@phdthesis{Tschol2020,
  type      = {Master Thesis},
  author    = {Christina Tschol},
  title     = {Analyse von Methoden zur Bedrohungsidentifikation und Metriken zur Risikoanalyse von Pr{\"u}f- und Messl{\"o}sungen in kritischen Infrastrukturen},
  journal    = {Analysis of threat identification methods and metrics for risk analysis of test and measurement solutions in critical infrastructures},
  doi       = {10.25924/opus-3663},
  pages     = {65},
  year      = {2020},
  abstract  = {Risikomanagement wird in einem sicheren Software-Entwicklungs-Lebenszyklus angewendet, um bei Produkten m{\"o}gliche Risiken bereits in den fr{\"u}hen Entwicklungsphasen zu entdecken. Diese Arbeit ist aus Sicht eines Zulieferers f{\"u}r die elektrische Energiewirtschaft geschrieben. Das Ziel dieser Forschung ist es, bestehende Methoden zur Bedrohungsidentifikation und Metriken zur Risikoanalyse zu untersuchen. Dazu wurde die folgende Forschungsfrage gestellt: Welche Methoden zur Bedrohungsidentifikation und Metriken zur Risikoanalyse sollen verwendet werden, um im Produktentwicklungsprozess den Anforderungen an Unternehmen, die als Zulieferer f{\"u}r die elektrische Energiewirtschaft fungieren, zu entsprechen und potentielle Bedrohungen im Anfangsstadium eines Projektes zu identifizieren? Um diese Forschungsfrage zu beantworten, wurden Methoden zur Bedrohungsidentifikation (STRIDE, Angriffsb{\"a}ume und Angriffsbibliotheken) und Metriken (aus CVSS, OWASP und Literatur entnommen) zur Risikoanalyse in die theoretische Wissensgrundlage aufgenommen, in Bezug auf den Kontext und die Anforderungen analysiert und ein Ergebnis hergeleitet. Die Analyse basiert auf dem Kontext und der definierten Anforderungen aus Standards und Normen, wie IEC 62443-4-1 (Anforderungen an den Lebenszyklus f{\"u}r eine sichere Produktentwicklung), spezielle Publikationen von dem National Institute of Standards and Technology 800-30 (Guide for Conducting Risk Assessments) und 800-82 (Guide to Industrial Control Systems Security). Zus{\"a}tzlich wurden noch Empfehlungen von der UP KRITIS ({\"O}ffentlich-Private Partnerschaft zum Schutz kritischer Infrastrukturen) aufgenommen. Anhand der Analyse der Methoden zur Bedrohungsidentifikation wurde deduziert, dass aufgrund der Anforderungen keine konkreten Methoden empfohlen werden k{\"o}nnen. Basierend auf die Anforderungen an die Risikoanalyse konnten in dieser Arbeit die folgenden Schadensmetriken abgeleitet werden: Funktionale, lebensgef{\"a}hrliche oder -bedrohliche Auswirkungen, gesch{\"a}ftliche Auswirkungen, sowie Auswirkungen auf Daten und Informationsressourcen.},
  language  = {de}
}