t2informatik » Wissen kompakt » Misuse Case

Was ist ein Misuse Case?

Wie werden sie erstellt, welche Vorteile bieten sie und welche Beispiele gibt es?

Die Idee von Misuse Cases

Die Verwendung von Misuse Cases ergänzt die Idee der Use Cases um einen zusätzlichen Blickwinkel. Ein Misuse Case ist ein missbräuchlicher Anwendungsfall. Er beschreibt eine Interaktion, die ein System nicht zulassen und sogar verhindern sollte. Erstmals beschrieben wurden missbräuchliche Anwendungsfälle 2001 von von zwei norwegischen Professoren. Guttorm Sindre und Andreas Lothe Opdahl waren im Bereich der Entwicklung von Informationssystemen aktiv und veröffentlichten Capturing Security Requirements through Misuse Cases. Genau wie ein Use Case eine Interaktionsfolge mit dem System darstellt, durch die ein Akteur ein Ziel verfolgt und die einen Wert für ihn schafft, beschreibt auch ein Misuse Case eine Interaktionsfolge – allerdings eine, die mit einem Verlust für den Akteur, für die Organisation, die das System zur Verfügung stellt, oder für Stakeholder endet.

Vorteile von Misuse Cases

Misuse Cases sind leicht anzuwenden und bieten eine Reihe von Vorteilen:

  • Die Qualität der Entwicklung steigt, da sich nicht-funktionale Anforderungen leichter identifizieren lassen.
  • Projektbeteiligte verstehen das zu entwickelnde System besser und umfassender.
  • Eine Gefahrenanalyse ist frühzeitig möglich und ein Wertverlust für die Organisation bzw. Stakeholder lässt sich verhindern.
  • Potentielle Angriffspunkte und Schwächen im System lassen sich leichter identifizieren.
  • Misuse Cases sind durch Testfälle prüfbar – im Sinne von: Verhinderung einer unerwünschten Funktionalität.

Visualisierung und Implementierung

Misuse Cases lassen sich in Form von Use Case Diagrammen am Flipchart oder mit einer professionellen Software erstellen. Manche Tools bieten die Verwendung von Sub-Stereotypen der Enthält- und Erweiterungsbeziehung an: Aus «include» und «extend» werden «attacks» und «prevents». Idealerweise handelt es dabei nicht nur um „freien Text“, denn dadurch lassen sich Misuse Cases und ihre Beziehungen auswerten und in der Folge Qualitätsanforderungen ableiten. Der Akteur im Misuse Case, der einen Schaden verursacht, wird übrigens als MisActor bezeichnet.

Misuse Cases werden nicht implementiert und eine Beschreibung mit Hilfe von Use Case Storys ist auch nicht sinnvoll, aber der etwas andere Blickwinkel auf ein System ermöglicht es, zusätzliche Anforderungen zu ermitteln. Gerade im Bereich Safety & Security ist diese Herangehensweise leicht zu verstehen und anzuwenden. Sie bietet Organisationen die Chance, wichtige Qualitätsanforderungen für die Entwicklung von sicheren Systemen zu entdecken. Laut dem Kano-Modell haben solche Anforderungen eine große Bedeutung für die Zufriedenheit der Kunden.

Use Case Whitepaper - t2informatik Download Vorschau

Jetzt das Use Case Whitepaper kostenlos downloaden.

Alles Wichtige über Use Cases, Use Case Diagramme, Use Case 2.0 und Misuse Cases auf 14 Seiten zum Mitnehmen.

Hier klicken »

Misuse Cases in der Praxis

Beispiele für Misuse Cases

Gerade im Bereich Safety & Security sind Misuse Cases leicht zu verstehen und anzuwenden. Sie bieten Organisationen die Chance, wichtige Qualitätsanforderungen für die Entwicklung von sicheren Systemen zu entdecken. Hier finden Sie eine Liste mit einigen Misuse Cases – die Namensgebung orientiert sich am Ziel des MisActors:

  • Daten und Identitäten von Internetnutzern nutzen, um …
  • Mit fremden Kreditkartendaten Waren bestellen und bezahlen.
  • Die Bewegungsdaten von Handys oder Autos ohne Zustimmung verwenden, um …
  • Mit Abmahnungen wegen möglicher Urheberrechtsverletzungen Geld verdienen.
  • Autos mittels Signalverlängerungen bei „Keyless“-Systemen entwenden, um …

Im Wesentlichen lässt sich jede Zweckentfremdung eines Produkts und jeder Diebstahl als Misuse Case verstehen. Bei manchen Misuse Cases werden Unternehmen versuchen, sichernde Maßnahmen zu ergreifen. Anfang 2018 eröffnete in China die weltweit erste Solar-Autobahn. Kurze Zeit später wurden die ersten Solar-Panel gestohlen. Gegen solche Missbräuche werden sich Organisationen sicherlich schützen, bei anderen kann der Staat Regeln und Gesetze erlassen (Spraydosen nur an Lackierereien verkaufen und somit Sachbeschädigungen durch Graffiti reduzieren) und bei manchen kann nichts dagegen unternommen werden (mit Benzin werden Autos angetrieben und mancherorts auch angezündet).

Misuse Cases erstellen

Häufig werden Sicherheitsanforderungen an ein System sehr allgemein formuliert. Dadurch sind sie schwer zu realisieren und zu überprüfen. Selbst die Erstellung von Use Cases fällt so schwer, denn normalerweise eignen sich Anwendungsfälle nur für die Ermittlung von funktionalen Anforderungen. Hier hilft eine Frage: Was soll das System nicht können? Oder: was soll das System verhindern?

Folgendes Vorgehen hat sich etabliert:

  • Use Cases definieren und visualisieren, sowie Anforderungen ermitteln.
  • Potenzielle Gefahren auf Basis der einzelnen Use Cases inklusive der MisActors ableiten.
  • Misuse Cases mit den bedrohten Use Cases in Beziehung setzen.
  • Ableiten von Anforderungen, die Misuse Cases verhindern.
  • Beschreiben von Testfällen – dabei ist zu bedenken, dass ein Misuse Case in einer Weise überprüft wird, ob eine unerwünschte Funktionalität erfolgreich verhindert wird.

 

Wollen Sie mehr über Use Cases erfahren?

Dann schauen Sie sich einfach die allgemeine Beschreibung von Use Cases, die Idee von Use Case 2.0 oder die Vorteile von Misuse Cases an.

Herausforderungen für Unternehmen

Ein vollständiges System durch Misuse Cases

Mit Use Cases lässt sich ein System aus Anwendersicht gut beschreiben. Misuse Cases ergänzen herkömmliche Anwendungsfälle um eine wertvolle Perspektive. Diese Perspektive lässt sich gut nutzen, um über Bedienungs- und Sicherheitsaspekte nachzudenken und entsprechende Anforderungen zu ermitteln. Ein Misuse Case selbst wird weder in Teilen noch als Ganzes in einem Backlog landen, die durch ihn ermittelten Anforderungen hingegen schon. Durch die Verwendung von Misuse Cases entsteht ein vollständigeres Bild eines Systems. Darüber hinaus lassen sich frühzeitig mögliche Schwachstellen erkennen. Und: jeder der ein wenig Erfahrung in der Anwendung von Use Cases hat, wird das Konzept der Misuse Cases leicht und schnell verstehen.

Grundsätzlich bietet das Arbeiten mit Use Cases, Anwendungsfalldiagrammen, Use Case 2.0 und Misuse Cases ein umfassendes Konzept, um Systeme nicht nur im Detail sondern als Ganzes gut zu verstehen. Unternehmen müssen lediglich die Konzepte konsequent und passend zur Organisation anwenden.

Gerne stellen wir Ihnen Wissen, Erfahrung und 100% Leidenschaft für Ihre Softwareentwicklung und Anforderungsanalyse zur Verfügung. Wir helfen Ihnen bei der Beschreibung von Use Cases und der Erhebung, Strukturierung und Verwaltung von Anforderungen. Dabei achten wird auf Konsistenz, Vollständigkeit und Nachvollziehbarkeit. Wir unterstützen Sie beim Identifizieren von technischen Zusammenhängen und berücksichtigen Stakeholder, Ziele und Randbedingungen. Und wir planen und steuern Ihre Projekte mit diesen Anforderungen auf Basis definierter Prozesse.

Hier erfahren Sie mehr zum Thema Softwareentwicklung »

Weitere Details und Hintergründe

Share This