Konferenz mit Publikum
Di., 18. Okt. 2016 , Graz, Austria

4. Internationaler Workshop zu Risikobewertung und risikoorientierter Qualitätssicherung (RISK)

In Verbindung mit der ICTSS – 28. International Conference on Testing Software and Systems

Durch die zunehmende Softwarekomplexität, den steigenden Bedarf nach Funktionalität sowie den Wunsch nach kontinuierlicher Erreichbarkeit von elektronischen Komponenten, entsteht eine wachsende Nachfrage für Technologien, die Qualität, Abhängigkeit, Verlässlichkeit und Sicherheit von Software prüfen und gewährleisten können. Einerseits schafft der gegenwärtige Fortschritt des Internets der Dinge neue Angriffsoberflächen für Hackerangriffe. Andererseits stehen häufig nicht genügend Ressourcen zur Bekämpfung von Sicherheitsbedrohungen zur Verfügung. Das Risiko, dass Softwaresysteme nicht das angestrebte Qualitätslevel erreichen, kann schwerwiegende Auswirkungen auf Anbieter, Kunden und – wenn es um kritische Infrastrukturen geht – auf unser alltägliches Leben haben. Das genaue Verständnis von Risiken sowie eine systematische Risikobehandlung ist zu einem Grundpfeiler für die Entscheidungsfindung bzgl. komplexer sozialer und technischer Fragestellungen geworden.

Traditionelle Ansätze der Qualitätssicherung adressieren Risiken eher implizit als systematisch. Systeme, Funktionen und Module, die kritischer Natur sind, werden intensiver getestet, als andere. Die Grundlage für solche Tests ist oftmals eine sehr simple und unstrukturierte Risikobewertung, die normalerweise vor oder während eines Testlaufs durchgeführt wird. Allerdings wissen wir, dass Menschen zwar gut darin sind, technische Umgebungen und Prozesse zu planen, aber oftmals daran scheitern, intuitiv entsprechende Risiken einzuschätzen. Daraus resultierend gibt es ein wachsendes Interesse traditionelle Ansätze dahingehend zu verbessern, systematische Risikoanalysen zur Qualitätssicherung hinzuzuziehen und in die Qualitätssicherung zu integrieren.  

Dieser Workshop beschäftigt sich mit risikobasierten Ansätzen, mit denen die Qualitätssicherung von Software und Cyber Systems verbessert werden kann. Wir interessieren uns für innovative Technologien, Werkzeuge, Sprachen und Methoden aus Wissenschaft oder Industrie, die Risiken bzw. Risikoanalysen in ihre Sicherheits-, Compliance- und Validierungsprozesse mit einbeziehen bzw. direkt für das Testen von Software oder Cyber- Systems verwenden. 

Zudem interessieren wir uns für Sicherheit, Schutz und Verlässlichkeit und insbesondere für Bereiche, in denen sie sich überschneiden. Im diesjährigen Workshop suchen wir insbesondere Beiträge, die sich mit dem Thema Verlässlichkeit oder dem Internet der Dinge auseinandersetzen.

Programm Risk Workshop 2018, Tuesday October 18th, 9:00 – 17:30

9:00  – 10:00
Keynote (shared with ICTSS)

Arnaud Gotlieb: Constraint-Based Test Suite Optimization



10:30 – 12:00: Security Risk Management (Session 1)
Session chair: Jürgen Großmann

10:30 – 10:45
Welcome by Jürgen Großmann and Michael Felderer

10:45-11:10
Johannes Viehmann: Business Driven ICT Risk Management in the Banking Domain with RACOMAT

11:10- 11:35
Gencer Erdogan, Marit Natvig, Aida Omerovic and Isabelle C.R. Tardy: Towards Transparent Real-Time Privacy Risk Assessment of Intelligent Transport Systems

11:35 -12:00
Benjamin Aziz and Jeyong Jung: Check Your Blind Spots: A New Cyber-Security Metric for Measuring Incident Response Readiness

13:20 – 15:00: Security Risk Analysis (Session 2)
Session Chair: Michael Felderer

13:20 – 13:45
Pontus Johnson, Alexandre Vernotte, Dan Gorton, Mathias Ekstedt and Robert Lagerström: Quantitative Information Security Risk Estimation using Probabilistic Attack Graphs

13:45 – 14:10
Steve Muller, Carlo Harpes and Cédric Muller: Fast and Optimal Countermeasure Selection for Attack Defence Trees

14:10 – 14:35
Laurens Lemaire, Jan Vossaert, Bart De Decker and Vincent Naessens: An Assessment of Security Analysis Tools for Cyber-Physical Systems

14:35 – 15:00
Daniel Angermeier, Alexander Nieding and Jörn Eichler: Supporting risk assessment with the systematic identification, merging and validation of security goals

15:30 – 17:30: Risk-based Testing (Session 3)
Session chair: Jürgen Großmann

15:30 – 15:55
Gencer Erdogan and Ketil Stølen: Design Decisions in the Development of a Graphical Language for Risk-Driven Security Testing

15:55 – 16:20
Rudolf Ramler and Michael Felderer: Towards a Lightweight Approach for Estimating Probability in Risk-Based Software Testing

16:20 – 16:45
Martin Schneider and Marc-Florian Wendland: Gaining Certainty about Uncertainty Testing for Uncertainties of Cyber-Physical Systems at the Application Level

16:45 – 17:10
Michael Felderer, Florian Auer and Johannes Bergsmann: Risk Management during Development: Results of a Survey in Software Houses from Germany, Austria and Switzerland

17:10 – 17:30
Wrap up and next steps


Akzeptierte Papers werden als RISK 2016 Springer LNCS Ausgabe veröffentlicht. 

RISK Program Committee (wird laufend vervollständigt):

•    Ina Schieferdecker (TU Berlin/Fraunhofer FOKUS, Germany)
•    Ketil Stolen (SINTEF ICT, Norway)
•    Ruth Breu (University of Innsbruck, Austria)
•    Ron Kenett (KPA Ltd. and Univ. of Torino, Italy)
•    Sardar Muhammad Sulaman (Lund University, Sweden)
•    Markus Schacher (KnowGravity Inc., Switzerland)
•    Rudolf Ramler (Software Competence Center Hagenberg, Austria)
•    Alessandra Bagnato (Softeam, France)
•    Kenji Taguchi (AIST, Japan)
•    Zhen Ru Dai (University of Applied Science Hamburg, Germany)
•    Fredrik Seehusen (SINTEF ICT, Norway)
•    Michael Felderer (University of Innsbruck, Austria)
•    Jürgen Großmann (Fraunhofer FOKUS, Germany)
•    Per Håkon Meland (SINTEF, Norway)
•    Luca Compagna (SAP Labs, France)
•    Fabio Martinelli (CNR-IIT Pisa, Italy)
•    Jörn Eichler (Fraunhofer AISEC, Germany)
•    Bruno Legeard (Femto-ST, France)
•    Xiaoying Bai (Tsinghua University, China)

Organisatoren:

    •   Jürgen Großmann (Fraunhofer FOKUS, Germany)
    •   Michael Felderer (University of Innsbruck, Austria)

    •   Fredrik Seehusen (SINTEF ICT, Norway)