Mail 0146

1996-1997-1998-1999-2000-2001-2002

Contents		Title From Date		History Content Links to V-Model

Title

From

Date

History

Content

> > From:          Mathias Abhau (MAB@bfa.de)
> > da ich noch recht neu in der Mailingliste bin, weiß ich nicht,
> > ob die Frage schon früher gestellt wurde:

> Wenn Sie die frueheren Mailings lesen wollen, so koennen Sie diese
> unter
> www.v-modell.iabg.de -> Ihr Forum
> herunterladen.

> > Welche Bedeutung hat die Bedrohungs- und Risikoanalyse
> > in den Anwenderforderungen für kleinen zivilen Büro- oder Laborsystemen?
> > Eine Bedrohung kann ich meistens nicht erkennen.

> In der Bedrohungs- und Risikoanalyse wird untersucht, ob Bedrohungen
> (Manipulationen von außen) moeglich sind.
> Im Fall Ihrer Rentensysteme waeren Bedrohungen denkbar. Hier koennte
> sich jemand (auch ein BfA-Interner) durch Manipulation z. B. seine
> Rente erhoehen kann.
> Im Fall eines Büro- oder Laborsystems ist dies jedoch nicht moeglich.=
> 
> Schreiben Sie einfach: "Keine Bedrohungen moeglich".
> Viel Erfolg. Wenn Sie weitere Fragen haben melden Sie sich bitte.
> MfG
> K. Ploegert
> (V-Modell-Support)


********************************************************************** 
>  
> Ich muss der Ausage von Herrn Plögert widersprechen:
> Gerade bei Labor(daten)systemen ist dieser Punkt schon
> bedeutungsvoll, da eine Datenmanipulation zuverlässig vermieden
> werden muß und ebenso ein unbefugter Zugriff zu den Daten
> zuverlässig unterbund
> 
> MfG
> G. Eden

***********************************************************************
> Ich kann Herrn Dr. Eden nur zustimmen. In der Antwort von Herrn Dr. Plögert
> sind mindestens zwei Fehler enthalten: 1. Bedrohungs- und Risikoanalyse ist
> nicht nur unter dem Aspekt der "Security" durchzuführen, sondern auch unter
> dem Aspekt der "Safety" (etwa i.S.v. Betriebssicherheit) und 2. "Security"
> beinhaltet mehr als den Aspekt des unzulässigen Zugriffs von außen im Sinne
> einer Manipulation. Die Anmerkung von Herrn Dr. Eden ist aber auch
> dahingehend richtig, daß eine Manipulation von außen oder die Verletzung
> der Vertraulichkeit durch unberechtigten Zugriff bei Laboren sehr
> gefährlich sein kann: z.B. bei medizinischen Labors, wenn die Manipulation
> dazu führen kann, daß eine falsche Diagnose gestellt wird (etwa
> HIV-positiv!) oder eine Diagnose in falsche Hände gerät. Der Effekt der
> Fehldiagnose kann auch auftreten, wenn die Integrität bzw. Zuverlässigkeit
> des Systems nicht gewährleistet ist. Empfehlung meinerseits also, bei einem
> Laborsystem in jedem Fall eine Bedrohungs- und Risikoanalyse durchzuführen,
> auch wenn dies zum Ergebnis führt, daß eine Schädigung nicht möglich ist!
> 
> Mit freundlichen Grüßen
> i.A.
> Wolfgang Dröschel, BWB IT I 5

**********************************************************************

Die Hinweise von Herr Dröschel zu den Themen Safety und Security 
halte ich für sehr hilfreich. Leider gibt es im V-Modell hierzu keine 
Aussagen. V-Modell-Anwender ohne spezielle Kenntnisse zum Thema 
"Sicherheit" können mit den Regelungen im V-Modell wenig anfangen.

In der Aktivität SE 1.6 steht nur etwas von Bedrohungen. Was sind 
Bedrohungen? Kommen diese von außen (Manipulationen) oder von innen 
(SW-Fehler)? Auch in der Handbuchsammlung kann man im Kapitel 
(Sicherheit) nichts und im Kapitel "SEC" (VM und ITSEC) nur den Hinweis 
auf das IT-Sicherheitshandbuch finden. 

Ich hätte mir gewünscht, daß das Thema "Sicherheit" und 
"Bedrohungsanalyse" auf 2-3 Seiten in der Handbuchsammlung 
abgehandelt werden könnte. Damit würden alle Spekulationen 
überflüssig.

MfG

Klaus Plögert
(V-Modell-Support)
-- 
Dr. Klaus P. Ploegert
IABG (Industrieanlagen-Betriebsgesellschaft mbH)
Information Systems, IS23                                
D-85521 Ottobrunn, Einsteinstr. 20 
E-Mail: ploegert@iabg.de
Tel: +49-89-6088-3420
Fax: +49-89-6088-3418
CompuServe 100655,3717

Links to V-Model

GDPA Online Last Updated 01.Jan.2002 Updated by Webmaster Last Revised 01.Jan.2002 Revised by Webmaster