UnivIS
Informationssystem der Friedrich-Alexander-Universität Erlangen-Nürnberg © Config eG 
Entwicklung einer Methode zur Ermittlung, Beschreibung und Sicherstellung von Schutzzielen auf Komponentenebene

Die zunehmende Vernetzung heutiger Softwaresysteme setzt diese einer zunehmenden Anzahl potentieller Bedrohungsquellen aus, die relevante Daten in Folge von Systemschwachstellen gefährden können. Dadurch können typische Schutzziele wie z.B. Informationsvertraulichkeit, Datenintegrität und Dienstverfügbarkeit beeinträchtigt werden. Die Schwachstellen eines Softwaresystems können dadurch entstehen, dass

  • die einzuhaltenden Schutzziele auf Applikationsebene nicht vollständig und eindeutig beschrieben werden,

  • der Beitrag der einzelnen Komponenten des Softwaresystems zur Einhaltung der Schutzziele nicht explizit festgelegt wird,

  • die Umsetzung angemessener Schutzmechanismen auf Komponentenebene nur unzureichend erfolgt.

Von großer Bedeutung ist daher ein Gesamtkonzept, das von der Beschreibung der einzuhaltenden Schutzziele auf Applikationsebene bis hin zur automatischen Generierung geeigneter Mechanismen zur Sicherstellung der Schutzziele auf Komponentenebene reicht und im Einzelnen folgende Schritte vorsieht:

  • Spezifikation der Schutzziele auf Applikationsebene

  • Verfeinerung der Schutzziele von der Applikationsebene auf die Komponentenebene

  • Verifikation der Angemessenheit der Schutzziele auf Komponentenebene

  • Automatische Generierung geeigneter Schutzmechanismen auf Komponentenebene.

Eine vorausgehende Recherche konnte die wesentlichen Einschränkungen bisheriger Forschungsprojekte auf verwandten Gebieten ermitteln, die mehrheitlich keine durchgängige Softwareentwicklung als Schwerpunkt haben. In einem ersten Schritt wurde ein Kriterienkatalog erstellt, anhand dessen eine Reihe formaler Spezifikationssprachen hinsichtlich ihrer Ausdruckskraft bezüglich unterschiedlicher Security-Anforderungsarten vergleichend bewertet wurden. Darauf aufbauend wurde die Anwendbarkeit der Object Constraint Language (OCL) zur Beschreibung von Schutzzielen untersucht, wobei ein Bedarf nach geeigneten Erweiterungen der OCL festgestellt wurde, etwa um zeitliche Aspekte, zur gezielten Formulierung notwendiger Nutzungseinschränkungen in Betracht zu ziehen.

Projektleitung:
Prof. Dr. rer. nat. habil. Francesca Saglietti

Beteiligte:
Dipl.-Math. Jens Palluch

Stichwörter:
komponentenbasierte Software; Schutzziele; Informationssicherheit

Laufzeit: 1.12.2003 - 30.10.2005
UnivIS ist ein Produkt der Config eG, Buckenhof