Ist der DROPS gelutscht?
Vor fünf Jahren wurde an der Uni Hannover ein Diskussionspapier vorgestellt, das unter dem handlichen Akronym DROPS einen Ansatz zur Modellierung der Sicherheit von Informationssystemen vorschlug. Das dimensions-relationale organisations- und problembezogene Sicherheitsmodell (DROPS) dient der Komplexitätsreduktion von Sicherheitsproblemen in betrieblichen Informationssystemen.
Nach der Beschreibung der Organisationssicht wird bei der Modellierung der Problemsicht die Komplexität schwachstellenbezogen reduziert. Dazu werden die beiden Sichten relational miteinander verbunden. ‘Was ist aus dem interessanten Ansatz geworden’, habe ich die Autoren Andreas Prieß und Dr. Gabriela Hoppe gefragt.
In einem Mailwechsel teilten mir die Autoren mit, dass es in den vergangen Jahren eher ruhig um ihren Ansatz geworden ist. Die zunächst angedachte Erweiterung des Modells um Elemente der Kosten- und Nutzenanalyse von Sicherheitsmaßnahmen wurde in dieser Zeit nicht weiterverfolgt:
“Frau Hoppe und ich haben den DROPS-Ansatz nach der Veröffentlichung bisher nicht mehr weiterentwickelt. Hinsichtlich der Sicherheit von Informationssystemen lag der Fokus eher auf dem im DROPS-Artikel erwähnten Sicherheitskubus. (…) Natürlich freuen wir uns, wenn Sie Gedanken aus DROPS aufgreifen und den Ansatz weiterentwickeln.”
Ist der DROPS also gelutscht? Was die wissenschaftliche Ausarbeitung angeht: Zum jetzigen Zeitpunkt ja! Trotz Allem lohnt sich ein Blick in das Ursprungsdokument, in dem auch der besagte Sicherheitskubus erwähnt wird. Im Buch “Sicherheit von Informationssystemen” der beiden Autoren wird der Ansatz detailierter vorgestellt (ISBN 978-3482525711).
