Itemis SECURE
Software
From Wikipedia, the free encyclopedia
Itemis SECURE (Eigenschreibweise itemis) ist eine Sicherheitsanalyse-Software, die von der itemis AG entwickelt und vertrieben wird. Sie soll dazu beitragen, die Sicherheit von Software- und Hardware-Systemen zu erhöhen, indem sie Schwachstellen identifiziert und geeignete Maßnahmen zur Behebung vorschlägt.[1]
| itemis SECURE | |
|---|---|
|
| |
 | |
| Basisdaten | |
| Entwickler | itemis AG |
| Erscheinungsjahr | 2023 |
| Aktuelle Version | 22.3 |
| Betriebssystem | Microsoft Windows 10 und 11 |
| Kategorie | Sicherheitsanalyse-Software |
| Lizenz | Proprietär |
| https://www.itemis.com/en/products/itemis-secure/ | |
Mit Hilfe von Sicherheitsrisikobewertungen (SRAs) werden potenzielle Risiken identifiziert und analysiert, um den Bedarf an Schutzmaßnahmen aufzuzeigen.[2] Dabei werden Bedrohungen und Risiken für ein System, Netzwerk oder eine Organisation ermittelt, bewertet und bewältigt (Threat Analysis and Risk Assessment, kurz TARA).[3]
itemis SECURE unterstützt den gesamten TARA-Prozess und umfasst Systemmodellierung, Bedrohungsanalyse und Visualisierung der Ergebnisse.
Die Anwendung bietet eine Vielzahl von Analysemethoden und Werkzeugen, die Entwicklern und Sicherheitsexperten ermöglichen, die Sicherheitsrisiken ihrer Projekte effektiv zu bewerten und zu reduzieren. Durch die Nutzung dieser Methoden und Werkzeuge können Schwachstellen frühzeitig erkannt und geeignete Maßnahmen zur Behebung ergriffen werden.[4]
Funktionsumfang
itemis SECURE bietet laut Benutzerhandbuch[1] Funktionen, um die Sicherheit von Software- und Hardware-Systemen zu analysieren und zu bewerten.[5] Dies folgt dem Ansatz „Security by Design“. itemis SECURE bietet dazu verschiedene konkrete Syntaxen, um mit Instanzen des Metamodells zu arbeiten.[6]
Die Software unterstützt die Bewertung potentieller Schwachstellen in den Systemen, indem sie die Abhängigkeit von Elementen und Funktionen eines technischen Systems dokumentiert und Nutzer in die Lage versetzt, Schadensszenarien zu identifizieren. Gefundene Schadensszenarien werden kategorisiert und priorisiert, um den Entwicklern die Möglichkeit zu geben, die wichtigsten Probleme über geeignete Gegenmaßnahmen zu beheben.
itemis SECURE ermöglicht es Benutzern, Bedrohungsmodelle und Angriffsbäume für komplexe technische Systeme zu erstellen.[7] Über Propagationsmodelle lassen sich daraus die Wahrscheinlichkeiten ermitteln, mit denen definierte Bedrohungsszenarien eintreten können.
Auf Basis der Schadensanalyse und der Bedrohungsanalyse lassen sich für alle Komponenten und Funktionen technischer Systeme konkrete Risikowerte berechnen. Auf Basis dieser Risikobewertungen können Unternehmen entscheiden, ob sie die Risiken akzeptieren oder weitere Maßnahmen zu treffen sind, um die Risiken zu reduzieren.
Eine mögliche Maßnahme zur Behandlung von Risiken ist die Anpassung des Systemdesigns durch die Einführung geeigneter Gegenmaßnahmen. Ein Beispiel hierfür ist die Verschlüsselung von Daten.
Die Software erstellt Berichte über die Sicherheitsanalyse. Diese Berichte helfen dabei, Entscheidungen über die Analyse und Behebung von Schwachstellen zu dokumentieren. Sie sind zugleich die Basis für Zertifizierungen und Zulassungsprozesse gegenüber Prüfstellen wie dem Kraftfahrt-Bundesamt (KBA).
Die Software überprüft die Einhaltung von Sicherheitsstandards und Best Practices wie beispielsweise ISO/SAE 21434 oder IEC 62443. Dies erleichtert die Einhaltung von gesetzlichen Vorschriften und Branchenstandards. Die Software wird mit zunehmender Einsatzdauer immer leistungsfähiger, da sie eine große Datenbank mit Elementen, Komponenten, Bedrohungsszenarien, Risiken und Sicherheitskontrollen aufbaut. Diese Kataloge können für andere Systeme wiederverwendet werden, was die Einhaltung der ISO/SAE 21434 erleichtert.[8]
Die native Unterstützung von XML-basiertem Datenexport und -import auf Basis von openXSAM ermöglicht den Austausch von TARA-Daten einschließlich frei verfügbarer Threat-Katalog-Daten der Automotive Security Research Group (ASRG).[9]
Anwendungsbereiche
itemis SECURE wird vorwiegend in der Automobilindustrie eingesetzt.[10][11][12][13] Die Software hilft Automobilherstellern und Zulieferern, die Sicherheit ihrer Fahrzeugelektronik und -software zu verbessern, indem sie potenzielle Schwachstellen identifiziert und geeignete Gegenmaßnahmen vorschlägt.
Das grundlegende Funktionsprinzip von itemis SECURE ist über die Automobilindustrie hinaus auch in anderen Bereichen anwendbar, in denen vergleichbare Aufgabenstellungen vorliegen.
Historie
itemis SECURE wurde bis Anfang 2023 unter dem Namen YAKINDU Security Analyst vertrieben.[14]
Literatur
- Wolfgang Böhm, Manfred Broy, Cornel Klein, Klaus Pohl, Bernhard Rumpe, Sebastian Schröck: Model Based Engineering of Collaborative Embedded Systems. Springer, 2021, ISBN 978-3-03062135-3, S. 404 (rwth-aachen.de [PDF; 17,4 MB; abgerufen am 26. April 2023]).
- Gerhard Hansch: Automating Security Risk and Requirements Management for Cyber-Physical Systems. Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC, Göttingen 2020, S. 149, doi:10.24406/AISEC-N-608669.
- Nora Ludewig, Markus Völter: Modellkompetenz für Wissenschaft und Technik: Eine Einführung. Carl Hanser Verlag, München 2022, ISBN 978-3-446-46970-9, S. 180.