Bewertung von Sicherheitsanforderungen

Diplomarbeit aus dem Jahr 2006 im Fachbereich Informatik - Angewandte Informatik, Note: 1,3, Technische Universität München (Informatik, Wirtschaftsinformatik), Sprache: Deutsch, Abstract: Inhaltsangabe:Problemstellung:§Durch die immer stärkere Vernetzung der Computer, erhöht sich die Anzahl der Angriffe immer mehr. Da die Computer für das Überleben eines Unternehmens immer wichtiger und die Schäden durch die Angriffe immer größer werden, muss sich jedes Unternehmen Gedanken über Sicherheitsanforderungen machen. §Leider berücksichtigen viele Unternehmen die IT-Sicherheit viel zu wenig, da Investitionen in die IT-Sicherheit meistens sehr teuer sind und keine direkten Einnahmen bringen. Die Sicherheitsinvestitionen werden deshalb häufig nur als Kostenfaktor angesehen. Andere Projekte mit direkten Einnahmen werden meistens bevorzugt.§Daher ist eine Methode, mit der die Sicherheitsanforderungen bewertet werden können, notwendig. §In dieser Arbeit werden zuerst die Grundlagen vorgestellt und dann eine Methode entwickelt, mit der die Sicherheitsanforderungen bewertet werden können. Zuerst wird dargestellt, was Design Patterns und Security Patterns sind. Außerdem wird aufgezeigt, wie der Return on Investment (RoI) und der Return on Security Investment (RoSI) berechnet werden. Es werden dann auch noch Angriffsbäume beschrieben.§Die entwickelte Methode zur Bewertung von Sicherheitsanforderungen baut auf dem Return on Security Investment (RoSI) auf. Der RoSI ist die am weitesten verbreitete Kennzahl für Investitionen in die IT-Sicherheit.§Es wird aufgezeigt, wie man sowohl einzelne Security-Patterns als auch ganze Security-Pattern-Systeme bewerten kann. Für die vorgestellten Methoden werden umfangreiche Beispiele gezeigt.§Inhaltsverzeichnis:Inhaltsverzeichnis:§ZusammenfassungIII§InhaltsverzeichnisIV§AbbildungsverzeichnisVII§TabellenverzeichnisVIII§AbkürzungsverzeichnisX§1.Problemstellung und Aufbau der Arbeit1§1.1Problemstellung1§1.2Aufbau der Arbeit2§2.Begriffliche Grundlagen3§2.1Design Patterns3§2.1.1Aufbau von Design Patterns3§2.2.2Vorteile von Design Patterns5§2.2.3Nachteile von Design Patterns5§2.2Security Patterns6§2.2.1Aufbau von Security Patterns6§2.2.2Vorteile von Security Patterns6§2.2.3Nachteile von Security Patterns7§2.3Return on Security Investment (RoI)8§2.3.1Berechnungsmethode8§2.3.2Vorteile des RoI9§2.3.3Nachteile des RoI9§2.4Return on Security Investment (RoSI)10§2.4.1Berechnungsmethoden10§2.4.1.1An der University of Idaho entwickelter RoSI10§2.4.1.1.1Berechnungsmethode10§2.4.1.1.2Beispiel11§2.4.1.1.3Vorteile der Berechnungsmethode12§2.4.1.1.4Nachteile der Berechnungsmethode12§2.4.1.2Von Scott Berinato entwickelter RoSI13§2.4.1.2.1Berechnungsmethode13§2.4.1.2.2Beispiel14§2.4.1.2.3Vorteile der Berechnungsmethode15§2.4.1.2.4Nachteile der Berechnungsmethode16§2.4.1.3Von Spenneberg entwickelter RoSI16§2.4.1.3.1Berechnungsmethode16§2.4.1.3.2Beispiel18§2.4.1.3.3Vorteile der Berechnungsmethode19§2.4.1.3.4Nachteile der Berechnungsmethode19§2.4.1.4Von Wes Sonnenreich, Jason Albanese und Bruce Stout vorgestellter RoSI19§2.4.1.4.1Berechnungsmethode20§2.4.1.4.2Beispiel20§2.4.1.4.3Vorteile der Berechnungsmethode21§2.4.1.4.4Nachteile der Berechnungsmethode21§2.4.2Probleme bei der Berechnung des RoSI21§2.5Angriffsbäume23§2.5.1Methode23§2.5.2Beispiel23§2.5.3Vorteile von Angriffsbäumen24§2.5.4Nachteile von Angriffsbäumen24§3.Bewertung von Sicherheits-Anforderungen26§3.1Problem26§3.2Berechnungsmethode27§3.2.1Ermittlung der RoSI von den Voraussetzungen27§3.2.2Bedrohungsanalyse28§3.2.3Angriffsbaum28§3.2.4Risikoanal...