Projekt SecVolution

Informationssysteme sind ständigen Änderungen ausgesetzt. Software “veraltet” nicht durch Abnutzung, sondern weil sie mit den Veränderungen in ihrer Umgebung nicht Schritt hält. Sicherheit (Security) wird für moderne Informationssysteme immer wichtiger. Sie verwalten große Werte und wichtige Datenbestände und sind dem Risiko der “Software-Alterung” besonders ausgesetzt. Denn jede Sicherheitslücke kann von Angreifern ausgenützt werden. Dabei sind auch Angreifer mit ihrem Wissen und ihrer Technologie Bestandteile der Umgebung eines Informationssystems. Veraltete Sicherheitsvorkehrungen können innerhalb kürzester Zeit zu massiven Schäden und finanziellen Verlusten führen. Software und berücksichtigtes Wissen müssen daher kontinuierlich und systematisch der Evolution des Informationssystems folgen. Im Projekt SecVolution sollen daher Techniken, Werkzeuge und Prozesse entwickelt werden, die Sicherheitsanforderungen und Entwurfsanalyse unterstützen. Sie sollen sicherstellen, dass ein Informationssystem über seine gesamte Nutzungsdauer die gestellten Sicherheitsanforderungen erfüllt (Compliance). Als Ausgangspunkt wird der SecReq-Ansatz der Antragsteller genutzt. Er wurde gemeinsam entwickelt, um Sicherheitsanforderungen in entsprechende Entwürfe einfließen zu lassen. Ein Kernkonzept ist die systematische Wiederverwendung von Erfahrung, die während der Entwicklung von sicherheitskritischer Software gewonnen wurde. Sie wird in den Entwicklungsprozess zurückgeführt und dort genutzt. Es werden heuristische Werkzeuge und Techniken entwickeln, die relevante Veränderungen in der Umgebung aufnehmen und für teilautomatisierte Sicherheitsaktualisierungen formalisieren sollen. Damit soll das Sicherheitsniveau eines Informationssystems auf Dauer erhalten werden können.

Projektname Langfristig sichere Informationssysteme durch Umgebungs-getriebene Wissens-Evolution (SecVolution)
Projektdauer 2012-2015 (Phase 1). 2016-2018 (Phase 2)
Förderer DFG-SPP Design for Future – Managed Software Evolution" (SPP 1593)
Webseite SecVolution (DFG-SPP 1593)
Ansprechpartner an der Leibniz Universität Hannover: Prof. Dr. Kurt Schneider

 

Mitarbeiter

Leibniz Universität Hannover

Prof. Dr. Kurt Schneider

Stefan Gärtner

 

Technische Universität Dortmund

Prof. Dr. Jan Jürjens

Dr. Thomas Ruhroth

Jens Bürger

Johannes Zweihoff

Publikationen

  • 2015
  • Robert Heinrich, Stefan Gärtner, Tom-Michael Hesse, Thomas Ruhroth, Ralf Reussner, Kurt Schneider, Barbara Paech, Jan Jürjens: A Platform for Empirical Research on Information System Evolution, In Proceedings of the Twenty-Seventh International Conference on Software Engineering and Knowledge Engineering (SEKE'15), pages 415-420, 2015. Bibtex.
  • Jens Bürger, Stefan Gärtner, Thomas Ruhroth, Johannes Zweihoff, Jan Jürjens, Kurt Schneider: Restoring Security of Long-Living Systems by Co-Evolution, In 39th Annual IEEE Computer Software and Applications Conference (COMPSAC 2015), 2015. Bibtex.
  • Stefan Gärtner, Thomas Ruhroth, Jens Bürger, Kurt Schneider, Jan Jürjens: Towards Maintaining Long-Living Information Systems by Incorporating Security Knowledge, In Fachtagung des GI-Fachbereichs Softwaretechnik, Software Engineering (SE), Dresden, Germany, 2015. Bibtex.
  • 2014
  • Tom-Michael Hesse, Stefan Gärtner, Tobias Röhm, Barbara Paech, Kurt Schneider, Bernd Brügge: Semiautomatic Security Requirements Engineering and Evolution using Decision Documentation, Heuristics, and User Monitoring, In 1st International Workshop on Evolving Security and Privacy Requirements Engineering (ESPRE), RE 2014, pages 1-6, 2014. Bibtex.
  • Thomas Ruhroth, Stefan Gärtner, Jens Bürger, Jan Jürjens, Kurt Schneider: Towards Adaptation and Evolution of Domain-specific Knowledge for Maintaining Secure Systems, In Proceedings of the 15th International Conference on Product Focused Software Process Improvement (PROFES), volume 8892 of LNCS. Springer, 2014. Bibtex.
  • Thomas Ruhroth, Stefan Gärtner, Jens Bürger, Jan Jürjens, Kurt Schneider: Versioning and Evolution Requirements for Model-Based System Development, In International Workshop on Comparison and Versioning of Software Models (CVSM), 2014. Bibtex.
  • Jens Bürger, Jan Jürjens, Thomas Ruhroth, Stefan Gärtner, Kurt Schneider : Model-based Security Engineering with UML: Managed Co-Evolution of Security Knowledge and Software Models, In A. Aldini and J. Lopez and F. Martinelli, Foundations of Security Analysis and Desing VII: FOSAD Tutorial Lectures, volume 8604 of Lecture Notes in Computer Science, pages 34-53, 2014. Bibtex. Abstract.
  • Stefan Gärtner, Svenja Schulz, Kurt Schneider, Steffen Förster: Eliciting Requirements for a Company-wide Data Leakage Prevention System, In GI-Fachgruppen-Treffen Requirements Engineering, Dortmund, 2014. Bibtex. Link
  • Stefan Gärtner, Thomas Ruhroth, Jens Bürger, Kurt Schneider, Jan Jürjens: Maintaining Requirements for Long-Living Software Systems by Incorporating Security Knowledge, In 22nd IEEE International Requirements Engineering Conference, pages 103--112, 2014. Bibtex. Abstract.
  • Stefan Gärtner, Jens Bürger, Kurt Schneider, Jan Jürjens: Zielgerichtete Anpassung von Software nach der Evolution von kontextspezifischem Wissen, In 1st Collaborative Workshop on Evolution and Maintenance of Long-Living Systems (EMLS), 2014. Bibtex. Link
  • 2013
  • Stefan Gärtner, Tom-Michael Hesse, Kurt Schneider, Barbara Paech: Capturing and Documentation of Decisions in Security Requirements Engineering through Heuristics, In GI-Fachgruppen-Treffen Requirements Engineering, Ilmenau, 2013. Bibtex. Link
  • 2012
  • Jan Jürjens, Kurt Schneider: On modelling non-functional requirements evolution with UML, In Modelling and Quality in Requirements Engineering (Essays Dedicated to Martin Glinz on the Occasion of His 60th Birthday. Verlagshaus Monsenstein und Vannerdat, 2012. Bibtex.