Prozessorientierte IT-Sicherheitsanalyse unter Berücksichtigung divergierender Interessenlagen der Prozessbeteiligten

Bei der Durchführung einer IT-Sicherheitsanalyse wird sich in der Regel auf die Untersuchung vereinzelter technischer Komponenten konzentriert. Sofern nur von einigen wenigen IT-Systemen ausgegangen wird, die untersucht werden müssen, so sind nicht nur deren Identifikation und Priorisierung, sondern auch die Analyse selbst mit einem vertretbaren Aufwand möglich. Problematisch wird die Durchführung einer IT-Sicherheitsanalyse jedoch dann, wenn eine Organisation bzw. die von ihr genutzten IT-Systeme in ihrer Komplexität zunehmen. Es besteht hier zum einen die Gefahr, dass sicherheitskritische IT-Systeme nicht oder zu spät erkannt werden. Zum anderen lassen die etablierten Analyseverfahren den Menschen dessen Rollen als Sicherheitsrisiko (nutzt Schwachstellen aus), Sicherheitsträger (agiert als Sicherheitsmaßnahme) und Wissensträger (besitzt implizites Anwendungswissen) außen vor. Schließlich bleibt die Dynamik sicherheitskritischer IT-Systeme und ihrer Sicherheitsvorfälle verborgen, solange man in der Analyse nur die Zustände und nicht die zugehörigen Ablaufprozesse zum Ausdruck bringt. Im Fokus dieser Dissertation steht die Entwicklung einer Vorgehensweise zur Durchführung einer IT-Sicherheitsanalyse auf Basis von Geschäftsprozessen. Die Ermittlung der zu untersuchenden IT-Systeme erfolgt bei diesem Ansatz anhand der wertschöpfenden Geschäftsprozesse. Sowohl die Gestalt des Prozesses als auch die unterstützenden IT-Systeme können Schwachstellen aufweisen, die von den am Prozess beteiligten Akteuren ausgenutzt werden können. Indem also Schwachstellen identifiziert und mit den Interessenkonflikten, die durch das Zusammenwirken mehrerer Akteure entstehen, zusammengeführt werden, ist die Herleitung einer Menge von Bedrohungen möglich. Diesen Bedrohungen kann entgegen gewirkt werden, indem entsprechende IT-Sicherheitsanforderungen spezifiziert werden, die anschließend in Form konkreter IT-Sicherheitsmaßnahmen in den Prozess implementiert werden. Die den Bedrohungen zugrunde liegenden Schwachstellen können auf diese Weise behoben werden, nicht aber die Interessenkonflikte. Die Vollständigkeit der ermittelten Maßnahmen wird in der entwickelten Vorgehensweise zunächst gegenüber der Anforderungsmenge nachgewiesen. Anschließend erfolgt der Beweis, dass sämtliche Bedrohungen jeweils durch mindestens eine Sicherheitsanforderung entgegen gewirkt werden. Der innovative Anteil in dieser Dissertation besteht nun darin, dass in einem letzten Schritt die Vollständigkeit der Bedrohungen gegenüber dem Kontext – also den Interessenkonflikten und Schwachstellen – geprüft wird. Hier kommt also erneut der Faktor Mensch zum Tragen. Die Widerspruchsfreiheit hingegen wird jeweils innerhalb der Menge der ermittelten Anforderungen untereinander sowie zwischen den Anforderungen und den implementierten Maßnahmen nachgewiesen. Wurden alle Prüfungen erfolgreich durchgeführt, kann der damit sicherheitsoptimierte Prozess einer erneuten Untersuchung zugeführt werden.