FORSEC
FORSEC - SICHERHEIT HOCHGRADIG VERNETZTER IT-SYSTEME
Ökonomische Planung und Bewertung von IT-Sicherheit (TP 10)
Arbeitsfeld:
D Beweissicherung und NachbereitungDie ökonomische Betrachtung von Sicherheitsmaßnahmen in fast allen kommunikationsbasierten Anwendungsbereichen rückt zunehmend in den Fokus der IT-Sicherheitsforschung. Sie weist im Vergleich zur technologischen Schwesterdisziplin eine vergleichsweise junge Historie auf, so dass umfangreiche wissenschaftliche Erkenntnisse weder hinsichtlich der Planung („ex ante“-Perspektive) noch der Bewertung („ex post“-Perspektive) von IT-Sicherheitsmaßnahmen vorliegen. Im Kontext stark vernetzter Informations- und Kommunikationssysteme nehmen sowohl die Bedeutung als auch die Komplexität der ökonomischen Sicherheitsforschung zu. Die Zunahme der Bedeutung basiert darauf, dass durch die Adoption von Technologien wie RFID, Konzepten wie „Cloud Computing“, „Serviceoriented Computing“ und „Internet of Things“ sowie sozialen Netzwerken immer größere Bestandteile der ökonomischen Wertschöpfung, elementarer Infrastrukturen und des Alltags vieler Menschen betroffen sind und für die Sicherheit der vernetzten Systeme deutlich mehr Ressourcen zu managen sind, als dies bei isolierten IT-Systemen der Fall ist.
Die Zunahme der Komplexität liegt im Wesentlichen in den Faktoren der Ausdehnung, Dynamik und Stakeholder begründet: 1) Ausdehnung: IT-Sicherheitsmaßnahmen sind über organisatorische Grenzen und lokale technische Infrastrukturen hinweg zu managen. 2) Dynamik: Aufgrund der höheren Dynamik stark vernetzter Systeme unterliegen Planung und Evaluierung von IT-Sicherheitsmaßnahmen kürzeren Zyklen. 3) Stakeholder: An stark vernetzten Systemen und ihrer Sicherheitsplanung sind mehrere Stakeholder mit oftmals unterschiedlichen Präferenzen beteiligt. Diese Faktoren werden in der bisherigen Forschung zur ökonomischen Bewertung von IT-Sicherheitsmaßnahmen nur unzureichend berücksichtigt, so dass damit keine geeigneten ökonomischen Planungs- und Bewertungsgrundlagen für die Anwendung in stark vernetzten Systemen existieren.
Aus den skizzierten Defiziten ergibt sich als übergeordnetes Projektziel die Beantwortung der Fragen, wie in stark vernetzten Systemen a) Entscheidungsprozesse für IT-Sicherheitsmaßnahmen unterstützt werden können (ex ante-Betrachtung) und b) die Wirksamkeit von IT-Sicherheitsmaßnahmen evaluiert werden kann (ex post-Betrachtung). Das dazu verwendete wissenschaftliche Konzept sieht vor, vor allem Methoden des Operations Research zu verwenden und Sicherheitsmetriken, Entscheidungsunterstützungsmodelle und -methoden sowie Evaluationsprozesse für drei ausgewählte Szenarien zu entwickeln, die mit Wissenschaftlern und mit Praktikern diskutiert werden sollen. Als Szenarien werden „Service-Oriented Computing und Web-basierte Anwendungen“, „Smart Grids“ und „Verteiltes Identitätsmanagement“ betrachtet, die in anderen Teilprojekten des Forschungsverbundes fokussiert werden, zu denen dadurch eine enge Verknüpfung entsteht. Schließlich sollen die Szenariospezifischen Artefakte zu Szenarioübergreifenden, generischen Artefakten induktiv zusammengefasst werden.
Projektpartner:
- Universität Regensburg