Zielsetzung dieser Fachgruppe ist es, im Bereich Computer-
und Informationssicherheit ein Diskussionsforum im
deutschsprachigen Raum zu bieten, das sich mit der
Grundlagenforschung und Anwendung formaler oder mathematisch
präziser Techniken im Software-Engineering beschäftigt.
Von Interesse für die FG ist Sicherheit im Sinne sowohl von
Safety als auch von Security.
Die Entwicklung vertrauenswürdiger sicherheitskritischer
Systeme ist schwierig. Es werden viele Systeme entworfen und
realisiert, in denen im Nachhinein schwere Sicherheitslücken
in Entwurf und Implementierung gefunden werden, die zum Teil
schlagzeilenträchtiges Fehlverhalten oder Angriffe
ermöglichen.
Das liegt einerseits daran, dass mathematisch präzise
Definitionen für so grundlegende Begriffe wie "Sicherheit"
oder "sichere Implementierung" fehlen oder sich nicht unmittelbar
auf einen Entwicklungskontext abbilden lassen. Zum anderen
unterstützen etablierte Methoden des Software-Engineering die
Berücksichtigung von Sicherheitsaspekten noch unzureichend.
Es ist also notwendig, die Diskussion über Grundbegriffe
weiterzutreiben und diese auf Notationen und Prozesse abzubilden,
die die ingenieurmäßige Entwicklung
sicherheitskritischer Systeme effizient unterstützen.
Themenbereiche für die FG sind demnach:
- die mathematisch / logisch fundierte Definition von
Sicherheits-Grundbegriffen
- Anpassung von Techniken aus dem Bereich Safety auf die
spezielle Situation im Bereich Security (etwa das Erarbeiten
quantifizierbarer Kenngrößen von Sicherheit)
- die Modellierung und Spezifikation von
Sicherheitsanforderungen, insb. mit formalen Techniken
- die formale Spezifikation sicherheitskritischer Teile
eines Systems,
- der Entwurf, die Dekomposition und die Komposition von
softwarebasierten Systemen unter systematischer und nachweisbarer
Realisierung von Sicherheitseigenschaften
- die Abbildung (Verfeinerung) von Sicherheitseigenschaften
auf real-existierende Sicherheitstechnologien sowie die
Untersuchung der methodischen Probleme solcher Verfeinerungen
- die Entwicklung von Verifikationstechniken und -methoden
zum Nachweis sicherheitsrelevanter Eigenschaften von
Spezifikationen oder Programmen, auch mit Unterstützung etwa
durch Werkzeuge wie Theorembeweiser, Modelchecker oder CASE-tools
- die Untersuchung der Leistungsfähigkeit von
Testverfahren auf Basis formaler Modelle zur Demonstration von
Sicherheitseigenschaften, insbesondere die Generierung von
Testsequenzen aus einer Spezifikation zur überprüfung
sicherheitsrelevanter Eigenschaften einer Implementierung
- die Integrierung von Sicherheitsaspekten in den
Entwicklungsablauf in der Praxis, unter Verwendung und Anpassung
industriell gebräuchlicher Entwurfsmethoden, Notationen und
Prozesse.
Besonders wichtig ist die Erkenntnis, dass Sicherheit eine
ganzheitliche Eigenschaft von Systemen ist. Die Diskussion innerhalb
der Arbeitsgruppe soll deshalb insbesondere den Austausch zwischen
Experten verschiedner fachlicher Ausrichtung fördern und zu
einem umfassenden Verständnis der Problematik beitragen.
|