ReSi -- Rahmenwerk zur Entwicklung von rechtskonformen sicherheitskritischen IT Systemen und deren Evaluierung
Laufzeit: 01.10.2015 - 30.09.2017
Partner: Rüdiger Grimm, Koblenz, Alexander Roßnagel, Kassel, Melanie Volkamer, Darmstadt
Förderung durch: BEANTRAGT am 15.4.2015 bei DFG unter Antragskennungen GR 3561/3-1 | RO 680/22-1 | VO 1708/2-1
Kurzfassung
Ziel dieses Projektes ist die interdisziplinäre Erarbeitung eines ganzheitlichen Rahmenwerks für den Entwicklungsprozess von rechtskonformen, sicheren und nutzerfreundlichen Systemen. Dabei umfasst der Entwicklungsprozess drei Phasen: Anforderungsspezifikation, Produkt-Entwicklung und Evaluierung. Die Untersuchung bezieht sich auf sicherheitskritische Systeme. Diese bestehen aus den Sicherheitsgrundfunktionen (z.B. kryptographische Protokolle, Zugriffskontrolltechniken), IT-Produkten...
Ziel dieses Projektes ist die interdisziplinäre Erarbeitung eines ganzheitlichen Rahmenwerks für den Entwicklungsprozess von rechtskonformen, sicheren und nutzerfreundlichen Systemen. Dabei umfasst der Entwicklungsprozess drei Phasen: Anforderungsspezifikation, Produkt-Entwicklung und Evaluierung. Die Untersuchung bezieht sich auf sicherheitskritische Systeme. Diese bestehen aus den Sicherheitsgrundfunktionen (z.B. kryptographische Protokolle, Zugriffskontrolltechniken), IT-Produkten (Software und Hardware) und deren Einsatzumgebung (z.B. Infrastrukturen mit Räumen, Sicherheitspolitiken, Benutzeranleitungen und -hinweise).
Dieses ganzheitliche Rahmenwerk stellt sicher, dass die rechtlichen Vorgaben eingehalten werden. Dies setzt neben (sicherheits-)technischen Faktoren die Einbeziehung menschlicher Faktoren voraus, um sicher zu stellen, dass die zu entwickelnden sicherheitskritischen Systeme nicht nur theoretisch sicher sind, sondern auch die unterschiedlichen Endbenutzer unterstützen, sich effektiv und effizient gegen Angreifer zu schützen.
Existierende Ansätze beziehen sich oft nur auf einen der drei Phasen (Anforderungsspezifikation, Entwicklung und Evaluierung), einen der drei Bereiche eines Systems (Sicherheitsgrund¬funk¬tionen, Software/ Hardware (SW/HW), Einsatzumgebung) und/oder nur auf (sicherheits-) technische Faktoren oder menschliche Faktoren. Beispielsweise liegt der Fokus für Common Criteria [CC06] auf SW/HW aus sicherheits-technischer Sicht, beim BSI-Grundschutz, auf SW/HW hinsichtlich ihrer Einsatzorganisation und bei der ISO 9241 [ISO10] auf SW/HW hinsichtlich ihrer Gebrauchstaug-lichkeit. All diese Ansätze und Standards beziehen die rechtlichen Vorgaben nicht oder nicht systematisch mit ein (wie es etwa von KORA vorgesehen ist), weswegen die Rechtskonformität nicht aus dem Vorgehen heraus sichergestellt wird.
Diese Ansätze sind für sich alleine gesehen gut untersucht. Was allerdings fehlt sind die Schnittstellen zwischen den einzelnen Ansätzen und Standards. Diese werden im Rahmen dieses Projektes geschaffen.
» weiterlesen» einklappen