Darstellung der Fachgruppe

Veranstaltungen

• Automotive 2008 - 19./20.11.2008
  Automotive – Safety & Security 2008 "Sicherheit und Zuverlässigkeit für automobile Informationstechnik" (Programm)
  Workshop der GI FG EZQN in Kooperation mit mehreren Fachgruppen der Gesellschaft für Informatik in den Fachbereichen "Sicherheit - Schutz und Zuverlässigkeit" und "Softwaretechnik" sowie dem Fachausschuss "Embedded Software" der VDI/VDE-Gesellschaft Mess- und Automatisierungstechnik, dem TÜV Nord und der Ada Deutschland am 19. und 20. November 2008 in Stuttgart.

• Innovation durch Normung 2006 - 15.12.2006
  DIN-INS-Workshop "Ortsbasierte Dienste auf der Basis verschiedener mobiler Infrastrukturen, u. a. Ad-hoc Networking" am 15.12.2006 beim DIN in Berlin

• Automotive 2006 - 12./13.10.2006
  Automotive – Safety & Security 2006 "Sicherheit und Zuverlässigkeit für automobile Informationstechnik" (Programm)
  Workshop der GI FG EZQN in Kooperation mit GI FG ADA, GI FG ASE, GI FG ENCRESS, der Gesellschaft für Mess- und Automatisierungstechnik im VDI/VDE (GMA), Ada Deutschland, dem VDI/VDE GMA Fachausschuss 5.11 "Embedded Software" (FA 5.11 ES) und der Universität Stuttgart am 12. und 13. Oktober 2006 in Stuttgart.

• Aktuelle Themen in der IT-Sicherheitsnormung 2005 - 06.04.2005
  EZQN-Mini-Workshop auf der Sicherheit 2005 zur Diskussion aktueller Themen in der IT-Sicherheitsnormung in Verbindung mit dem tagungsweiten Eröffnungsvortrag "Informationssicherheit und Standardisierung (Roland Müller, Obmann DIN NI-27)"

• Automotive 2004 - 06./07.10.2004
  Automotive – Safety & Security 2004 "Sicherheit und Zuverlässigkeit für automobile Informationstechnik" (Programm in PDF ca. 122 KB)
  Workshop der GI FG EZQN in Kooperation mit GI FG ADA, GI FG ENCRESS und der Universität Stuttgart am 06. und 07. Oktober 2004 in Stuttgart.

• Workshop 2003 "IT-Sicherheitsnormung als Infrastrukturleistung"
  zur 33. Jahrestagung der GI in Frankfurt am Main.

Themen und Positionierung der Fachgruppe

Die Komplexität heutiger Informationstechnik macht eine Beurteilung ihrer Sicherheit durch einfache "Draufschau" unmöglich. Entsprechend haben sich verschiedene Verfahren zur Qualitätssicherung und Beurteilung von IT, speziell bezüglich ihrer sicherheitsrelevanten Eigenschaften entwickelt. Im allgemei-nen geht es darum, zu sicheren Produkten und Systemen und zu aussagekräftigen, verlässlichen, vergleichbaren und nachvollziehbaren Aussagen über eben diese Sicherheit zu kommen. Im Englischen ist dieser Bereich oft bei "Product/System Security Assurance" angesiedelt, und es ist sehr sinnvoll die "IT-Qualitätssicherung" dabei zu haben, denn die jeweiligen Prozesse kommen mehr und mehr zusammen.

Ein relativ etablierter Weg zu mehr Erkennbarkeit der Sicherheit von IT ist, sie durch unabhängige Dritte (Prüflabors) auf der Basis veröffentlichter Kriterien evaluieren zu lassen. Solche Evaluationen helfen dann auch Nichtexperten, Systeme in Bezug auf ihre Sicherheit und die eigenen Anforderungen einzuschätzen. Hersteller oder Dienstanbieter können in seriöser Weise aufzeigen und prüfen lassen, welche Eigenschaften ihre Angebote haben.

Evaluation und Qualitätssicherung setzen jedoch nicht notwendigerweise unabhängige Dritte voraus, sondern können auch innerhalb der Organisation des jeweiligen Herstellers vorgenommen werden. Möglicherweise lassen sich diese Formen von Evaluation und Qualitätssicherung auch leichter in den Erstellungsprozess integrieren. Aktuelle Fragen des Gebietes sind z.B.

• Vergleichbarkeit der verschiedenen Evaluationsmethoden und Qualitätssicherungsverfahren so-wie deren Ergebnisse. Ein verwandtes Projekt ist das "Framework of IT Security Assurance" (ISO/IEC WD 15443).
• Pflege und Überarbeitung der verschiedenen Evaluationskriterien, etwa der "Common Criteria" (IS15408).
• Protection Profiles auf der Basis von IS 15408, die anwendungsspezifische Anforderungen und Eigenschaften dokumentieren.
• Zugänglichkeit der Prüfergebnisse in einer auch für Nicht-Experten verständlichen Form und über eine geeignete Infrastruktur, etwa die Verbraucherberatungen.
• die verschiedenen Zertifizierungsprozesse mit ihren organisatorischen Randbedingungen: Hier sind z.B. die rechtliche Relevanz und organisatorische Voraussetzungen interessant, auch die Frage der Gültigkeit und internationalen Anerkennung von Zertifikaten.

Das Thema "Normung" ist in vielerlei Hinsicht "orthogonal" zu "Evaluation, Zertifizierung und Qualitätssicherung" wie auch zu Sicherheit allgemein.

Allerdings wird Normung von unterschiedlichen Teilgruppen innerhalb der Sicherheitsszene unterschied-lich wichtig genommen, weswegen sie (einstweilen) dort angesiedelt ist, wo sie unbestritten wichtig ist, nämlich im Zusammenhang mit Evaluation und Zertifizierung.

Zuordnung der Fachgruppe

Die Fachgruppe ist gemäss Beschluss vom 22.03.2002 dem FB Sicherheit der GI e.V. zugeordnet.

Leitungsgremium

• Kai Rannenberg (Sprecher der Fachgruppe)
• Peer Reymann <pr@itqs.de> (Stellvertretender Sprecher der Fachgruppe)
• Francesca Saglietti <saglietti@informatik.uni-erlangen.de>
• Hans von Sommerfeld <Hans.von.Sommerfeld@sit.rohde-schwarz.com>

Diskussion und Information

Für Interessierte bietet die Fachgruppe eine Mail-Liste zum Informationsaustausch an. Bitte beachten Sie auch die allgemeinen Hinweise auf dem Listen-Server und die Diskussionsliste des Fachbereichs.