Itemis SECURE

itemis SECURE
Basisdaten
Entwickler	itemis AG
Erscheinungsjahr	2023
Aktuelle Version	22.3
Betriebssystem	Microsoft Windows 10 und 11
Lizenz	Proprietär
https://www.itemis.com/en/products/itemis-secure/

itemis SECURE ist eine Sicherheitsanalyse-Software, die von der itemis AG entwickelt und vertrieben wird. Sie soll dazu beitragen, die Sicherheit von Software- und Hardware-Systemen zu erhöhen, indem sie Schwachstellen identifiziert und geeignete Maßnahmen zur Behebung vorschlägt.^[1]

Mit Hilfe von Sicherheitsrisikobewertungen (SRAs) werden potenzielle Risiken identifiziert und analysiert, um den Bedarf an Schutzmaßnahmen aufzuzeigen.^[2] Dabei werden Bedrohungen und Risiken für ein System, Netzwerk oder eine Organisation ermittelt, bewertet und bewältigt (Threat Analysis and Risk Assessment, kurz TARA).^[3]

itemis SECURE unterstützt den gesamten TARA-Prozess und umfasst Systemmodellierung, Bedrohungsanalyse und Visualisierung der Ergebnisse.

Die Anwendung bietet eine Vielzahl von Analysemethoden und Werkzeugen, die Entwicklern und Sicherheitsexperten ermöglichen, die Sicherheitsrisiken ihrer Projekte effektiv zu bewerten und zu reduzieren. Durch die Nutzung dieser Methoden und Werkzeuge können Schwachstellen frühzeitig erkannt und geeignete Maßnahmen zur Behebung ergriffen werden.^[4]

Funktionsumfang[Bearbeiten | Quelltext bearbeiten]

itemis SECURE bietet laut Benutzerhandbuch^[1] Funktionen, um die Sicherheit von Software- und Hardware-Systemen zu analysieren und zu bewerten.^[5] Dies folgt dem Ansatz „Security by Design“. itemis SECURE bietet dazu verschiedene konkrete Syntaxen, um mit Instanzen des Metamodells zu arbeiten.^[6]

Schadensanalyse[Bearbeiten | Quelltext bearbeiten]

Die Software unterstützt die Bewertung potentieller Schwachstellen in den Systemen, indem sie die Abhängigkeit von Elementen und Funktionen eines technischen Systems dokumentiert und Nutzer in die Lage versetzt, Schadensszenarien zu identifizieren. Gefundene Schadensszenarien werden kategorisiert und priorisiert, um den Entwicklern die Möglichkeit zu geben, die wichtigsten Probleme über geeignete Gegenmaßnahmen zu beheben.

Bedrohungsanalyse[Bearbeiten | Quelltext bearbeiten]

itemis SECURE ermöglicht es Benutzern, Bedrohungsmodelle und Angriffsbäume für komplexe technische Systeme zu erstellen.^[7] Über Propagationsmodelle lassen sich daraus die Wahrscheinlichkeiten ermitteln, mit denen definierte Bedrohungsszenarien eintreten können.

Risikobewertung[Bearbeiten | Quelltext bearbeiten]

Auf Basis der Schadensanalyse und der Bedrohungsanalyse lassen sich für alle Komponenten und Funktionen technischer Systeme konkrete Risikowerte berechnen. Auf Basis dieser Risikobewertungen können Unternehmen entscheiden, ob sie die Risiken akzeptieren oder weitere Maßnahmen zu treffen sind, um die Risiken zu reduzieren.

Definition von Gegenmaßnahmen[Bearbeiten | Quelltext bearbeiten]

Eine mögliche Maßnahme zur Behandlung von Risiken ist die Anpassung des Systemdesigns durch die Einführung geeigneter Gegenmaßnahmen. Ein Beispiel hierfür ist die Verschlüsselung von Daten.

Reporting[Bearbeiten | Quelltext bearbeiten]

Die Software erstellt Berichte über die Sicherheitsanalyse. Diese Berichte helfen dabei, Entscheidungen über die Analyse und Behebung von Schwachstellen zu dokumentieren. Sie sind zugleich die Basis für Zertifizierungen und Zulassungsprozesse gegenüber Prüfstellen wie dem Kraftfahrt-Bundesamt (KBA).

Compliance-Einhaltung[Bearbeiten | Quelltext bearbeiten]

Die Software überprüft die Einhaltung von Sicherheitsstandards und Best Practices wie beispielsweise ISO/SAE 21434 oder IEC 62443. Dies erleichtert die Einhaltung von gesetzlichen Vorschriften und Branchenstandards. Die Software wird mit zunehmender Einsatzdauer immer leistungsfähiger, da sie eine große Datenbank mit Elementen, Komponenten, Bedrohungsszenarien, Risiken und Sicherheitskontrollen aufbaut. Diese Kataloge können für andere Systeme wiederverwendet werden, was die Einhaltung der ISO/SAE 21434 erleichtert.^[8]

Datenaustauschformat openXSAM[Bearbeiten | Quelltext bearbeiten]

Die native Unterstützung von XML-basiertem Datenexport und -import auf Basis von openXSAM ermöglicht den Austausch von TARA-Daten einschließlich frei verfügbarer Threat-Katalog-Daten der Automotive Security Research Group (ASRG).^[9]

Anwendungsbereiche[Bearbeiten | Quelltext bearbeiten]

itemis SECURE wird vorwiegend in der Automobilindustrie eingesetzt.^{[10][11][12][13]} Die Software hilft Automobilherstellern und Zulieferern, die Sicherheit ihrer Fahrzeugelektronik und -software zu verbessern, indem sie potenzielle Schwachstellen identifiziert und geeignete Gegenmaßnahmen vorschlägt.

Das grundlegende Funktionsprinzip von itemis SECURE ist über die Automobilindustrie hinaus auch in anderen Bereichen anwendbar in denen vergleichbare Aufgabenstellungen vorliegen.

Historie[Bearbeiten | Quelltext bearbeiten]

itemis SECURE wurde bis Anfang 2023 unter dem Namen YAKINDU Security Analyst vertrieben.^[14]

Literatur[Bearbeiten | Quelltext bearbeiten]

• Wolfgang Böhm, Manfred Broy, Cornel Klein, Klaus Pohl, Bernhard Rumpe, Sebastian Schröck: Model Based Engineering of Collaborative Embedded Systems. Springer, 2021, ISBN 978-3-03062135-3, S. 404 (rwth-aachen.de [PDF; 17,4 MB; abgerufen am 26. April 2023]). 
• Gerhard Hansch: Automating Security Risk and Requirements Management for Cyber-Physical Systems. Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC, Göttingen 2020, S. 149, doi:10.24406/AISEC-N-608669. 
• Nora Ludewig, Markus Völter: Modellkompetenz für Wissenschaft und Technik: Eine Einführung. Carl Hanser Verlag, München 2022, ISBN 978-3-446-46970-9, S. 180. 

Weblinks[Bearbeiten | Quelltext bearbeiten]

• Produktseite itemis SECURE
• itemis AG
• openXSAM – An OPEN format for eXchanging Security Analysis Models
• Automotive Security Research Group

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

1. ↑ ^{a b} itemis SECURE User Guide. itemis AG, abgerufen am 25. April 2023 (englisch). 
2. ↑ Automating Security Risk and Requirements Management for Cyber-Physical Systems. Georg-August University School of Science (GAUSS), abgerufen am 26. April 2023 (englisch). 
3. ↑ ISO/SAE 21434, Anhang H. International Organization for Standardization, abgerufen am 26. April 2023 (englisch). 
4. ↑ Validating vehicleLang, a domain-specific threat modelling language, from an attacker and industry perspective. (PDF) Königliche Technische Hochschule, Stockholm, abgerufen am 26. April 2023 (englisch). 
5. ↑ Threat modelling connected and autonomous vehicle cybersecurity: an overview of available tools. Secure-CAV Consortium, abgerufen am 26. April 2023 (englisch). 
6. ↑ Security Risk Assessments: Modeling and Risk Level Propagation. (PDF) ACM Digital Library, abgerufen am 26. April 2023 (englisch). 
7. ↑ Multi-concern Dependability-centered Assurance via Qualitative and Quantitative Co-analysis. (PDF) Technisch-Naturwissenschaftliche Universität Norwegens – NTNU, abgerufen am 26. April 2023 (englisch). 
8. ↑ R&D Activities Development Partnerships. Block Harbor, abgerufen am 26. April 2023 (englisch). 
9. ↑ Dirk Leopold: Challenges of UN R155 and ISO/SAE 21434 Life Cycle Management — On the Path to TARA Automation. In: Medium. 31. März 2023, abgerufen am 25. April 2023 (englisch). 
10. ↑ Member Story with itemis AG. American Chamber of Commerce in Germany e. V., abgerufen am 26. April 2023 (englisch). 
11. ↑ itemis wird Partner im Siemens Digital Industries Software Program. Software Journal, abgerufen am 26. April 2023. 
12. ↑ Mobility Engineering Services. Ettiksoft, abgerufen am 26. April 2023 (englisch). 
13. ↑ SecForCARs Sicherheit für vernetzte, autonome Fahrzeuge. Bundesministerium für Bildung und Forschung, abgerufen am 26. April 2023. 
14. ↑ YAKINDU Security Analyst Is Now itemis SECURE. itemis, abgerufen am 26. April 2023 (englisch).