Markus Popp

• Seit nun mehr vielen Jahren ist der Einsatz von Software in allen Lebenslagen nicht mehr wegzudenken. Das Leben von fast allen Menschen wird täglich, bewusst oder unbewusst, von Software gesteuert, unterstützt oder beeinflusst. Da Softwareprodukte auch immer weitreichendere Eingriffe in persönliche Daten nehmen, sollte ein Hauptaugenmerk der Softwareentwicklung stets auf Sicherheit und Datenschutz gelegt werden. Umso wichtiger ist es daher, dass nicht nur Sicherheitsuntersuchungen durchgeführt werden, sondern dass diese auch möglichst umfassend und strukturiert realisiert werden. Die vorliegende Arbeit beschäftigt sich daher mit der Entwicklung einer Methodik zur schrittweisen Überführung eines abstrakten Architekturmodells, wie beispielsweise einem Datenflussdiagramm, hin zu einem möglichst vollständigen Testplan zur Durchführung reproduzierbarer Penetrationstests, unter Einsatz von Hilfsmodellen zur Gefahrenklassifizierung. Hierbei sollen Konzepte, wie Threat-Modeling auf Basis des STRIDE-Modells und Finden von Sicherheitslücken mithilfe der Common Vulnerability and Exposures-Datenbank zum Einsatz kommen.