Posts Tagged ‘kes’

Artikel “Verfügbarkeitsbewertung mit VAIR” jetzt online zugänglich

April 4th, 2011

Die im Rahmen des VAIR-Projekts erstelle Veröffentlichung zum Thema “Indikatoren für den Bereich IT-Sicherheit” im BSI-Forum der kes 4/2010 ist nun über die Webseiten des BSI online verfügbar. In dem Artikel werden die wichtigsten Resultate der empirischen Datenanalyse skizziert und die Funktionen des VAIR-Tools beschrieben.

Verfügbarkeitsbewertung mit VAIR

August 24th, 2010

Unter dem Titel “Verfügbarkeitsbewertung mit VAIR” ist eine Darstellung der Ergebnisse unseres neuen modellbasierten Ansatzes in der IT-Sicherheit im BSI-Forum der kes 2010#4 erschienen. In dem Artikel werden die wichtigsten Resultate der empirischen Datenanalyse skizziert und die Funktionen des VAIR-Tools beschrieben.

Im VAIR-Projekt ist es erstmals gelungen, einen indikatorbasierten Ansatz auf ein technisches System zu übertragen. Hierzu wurde durch Experten ein Fragenkatalog mit für die Verfügbarkeit als relevant eingestuften Indikatoren erstellt und im Rahmen einer statistischen Erhebung ermittelt, in welchem Zusammenhang die Ausprägungen
dieser Indikatoren mit der Verfügbarkeitsklasse eines Rechenzentrums stehen.

Weiterer Forschungsbedarf besteit vor allem auch im Hinblick auf ökonomische Aspekte: Eine ex-ante-Bestimmung der Verfügbarkeit ist nicht zuletzt auch deshalb von Interesse, da es aus wirtschaftlicher Sicht notwendig ist, zu bestimmen, welchen Einfluss die Durchführung einer Maßnahme auf die Verfügbarkeit des Systems hätte. Soll etwa die Verfügbarkeitsklasse eines Rechenzentrums verbessert werden, so erfordert die Anwendung ökonomischer Prinzipen, dass zum Erreichen dieses Ziels diejenigen Maßnahmen umgesetzt werden, mit denen dieses Ziel bei minimalen Kosten erreicht wird. VAIR kann bisher nicht unmittelbar für eine solche Analyse genutzt werden, da die Kosten für entsprechende Investitionen nicht im System hinterlegt sind. Es ist gegenwärtig auch unklar, inwieweit die Hinterlegung eines entsprechenden ausufernden Kostenmodells im System sinnvoll ist (etwa da sie von Rechenzentrum zu Rechenzentrum stark variieren, etwa durch den Einsatz von gleichartigen Produkten unterschiedlicher Hersteller oder auch unterschiedliche Rabatte und Lieferanten). Ein interessanter Ansatz wäre, es dem Anwender zu ermöglichen für gewisse Verbesserungsmaßnahmen selber Preise anzugeben, und ihm somit eine Kosten-Nutzen-Bewertung zu ermöglichen. Dies lag jedoch außerhalb des Umfangs des derzeitigen VAIR-Projektes.

Wenn die Hinterlegung von Kosten ermöglicht wird, ist der Einsatz eines Indikatorsystems für diesen Zweck generell sehr sinnvoll. Da Indikatorsysteme im Allgemeinen auch auf mittelbaren oder indirekten Zusammenhängen fußen, kann die reflektierte Verbesserung eines Indikators dazu führen, dass nicht nur Symptome kuriert werden, sondern echte Verbesserungen erzielt werden. Bei VAIR umfasst der Fragenkatalog ohnehin ausschließlich Indikatoren, bei denen ein direkter Zusammenhang zur Verfügbarkeit aus Expertensicht gesehen wird. Interessanterweise wurden aufgrund der Methodik bei der Erzeugung des Prognosemodells solche Indikatoren besonders stark gewichtet, welche im Hinblick auf die verschiedenen Verfügbarkeitsklassen eine höhere Trennschärfe aufwiesen. Dies müssen nicht notwendigerweise auch diejenigen Merkmale eines Rechenzentrums sein, die für die Verbesserung der Verfügbarkeit tatsächlich am entscheidendsten sind. Insofern sind im Hinblick auf die Verwendung des Indikatormodells zur Bewertung von möglichen Maßnahmen zur Verfügbarkeitssteigerung und insbesondere zur Bestimmung deren Kosten-Nutzen-Relation weitere Forschungsarbeiten notwendig.

Indikatoren für den Bereich IT-Sicherheit

June 7th, 2010

Die im Rahmen des VAIR-Projekts erstelle Veröffentlichung zum Thema “Indikatoren für den Bereich IT-Sicherheit” im BSI-Forum der kes 5/2009 ist nun online abrufbar. Dort wird das methodische Vorgehen bei der Erstellung des Indikatorsystems zur Bewertung der Verfügbarkeit der Infrastruktur von Rechenzentren ausführlich dargestellt.