Quality of Security (QoSec)

Cyber­sicher­heit messbar und damit vergleichbar machen

Wie misst man Cyber­sicher­heit? Und wozu? Hätte man aussagekräftige, breit akzeptierte und vergleichstaugliche Maße für den „Grad der Cyber­sicher­heit“ eines Com­pu­ter­sy­stems, eines Softwareproduktes oder einer Cyber­sicher­heits-Dienstleistung, so wäre wohl vieles anders. Wenn z. B. Unternehmen neue IT-Systeme und -Dienst­leis­tun­gen beschaffen wollen, könnten sie feststellen, wie viel Sicherheit sie zu welchem Preis bekommen. Anbieter könnten für mehr Sicherheit höhere Erlöse erzielen, Investition in mehr Cyber­sicher­heits-Forschung und -Entwicklung würde lukrativ. Cyberrisiken könnten weit besser bewertet werden und der Gesetzgeber könnte Sicherheitsmaße vorschreiben für mehr oder weniger kritische Einsatzbereiche. Solche Vorschriften gibt es z.T. schon, aber weder aus der Verwendung eines krypto­grafischen Verfahrens mit mathematisch bewiesener Sicherheit noch aus der Einhaltung standardisierter Kriterien und Schutzprofile bei der Herstellung lässt sich bisher zuverlässig auf den von einem typischen IT-System erreichten „Grad der Sicherheit“ schließen.

ATHENE arbeitet an sogenannten Quality-of-Security (QoSec)-Scores, die zur Beurteilung des Cyber­sicher­heitsniveaus herangezogen werden können. Formale Methoden kommen dabei ebenso zum Einsatz wie statistische Verfahren und System-Analysemethoden; aus betriebswirtschaftlicher Sicht werden u.a. taugliche Geschäftspraktiken und deren Einflussfaktoren erforscht.

Leitende Wissenschaftler*innen

Prof. Max Mühlhäuser

Prof. Max Mühlhäuser
Koordinator
E-Mail

Prof. Peter Buxmann

Prof. Peter Buxmann

Prof. Matthias Hollick

Prof. Matthias Hollick

Prof. Heiko Mantel

Prof. Heiko Mantel

Projekte des Forschungsbereichs Quality of Security (QoSec)

Formal QoSec for Comparison and Composition (FoCC)
Quantitative and Probabilistic QoSec in Complex HW/SW-Systems (QPSys)
Comprehensive Probabilistic QoSec-Assessment (ComPAss)
Economics of Cybersecurity (EcoSec)