Verzeichnis der Abschlussarbeiten

Die Masterarbeit untersucht im Kontext von kritischen Systemen die Vereinbarkeit von hohen
Anforderungen an Vertraulichkeit und Integrität einerseits mit einer hohen Verfügbarkeit andererseits.
Dazu wurde die Design Science Methode angewendet und mittels Literaturstudie zunächst iterativ die
Erwartungen an die umzusetzenden Sicherheitsmaßnahmen formuliert. Diese wurden schließlich mit
Expert_innen-Interviews evaluiert, welche mit der qualitativen Inhaltsanalyse nach Mayring ausgewertet
wurden.
Die Literaturstudie zeigte, dass zahlreiche Standards und Best Practices existieren, es jedoch schwierig ist
die passenden auszuwählen. Daher wurde das österreichische Netz- und
Informationssystemsicherheitsgesetz als Referenz verwendet, das konkrete Sicherheitsmaßnahmen für
kritische Infrastrukturen definiert. Zusätzlich wurde das Security-by-Design Prinzip beleuchtet und es
wurden Aspekte wie Risikomanagement, Hochverfügbarkeit, Systemkomplexität und Wirtschaftlichkeit
untersucht.
Mithilfe von acht Expert_innen wurden die theoretischen Erwartungen schließlich evaluiert. Die Ergebnisse
zeigen, dass keine allgemeingültige Aussage zur Vereinbarkeit hoher Vertraulichkeits- und
Integritätsanforderungen mit hoher Verfügbarkeit möglich ist. Es gibt zwar Indizien, dass in bestimmten
Fällen zugunsten der Verfügbarkeit auf zentrale Sicherheitsanforderungen verzichtet werden kann, aber
eine allgemeingültige Regel lässt sich daraus nicht ableiten. Stattdessen wird die Kontextabhängigkeit der
Sicherheitsanforderungen hervorgehoben und die Notwendigkeit eines subjektiven, risikobasierten Ansatzes
betont.

In the context of critical systems, the master's thesis examines the compatibility of high confidentiality and
integrity requirements on the one hand and high availability on the other. To this end, the design science
method was applied and the expectations of the security measures to be implemented were first iteratively
formulated by means of a literature study. These were then evaluated using expert interviews, which were
analysed using Mayring's qualitative content analysis.
The literature study showed that numerous standards and best practices exist, but that it is difficult to
select the appropriate ones. The Austrian Network and Information System Security Act, which defines
specific security measures for critical infrastructures, was therefore used as a reference. In addition, the
security-by-design principle was examined and aspects such as risk management, high availability, system
complexity and cost-effectiveness were investigated.
Finally, the theoretical expectations were evaluated with the help of eight experts. The results show that it
is not possible to make a generally valid statement on the compatibility of high confidentiality and integrity
requirements with high availability. Although there are indications that in certain cases central security
requirements can be dispensed with in favour of availability, a generally valid rule cannot be derived from
this. Instead, the context dependency of security requirements is emphasized and the need for a subjective,
risk-based approach is stressed.