Call for Papers

Security-Anforderungen auf der Spur ( Kompaktseminar )

Agile Erhebung und Validierung von Security-Anforderungen

Referent: Dipl.-Inform. Michael Eisenbarth, comlet Verteilte Systeme GmbH
Vortragsreihe: KS 1.07
Zeit: 03.12.18 09:00-12:30
Co-Referenten: keine

Zielgruppe

Entwicklung

Themenbereiche

Anforderungen definieren und verfolgen, Software Engineering Management, Sichere Software

Schwerpunkt

Methode

Voraussetzungen

Grundlagenwissen

Kurzfassung

Das Rahmenwerk der Common Criteria for Information Technology Security Evaluation (CC) bietet eine Möglichkeit, Security Fragestellungen frühzeitig zu analysieren und geeignete Maßnahmen systematisch ableiten zu können. Security muss allerdings als „Moving Target“ verstanden werden. Die Kernfragen „Worauf muss ich mich einstellen?“ und „Welche Maßnahmen sind zu ergreifen?“ sind immer wieder neu zu evaluieren. Jede Sicherungsstrategie verursacht, dass eine entsprechende Gegenstrategie entworfen wird, die wiederum die Sicherungsstrategie beeinflusst. Zudem verändert der technische Fortschritt die Angriffsmethoden und -möglichkeiten permanent. Für die Erhebung von Security Anforderungen ergibt sich somit eine dynamische Bedrohungslage, die eine stetige Adaptionen verlangt. Das Kurzseminar stellt ein Verfahren zur kontinuierlichen Erhebung und Bewertung von Security Anforderungen, insbesondere in agilen Entwicklungsumgebungen vor und berichtet über die Erfahrungen in bisherigen Projekten.

Gliederung

Das Seminar bietet den Teilnehmern eine Mischung aus Theorie- und anwendungsbezogener Diskussionsanteilen. Anhand praxisnaher Beispiele aus früheren Projekten, werden den Kursteilnehmern die theoretischen Inhalte pragmatisch vermittelt und somit leicht in den eigenen Projektalltag übertragbar.

Agenda:
1. Motivation und Verständnis Bedrohungsanalysen
2. Grundlagen des Common Criteria Frameworks
3. Methodenteil 1 – Inkrementelle Erhebung von Security Requirements in agilen Umgebungen
4. Praxisteil – Illustration der Methode anhand ausgewählter Beispiele
5. Methodenteil 2- Kontinuierliche Bewertung von Sicherheitsmaßnahmen und deren Wirksamkeit während des Produktlebenszyklus
6. Abschluss - Diskussion der Ergebnisse und Herausforderungen zum Transfer in den Projektalltag der Teilnehmer

Nutzen und Besonderheiten

Sicherheit vor Angriffen ist keine isolierte Qualität, die man einem System im Nachhinein hinzufügen kann. Sie erfordert sorgfältige Überlegungen direkt von Beginn des Entwicklungsprozesses an und verlangt kontinuierliche Aufmerksamkeit über den gesamten Lebenszyklus eines Systems oder Services hinweg. Eine wirksame Security-Implementierung im Sinne eines „Fire and Forget“ kann es nicht geben. Jede Sicherungsmaßnahme kann mit entsprechendem Aufwand durch technische oder personelle Angriffsmöglichkeiten umgangen werden. Für die Security ergibt sich somit eine stets wandelbare, dynamische Bedrohungslage. Dies ist unter anderem auch ein elementarer Unterschied zu den Prinzipien der Safety/Betriebssicherheit (=Schutz des Menschen vor der Maschine). Durch die systematische Einbindung der betrachteten Methode in den Anforderungsmanagement Prozess, wird eine frühzeitige Identifikation und Analyse der Security-relevanten Anforderungen, insbesondere auch in agilen Prozessen möglich.

Über den Referenten

Michael Eisenbarth ist Leiter des Fachbereichs „Verteilte Sicherheit“ bei der comlet Verteilte Systeme GmbH in Zweibrücken. Davor arbeitete er 12 Jahre bei der Fraunhofer Gesellschaft in verschiedenen Forschungs- und Industrieprojekten, sowie bei der proALPHA Business Solutions als Produktmanager International Business. Seine Arbeitsschwerpunkte liegen auf den Themen des Anforderungs- und Änderungsmanagement, sowie IT-Sicherheit und Qualitätssicherung.