IT-sicher.kaufen – Beschaffungsunterstützung für sichere IKT-Komponenten

Master Studiengang Information Security

Dipl.-Ing. Dominik Fuß, BSc (Jg. 2014/2016)

Betreuer: Dipl.-Ing. Gabor Österreicher, BSc

Ausgangslage

Das günstigste Produkt findet man auf Geizhals, das Produkt mit den besten KundInnenrezensionen auf Amazon, aber was ist mit dem sichersten Produkt? Während Bedrohungen und Angriffsvektoren bezüglich IKT-Komponenten immer mehr zunehmen und Schwachstellen teilweise schon vorsätzlich im Produktdesign verankert werden, hat Sicherheit bei der Beschaffung von IKT-Komponenten bislang nicht die notwendige Priorität, die ihr zugestanden werden sollte. Aber selbst wenn die Entscheidung getroffen wird, ein möglichst sicheres Erzeugnis anzuschaffen, fehlen konkrete Anforderungen und Kriterien, denen ein sicheres Produkt genügen muss. Dass Produkte aus dem Nicht-EU-Raum oft in Verdacht stehen, Spionage und Überwachung zu unterstützen, verschärft die Situation zusätzlich.

Ziel

Die Diplomarbeit soll die Fragen klären, welche IKT-Komponenten in Österreich kritisch und schützenswert sind, und wie deren Gefährdungslage zu bewerten ist. Dabei wird auch auf die Herkunft von Produkten eingegangen. Weiters werden Maßnahmen eruiert, die das Vertrauen zwischen HerstellerInnen und KundInnen bei der Anschaffung von IKT-Komponenten stärken können. Aus den wirksamsten und tauglichsten Maßnahmen soll eine Möglichkeit geschaffen werden, diese einer breiten Öffentlichkeit benutzerInnenfreundlich zugänglich zu machen. Zielgruppen dafür sind

IT-BeschafferInnen und -Verantwortliche großer Unternehmen, Klein- und Mittelunternehmen und sonstige Organisationen, aber auch Privatpersonen.

Ergebnis

Aus dem Maßnahmenkatalog wurde ein Entscheidungsunterstützungssystem in Form einer Webapplikation entwickelt, das die oben genannten Zielgruppen bedient. Der entwickelte Prototyp umfasst die drei großen Bereiche Beschaffung, Sicherheitsvorfälle und Produkte und soll die IT-Sicherheit im deutschsprachigen Raum erhöhen. Der Bereich Beschaffung dient dabei als Unterstützung für den Einkauf, um Sicherheitsanforderungen für ein Produkt zu formulieren. Die Rubrik Sicherheitsvorfälle gibt einen Überblick über die aktuelle Bedrohungslage, während die Kategorie Produkte den HerstellerInnen die Möglichkeit gibt, Erzeugnisse in eine Vertrauensliste einzutragen. Das Konsolidieren dieser heterogenen Daten ist ein weiterer Schwerpunkt der Diplomarbeit. Für die einfache Benutzung wurde eine semantische Suche über die erwähnten Datenquellen entwickelt.