[Back]

M. Pehn:
"Development of a Workshop Based Security Safeguard Evaluation Process";
Supervisor: A. Tjoa, T. Neubauer; Institut für Softwaretechnik und Interaktive Systeme, 2009; final examination: 2009-08.

Today, industry and governments are faced with an increasing number of varying threats concerning security and securing of critical information and data. For a long time the ensuring of companies´ and governments´ data security, not only pointed to things like hacking, viruses or worms, but also included the factor human as well as organizational, and non IT relevant circumstances. With respect to this increasing damage potential, the financial spending into security investments also increased. Due to these enormous amounts of money the question of reasonability of investments have been posed:
Where are security investments wise and needed, and where they are senseless? This work presents a new experimental method to deal with these questions. MOSEP (Multi Objective Safeguard Evaluation Process) is a workshop based approach for evaluating security problems and corresponding solving structures. To this aim workshop participants, coming from different departments to maximize the numbers of angles the problem is seen from, are structured into small groups. A defined role system links the participants with specific and categorized tasks. At the end of the process execution there should not only be a number of safeguards remaining, but also a sense for security awareness imparted to the workshop members. In order to achieve this, MOSEP was developed with respect to didactical, psychological and group theoretical basics presented in this work. The work closes by demonstrating the prototype of a software solution implementing the workshop, by the use of a continuous sample.

Die Industrie ist derzeit mit stetig wachsenden und variierenden Bedrohungsszenarien bezüglich der Sicherheit und Sicherung von kritischen Informationen und Daten konfrontiert.
Schon lange bezieht sich die Gewährleistung der Datensicherheit in einem Unternehmen oder einer Regierung nicht mehr nur auf Hackerangriffe, Viren oder Würmer, sondern umfasst auch den Faktor Mensch sowie organisatorische, nicht informationstechnische Gegebenheiten. In Anbetracht dieses wachsenden Gefahrenpotentials steigen auch die Investitionen in entsprechende Gegenmaßnahmen, die von Entscheidungsträgern getätigt werden. Es stellt sich bei diesen immensen Geldbeträgen natürlich die Frage in welchen Bereichen die Security - Investments zu platzieren sind: Was ist sinnvoll, nützlich und notwendig und worauf kann verzichtet werden? Diese Arbeit präsentiert einen neuen Lösungsansatz um diesen Fragen zu begegnen. MOSEP (Multi Objective Safeguard Evalua- tion Process) ist ein Prozess um Sicherheitsprobleme und entsprechende Gegenmaßnahmen auf Basis eines Workshops zu evaluieren. Die Workshop Teilnehmer werden hierzu in Kleingruppen eingeteilt, und stammen aus verschiedensten unternehmerischen Fachbere- ichen, um eine möglichst vielfältige Sicht auf das Problem zu ermöglichen. Ein definiertes Rollensystem verlinkt die Workshop Teilnehmer mit spezifischen kategorisierten Aufgaben.
Am Ende des Prozesses sollen nicht nur Gefahren und Gegenmaßnahmen evaluiert, sondern den Workshopteilnehmern auch ein Bewusstsein für Sicherheit vermittelt worden sein, welches sie in die Unternehmenskultur mit einbringen. Um dies zu gewährleisten wurde MOSEP unter Berücksichtigung didaktischer, psychologischer und gruppentheoretischer Prinzipien entwickelt, welche im Folgenden vorgestellt werden. Am Ende der Arbeit wird der Prototyp einer Softwarelösung die MOSEP implementiert anhand eines Beispiels präsentiert.