Experiment zur Evaluation von Sicherheitsinspektionen mit Hilfe von Vulnerability Inspection Diagrams und abgeleiteten Inspektionsszenarien

Bisher wurde die Überprüfung von Softwaredokumenten auf Sicherheitsschwachstellen ausschließlich von Sicherheitsexperten durchgeführt. Dies ist darin begründet, dass die Identifikation von Sicherheitsschwachstellen in der Regel einen hohen Grad an Fachwissen und Erfahrung erfordert. Da Sicherheitsexperten in der Praxis jedoch selten und somit teuer sind wurde nach Möglichkeiten gesucht, welche zumindest in weniger kritischen Projekten Alternativen zu den bisherigen Expertenreviews darstellen. Vor dem Hintergrund der hohen Komplexität moderner Software-systeme und der daraus resultierenden Anfälligkeit für Sicherheitsschwachstellen würde dies eine wichtige Unterstützung der Qualitätssicherung darstellen. Im Rahmen des innereuropäischen SHIELDS-Projektes wurden diesbezüglich zwei neue Ansätze entwickelt. Diese sollen es ermöglichen auf Szenarien basierende Sicherheitsinspektionen mit Hilfe von Software-Entwicklern ohne Expertenwissen durchzuführen. Es handelt sich hierbei um - Vulnerability Inspection Diagrams, sowie aus ihnen abgeleitete - Sicherheitsinspektionsszenarien. Im Rahmen dieser Arbeit wird der Grundstein für die Evaluation dieser Modelle gelegt, um deren Effektivität, Effizienz und Akzeptanz zu beurteilen. Hierzu wird ein kontrolliertes Experiment entworfen, geplant und alle zur Durchführung notwendigen Schritte werden erläutert. Des Weiteren werden entsprechende Dokumente für die Durchführung des Experiments bereitgestellt. Bei dem Entwurf des Experiments wurden parallel zwei Ansätze verfolgt, welche eine einfache Anpassung des Experiments an abweichende Rahmenbedingungen ermöglichen. Je nach Qualifikation und Anzahl der Teilnehmer kann dazu zwischen einem Intra- und einem Extra-Subjekt-Entwurf mit entsprechenden Schulungen, Vorabtests und Dokumenten gewählt werden.