Risikomanagement in Softwareprojekten

Bedrohungsmodellierung und Methoden zur Risikoidentifikation
Nach einer Einführung in den Begriff „Risikomanagement“, werden die zugehörigen Aspekte erläutert: Organisation, Prozess, Produkt, Projekt und Methoden zu deren Risikoidentifikation. Schwerpunkt ist die Identifikation und Bewertung von Risiken sowie deren Umgang und Behandlung. Auch Methoden zur Gefahren- und Bedrohungsanalyse werden erläutert und anhand praktischen Projektbeispielen eingeübt. Verschiedene Standards (ISO, SPICE, BSI, NIST) werden betrachtet und deren Fokus beschrieben.
Nach erfolgreichem Besuch dieses Seminars sind Sie in der Lage, die Bedeutung des Risikomanagements für IT- und Softwareprojekte einzuschätzen und kennen die wesentlichen Grundprinzipien und Vorgehensweisen im Risikomanagement. Sie erkennen den Bezug des Risikomanagements zum Projekt- und Qualitätsmanagement und können die wesentlichen Projektrisiken identifizieren und analysieren sowie geeignete risikominimierende Maßnahmen definieren. Darüber hinaus lernen Sie eine Projektbewertungsmethodik für den Projektfortschritt und die monetäre Bewertung von Softwareprojektrisiken sowie Werkzeuge und Methoden für Risikobewertungen kennen.
Methodik Mix aus Theorie, Vorträgen und vielen praxisnahen Beispielen und Übungen. Die Übungen beziehen sich sowohl auf organisatorische, finanzielle und technische Risiken.
– Requirements Engineer – Produktmanager – Projektmanager – Testmanager – Qualitätsmanager – Entwicklungsleiter – System und SW Architekt

Montag, 17. und Dienstag, 18. April 2023
jeweils von 8.30 bis 16.30 Uhr, inkl. Pausen

1. Einführung in den Begriff Risiko-Management

• Definition aus unterschiedlicher Sicht:
  • generell (z.B. ISO 31000)
  • Beispiele für "Sicherheit" und "Risiko"
  • Managementsysteme
• Projekt-spezifisch
  • Software-spezifisch (z.B. nach SPICE)
  • Risiko der Aufwandsschätzung
  • Arten unterschiedlicher Risiken
  • Firmen- und Managementsicht
• Zusammenspiel unterschiedlicher Risikoarten und dazugehöriger Risiko-Assessment-Methoden
• Aufbau eines Risikomanagement-Systems

2. Aufgaben – Methoden – Risikoidentifikation und -bewertung:

• Wie können Risiken identifiziert werden?
  • Werte-orientiert, Schadens-orientiert, Bedrohungs-orientiert
  • Top-Down-Ansatz vs. Bottom-Up-Ansatz
    – Wie können passende Schutzwerte identifiziert und gefunden werden?
• In einer Übung werden die Ansätze erprobt und verglichen

3. Risikoassessment-Methoden

• Definitionen von Risiko
• Risikofaktoren und Schutzwerte
• Methoden zur Risikobewertung verschiedener Modelle. Z.B.: NIST SP 800-30, BSI 200-3; ISO/IEC 27005; HEAVENS
• Frameworks zur Risikobewertung

4. Produktrisiken: Bedrohungsmodellierung

• Methoden z.B. HEAVENS, MS-STRIDE, P.A.S.T.A., TVRA,
• Bedrohungskataloge
• Präventive und analytische Methoden zur Risikominimierung in der Entwicklung von Software
• Top 10 Unzulänglichkeiten in der Softwareentwicklung
• Bedrohungsmodellierung in Sicherheitsrelevanten Projekten

5. Risikobasiertes Projektmanagement und Testen

• risikobasierter Ansatz im Management als -Prozess
  • Ziele: Identifizierung, Analyse, Behandlung, Überwachung
  • Praktiken
• SW Entwicklung und Architektur
• Beispiel risikobasiertes Vorgehen in sicherheitsgerichteten Projekten (Safety, Security, …)
• risikobasierte Testmethoden für Produkte:
  • Penetrationstest, Bug Bounty, Vulnerability Scanning
• Risikoreduktion in der Aufwandsabschätzung

6. Controls und Maßnahmen

• Identifikation/Auswahl geeigneter organisatorischer und technischer Maßnahmen und Controls zur Risikoverminderung
  • Vorgaben und Kataloge wie z.B. NIST SP 800-53
  • Control-Familien
• Übung: Aufsatz eines Risikomanagements (initial, kontinuierlich) für ein Beispielprojekt
• Einführung in eine Bedrohungsanalyse und Risikobewertungs-Methode
• Übung: Durchführung einer eigenen Bedrohungs- und Risikobewertung an einem Beispielprojekt

7. Monitoring von Risiken

• Verfolgung und Aktualisierung von Risikoanalysen in Projektwartungsphasen bis Life-End

8. Risikomanagementsysteme

• Bestandteile: 
  • Prinzipien: Integriert, strukturiert, ...
  • Framework: Integration, Design, Implementierung, ...
  • Prozess: Risikobewertung, Monitoring, Kommunikation, ...

9. Beispiele für Risikomanagementsysteme und Risikomanagement in Projekten/Produkten

• Projektbewertung zu Beginn, zur Laufzeit
• Laufzeitüberwachung, Neubewertung