Ansprechperson
Jürgen Großmann
Dr.-Ing. Jürgen Großmann
Gruppenleiter Entwicklung kritischer Systeme
Geschäftsbereich SQC
+49 30 3463-7390
Weitere Informationen

RASEN

Kompositionelle Risikoanalyse und IT-Sicherheitstesten für vernetzte Systeme

01. Okt. 2013 bis 31. Okt. 2015

Informationsverarbeitende Systeme sind zunehmend vernetzt, heterogen und überschreiten sowohl organisatorische als auch geographische Grenzen. Sie stellen allein aufgrund ihrer Komplexität und Größe eine sicherheitspolitische Herausforderungen dar, die nicht allein aus einer technischen Perspektive betrachtet werden kann. In Anbetracht der gesellschaftlichen und wirtschaftlichen Abhängigkeit von vernetzten IKT-Infrastrukturen, ist es von großer Bedeutung, die Risiken in Bezug auf die IT-Sicherheit der eingesetzten Systeme und Dienstleistungen schnell und einfach erfassen zu können. Das RASEN-Projekt entwickelt einen Ansatz, der Firmen und Organisationen dazu befähigt, Risikoanalysen zur IT-Sicherheit für große vernetzte Systeme erarbeiten und die Analysen durch gezieltes Sicherheitstesten prüfen zu können. In diesem Zusammenhang adressiert das Projekt die folgenden Herausforderungen:

  • Die umfassende Bewertung der IT-Sicherheit von vernetzten, heterogenen Systemen ist in ihrer Gesamtheit kaum möglich. Hierfür werden kompositionelle Ansätze benötigt, die es erlauben, kleinteilige Bewertungen (z.B. von Teilen eines Systems) vorzunehmen und diese anschließend zu einem Gesamtbild zusammenzufügen. RASEN entwickelt einen solchen Ansatz, der auf Basis von Risikobewertungen für Aspekte oder Teilsysteme eine umfassende Ermittlung der IT-Risiken für das Gesamtsystem erlaubt.
  • IT-Sicherheitsbewertungen eines Systems werden in der Regel entweder auf hohem Abstraktionsniveau, z.B. auf Basis von IT-Sicherheitsrisikoanalysen, oder auf der technischen Ebene, z.B. durch IT-Sicherheitstesten, durchgeführt. Das Projekt RASEN entwickelt Techniken, Werkzeuge und Methoden zur Ableitung von IT-Sicherheitstestfällen aus den Ergebnissen der IT-Sicherheitsrisikoanalyse. Die Ergebnisse der IT-Sicherheitstestfälle werden zur Überprüfung und Aktualisierung der IT-Sicherheitsrisikoanalyse verwendet. Ein solcher Ansatz kombiniert die High-Level-Risikoanalyse mit technischen Sicherheitstests und bietet auf diese Weise zuverlässigere und genauere Ergebnisse.
  • Große vernetzte Systeme sowie deren Umfeld entwickeln sich im Laufe der Zeit weiter. Ein Schwerpunkt des Projekts RASEN ist die Entwicklung von Techniken und Methoden für kontinuierliche IT-Sicherheitsrisikobewertung. Dafür wird eine bestehende Risikobewertung mit neuen Daten aktualisiert, so dass Ergebnisse aus IT-Risikobewertungen wiederverwendet werden können.
  • Schlussendlich zielt RASEN darauf ab, Organisationen und Firmen dahingehend zu ermächtigen, die Einhaltung rechtlicher Normen gewährleisten sowie die damit einhergehenden rechtlichen Risiken abschätzen zu können. Dieses wird durch die Entwicklung von Methoden zur Risikobewertung gewährleistet, die insbesondere rechtliche Aspekte in Bezug auf die IT-Sicherheit berücksichtigen.

Das RASEN-Konsortium besteht aus sieben Partnern aus Norwegen, Deutschland, Frankreich und Rumänien, mit Expertise in den Bereichen Risikobewertung, Softwaretesten und Recht.

Die Projektergebnisse von RASEN richten sich an Organisationen und Firmen, die vernetzte Systeme entwickeln oder betreiben. Die spezifisch in RASEN entwickelte Kombination aus Risikoanalyse und systematischem Security Testen bildet die Grundlage für eine zielgerichtete Fehleridentifikation und –reduktion und unterstützt sowohl Management wie auch die Entwicklung bei kritischen Entscheidungen zur IT-Sicherheit und Systemqualität.

Das RASEN Projekt wurde im November 2016 final von der EU als exzellentes Projekt bewertet. Zu den Hauptergebnissen des Projekts zählen zwei Innovationen, die maßgeblich von Fraunhofer FOKUS gestaltet bzw. mitgestaltet wurden.

  • Die RACOMAT Werkzeug ermöglicht es Softwareentwicklern und Testern eine umfassende Risikobewertung für komponentenbasierte Systeme zu erstellen und diese Risikobewertung mit Sicherheitstests zu kombinieren. Durch die Bereitstellung bzw. Integration existierender Bibliotheken mit Risikoanalyse- und Prüfartefakten wie MITRE Attack Pattern, Schwachstellendatenbanken und Test- und Prüfmuster bietet das RACOMAT Werkzeug ein hohes Maß an Automatisierung und Wiederverwendbarkeit. Viele Schritte des RACOMAT Prozess, beginnend mit der Risikomodellierung, über die Durchführung der Sicherheitstest, bis hin zur Aktualisierung der Risikolagebilds basierend auf den Testergebnissen, werden direkt von RACOMAT unterstützt und können automatisiert durchgeführt werden.
  • Die RASEN Methode für IT-Security Risk Assessment, Compliance Assessment und Security Testing ist eine Erweiterung des ISO 31000 Standards und erlaubt eine umfassende Sicherheitsbewertung komplexer, vernetzter Systeme. Die RASEN Methode erweitert den ISO Standard um eine systematische Integration der Risk Assessment Aktivitäten mit Aktivitäten aus den Security Testing und dem Compliance Assessment. Grundlegende Elemente der RASEN Methode zur Bewertung der Sicherheitsrisiken und Sicherheitstests wurden als ETSI-Leitfaden EG 203251 veröffentlicht.

Die Ergebnisse des Projekts wurden mit Hilfe dreier Fallstudien aus den Bereichen Gesundheitswesen (eHealth), Finanzen (Software aus dem Bankenbereich) und der IT-Branche validiert.