ProSec

ProSec

ProSec – Beweisbare Sicherheit für Systeme mit menschlicher Interaktion

Name der Teilnehmerin: Julia Eisentraut

Beschreibung des IT-Forschungsprojekts: Ziel des Projektes ProSec (Proven Security) ist es, aktuellste Forschungsergebnisse aus der formalen Analyse von Systemen in der Einschätzung der (Daten-)Sicherheit nutzbar zu machen. Die Innovation dieses Ansatz ist, dass erstmalig nicht nur Hard- und Software-Komponenten mit mathematischer Präzision untersucht werden, sondern auch die Handlungen der Menschen, die in den Systemen agieren – und dabei meist die folgenschwersten Fehler für die Sicherheit machen.

Die Motivation des Projektes liegt darin, dass Angriffe auf IT-Systeme heutzutage zum Alltag gehören. Für Systeme, die sicherheitskritisch sind oder sensible Daten enthalten, braucht man daher zuverlässige Analysen, um zu entscheiden, wie wahrscheinlich ein erfolgreicher Angriff auf eben jenes System ist, wie man einen Angriff erkennt und wie man auf einen gelungenen Angriff am besten reagiert. Solch eine formale Analyse ist dabei nicht nur für Fahrzeuge, Flugzeuge, Kraftwerke und andere Bestandteile der kritischen Infrastruktur notwendig, sondern auch für Arztpraxen, Anwaltskanzleien, Behörden und andere Dienstleistungsunternehmen, die sensible Daten verwalten.

Im Projekt ProSec soll zur Umsetzung solch einer formalen Analyse deshalb ein Prozess entwickelt werden, der es ermöglicht, Informationen über die technische Seite mit dem Wissen aus bereits passierten Angriffen sowie dem typischen Verhalten der Menschen im System zu einem Menschen-lesbaren Meta-Modell zu kombinieren. Dieses Modell dient dann als Grundlage zur Detektierung von Angriffen sowie zur Erstellung von priorisierten Handlungsempfehlungen, sobald es zu einem Angriff kommt. Die Durchführung einer Nutzerstudie, die die Verständlichkeit von Attack Trees für Nicht-Informatiker*innen systematisch untersucht, liefert dann zusammen mit den anderen Ergebnissen ausreichend Informationen zur Erstellung von Design Guidelines für so eine Sicherheitsanalyse.

Software Campus-Partner: TU München, DATEV eG
Umsetzungszeitraum: 01.01.20 – 30.06.21