Werkzeuggestützte Identifikation von IT-Sicherheitsrisiken

Heutzutage werden immer mehr elektronische Daten und Informationen produziert, verarbeitet und gespeichert. Diese Daten sind von sehr großem Wert für Unternehmen und Behörden und es gilt diese, sowie auch deren Austausch, angemessen zu schützen. Die verteilte Haltung und Mobilität der Daten und Informationen erfordert einen Schutz der neu entstandenen Kommunikationswege. Sicherheitsbedrohungen sind durch externe und auch interne Angreifer ständig präsent, wodurch immer wieder neue Angreifer-Szenarien entstehen, deren Auswirkungen bei Design und Entwicklung einer Software noch nicht bekannt waren. Um solche Schwachstellen im Vorfeld aufzudecken und die Sicherheit aufrecht zu erhalten, wird Risikomanagement in der IT-Sicherheit immer wichtiger. Innovative Methoden der Softwareentwicklung , wie zum Beispiel der modellgetriebene Softwareentwicklungsansatz, bieten die Möglichkeit, Sicherheitsaspekte eines Systems bereits in frühen Phasen in die Spezifikationen mit einfließen zu lassen. Basierend darauf werden Sicherheitsanalysen durchgeführt, wodurch Schwachstellen schon während der Entwicklung an identifiziert und behoben werden können. Das vorliegende Papier stellt ein Werkzeug auf Basis der UMLsec-Werkzeugumgebung UMLs11] vor, mit dem IT-Sicherheitsrisiken in Geschäftsprozessmodellen auf Basis von UML-Aktivitätsdiagrammen identifiziert werden können. Wir demonstrieren das Werkzeug anhand eines Beispielszenarios aus dem Bereich Cloud-Computing.