Die Idee der Auftraggeberschaft ist es, dafür die Configuration Management Database (CMDB) zu nutzen. Mithilfe dieser Bachelor Thesis soll geprüft werden, ob die Datenbasis der CMDB den Anforderungen für ein technisches Schwachstellenmanagement gerecht wird. Anschliessend soll ein Modell entwickelt werden, mit welchem IT-Systeme in der CMDB anhand ihrer IT-Security Relevanz klassifiziert werden können. Zum Schluss soll ein Implementationsvorschlag aufgezeigt werden.

Die Erarbeitung der Ziele erfolgt in zwei Phasen. Zuerst wird in der Analysephase die CMDB sowie dessen Prozesse und Umsysteme untersucht. Dabei werden Befragungstechniken in Form von Interviews sowie Dokumentanalysen eingesetzt. Die Bearbeitung der zweiten Phase, der Konzeptphase, beinhaltet die Entwicklung des Modells sowie den Implementationsvorschlag. Das Modell wird dabei anhand einer Methodik der Association for Information and Image Management erstellt, der Implementationsvorschlag basiert auf Use Cases.

Die Analyse der CMDB zeigt, dass das äussere Erscheinungsbild vom Detailbild abweicht. Das Sprichwort «der Teufel liegt im Detail» passt in diesem Fall hervorragend auf die Gegebenheiten, die während der Erarbeitung der Thesis aufgetaucht sind. Viele Elemente der CMDB sind bei genauerer Betrachtung unvollständig und können aus Sicht der IT-Sicherheit nicht verwendet werden. Das Klassifizierungsmodell ermöglicht die Einstufung von IT-Systemen der CMDB in 5 Stufen. Das Modell basiert auf Regeln, damit es in Zukunft flexibel erweitert oder angepasst werden kann. Die Use Cases des abschliessenden Implementationsvorschlags wird mit GUI Mockups illustriert. Bei einer Implementation des Modells und entsprechender Pflege der Daten ergibt sich für die Auftraggeberschaft der Mehrwert, der bei Projektstart gewünscht wurde.