela Simić-Draws
  • Katharina Bräunlich
  • Andreas Kasten
  • Anastasia Meletiadou
HAUPTBEITRAG VORGEHEN BEI DER IT-SICHERHEITSANALYSE

Zusammenfassung

Es wird ein Referenzmodell ontologisch sinnvoll organisierter Begriffe der IT-Sicherheit vorgestellt und gezeigt, wie dieses eine Begründung zur systematischen Durchführung von IT-Sicherheitsanalysen liefert. Das Referenzmodell besteht aus vier Ebenen: erstens die vorhandene Welt aus Gütern und Interessenkonflikten mit den bestehenden Systemen und ihren Schwachstellen; zweitens das Potenzial aus Bedrohungen und Sicherheitsanforderungen; drittens das planvolle Vorgehen mit Sicherheitsmaßnahmen zum Schutz von Geschäftszielen; und viertens die aktuellen Ereignisse aus Angriffen, Unfällen und Abwehroperationen. Das Referenzmodell wird in bestehende Verfahren der Sicherheitsanalyse eingeordnet und anhand des Beispiels Online-Banking erläutert.

Preview

Unable to display preview. Download preview PDF.

Unable to display preview. Download preview PDF.

References

  1. 1.
    Amann E, Atzmüller H (1992) IT-Sicherheit – was ist das? In: Datenschutz und Datensicherung (DuD) 6/92. Vieweg-Verlag, Braunschweig, S 286–292Google Scholar
  2. 2.
    Amann E, Kessler V (1993) Sicherheitsmodelle in Theorie und Praxis. In: Euro-ARCH’93Google Scholar
  3. 3.
    Avižienis A, Laprie JC, Randell B, Landwehr C (2004) Basic Concepts and Taxonomy of Dependable and Secure Computing. In: IEEE TDSC 1(1), Jan–Mar 2004, pp 11–33Google Scholar
  4. 4.
    Bräunlich K, Grimm R, Richter P, Roßnagel A (2013) Sichere Internetwahlen – Ein rechtswissenschaftlich-informationstechnisches Modell. Nomos, Baden-BadenCrossRefGoogle Scholar
  5. 5.
    Bundesamt für Sicherheit in der Informationstechnik (2008) BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise, Version 2.0. Bundesanzeiger-Verlag, KölnGoogle Scholar
  6. 6.
    Bundesamt für Sicherheit in der Informationstechnik (2011) IT-Grundschutzkataloge. Bundesanzeiger-Verlag, Köln, 12. Ergänzungslieferung 2011Google Scholar
  7. 7.
    Common Criteria for Information Technology Security Evaluation, and Common Methodology for Information Technology Security Evaluation. Version 3.1, Revision 4, 2012 Also registered as ISO/IEC 15408:2007Google Scholar
  8. 8.
    Dierstein R (2008) Sicherheit in der Informationstechnik. IT-Sicherheit und ihre Besonderheiten – Duale Sicherheit. Arbeitsbericht der Technischen Universität MünchenGoogle Scholar
  9. 9.
    DIN ISO/IEC 27001 (2005) Informationstechnik – IT-Sicherheitsverfahren usw.Google Scholar
  10. 10.
    Eckert C (2012) IT-Sicherheit. Konzepte, Verfahren, Protokolle. 7. Aufl. Oldenbourg Verlag, MünchenCrossRefGoogle Scholar
  11. 11.
    Freiling F, Grimm R, Großpietsch KE, Keller H, Mottok J, Münch I, Rannenberg K, Saglietti F (2014) Technische Sicherheit und Informationssicherheit – Unterschiede und Gemeinsamkeiten. Informatik Spektrum 37:14–24CrossRefGoogle Scholar
  12. 12.
    Hammer V, Pordesch U, Roßnagel A (1993) KORA. Eine Methode zur Konkretisierung rechtlicher Anforderungen zu technischen Gestaltungsvorschlägen für Informations- und Kommunikationssysteme. Infotech 1:21ff.Google Scholar
  13. 13.
    IEC 61508 (2010) Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme. Als deutsche Norm DIN EN 61598Google Scholar
  14. 14.
    Kessler V, Mund S (1993) Sicherheitsmodelle. Baupläne für die Entwicklung sicherer Systeme. Projektbericht REMO, Siemens ZFE, MünchenGoogle Scholar
  15. 15.
    Koscher K, Czeskis A, Roesner F, Patel S, Kohno T, Checkoway S, McCoy D, Kantor B, Anderson D, Shacham H, Savage S (2010) Experimental Security Analysis of a Modern Automobile. In: IEEE Symposium on Security and PrivacyGoogle Scholar
  16. 16.
    Radeiski S (2012) Entwicklung eines mobilen eID-Clients für Android. Masterarbeit. Fachbereich 4: Informatik, Universität Koblenz-LandauGoogle Scholar
  17. 17.
    Rivest RL, Shamir A, Adleman LM (1978) A method for obtaining digital signatures and public-key cryptosystems. CACM 21(2):120–126CrossRefMathSciNetzbMATHGoogle Scholar
  18. 18.
    Scharf F (2013) nPA-Signatur-basiertes Online-Banking. Kosten, Prozesse, Sicherheit. Vergleich mit anderen Lösungen (div. TAN-Verfahren, darunter smsTAN, chipTAN, SealOne). Diplomarbeit. Fachbereich 4: Informatik, Universität Koblenz-LandauGoogle Scholar
  19. 19.
    Simić-Draws D, Neumann S, Kahlert A, Richter P, Grimm R, Volkamer M, Roßnagel A (2013) Holistic and Law compatible IT Security Evaluation: Integration of Common Criteria, ISO 27001/IT-Grundschutz and KORA. Intern J Inform Sec Priv (IJISP) 7(3):16–35CrossRefGoogle Scholar
  20. 20.
    Sorge C, Gruschka N, Luigi LI (2013) Sicherheit in Kommunikationsnetzen. Oldenbourg, MünchenCrossRefGoogle Scholar
  21. 21.
    Zitz J (2012) Sicherheitsanalyse und Lösungsvorschläge für kabellose Verbindungen. Masterarbeit. Fachbereich 4: Informatik, Universität Koblenz-LandauGoogle Scholar

Copyright information

© Springer-Verlag Berlin Heidelberg 2014

Authors and Affiliations

  • Rüdiger Grimm
    • 1
    Email author
  • Daniela Simić-Draws
    • 1
  • Katharina Bräunlich
    • 1
  • Andreas Kasten
    • 1
  • Anastasia Meletiadou
    • 2
  1. 1.Institut für Wirtschafts- und VerwaltungsinformatikUniversität Koblenz-LandauKoblenzDeutschland
  2. 2.buw Holding GmbHOsnabrückDeutschland

Personalised recommendations