Refine
Year of publication
- 2020 (1)
Document Type
- Master's Thesis (1)
Language
- German (1) (remove)
Has Fulltext
- yes (1)
Is part of the Bibliography
- no (1)
Keywords
- Risikomanagement (1)
Risikomanagement wird in einem sicheren Software-Entwicklungs-Lebenszyklus angewendet, um bei Produkten mögliche Risiken bereits in den frühen Entwicklungsphasen zu entdecken. Diese Arbeit ist aus Sicht eines Zulieferers für die elektrische Energiewirtschaft geschrieben.
Das Ziel dieser Forschung ist es, bestehende Methoden zur Bedrohungsidentifikation und Metriken zur Risikoanalyse zu untersuchen. Dazu wurde die folgende Forschungsfrage gestellt: Welche Methoden zur Bedrohungsidentifikation und Metriken zur Risikoanalyse sollen verwendet werden, um im Produktentwicklungsprozess den Anforderungen an Unternehmen, die als Zulieferer für die elektrische Energiewirtschaft fungieren, zu entsprechen und potentielle Bedrohungen im Anfangsstadium eines Projektes zu identifizieren? Um diese Forschungsfrage zu beantworten, wurden Methoden zur Bedrohungsidentifikation (STRIDE, Angriffsbäume und Angriffsbibliotheken) und Metriken (aus CVSS, OWASP und Literatur entnommen) zur Risikoanalyse in die theoretische Wissensgrundlage aufgenommen, in Bezug auf den Kontext und die Anforderungen analysiert und ein Ergebnis hergeleitet. Die Analyse basiert auf dem Kontext und der definierten Anforderungen aus Standards und Normen, wie IEC 62443-4-1 (Anforderungen an den Lebenszyklus für eine sichere Produktentwicklung), spezielle Publikationen von dem National Institute of Standards and Technology 800-30 (Guide for Conducting Risk Assessments) und 800-82 (Guide to Industrial Control Systems Security). Zusätzlich wurden noch Empfehlungen von der UP KRITIS (Öffentlich-Private Partnerschaft zum Schutz kritischer Infrastrukturen) aufgenommen.
Anhand der Analyse der Methoden zur Bedrohungsidentifikation wurde deduziert, dass aufgrund der Anforderungen keine konkreten Methoden empfohlen werden können. Basierend auf die Anforderungen an die Risikoanalyse konnten in dieser Arbeit die folgenden Schadensmetriken abgeleitet werden: Funktionale, lebensgefährliche oder -bedrohliche Auswirkungen, geschäftliche Auswirkungen, sowie Auswirkungen auf Daten und Informationsressourcen.