Abbildung von UMLSec-Vertraulichkeitsanalysen auf Data-Centric Palladio

Die Vertraulichkeit von Daten ist heutzutage ein wichtiger Aspekt von Informationssystemen. Ein unzureichender Schutz dieser Daten kann hohe Bußgelder oder den Verlust von Kunden zur Folge haben. Die sichere Behandlung von sensitiven Daten stellt damit eine zentrale Qualitätseigenschaft eines Softwaresystems dar und muss bereits während des Architekturentwurfs beachtet werden, um teure Änderungen spät im Entwicklungsprozess zu vermeiden. Ein Ansatz zur Modellierung von Sicherheitseigenschaften auf der Architekturebene ist Data-Centric Palladio (DCP). DCP reichert das Architekturmodell um ein Datenflussmodell an, um Analysen der Vertraulichkeitseigenschaften von Daten zu ermöglichen. Es ist jedoch unklar, ob der in DCP gewählte Ansatz bezüglich der Ausdrucksmächtigkeit äquivalent zu etablierten Ansätzen der Modellierung und Analyse von Sicherheitseigenschaften ist. Daher wird in dieser Arbeit die Ausdrucksmächtigkeit von DCP mit der Ausdrucksmächtigkeit von UMLsec verglichen. Dazu werden UMLsec-Analysen anhand von definierten Auswahlkriterien auf ihre Eignung untersucht, in DCP umgesetzt zu werden. Für Analysen, die sich für eine Umsetzung in DCP eignen, werden äquivalente Analysen in DCP definiert und implementiert. Zudem werden Modelltransformationen zwischen den Eingabemodellen der UMLsec-Analyse und der DCP-Analyse spezifiziert, mit derer Hilfe die Evaluation der erstellten DCP-Analyse erfolgt. Die UMLsec-Analysen Secure Links und Secure Dependencies sind in dieser Arbeit als DCP-Analysen umgesetzt. Es ist zu erkennen, dass der datenflussbasierte Ansatz von DCP dazu führt, dass in den DCP-Varianten dieser beiden Analysen wesentlich detailliertere Analyseergebnisse ermittelt werden können. Dagegen ist für die kontrollflussbasierte UMLsec-Analyse Fair Exchange keine Umsetzung in DCP möglich, da der Analyseansatz von DCP nicht in der Lage ist, einen Angreifer zu modellieren, der aktiv den Kontrollfluss des Systems modifiziert. Schließlich ist an der UMLsec-Analyse des sicheren Informationsflusses gezeigt, dass DCP zwar in der Lage ist, eine semantisch ähnliche Analyse auf einer höheren Abstraktionsebene umzusetzen, der direkte Vergleich zu der UMLsec-Analyse allerdings aufgrund des hohen Abstraktionsunterschieds dieser Analysen nicht möglich ist. Für den Vergleich der Ausdrucksmächtigkeit der beiden Ansätze ist schließlich gezeigt, dass weder DCP, noch UMLsec strikt mächtiger ist, als der jeweils andere Ansatz. Stattdessen ist der erwartete Anwendungsfall von erheblicher Bedeutung für die Auswahl des geeigneten Analyseansatzes