Bachelor-/Masterarbeit:
In der heutigen digitalen Welt gibt es eine Vielzahl von Ansätzen wie das Internet of Things (IoT), Datentreuhänder und Datenräume, um Daten auszutauschen und zu verwalten. Alle Ansätze verbindet, dass komplexe Datenökosysteme entstehen. Bisher werden solche Datenökosysteme jedoch häufig ad hoc umgesetzt, ohne dass die zugrunde liegenden Risiken systematisch und modellbasiert analysiert werden, was die Bewertung von Sicherheitsniveau, Vertrauenswürdigkeit und Eignung für konkrete Anwendungsfälle erschwert. Dem wirkt die derzeit entwickelte Data Ecosystem Description Language (DEDL) entgegen, welche basierend auf Konzepten aus dem Semantic Web eine formelle Beschreibung von Datenökosystemen ermöglicht und so eine Grundlage für strukturierte Risikoanalysen schafft.
Ziel dieser Arbeit ist die Entwicklung einer Methodik zur Durchführung einer Risikoanalyse von Datenökosystemen. Aufbauend darauf soll ein Tool prototypisch implementiert werden, dass eine gegebene Systemarchitektur unter definierten Gesichtspunkten auswertet und ausgibt, wie risikobehaftet das jeweilige System ist, zum Beispiel in Form von Risikoindikatoren oder Scorings. Dies dient als Entscheidungsgrundlage, ob ein Datenökosystem für einen bestimmten Anwendungsfall geeignet ist oder an bestimmten Punkten nachjustiert werden muss. Eine modellbasierte Beschreibung der Systemarchitektur, zum Beispiel auf Basis von DEDL, soll dabei als Eingang für die Risikoanalyse dienen. Das konzipierte Framework soll anschließend prototypisch umgesetzt werden. Aufbauend darauf sollen Aussagekraft und Eignung des Frameworks durch eine Validierung an unterschiedlichen Beispielarchitekturen gezeigt werden.
Teil der prototypischen Umsetzung soll eine webbasierte grafische Benutzeroberfläche auf Basis von Python Flask und Angular oder Vue sein, über die DEDL-Modelle ausgewählt, Analyseparameter konfiguriert und die Ergebnisse der Risikoanalyse interaktiv visualisiert werden können. Das Framework soll modular aufgebaut sein, sodass insbesondere die Abbildung von DEDL auf Risikoindikatoren, die verwendeten Analyseverfahren und die grafische Oberfläche flexibel austauschbar und erweiterbar sind.
Die Arbeitspakete umfassen:
- Untersuchung des aktuellen Stands der Technik im Bereich Risikoanalyse von Systemarchitekturen und verteilten Systemen, insbesondere im Kontext von Datenökosystemen, sowie relevanter Normen und Methoden (z.B. ISO 27005, NIST, STRIDE, Attack Trees)
- Analyse typischer Risikoarten und Bedrohungsszenarien in Datenökosystemen (z.B. Datenschutzverletzungen, unbefugter Zugriff, Manipulation von Daten, Verfügbarkeitsrisiken) und Ableitung relevanter Bewertungskriterien
- Entwicklung einer Methodik zur systematischen Risikoanalyse von Datenökosystemen, die eine gegebene, modellbasierte Systemarchitektur, z.B. auf Basis von DEDL, strukturiert hinsichtlich Risiken bewertet
- Entwicklung eines modularen Frameworks, das modellierte Systemarchitekturen einliest, automatisiert eine Risikoanalyse durchführt und geeignete Risikoindikatoren beziehungsweise Scorings erzeugt
- Prototypische Implementierung des entwickelten Frameworks mittels Python Flask sowie Angular oder Vue, einschließlich Integration der Risikoanalyse in eine grafische Benutzeroberfläche
- Evaluation des Prototyps anhand mehrerer Beispielarchitekturen von Datenökosystemen hinsichtlich Aussagekraft der Risikobewertung, Verständlichkeit und Erweiterbarkeit
Betreuer: Klöpper
