Kopplung von Architekturanalysen und musterbasierten Quelltextanalysen für Sicherheitseigenschaften von Aufrufabhängigkeiten

Die Vernetzung von Software über das Internet und andere Kanäle stellt eine grundsätzliche Gefahr für die Sicherheit von Daten und Systemen dar. Gelangen Informationen in die falschen Hände können enorme wirtschaftliche und soziale Schäden entstehen. Es ist deshalb wichtig die Sicherheit von Systemen bereits zur Entwurfszeit zu berücksichtigen. Mittels Analysewerkzeugen auf Architektursicht können Sicherheitseigenschaften auf einer höheren Abstraktionsebene frühzeitig definiert und überprüft werden. Auf Quelltextsicht bieten statische, musterbasierte Analysewerkzeuge einen Ansatz zur Überprüfung der korrekten Verwendung von kritischen Schnittstellen. Bisher wurde noch keine Kombination dieser beiden Analyseansätze vorgenommen, um die auf Architektursicht getroffenen Annahmen der im Quelltext umgesetzten Sicherheitseigenschaften definiert auf Aufrufabhängigkeiten auf fehlerhafte Umsetzung zu überprüfen. Deshalb wird untersucht, wie sich eine Kopplung der beiden Sichten und eine Rückführung der Ergebnisse einer Quelltextanalyse in die Architektursicht realisieren lässt. Die vorliegende Arbeit definiert zunächst die für eine Kopplung notwendigen Eigenschaften der Analysen. Darauf basierend wird dann ein Ansatz für eine Kopplung konzipiert. Eine konkrete Umsetzung des Ansatzes wurde im Rahmen der vorliegenden Arbeit mit der Zugriffsanalyse von Kramer auf Architektursicht und CogniCrypt auf Quelltextsicht in Java vorgenommen. Die Evaluation des Ansatzes erfolgt anhand eines Fallbeispiels. Die Ergebnisse zeigen, dass die Kopplung von Architekturanalysen mit musterbasierten Quelltextsicherheitsanalysen für Sicherheitseigenschaften von Aufrufabhängigkeiten machbar ist und dass durch die Kopplung von Quelltextfehlern mit der Architekturanalyse zusätzliche Schwachstellen aufgedeckt werden

Model za praćenje usklađenosti između bezbednosnih standarda i prioritizaciju zahteva u kritičnim infrastruktirama

This thesis presents research in the field of information security. We present a model that uniformly represents the building blocks of the security requirements that are defined in various standards, security guidelines, and regulations for Critical Infrastructure. We analyze the structure of the requirements in the most commonly used standards for this purpose. We have extended the model with components to prioritize and track the implementation and compliance of similar requirements selected from different security publications. We define prioritization criteria for selecting the requirements for implementation that rely on four factors: risk assessment results, essence levels of the requirements set that is analyzed, dependency graph of the social actors involved in the implementation, and the domain affiliation of the requirement. We also define a framework with a set of activities that follow the elements of the proposed model to demonstrate its practical applicability

Model-based privacy and security analysis with CARiSMA

We present CARiSMA, a tool that is originally designed to support model-based security analysis of IT systems. In our recent work, we added several new functionalities to CARiSMA to support the privacy of personal data. Moreover, we introduced a mechanism to assist the system designers to perform a CARiSMA analysis by automatically initializing an appropriate CARiSMA analysis concerning security and privacy requirements. The motivation for our work is Article 25 of Regulation (EU) 2016/679, which requires appropriate technical and organizational controls must be implemented for ensuring that, by default, the processing of personal data complies with the principles on processing of personal data. This implies that initially IT systems must be analyzed to verify if such principles are respected. System models allow the system developers to handle the complexity of systems and to focus on key aspects such as privacy and security. CARiSMA is available at (http://carisma.uml sec.de) and our screen cast at (https://youtu.be/b5zeHig3ARw)