Volltext-Downloads (blau) und Frontdoor-Views (grau)
  • search hit 1 of 1
Back to Result List

Analyse von Methoden zur Bedrohungsidentifikation und Metriken zur Risikoanalyse von Prüf- und Messlösungen in kritischen Infrastrukturen

  • Risikomanagement wird in einem sicheren Software-Entwicklungs-Lebenszyklus angewendet, um bei Produkten mögliche Risiken bereits in den frühen Entwicklungsphasen zu entdecken. Diese Arbeit ist aus Sicht eines Zulieferers für die elektrische Energiewirtschaft geschrieben. Das Ziel dieser Forschung ist es, bestehende Methoden zur Bedrohungsidentifikation und Metriken zur Risikoanalyse zu untersuchen. Dazu wurde die folgende Forschungsfrage gestellt: Welche Methoden zur Bedrohungsidentifikation und Metriken zur Risikoanalyse sollen verwendet werden, um im Produktentwicklungsprozess den Anforderungen an Unternehmen, die als Zulieferer für die elektrische Energiewirtschaft fungieren, zu entsprechen und potentielle Bedrohungen im Anfangsstadium eines Projektes zu identifizieren? Um diese Forschungsfrage zu beantworten, wurden Methoden zur Bedrohungsidentifikation (STRIDE, Angriffsbäume und Angriffsbibliotheken) und Metriken (aus CVSS, OWASP und Literatur entnommen) zur Risikoanalyse in die theoretische Wissensgrundlage aufgenommen, in Bezug auf den Kontext und die Anforderungen analysiert und ein Ergebnis hergeleitet. Die Analyse basiert auf dem Kontext und der definierten Anforderungen aus Standards und Normen, wie IEC 62443-4-1 (Anforderungen an den Lebenszyklus für eine sichere Produktentwicklung), spezielle Publikationen von dem National Institute of Standards and Technology 800-30 (Guide for Conducting Risk Assessments) und 800-82 (Guide to Industrial Control Systems Security). Zusätzlich wurden noch Empfehlungen von der UP KRITIS (Öffentlich-Private Partnerschaft zum Schutz kritischer Infrastrukturen) aufgenommen. Anhand der Analyse der Methoden zur Bedrohungsidentifikation wurde deduziert, dass aufgrund der Anforderungen keine konkreten Methoden empfohlen werden können. Basierend auf die Anforderungen an die Risikoanalyse konnten in dieser Arbeit die folgenden Schadensmetriken abgeleitet werden: Funktionale, lebensgefährliche oder -bedrohliche Auswirkungen, geschäftliche Auswirkungen, sowie Auswirkungen auf Daten und Informationsressourcen.
  • Risk management is applied in a secure software development lifecycle to detect potential risks in products in the early stages of development. This thesis is written from the perspective of a supplier for the electrical power industry. The aim of this research is to analyse existing methods for threat identification and metrics for risk analysis. For this purpose, the following research question was asked: Which methods of threat identification and metrics for risk analysis should be used to meet the requirements of companies that act as suppliers for the electrical power industry in the product development process and to identify potential threats in the early stages of a project? In order to answer the research question, methods for threat identification (STRIDE, attack trees and attack libraries) and metrics (taken from CVSS, OWASP and literature) for risk analysis were incorporated into the theoretical knowledgebase, analysed in relation to the context and requirements, and afterwards a result was derived. The analysis is based on the context and the defined requirements from standards and norms, such as IEC 62443-4-1 (life cycle requirements for safe product development), special publications from the National Institute of Standards and Technology 800-30 (Guide for Conducting Risk Assessments) and 800-82 (Guide to Industrial Control Systems Security). In addition, recommendations have been included by the UP KRITIS (Public-Private Partnership for Critical Infrastructure Protection). Based on the analysis of the methods for threat identification, it was deduced that no concrete methods can be recommended due to the requirements. Based on the requirements for risk analysis, the following impact metrics could be derived in this thesis: Functional, life-threatening, business impacts as well as impacts on data and information resources.

Download full text files

Export metadata

Additional Services

Search Google Scholar
Metadaten
Author:Christina Tschol
DOI:https://doi.org/10.25924/opus-3663
Title Additional (English):Analysis of threat identification methods and metrics for risk analysis of test and measurement solutions in critical infrastructures
Advisor:Armin Simma
Document Type:Master's Thesis
Language:German
Year of publication:2020
Publishing Institution:FH Vorarlberg (Fachhochschule Vorarlberg)
Granting Institution:FH Vorarlberg (Fachhochschule Vorarlberg)
Release Date:2020/11/05
Tag:Risikomanagement
Number of pages:65
DDC classes:000 Allgemeines, Informatik, Informationswissenschaft / 000 Allgemeines, Wissenschaft / 004 Informatik
Open Access?:ja
Course of Studies:Informatik
Licence (German):License LogoUrhG - The Austrian Copyright Act applies - Es gilt das österr. Urheberrechtsgesetz