Zertifizierung für sichere Cyber-Physikalische Systeme

Größe: px
Ab Seite anzeigen:

Download "Zertifizierung für sichere Cyber-Physikalische Systeme"

Transkript

1 Zertifizierung für sichere Cyber-Physikalische Systeme Prof. Dr. Jan Jürjens Fraunhofer Institut für Software- und Systemtechnik ISST, Dortmund

2 Steigende Bedeutung von Zertifizierungen für Cyber-Physikalische Systeme Beispiele: Gesundheit: Medizinproduktegesetz (MPG) Pharma: Arzneimittelmarktneuordnungsgesetz (AMNOG) Branchenunabhängig: IT-Sicherheit (BSI-Grundschutz) Ggf.: Bundesdatenschutzgesetz (BDSG) (bei Verarbeitung personenbezogenen Daten) 2

3 Herausforderung Zertifizierungsmanagement Steigende Anzahl / wechselseitige Abhängigkeiten von Vorgaben. Zertifizierungen regelmäßig wiederholen => Analyse der Änderungen Erforderliche Daten schwer manuell erfassbar => automatisieren. Prüfung einzelner Eigenschaften bereits so komplex / umfangreich, dass manuell nicht durchführbar => Werkzeuge benötigt. Aggregation verschiedener Vorgaben bei komplexen IT-Systemen. Verteilung von Unternehmen über verschiedene Standorte Anbindung von Produkten von Zulieferern 3

4 Werkzeuggestütztes Zertifizierungsmanagement Werkzeugunterstützung für Zertifizierungsmanagement benötigt. Ziele: Bessere Überprüfbarkeit / Nachvollziehbarkeit der Zertifizierung. Kostenersparnis durch Integration mit Qualitätssicherungsaktivitäten. Idee: Unterstützung der Zertifizierung durch vorhandener Artefakte: automatisierte Analysen auf Basis von Textdokumenten, Software- und Systemmodellen, Log-Daten, Quellcode u.a.. => Expertensystem für Zertifizierung Zertifizierungs- Report Compliant: NEIN Verstöße: - Einhaltung von BSI G3.1 nicht erfüllt Maßnahmen: - BSI Maßnahmenkatalog M

5 Zertifizierungsmethodik: Überblick Abstrakte Gesetze und Regularien MPG GMP AMNOG Konkrete Sicherheits- Bestimmungen ISO 2700x BSI-Grundschutzhandbuch Werkzeuge Risk Finder Compliance pattern analyzer 5

6 Grundlage: Modellbasiertes Zertifizierungsmanagement Anforderungen Code-/ Testgen. Modelle Analysieren Reverse Engin. Implementierung Generieren Verifizieren Ausführen Evolution Konfiguration Einfügen Konfigurieren Laufzeitsystem [Jan Jürjens: Secure systems development with UML. Springer Chines. Übers. 2009] 6

7 Werkzeugunterstützung: Workflow [http://carisma.umlsec.de] CARiSMA Zertifizierungsdaten 7

8 Re-Zertifizierung bei Systemänderungen Bei Systemänderungen: Dokumentation und Implementierung konsistent halten, geändertes Modell re-verifizieren. Dafür änderungsbasierte Analyse im Werkzeug => erheblicher Effizienzgewinn. 8

9 Zusammenfassung: Zertifizierung für sichere Cyber-Physikalische Systeme Problem: Zertifizierung cyber-physikalischer Systeme zunehmende Herausforderung. Lösung: Automatische Werkzeuge: Unterstützung der Zertifizierung auf Basis von relevanten Artefakten (Textdokumente, Software-/ Geschäftsprozess-Modelle, Log-Daten, Quellcode) Unterstützung des Zertifizierungsprozesses Effiziente Rezertifizierung nach Systemänderung. Erfolgreicher Praxiseinsatz. Kontakt: Prof. Jan Jürjens, 9

10 10

11 Werkzeuge für Zertifizierungs-Management Manueller Nachweis aufwendig und kostenintensiv. Großer Bedarf an Werkzeugen zur Prüfung / Verwaltung Werkzeuge: bislang i.w. manuelle Dokumentation von Zertifizierungsprozess. Schwachpunkte: Integration mit IT-Infrastrukturen der Unternehmen für Geschäfts- und Produktionsprozesse (=> Daten z.b. für Nachverfolgbarkeit von Transaktionen / Produktbestandteilen). Überwachung von Compliancevorgaben an IT (z.b. Sicherheit dieser Daten; Schutz personenbezogener Daten (BDSG)). Integration effektiver Kontrollsysteme (Risiken / Missbrauch verhindern). Derzeitige Risiko-Bewertungsmethoden nicht ausreichend. 1 1 S. Taubenberger, J. Jürjens: Durchführung von IT-Risikobewertungen und die Nutzung von Sicherheitsanforderungen in der Praxis. Studie, Fraunhofer ISST 2011 und DACH security

12 Werkzeugunterstützung Werkzeugunterstützung für: Analyse / Überwachung von Geschäftsprozessen auf Sicherheit und Compliance Möglichkeiten: Business process mining Untersuchung von Log-Daten Business process analysis 12

13 Vorgehen (1): Von Compliance nach IT-Sicherheit MaRisk VA Geschäftsprozess 7.2 (2) Materiell bedeutsame Einzelentscheidungen und Anweisungen von Führungsebenen unterhalb der Geschäftsleitung, die gegen die innerbetrieblichen Leitlinien verstoßen, sind schriftlich zu begründen, zu dokumentieren und der Geschäftsleitung zur Kenntnis vorzulegen. Unterschrift durch Sachbearbeiter Dokumentation über Begründung für eigene Unterschrift schreiben Unterschrift durch Unterschriftsberechtigten Rechtsgültiger Vertrag liegt vor Werkzeug-Repository: formalisierte Compliance-Anforderungen Dann: Begründung für Unterschrift dokumentieren d:unterschrift d:aushändigung Wenn: Ausnahme von innerbetrieblicher Leitlinie Aushändigung des Vertrags Jürjens et al., Journal on Software and System Modeling 10(3): (2011) 13

14 Vorgehen (2): Berücksichtigung von Sicherheitsstandards Werkzeuggestützte Annotation von GP-Modellen mit Risiken anhand des BSI-Grundschutzkataloges: Jürjens et al., Requirements Engineering Journal 15(1): (2010) 14

15 Vorgehen (3): Modell-basierte Compliance-Analyse Strukturanalyse eines Geschäftsprozesses auf Basis von Compliance- Mustern Beispiel: Für jedes Auftreten eines Vertragsabschlusses wird 4-Augen-Prinzip überprüft. Jürjens et al., Int. Journal on Intelligent Systems 25(8): (2010) 15

16 Vorgehen (4): Log-Daten-basierte Compliance-Analyse Beispiel: Überprüfung des 4-Augen-Prinzips anhand folgender Informationen: Request Ids stimmen überein Owner sind verschieden Auftrag wurde zum selben Zeitpunkt freigegeben Jürjens et al., Journal on Computers & Security 29(3): (2010) 16

17 Business Process Mining Analyse von Prozessen, die aus Log-Daten rekonstruiert wurden A X C B Process ID Activity ID Consultant Time Stampe Ereignis- Daten 1 A John : A Mike : B Mike : C Carol :18.25 ERP SCM WfMS... CRM 17

18 Text-basierte Identifikation von Sicherheits- / Compliance-Risiken Ein neuer Klient kommt in ein Versicherungsbüro der privaten Krankenversicherung Gesundheit & Co zu einem Versicherungsagenten (VA) mit dem Ziel, eine neue, private Krankenversicherung abzuschließen. [ ] Der VA erfragt zuerst die Daten des Klienten; dies sind Name, Vorname, Geburtsdatum, Adresse, Bruttogehalt und den bisherigen Versicherungsstatus. Die Daten gibt der VA in seinen Computer ein, nachdem er ein entsprechendes Programm aufgerufen hat. Die Software berechnet nun aufgrund der eingegebenen Daten ein neues Versicherungsangebot. Dabei wird auch überprüft, ob sich der Klient überhaupt privat versichern darf. Hierzu wird eine Überprüfung durchgeführt; beträgt das Bruttoeinkommen mehr als Euro, so ist eine private Versicherung möglich, andernfalls nicht. Weiterhin wird eine Auskunft von der Schufa eingeholt. Hierzu wird mit dem Schufa-Server kommuniziert. Dabei werden die nötigen Daten Name, Vorname, Geburtsdatum übermittelt. Der Schufa-Server liefert als Antwort eine Zahl (Wertebereich 1 bis 10). Liegt die Zahl unter 5, so steht dem Abschluss einer Versicherung nichts mehr im Wege. Andernfalls ist kein Versicherungsabschluss möglich. [...] Der Klient prüft sie und unterschreibt. Die Antragsformulare werden zentral gesammelt und später an die Zentrale gefaxt. Aus Datenschutzgründen dürfen die Unterlagen niemals länger als zwei Stunden auf dem Sammelplatz liegen. In der Zentrale werden sie bearbeitet und die Versicherungspolice wird nach zwei Tagen an den Klienten geschickt. Risikobewertung [...] 18

19 Ausgabe/Ergebnis Relevante Pattern je Aktivität Grobe numerische Bewertung der Relevanz Aktivität [Kunde benötigt Cloud-Service (233)] 4 Relevante Worte: [Information(200.0), Meldung(200.0), Nachricht(200.0), Internet(100.0)] 22 relevante Pattern: B_5.10 : Internet Information Server (300.0) G_2.96 : Veraltete oder falsche Informationen in einem Webangebot (200.0) G_3.13 : Weitergabe falscher oder interner Informationen (200.0) G_3.44 : Sorglosigkeit im Umgang mit Informationen Identifizierte (200.0) Ausdrücke [Dienstleister erhält Serviceanfrage (600)] 7 Relevante Worte: [Dienstleister(500.0), (500.0), Information(100.0), Internet(100.0), Service(100.0), Zulieferer(100.0), extern(100.0)] 16 relevante Pattern: Gefundene G_1.19 : Ausfall eines Dienstleisters oder Zulieferers (600.0) G_2.84 : Unzulängliche Pattern vertragliche Regelungen mit einem externen Dienstleister (600.0) [Kunde gibt Daten ein (667)] 19 Relevante Worte: [Daten(500.0), Datei(200.0), Information(200.0), Meldung(200.0), Nachricht(200.0), 59 relevante Pattern: M_2.205 : Übertragung und Abruf personenbezogener Daten (700.0) M_4.64 : Verifizieren der zu übertragenden Daten vor Weitergabe / Beseitigung von Restinformationen (700.0) B_1.15 : Löschen und Vernichten von Daten (600.0) G_2.61 : Unberechtigte Sammlung personenbezogener Daten (600.0) G_4.13 : Verlust gespeicherter Daten (600.0) 19 19

20 Textbasiertes Risiko-Mining: Experimentelle Resultate Industrielle Anforderungsdokumente Common Electronic Purse Specifications (epurse) Customer Premises Network specification (CPN) Global Platform Specification (GPS) Metriken für Information Retrieval: Recall: Trefferquote Precision: Genauigkeit F-Measure: Kombination P&R Baseline: Alle Anforderungen als security relevant klassifiziert K. Schneider, E. Knauss, S. Houmb, S. Islam, J. Jürjens: Enhancing Security Requirements Engineering by Organisational Learning. In: Requirements Engineering Journal (REJ) 20

21 Beispielergebnis: Abbildung MA-Risk VA auf Sicherheitsanforderungen Framework zur Abbildung von regulatorischer Compliance auf Security Policies Berücksichtigung von Cross-References ausgehend von MA-Risk VA 21

22 Textprocessors 22 22

23 Anhang (intern, nicht Teil des Vortrags) 23

24 Einige konkrete technologische Assets Verschiedene Inhouse-Lösungen für Beratungsgeschäft und für Entwicklung von Software-Produkte für Compliance-Management: Werkzeugplattform CARiSMA für Sicherheits-, Risiko- und Compliance- Analysen auf Geschäftsprozess- und Software-Modellen, z.b.: Analyse von BPMN- und UML-Modellen auf Compliance- und Sicherheitsanforderungen Anbindung von Process-Mining Differenzberechnung nach Modelländerungen Re-Verifikation auf Sicherheitsanforderungen nach Modelländerungen Ontologie zur systematischen Herleitung, Formalisierung und Verwaltung von Sicherheits- und Compliance-Anforderungen Taxonomie für Sicherheitsstandards (z.b. BSI Grundschutz) Modell für Cloud-Umgebungen (Hardware-Infrastruktur, Software). => Extraktion relevanter Daten über Interfaces verschiedener Clouds (z.b. Eucalyptus, OpenNebula, OpenStack). Repository für sicherheitsrelevante Daten zu verschiedenen Cloud-Systemen. Werkzeugunterstützung zur Erfassung unterschiedlicher Quelltexte (z.b. Gesetzestexte, BSI-Grundschutzkataloge), deren Verarbeitung und automatisierte Erkennung und Erfassung der Querbeziehungen. CARiSMA Analysewerkzeug RiskFinder : Sicherheits- / Compliance-Risiken in Prozessbeschreibungen identifizieren. Werkzeug zur textbasierten Analyse von Compliance-Anforderungen. Werkzeug für Analyse von IT-Sicherheitsrisiken und Rentabilität von Sicherheitsmaßnahmen (in Entwicklung). Werkzeug für Dokumentation und automatische Analyse von Clouds auf Sicherheitsanforderungen (in Entwicklung). Unterneh -mens- Daten 24

25 Spin-Off-Projekte SecureClouds (BMBF): Auslagerung von Geschäftsprozessen in Cloud: Analyse der GP auf Sicherheit und Compliance. Ergebnisse: Ontologie zur Herleitung, Formalisierung und Verwaltung von Sicherheits- und Compliance-Anforderungen Analysewerkzeug RiskFinder : mittels Heuristik potenzielle Sicherheits- oder Compliance- Risiken in Prozessbeschreibungen identifizieren Anwendbar für branchenübergreifende Regularien (z.b. Bundesgesetze) und branchenspezifische Regularien (z.b. MaRisk VA im Versicherungsbereich). SECONOMICS (EU): Analyse von sozio-ökonomischen Aspekten von Informationssicherheit, insbesondere in cyber-physikalischen Systemen. Ergebnisse: Werkzeuge für modellbasierte Analyse von IT-Sicherheitsrisiken und Bewertung der Rentabilität von Sicherheitsmaßnahmen. ClouDAT: Anbieter von Clouds bei Cloud-Zertifizierung unterstützen. Ansatz unterstützt Dokumentation und Bewertung gemäß einschlägiger Standards (z.b. ISO 27002, BSI-Grundschutzhandbuch). Ergebnis: Werkzeugunterstützung für Dokumentation und automatische Analyse eines Cloud-Systems auf Sicherheitsanforderungen, auf Basis UML-Modellierung. Secure Change (EU, via TUDo): Rezertifizierung von Software auf Sicherheitsanforderungen nach Änderungen der Software SecVolution (DFG, via TUDo): Rezertifizierung von Software auf Sicherheitsanforderungen nach Änderungen der Systemumgebung 25

26 Veröffentlichungen Highlights: 10 years most influential paper für UML 02-Veröffentlichung Mehr als 3000 Zitierungen, h-index 29 (J. Jürjens) Einige aktuelle Veröffentlichungen (ab 2011): Vorträge zu Sicherheit und Compliance (z.b. in Clouds) auf: iqnite 2012, Anw. Informationstechnik und Telekommunikation (AKIT) 2012, CloudConf 2011, CloudDays 2011, Object- Oriented Programming (OOP 2011), iqnite 2011 Compliance-Management: S. Islam, H. Mouratidis, J. Jürjens. A Framework to Support Alignment of Secure Software Engineering with Legal Regulations. Journal of Software and Systems Modeling (SoSyM) 2011 Rezertifizierung bei Softwareevolution: A. Bauer, J. Jürjens, Yijun Yu. Runtime Security Traceability for Evolving Systems. The Computer Journal, Oxford Univ. Press, vol. 54, no. 1, 2011, pp J. Jürjens, K. Schneider. On modelling non-functional requirements evolution with UML (invited contribution). In Festschrift for Martin Glinz 2012 T. Ruhroth, J. Jürjens. Supporting Security Assurance in the Context of Evolution: Modular Modeling and Analysis with UMLsec. In 16th IEEE Intern. Symposium on High Assurance Systems Engineering (HASE 2012), IEEE, 2012 F. Massacci, F. Bouquet, E. Fourneret, J. Jürjens, M.S. Lund, S. Madelenat, J.T. Mühlberg, F. Paci, S. Paul, B. Solhaug, S. Wenzel, F. Piessens. Orchestrating Security and System Engineering for Evolving Systems (Invited paper). In 4th European Conference ServiceWave 2011, LNCS vol 6994, Springer 2011, pp Studien zu IT-Sicherheits-Risikobewertung in der Praxis: S. Taubenberger, J. Jürjens, Y. Yu, B. Nuseibeh. Resolving Vulnerability Identification Errors using Security Requirements on Business Process Models. J. Inform. Management & Computer Security, 2013 S. Taubenberger, J. Jürjens. Studie zu IT-Risikobewertungen in der Praxis. In D-A-CH Security S. Taubenberger, J. Jürjens, B. Nuseibeh, Yijun Yu. Problem Analysis of Traditional IT-Security Risk Assessment Methods An Experience Report from the Insurance and Auditing Domain. In 26th IFIP International Information Security Conference (IFIP SEC 2011), Lucerne, 7-9 June 2011 Sichere Software Migration in die Cloud: S. Wenzel, T. Humberg, C. Wessel, D. Poggenpohl, T. Ruhroth, J. Jürjens. Ontology-Based Analysis of Compliance and Regulatory Requirements of Business Processes. In: 3rd Int. Conference on Cloud Computing and Services Science (Closer 2013) S. Wenzel, C. Wessel, T. Humberg, J. Jürjens. Securing Processes for Outsourcing into the Cloud. In 2nd Int. Conf. on Cloud Computing and Services Science Text-basiertes Risk-Mining: K. Schneider, E. Knauss, S. Houmb, S. Islam, J. Jürjens. Enhancing Security Requirements Engineering by Organisational Learning. Requirements Engineering Journal (REJ), ModellbasiertesSicherheits-Testen: E. Fourneret, M. Ochoa, F. Bouquet, J. Botella, J. Jürjens, P. Yousefi. Model-Based Security Verification and Testing for Smart-cards. In ARES 2011 Werkzeugunterstützung: M. Ochoa, J. Jürjens, J. Cuellar. Non-interference on UML State-charts. In 50th Int. Conference on Objects, Models, Components, Patterns (TOOLS Europe 2012) M. Ochoa, J. Jürjens, D. Warzecha. A Sound Decision Procedure for the Compositionality of Secrecy. In 4th Int. Symp. on Engin. Secure Software and Systems

27 Aktuelle Arbeiten: Integrierte Compliance Management Plattform (ICMP ) 27

28 Vorhandene technologische Assets (vgl. Abs , S. 79ff) Verschiedene Inhouse-Lösungen für Beratungsgeschäft und für Entwicklung von Software-Produkte für Compliance-Management: Werkzeugplattform CARiSMA für Sicherheits-, Risiko- und Compliance- Analysen auf Geschäftsprozess- und Software-Modellen, z.b.: Analyse von BPMN- und UML-Modellen auf Compliance- und Sicherheitsanforderungen Anbindung von Process-Mining Differenzberechnung nach Modelländerungen Re-Verifikation auf Sicherheitsanforderungen nach Modelländerungen Ontologie zur systematischen Herleitung, Formalisierung und Verwaltung von Sicherheits- und Compliance-Anforderungen Taxonomie für Sicherheitsstandards (z.b. BSI Grundschutz) Modell für Cloud-Umgebungen (Hardware-Infrastruktur, Software). => Extraktion relevanter Daten über Interfaces verschiedener Clouds (z.b. Eucalyptus, OpenNebula, OpenStack). Repository für sicherheitsrelevante Daten zu verschiedenen Cloud-Systemen. Werkzeugunterstützung zur Erfassung unterschiedlicher Quelltexte (z.b. Gesetzestexte, BSI-Grundschutzkataloge), deren Verarbeitung und automatisierte Erkennung und Erfassung der Querbeziehungen. CARiSMA Analysewerkzeug RiskFinder : Sicherheits- / Compliance-Risiken in Prozessbeschreibungen identifizieren. Werkzeug zur textbasierten Analyse von Compliance-Anforderungen. Werkzeug für Analyse von IT-Sicherheitsrisiken und Rentabilität von Sicherheitsmaßnahmen (in Entwicklung). Werkzeug für Dokumentation und automatische Analyse von Clouds auf Sicherheitsanforderungen (in Entwicklung). Unterneh -mens- Daten 28

29 Zu entwickelnde technologische Assets (vgl. Abs (S. 76ff) und (S. 88ff)) Ganzheitlicher Ansatz benötigt (sonst Ergebnisse von Teilaudits nur schwer aggregierbar). Zu entwickeln: Komponenten für Integrierte Compliance Management Plattform (ICMP) : Kataloge von GRC-Anforderungen mit gesetzlichen Vorgaben. Enthält: formalisierte Beschreibung der Anforderung / zu erhebende Daten; Kontextinformationen (Erfassungszeitraum / bereich) und entsprechendes Datenhaltungsschema; optional: Prüfverfahren (z.b. spezielles Werkzeug). Mit Katalog Audits definieren. Können aus Teilaudits und entsprechenden Aggregationsvorschriften bestehen (herunterzubrechen auf Organisationseinheiten / Teilsysteme). Aggregationskomponente: Daten und Ergebnisse einzelner Teilaudits zusammenführen, revisionssicher Versionieren und in Datenbank Reports über Audit generieren. Exportschnittstellen, um Daten der Audits zu extrahieren und Dritten (z.b. Aufsichtsbehörden oder Prüfern) zur Verfügung zu stellen. Rezertifizierungskomponente: Reagieren auf Änderungen in Gesetzen, regulatorischen Anforderungen und anderen Vorschriften. Verwaltung der Anforderungen und deren Formalisierung erlaubt es, Veränderungen zu identifizieren und Einfluss auf Teilaudits oder Organisationseinheiten zu bestimmen. Mögliche Beeinträchtigung der Compliance durch Änderungen an Geschäftsprozessen wird verhindert, da Bezug zwischen Prozessen und Anforderungen dokumentiert. 29

30 Darauf aufbauende zentrale technologische Innovation, die Geschäftsbereich entscheidend nach vorne bringt (vgl. Abs , S. 76ff) Integrierte Compliance Management Plattform (ICMP ) Kern der Plattform: zentrale Verwaltung von Compliance-Anforderungen. Bindeglied zwischen Unternehmen und Prüfern bilden (beide Zielgruppe). Verwendet Kataloge mit GRC-Anforderungen, Aggregationskomponente, Rezertifizierungskomponente (s. letzte Folie). Prüfdokumente wie Checklisten oder entsprechende Prüfanwendungen (z.b. webbasierte Eingabemasken, mobile Apps) generieren. Datenbanken für durch Prüfanwendungen erfassten Daten mitgenerieren. Prüfanwendungen unterstützen Audit durch integrierte Workflow-Engine. Durch Plug-in-Architektur um Importmodule (z.b. Daten aus IT-Systemen) erweitern. Datenbankschemata so ausgelegt, dass Daten und Ergebnisse von (Teil-) Audits revisionssicher versioniert werden. Späterer Vergleich der Daten und Ergebnisse verschiedener Audit- Iterationen sowie verschiedener Organisationseinheiten somit möglich (Benchmarking). Offenes, auf Standards basierendes Managementsystem. Realisierung als Plug-In-Architektur, Verwendung von etablierten Austauschformaten (z.b. XBRL für Finanzdaten) ermöglichen Integration mit bestehenden Anwendungen => ICMP zentraler Punkt für Verwaltung von Complianceanforderungen und Nachweis ihrer Erfüllung. => Kosten der Audits gesenkt und gleichzeitig Zuverlässigkeit und Nachvollziehbarkeit erhöht. 30

31 31

32 Business Process Analysis Automatisierte Compliance-Analyse Zwei Ansätze: 1. Text-basierte Analyse der Aktivitäts-bezeichner zur automatischen Identifikation von Risiken 2. Strukturelle Analyse des Prozessmodells auf Muster, die Compliance verletzen 32

33 Vorhandene technologische Assets (vgl. Abs , S. 79f) Werkzeugplattform CARiSMA (Compliance, Risk, and Security Model Analyzer) zum Prüfen von Sicherheits-, Risiko- und Compliance-Analysen auf Geschäftsprozess- und Software-Modellen. Plattform Eclipse => Integration mit anderen Entwicklungs- / Modellierungswerkzeugen Eclipse-Modellierungsframework (EMF) => Viele Modellierungssprachen unterstützt. Plug-In-Architektur => flexible Erweiterung / Wiederverwendung von Komponenten. Integration externer Analysekomponenten (z.b. Model-Checker) durch offene Architektur. CARiSMA => Inhouse-Lösung zur Unterstützung des Beratungsgeschäfts und als Grundlage für die Entwicklung zukünftiger Software-Produkte im Compliance- Management-Bereich. Unterneh -mens- Daten 33

34 Beispiel BPMN-Geschäftsprozess Dokumentieren annotiert mit Sicherheitsanforderungen resultierend aus MARisk VA 34

35 Beispiel: Aktivität Aus Sicherheitsanforderungen konkret abgeleitete Gefahren anhand des BSI-Grundschutzkataloges Jan Jürjens: Zertifizierung Einführung für sichere Ansatz Cyber-Physikalische Vorgehen Werkzeug Systeme Evolution Schluss 35 35

36 NAME BASIS IT-SECURITY POLICY ZIEL P1 M2.8 Eine aktuelle Dokumentation der vergebenen Zugriffsrechte muss vorliegen. Zugriffskontrolle P2 M2.8 Zugriffsrechte werden minimal vergeben. Zugriffskontrolle P3 M M Dokumentieren der vergebenen und geänderten Zugriffsrechte. P4 M Ein Verfahren für den Entzug von Zugriffsrechte muss existieren. P5 M 2.7 Eine Aufzählung der relevanten Funktionen muss erstellt werden. Zugriffskontrolle Zugriffskontrolle Rollenüberprüfung P6 M 2.7 Die Funktionstrennungen müssen definiert werden. Rollenüberprüfung P7 M M Richtlinien für die Zugriffs- und Zugangskontrolle müssen erstellt werden. P8 M Standard-Rechteprofile für verschiedene Funktionen bzw. Aufgaben müssen erstellt werden. P9 M 2.30 Organisatorische Regelungen zur Einrichtung von Benutzern bzw. Benutzergruppen müssen existieren. P10 M 2.65 Der ordnungsgemäße Benutzerwechsel muss regelmäßig geprüft werden. P11 M 2.5 M 3.3 In allen Bereichen müssen Vertretungsregelungen existieren. P12 M 2.7 In allen Vertretungsfällen müssen ausreichend kompetente Vertreter zur Verfügung stehen. P13 M 3.3 Jan Jürjens: Zertifizierung Sicherheitsmaßnahmen für sichere Cyber-Physikalische müssen ergriffen Systeme werden, damit 36 Dateien nicht unbemerkt verändert werden können. Rollenüberprüfung Rollenüberprüfung Rollenüberprüfung Rollenüberprüfung Rollenüberprüfung Rollenüberprüfung Rollenüberprüfung

37 Beispiel: MaRisk VA 10 Jan Jürjens: Zertifizierung Einführung für sichere Ansatz Cyber-Physikalische Vorgehen Werkzeug Systeme Evolution Schluss 37 37

38 Ergebnis der Analysekomponente Ma-Risk VA 10: Jan Jürjens: Zertifizierung Einführung für sichere Ansatz Cyber-Physikalische Vorgehen Werkzeug Systeme Evolution Schluss 38 38

39 Ergebnis der Anwendung auf MaRisk VA 10 GESETZ AKTVITÄT/ GP IT-SECURITY-ANFORDERUNG IT-SECURITY-ZIEL MaRisk VA 10 Information vollständig Verfügbarkeit MaRisk VA 10 Information exakt Integrität MaRisk VA 10 Dokument ändern Änderungen aufzeichnen Autorisation Verbindlichkeit Authentifikation MaRisk VA 10 Dokumentation Änderungen nachvollziehbar Verbindlichkeit Authentizität, Integrität MaRisk VA 10 Dokumentation Änderungen überprüfbar Verbindlichkeit Authentizität, Integrität VAG 64a Abs. 3 Dokumentation Dokumentation 6 Jahre aufbewahren VAG 64a Abs. 3 Dokumentation Datensicherung Datenarchivierung Verfügbarkeit, Integrität Datensicherheit Verfügbarkeit, Integrität Datensicherheit HGB 238 Abs. 1 Geschäftsvorfälle Entstehen und Abwicklung verfolgbar Verfügbarkeit HGB 239 Dokument ändern Änderungen aufzeichnen, Ursprünglicher Inhalt verfolgbar Verfügbarkeit HGB 239 Datenträger verwalten Daten überprüfbar, lesbar Verfügbarkeit HGB 239 Jan Ausgedruckte Jürjens: Zertifizierung Doku- für sichere Dokumente Cyber-Physikalische verfügbar Systeme mente verwalten Verfügbarkeit 39

40 40

41 Analyseergebnis Automatisch generierter Compliance-Bericht: Grundlage sind Sicherheitsstandards, z.b. BSI Sicherheitsempfehlungen oder MaRisk Beispiel: Compliant zu: MaRISK VA (ja / nein) Führt weitere zu untersuchende Anforderungen auf Schlägt Maßnahmen zur Verbesserung der Übereinstimmung mit Compliance- Anforderungen vor: Compliance: incomplete Automatische Korrektur Manuelle Korrektur Compliance-Bericht Problem: - MaRISK VA 7.2: Übereinstimmung mit BSI G3.1 ist zu prüfen Maßnahme: - BSI Maßnahmenkatalog M

42 Compliance: Herausforderungen bewältigen Herausforderung: Manuellen Aufwand reduzieren Dadurch mehr Zeit für Konzentration auf wichtige GRC-Probleme Automatische Prüfung erhöht außerdem Verlässlichkeit. Compliance-Checks der Geschäftsprozesse Wissensbasis über GRC aufbauen Datenquellen: Interviews, Texte, Prozesse, Process mining Evaluierung des Risikomanagements Idealerweise (teil-)automatisiert durch Werkzeugunterstützung Überwachung von GRC unterstützten Einsatz von Überwachungs-Werkzeugen, z.b. in Web-Portalen Ideal: Wiederverwendung der Informationen zur Prozessoptimierung 42

43 Werkzeugunterstützung (s. Jan Jürjens: Zertifizierung Einführung für sichere Ansatz Cyber-Physikalische Vorgehen Werkzeug Systeme Evolution Schluss 43 43

44 Compliance-Modellierung mit UMLsec Ziel: Dokumentation und automatische Analyse von compliancerelevanten Informationen (z.b. Sicherheits-Eigenschaften, Compliance-Anforderungen) als Teil der Systemspezifikation. Idee: UML für System-Modellierung. [Jan Jürjens: Secure systems development with UML. Springer Chines. Übers. 2009] Sicherheitsinformationen als Markierungen (Stereotypen) einfügen, mithilfe der UML-Erweiterung UMLsec. Automatische Verifikation der Modelle gegen Anforderungen auf Basis von formaler Semantik. [J. Jürjens, Sound Methods and Effective Tools for Model-based Security Engineering with UML, 27th Int. Conf. on Software Engineering, ACM, 2005, pages ] 44

45 Leistungen / Angebote des Fraunhofer ISST Erstellung von Compliance-Berichten mit Werkzeugunterstützung Data Mining auf Log-Dateien Compliance-Analysis der Prozessausführung Automatische Generierung von Prozessmodellen Sicherheits- und Compliance-Analysen von Geschäftsprozessen auf Basis der Prozessdokumentation Vorbereitung und Durchführung von Compliance-Checks Außerdem: Möglichkeit der Mitwirkung als Pilotkunden in öffentlich geförderten Forschungs- und Entwicklungsprojekten. 45

46 Herausforderung Compliance: Beispiel Cloud Umfrage: Größte Herausforderungen beim Einsatz von Clouds? 46

47 Sicherheit vs. Compliance Abstrakte Gesetze und Regelungen Konkrete Sicherheits- Bestimmungen SOX AktG KWG VAG MARisk Basel II ISO 2700x Solvency II BSI-Grundschutzhandbuch 47

48 Herausforderung: Compliance Komplexe Compliance-Beziehungen besonders bei Cloud- Marktplätzen: Service-Anbieter Cloud-Marktplatz Cloud-Kunde Cloud-Marktplatz Cloud-Kunde Service-Anbieter Einhaltung der Regularien bei Durchführung der Geschäftsprozesse über Cloud-Services weiter Verantwortung des Kunden. Cloud-Marktplatz muss Einhaltung der Regularien gegenüber Kunden belegen (z.b. Angemessenheit des Sicherheitsmanagements). Kann Überwachung der Regularien auf Seiten der Service-Anbieter als Added-Value anbieten ( Compliance-as-a-Service ). 48

49 Mission Statement Werkzeuggestützte Methode zur Umsetzung von Geschäftsprozessen auf IT-Infrastrukturen unter Beachtung von Compliance-Anforderungen (z.b. Basel II, Solvency II,...). Analyse wird auf Basis von Textdokumenten, Modellen und anderen Datenquellen durchgeführt Governance, Risk, Compliance (GRC) und Maßnahmen für Cloud Computing 49

50 50

51 Beispiel: Anwendung der MaRisk VA und BSI-Grundschutz (1) MaRisk VA 7.2 (1) Organisatorische Rahmenbedingungen: Das Unternehmen hat zur Umsetzung des 64a VAG bzw. des 104s VAG sicherzustellen, dass die mit wesentlichen Risiken behafteten Geschäftsaktivitäten auf der Grundlage von innerbetrieblichen Leitlinien betrieben werden... Geschäftsprozess Unterschrift durch Unterschriftsberechtigten Rechtsgültiger Vertrag liegt vor Aushändigung des Vertrags IT-Policy (BSI konform) d:unterschreiben d:aushändigen Rollenüberpüfung: Berechtigung gegeben (BSI G3.1) Jan Jürjens: Zertifizierung Einführung für sichere Ansatz Cyber-Physikalische Vorgehen Werkzeug Systeme Evolution Schluss 51 51

52 Fazit Sicherheit und Compliance in Cloud-basierten Umgebungen: komplexe und vielfältige Probleme. So vielfältig wie Clouds selbst Gibt Lösungen (und Tools) zur Bewältigung der Herausforderungen. Analyse der eigenen Geschäftsprozesse auf Eignung zur Auslagerung in eine Cloud (bzgl. Sicherheit / Compliance) Analyse / Überwachung der vom Cloud-Anbieter zugesicherten Sicherheit / Compliance Kontakt: Informationen: 52

53 Einige Referenz-Projekte Elektronische Gesundheitskarte Mobile Architekturen und Verfahren Digitale Dokumentenverwaltung Digitales Bezahlprotokoll CEPS Sicherheitsanalyse Intranet-System Return-on-Security Investment-Analyse Sicherheitsanalyse für digitales Unterschriften-System Untersuchung zu IT-Sicherheitsrisiko Update-Plattform für Smartcard-Software Zertifizierung für Cloud-Sicherheit Sicherheitsuntersuchung zur Cloud-Nutzung 53

54 Werkzeug Dateneingabe: Prozesse, Daten Jan Jürjens: Zertifizierung Sicherheit und für Compliance sichere Cyber-Physikalische in der Cloud: Lösungen Systeme 54

55 Werkzeug Dateneingabe: Sicherheitsklassifizierung 55

56 Werkzeug Dateneingabe: Systemarchitektur Jan Jürjens: Zertifizierung Sicherheit und für Compliance sichere Cyber-Physikalische in der Cloud: Lösungen Systeme 56

57 Sicherheitsbewertungsanalyse (SBA) Bewertung von Sicherheitsanforderungen für Prozessschritte Jan Jürjens: Zertifizierung Sicherheit und für Compliance sichere Cyber-Physikalische in der Cloud: Lösungen Systeme 57

58 Werkzeug: Sicherheitsmaßnahmen Jan Jürjens: Zertifizierung Sicherheit und für Compliance sichere Cyber-Physikalische in der Cloud: Lösungen Systeme 58

59 Spezifische Sicherheitsprobleme bei Cloud Computing Fehler / Angriffe von Mitarbeitern des Providers Angriffe von anderen Kunden Angriffe auf Verfügbarkeit (DOS) Fehler bei Zuteilung und Management von Cloud-Ressourcen Z.B. Unzureichende Mandantentrennung Missbrauch der Verwaltungsplattform Angriffe unter Nutzung von Web-Services Probleme bei Vertragsgestaltung (Quelle: BSI, IT-Grundschutz und Cloud Computing, 2009 und Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing Anbieter, 2011) 59

60 Übersicht Was sind die Herausforderungen? Was sind die Lösungen? 60

61 61

62 Cloud Computing bietet Chancen Kostenersparnis Pay per use -Modell Mehr Flexibilität durch Wahl des geeigneten Anbieters Auch für einzelne Dienste trotzdem wird Cloud Computing erst von wenigen Unternehmen genutzt. 62

63 63

64 IT-Sicherheit vs. Governance, Risk und Compliance (GRC) Governance, Risk und Compliance (GRC) Governance: Unternehmensinterne Richtlinien Compliance: Externe Richtlinien, z.b. SOX, EURO-SOX, BASEL II, SOLVENCY II Risk: Risiko-Management unter Beachtung aller Richtlinien IT-Sicherheit Abstrakte Sicherheitsziele, z.b. Anwendung von CIA auf Unternehmen Jan Jürjens: Zertifizierung Sicherheit und für Compliance sichere Cyber-Physikalische in der Cloud: Was Systeme sind die Herausforderungen 64?

65 Sicherheitsziele beim Cloud Computing Vertraulichkeit Verfügbarkeit Integrität Verarbeitete Daten in Clouds sind unverschlüsselt Verschlüsselte Speicherung in Cloud Verschlüsselter Datenaustausch mit Cloud Neben klassischen IT-Problemen : Cloud nur über Internetverbindung Schutz virtueller Maschinen vor Datenkorruption Redundanz von Rechen- und Speicherresourcen, geographisch verteilt Unerwünschte und unerkannte Veränderung von Daten in Cloud verhindern Authentizität von Cloud-Systemen gegenüber User und umgekehrt Nicht-Abstreitbarkeit Datenschutz Transaktionen in Clouds erfordern Signaturen Unabhängiger Check der Signaturen Einhaltung gesetzlicher Regelungen (Standort beachten) Erstellung von Benutzerprofilen verhindern Konflikt mit Nicht-Abstreitbarkeit Jan Jürjens: Zertifizierung Sicherheit und für Compliance sichere Cyber-Physikalische in der Cloud: Was Systeme sind die Herausforderungen 65?

66 GRC in Clouds Governance Risk Compliance Erstellung von Verfahren/Richtlinien Klassifikationsschema für Daten und Prozesse Vertrauensbeziehungen (trust chains) in der Cloud Risiko-Strategie Business Impact Analyse Analyse von Bedrohungen und Schwachstellen Risk Analysis Remediation Umsetzung von Verfahren/Richtlinien Legale Compliance (SOX, SOLVENCY II) Implementierung von Kontrollen Die Cloud stellt dynamisch Ressourcen bereit Dieselbe Dynamik wird für GRC in Clouds benötigt Jan Jürjens: Zertifizierung Sicherheit und für Compliance sichere Cyber-Physikalische in der Cloud: Was Systeme sind die Herausforderungen 66?

67 BSI Eckpunktepapier Cloud Computing Erweitert bestehende Standards um Cloud-spezifische Aspekte Hauptsächlich aus Sicht der Anbieter Schafft systematische Grundlage zur Untersuchung von Cloud- Angeboten 67

68 BSI Eckpunktepapier Cloud Computing (Forts.) Betrachtet elf Eckpunkte der Cloud Computing Sicherheit Vorgestellt werden vor allem Ziele, weniger konkrete Lösungen Für (potentielle) Anwender vor allem interessant: Vertragliche Gestaltung von Cloud-Angeboten Kontrollmöglichkeiten für Nutzer Portabilität und Interoperabilität Sicherheitsprüfung und nachweis (Zertifizierung) 68

69 Übersicht Was sind die Herausforderungen? Was sind die Lösungen? Jan Jürjens: Zertifizierung Sicherheit und für Compliance sichere Cyber-Physikalische in der Cloud: Was Systeme sind die Lösungen? 69

70 Sicherheitsprüfung und -nachweis Sicherheitsprüfungen sind regelmäßig durchzuführen vom Anbieter vom Kunden von unabhängigen Dritten Allgemein: Zertifikate! ISO Definiert umfassende Anforderungen an IT- Sicherheitsmanagement Auch auf Basis der BSI-Standards möglich SAS 70 Type II Bewertung interner Kontrollmechanismen TRUSTe Einhaltung von Datenschutzrichtlinien Jan Jürjens: Zertifizierung Sicherheit und für Compliance sichere Cyber-Physikalische in der Cloud: Was Systeme sind die Lösungen? 70

71 Einige Beispiele: Sicherheits-Zertifikate Vendor X X (Quelle: Fraunhofer SIT, Cloud Computing Sicherheit, 2009) 71

72 Verwandte Standards Process Maturity Holistic Control Systems Sicherheits-Standards Transparenz Safe Harbor Jan Jürjens: Zertifizierung Sicherheit und für Compliance sichere Cyber-Physikalische in der Cloud: Was Systeme sind die Lösungen? 72

73 BSI: Drei Kategorien für Anforderungen Basisanforderungen (B) Von jedem Cloud-Provider zu erfüllen Hohe Vertraulichkeit (C+) Basisanforderungen + zusätzliche Maßnahmen Bei Daten mit hohem Schutzbedarf der Vertraulichkeit Hohe Verfügbarkeit (A+) Basisanforderungen + zusätzliche Maßnahmen Bei Daten mit hohem Schutzbedarf der Verfügbarkeit 73

74 Compliance: Bedeutung und Herausforderung Compliance ist die Einhaltung von Regularien (z.b. Gesetze oder betriebliche Bestimmungen). Etablierung von Compliance-Regelungen ist notwendig: Einhaltung von EU-Richtlinien Basel II (=> III), Solvency II Einhaltung von MaRisk der BaFin Auf US-Markt: SOX Bundesdatenschutzgesetz (besonders problematisch für Clouds) Heute: Hoher Aufwand, teuer und langwierig Für Standardaufgaben werden Spezialisten benötigt, besondere Fälle bleiben häufig unbeachtet, z.b. Fehlverhalten des Personals (spektakuläres Beispiel: Societe Generale 2008: 5 Mrd. Euro Verlust). 74

75 Voraussetzungen Systematisches Vorgehen nur bei klaren Gegebenheiten Eine Möglichkeit: Anerkannte Standards für IT-Sicherheit ISO 2700x-Normen BSI Grundschutz-Standards und Kataloge Seit 2011: BSI Eckpunktepapier Cloud Computing 75

76 Vertragliche Gestaltung: Service Level Agreements (SLA) Transparenz schafft Vertrauen beim Kunden Genaue Beschreibung der angebotenen Leistung und deren Beschränkungen! Vergleich verschiedener SLAs mit Anforderungen. Bietet der Provider überhaupt ein SLA an? Was bedeuten die Werte? Z.B. 99.8% jährliche Verfügbarkeit: Die Cloud ist ~17,5 Stunden pro Jahr offline! Ist die Cloud in verschiedene Sicherheitszonen unterteilt? Muss ich meine Daten vor der Übertragung in die Cloud aufteilen? Sollte ich die Übertragung vertraulicher Daten in die Cloud vermeiden? 76

77 Vertragliche Gestaltung: Kontrollmöglichkeiten Auch hier: Transparenz schafft Vertrauen Welche Möglichkeiten sind vorgesehen? Was sind die Strafen für Verletzungen der SLA? Kann der Kunde die Leistung der Cloud überwachen? Existiert ein Frühwarnsystem? 77

78 Portabilität und Interoperabilität Ein Vorteil der Cloud: Flexibilität Daher: Festlegung auf bestimmten Anbieter vermeiden ( Vendor Lock-In ) Vorhandene Daten müssen übernommen werden Etablierte Austauschformate helfen Auch ein Ende der Cloud-Nutzung sollte ohne großen Aufwand möglich sein! 78

79 Eine einfache Checkliste für eine Cloud Ist die Sicherheit des Anbieters dokumentiert? Wie werden Sicherheitslevel eingehalten? Ist eine einfache Beendigung der Cloudnutzung möglich? Welche Garantien und Service Level Agreements (SLA) existieren? Können diese an die Bedürfnisse des Kunden angepasst werden? Welche Vertragsstrafen sind in den Standard-SLAs vorgesehen? Wie kann der Anbieter die Einhaltung der SLA überwachen und durchsetzen? Wo ist der Standort der Cloud, welche Gesetze gelten dort? Kann die Anwendung von deutschem Recht erzwungen werden ( Rechtswahl )? Insbesondere Datenschutzbestimmungen! 79

80 Einige Beispiele Physikalische Sicherheit des Rechenzentrums: Googles Security Operations Center Amazon: Zwei-Faktor Authentifizierung Angriffe auf Netzwerkebene, z.b. Denial-of-Service: Amazon nutzt Denial-of-Service Prevention, genaue Methode ist geheim Microsoft nutzt Load-Balancer und Intrusion Prevention Systems Backup-Lösungen: Google, Amazon sichern Daten an unterschiedlichen Standorten FlexiScale legt Backups an, aber Nutzer kann die Daten nicht (selbst) wiederherstellen Amazon speichert Daten dauerhaft: nach 5 Minuten sind diese in der Cloud 80

81 Übersicht Was sind die Herausforderungen? Was sind die Lösungen? Was sind die Werkzeuge? 81

82 82

83 Where can I learn more? The Fraunhofer-Attract-Group >>APEX<<: The Cloud Security Alliance, homepage,http://www.cloudsecurityalliance.org/, 2009 Cloud Computing Sicherheit - Schutzziele.Taxonomie.Marktübersicht, Fraunhofer Institute for Secure Information Technology SIT,2009 Above the Clouds: A Berkeley View of Cloud Computing, technical report, UCB/EECS , EECS Department University of California, Berkeley,2009. IT-Grundschutz und Cloud Computing, SECMGT Workshop, BSI, 2009 Cloud Security, TüV Informationstechnik GmbH, 2009 Effectively and Securely Using the Cloud Computing Paradigm, NIST, 2009 Cloud Audit A6, yo delmars blog,

84 Technical Prerequisites Ideally: System and/or business process documentation Interface to extract log data Note: Our approach can be easily instantiated to a given architecture (via simple architecture specific adapters). => No restriction on the architecture to be analyzed. 84

85 85

86 86

87 What is Cloud Computing? Today: (Source: IPVS, University Stuttgart) 87

88 What is Cloud Computing? Services in the Cloud: (Source: IPVS, University Stuttgart) 88

89 What is Cloud Computing? Services in the Cloud: The illusion of infinite resources available on demand The elimination of an up-front commitment by Cloud users The ability to pay for use of computing resources on a short-term basis as needed (Source: Berkley, Above the Clouds, 2009) (Source: IPVS, University Stuttgart) 89

90 Security in Clouds is a Trust Issue IT security is about trust. You have to trust your CPU manufacturer, your hardware, operating system and software vendors -- and your ISP. Any one of these can undermine your security: crash your systems, corrupt data, allow an attacker to get access to systems. We've spent decades dealing with worms and rootkits that target software vulnerabilities. We've worried about infected chips. But in the end, we have no choice but to blindly trust the security of the IT providers we use. Saas moves the trust boundary out one step further -- you now have to also trust your software service vendors -- but it doesn't fundamentally change anything. It's just another vendor we need to trust. (Source: Bruce Schneier, Schneier on Security: Cloud Computing, 2009) 90

91 Security in Clouds is a Trust Issue A good way to generate trust for a cloud vendor is transparent security. 91

92 Security as a Service Google Message Security 12$ per anno - per user Identitiy Management von PingIdentity 1 per user - per application - per month VPN-Cubed for EC2 von CohesiveFT Connection of 2 Servers are for free Connection of 4 Servers are 0.05$ per hour 92

93 Trust is good, Compliance is better Business Process Analysis of the clouds IT security properties. Compliance Risk 93

94 CloudAudit (A6) Overview A6 is the geeky byline for the working group of CloudAudit and stands for: Automated Audit, Assertion, Assessment, and Assurance API The goal of CloudAudit is to provide a common interface that allows Cloud providers to automate the Audit, Assertion, Assessment, and Assurance of their environments and allow authorized consumers of their services to do likewise via an open, extensible and secure API. (Source: Cloud Audit A6 Group) 94

95 Automated cloud risk identification and aggregation Risk-Data Repository Risk_A Risk_E Risk_F Risk_B Risk_G Risk_D Risk_C Risk_H =P(X) 95

96 Last Slide Trust is a concept as old as humanity, and the solutions are the same as they have always been. Be careful who you trust, be careful what you trust them with, and be careful how much you trust them. Outsourcing is the future of computing. Eventually we'll get this right, but you don't want to be a casualty along the way. (Source: Bruce Schneier, Schneier on Security: Cloud Computing, 2009) 96

97 Vorgehen (5): Analyse von Berechtigungsdaten SAP Berechtigungen auf Sicherheitsregeln prüfen. Geht nicht manuell: Große Datenmengen (z.b Berechtigungen) Komplexe Beziehungen zwischen Berechtigungen (Delegation) Dynamische Änderungen (Urlaubsvertretung etc.) Automatische Analyse auf Produktionskopie erhöht Vertrauenswürdigkeit unabhängig von Administrator. Optionale Analyse gegenüber Geschäftsprozessmodellen. Jan Jürjens: Zertifizierung Einführung für sichere Ansatz Cyber-Physikalische Vorgehen Werkzeug Systeme Evolution Schluss 97 97

Sicherheit und Compliance in der Cloud

Sicherheit und Compliance in der Cloud Sicherheit und Compliance in der Cloud Prof. Dr. Jan Jürjens TU Dortmund Das Forschungsprojekt ClouDAT (Förderkennzeichen 300267102) wird/wurde durch das Land NRW und Europäischen Fonds für regionale Entwicklung

Mehr

Informationssicherheit im Cloud Computing

Informationssicherheit im Cloud Computing Informationssicherheit im Cloud Computing Prof. Dr. Jan Jürjens Fraunhofer Institut für Software- und Systemtechnik ISST, Dortmund http://jan.jurjens.de Übersicht Was sind die Herausforderungen? Was sind

Mehr

Sicherheit und Compliance in Clouds: Herausforderungen und Lösungen

Sicherheit und Compliance in Clouds: Herausforderungen und Lösungen Sicherheit und Compliance in Clouds: Herausforderungen und Lösungen Prof. Dr. Jan Jürjens TU Dortmund Das Forschungsprojekt ClouDAT (Förderkennzeichen 300267102) wird/wurde durch das Land NRW und Europäischen

Mehr

Werkzeuggestützte Identifikation von IT-Sicherheitsrisiken in Geschäftsprozessmodellen

Werkzeuggestützte Identifikation von IT-Sicherheitsrisiken in Geschäftsprozessmodellen Werkzeuggestützte Identifikation von IT-Sicherheitsrisiken in Geschäftsprozessmodellen Marc Peschke (Softlution) Martin Hirsch (FH Dortmund) Jan Jürjens (Fraunhofer ISST und TU Dortmund) Stephan Braun

Mehr

Modellbasiertes Sicherheits-Testen für Cloud-basierte Prozesse

Modellbasiertes Sicherheits-Testen für Cloud-basierte Prozesse Modellbasiertes Sicherheits-Testen für Cloud-basierte Prozesse Prof. Dr. Jan Jürjens Fraunhofer Institut für Software- und Systemtechnik ISST, Dortmund http://www.isst.fraunhofer.de http://jan.jurjens.de

Mehr

IT-Architekturen für auditierbare Geschäftsprozessanwendungen (Eingeladener Vortrag)

IT-Architekturen für auditierbare Geschäftsprozessanwendungen (Eingeladener Vortrag) IT-Architekturen für auditierbare Geschäftsprozessanwendungen (Eingeladener Vortrag) Fraunhofer-Symposium "Netzwert" 2013 J. Jürjens Das Forschungsprojekt ClouDAT (Förderkennzeichen 300267102) wird/wurde

Mehr

Geschäftsprozesse in die Cloud - aber sicher! (... und compliant) Prof. Dr. Jan Jürjens

Geschäftsprozesse in die Cloud - aber sicher! (... und compliant) Prof. Dr. Jan Jürjens Geschäftsprozesse in die Cloud - aber sicher! (... und compliant) Prof. Dr. Jan Jürjens TU Dortmund Das Forschungsprojekt ClouDAT (Förderkennzeichen 300267102) wird/wurde durch das Land NRW und Europäischen

Mehr

Sicherheit und Compliance für IT-gestützte Prozesse

Sicherheit und Compliance für IT-gestützte Prozesse Sicherheit und Compliance für IT-gestützte Prozesse Jan Jürjens, TU Dortmund und Fraunhofer ISST TU Dortmund, Fak. Informatik: Round-Table, 14. Dezember 2010 Sicherheit und Compliance für IT-gestützte

Mehr

Den Nebel lichten: Von Compliance-Regularien zu testbaren Sicherheitsanforderungen Prof. Dr. Jan Jürjens

Den Nebel lichten: Von Compliance-Regularien zu testbaren Sicherheitsanforderungen Prof. Dr. Jan Jürjens Den Nebel lichten: Von Compliance-Regularien zu testbaren Sicherheitsanforderungen Prof. Dr. Jan Jürjens TU Dortmund und Fraunhofer ISST Herausforderung: Compliance Steigende Anforderungen für Unternehmen,

Mehr

Modellbasiertes Sicherheits- und Compliance-Management

Modellbasiertes Sicherheits- und Compliance-Management Modellbasiertes Sicherheits- und Compliance-Management Prof. Dr. Jan Jürjens Fraunhofer-Attract-Gruppe Apex Fraunhofer-Institut für Software- und Systemtechnik ISST, Dortmund http://www.isst.fraunhofer.de/de/geschaeftsfelder/it-compliance-fuer-die-industrie.html

Mehr

Evolution vs. semantische Konsistenz

Evolution vs. semantische Konsistenz Evolution vs. semantische Konsistenz Workshop des GI-AK Traceability, Dortmund J. Jürjens Das Forschungsprojekt ClouDAT (Förderkennzeichen 300267102) wird/wurde durch das Land NRW und Europäischen Fonds

Mehr

Modell-basiertes IT-Sicherheits- und Compliance-Management Jan Jürjens

Modell-basiertes IT-Sicherheits- und Compliance-Management Jan Jürjens Modell-basiertes IT-Sicherheits- und Compliance-Management Jan Jürjens TU Dortmund und Fraunhofer ISST IT-Sicherheit und Compliance Steigende Anforderungen für Unternehmen, die Konformität mit übergeordneten

Mehr

Cloud Computing Wohin geht die Reise?

Cloud Computing Wohin geht die Reise? Cloud Computing Wohin geht die Reise? Isabel Münch Bundesamt für Sicherheit in der Informationstechnik 14. ComIn Talk Essen 17.10.2011 Agenda Einleitung Chancen und Risiken von Cloud Computing Aktivitäten

Mehr

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

Cloud Computing aus Sicht von Datensicherheit und Datenschutz Cloud Computing aus Sicht von Datensicherheit und Datenschutz Peter Batt Bundesministerium des Innern Ständiger Vertreter des IT-Direktors Berlin, den 19. April 2012 Grundlagen: Sicherheitsempfehlungen

Mehr

Sind Privacy und Compliance im Cloud Computing möglich?

Sind Privacy und Compliance im Cloud Computing möglich? Sind und Compliance im Cloud Computing möglich? Ina Schiering Ostfalia Hochschule für angewandte Wissenschaften Markus Hansen Unabhängiges Landeszentrum für Datenschutz www.ostfalie.de Wolfenbüttel, Germany

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

BSI-Sicherheitsemfehlungen für Anbieter in der Cloud

BSI-Sicherheitsemfehlungen für Anbieter in der Cloud BSI-Sicherheitsemfehlungen für Anbieter in der Cloud Dr.-Ing. Clemens Doubrava, BSI VATM-Workshop Köln / Referenzarchitektur Cloud Computing 2 Was sind die Risiken für CSP? (Public Cloud) Finanzielle Risiken

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Cloud Computing Gefahrenpotentiale und Sicherheitskonzepte

Cloud Computing Gefahrenpotentiale und Sicherheitskonzepte Cloud Computing Gefahrenpotentiale und Sicherheitskonzepte, BSI Was ist beim Einsatz von Cloud Computing zu beachten? AGCS Expertentage 2011 / 24.10.2011 Themen Gefährdungen der Cloud Voraussetzungen für

Mehr

IT-Grundschutz: Cloud-Bausteine

IT-Grundschutz: Cloud-Bausteine IT-Grundschutz: Cloud-Bausteine Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 12.09.2013 Was sind die Risiken? (Public

Mehr

Anforderungen an Cloud Computing-Modelle

Anforderungen an Cloud Computing-Modelle Anforderungen an Cloud Computing-Modelle Rechtsanwalt Martin Kuhr, LL.M. 26.11.2010 6. Darmstädter Informationsrechtstag oder: zwischen Wolkenhimmel und Haftungshölle F.A.Z. Wer steht vor Ihnen? - Rechtsanwalt

Mehr

Internes Kontrollsystem in der IT

Internes Kontrollsystem in der IT Internes Kontrollsystem in der IT SOA 404 und SAS 70 stellen neue Anforderungen an Qualität und Sicherheit der IT 2007 by Siemens AG. All rights reserved. Neue Sicherheitsanforderungen durch SOX ENRON,

Mehr

Der Weg zu einem ganzheitlichen GRC Management

Der Weg zu einem ganzheitlichen GRC Management Der Weg zu einem ganzheitlichen GRC Management Die Bedeutung von GRC Programmen für die Informationsicherheit Dr. Michael Teschner, RSA Deutschland Oktober 2013 1 Transformationen im Markt Mobilität Cloud

Mehr

SECURING PROCESSES FOR OUTSOURCING INTO THE CLOUD

SECURING PROCESSES FOR OUTSOURCING INTO THE CLOUD SECURING PROCESSES FOR OUTSOURCING INTO THE CLOUD Sven Wenzel 1, Christian Wessel 1, Thorsten Humberg 2, Jan Jürjens 1,2 1 2 SecGov, 19.4.2012 Overview Toolsupport: analysis analysis analysis 2 Computing

Mehr

LOG AND SECURITY INTELLIGENCE PLATFORM

LOG AND SECURITY INTELLIGENCE PLATFORM TIBCO LOGLOGIC LOG AND SECURITY INTELLIGENCE PLATFORM Security Information Management Logmanagement Data-Analytics Matthias Maier Solution Architect Central Europe, Eastern Europe, BeNeLux MMaier@Tibco.com

Mehr

Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9. DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor

Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9. DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9 DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor ISO/IEC 27013 Information technology - Security techniques - Guidance on the integrated

Mehr

Cloud Computing mit IT-Grundschutz

Cloud Computing mit IT-Grundschutz Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

CeBIT 17.03.2015. CARMAO GmbH 2014 1

CeBIT 17.03.2015. CARMAO GmbH 2014 1 CeBIT 17.03.2015 CARMAO GmbH 2014 1 HERZLICH WILLKOMMEN Applikationssicherheit beginnt lange bevor auch nur eine Zeile Code geschrieben wurde Ulrich Heun Geschäftsführender Gesellschafter der CARMAO GmbH

Mehr

Was Ihr Cloud Vertrag mit Sicherheit zu tun hat

Was Ihr Cloud Vertrag mit Sicherheit zu tun hat Was Ihr Cloud Vertrag mit Sicherheit zu tun hat EC Deutschland 14 Mai 2013- Konzerthaus Karlsruhe Ziele des Vortrags - ein Weg in die Cloud 1. Sicherheit eine mehrdimensionalen Betrachtung 2. Zusammenhang

Mehr

Cloud Computing Governance. Thomas Köhler Leiter Public Sector RSA The Security Division of EMC

Cloud Computing Governance. Thomas Köhler Leiter Public Sector RSA The Security Division of EMC Cloud Computing Governance Thomas Köhler Leiter Public Sector RSA The Security Division of EMC Definition Cloud - Wolke Wolke, die; -, -n; Wölkchen: Hoch in der Luft schwebende Massen feiner Wassertröpfchen

Mehr

Cloud Computing ein Risiko beim Schutz der Privatsphäre??

Cloud Computing ein Risiko beim Schutz der Privatsphäre?? Cloud Computing ein Risiko beim Schutz der Privatsphäre?? Prof. Johann-Christoph Freytag, Ph.D. Datenbanken und Informationssysteme (DBIS) Humboldt-Universität zu Berlin Xinnovations 2012 Berlin, September

Mehr

> Typische Fallstricke beim Cloud Computing. Ulf Leichsenring

> Typische Fallstricke beim Cloud Computing. Ulf Leichsenring > Typische Fallstricke beim Cloud Computing Ulf Leichsenring > Agenda > Sicherheitsaspekte beim Cloud Computing > Checkliste der Hauptsicherheitsaspekte > Rechtliche Sicherheitsaspekte > Datenschutzaspekte

Mehr

Capturing and Documentation of Decisions in Security Requirements Engineering through Heuristics

Capturing and Documentation of Decisions in Security Requirements Engineering through Heuristics Capturing and Documentation of Decisions in Security Requirements Engineering through Heuristics Stefan Gärtner, Tom-Michael Hesse, Kurt Schneider, Barbara Paech Fachgruppentreffen Requirements Engineering

Mehr

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015 COBIT 5 Controls & Assurance in the Cloud 05. November 2015 Charakteristika der Cloud On-Demand Self Service Benötigte IT-Kapazität selbstständig ordern und einrichten Broad Network Access Zugriff auf

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen -

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Dr. Thomas Reinke Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (Bereich Technik und Organisation)

Mehr

CLOUDCYCLE Ferner integriert der Broker neue Konzepte zur geographischen Eingrenzung der Nutzung von Cloud-Diensten und assoziierter Daten.

CLOUDCYCLE Ferner integriert der Broker neue Konzepte zur geographischen Eingrenzung der Nutzung von Cloud-Diensten und assoziierter Daten. TRusted Ecosystem for Standardized and Open cloud-based Resources Das Vorhaben hat den Aufbau eines Cloud-Ecosystems zum Ziel, welches exemplarisch für den Anwendungsbereich der Patientenversorgung im

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

RECHTLICHE ASPEKTE DER DATENHALTUNG. von Andreas Dorfer, Sabine Laubichler

RECHTLICHE ASPEKTE DER DATENHALTUNG. von Andreas Dorfer, Sabine Laubichler RECHTLICHE ASPEKTE DER DATENHALTUNG von Andreas Dorfer, Sabine Laubichler Gliederung 2 Definitionen Rechtliche Rahmenbedingungen C3-Framework Servicemodelle 3 Software as a Service (SaaS) salesforce.com,

Mehr

There is no security on this earth. Na und? General Douglas MacArthur. Alfred E. Neumann

There is no security on this earth. Na und? General Douglas MacArthur. Alfred E. Neumann There is no security on this earth. Na und? General Douglas MacArthur Alfred E. Neumann Anwendungen verursachen Unsicherheit Ca. ¾ aller Schwachstellen stammen aus Anwendungen. Cryptography 0% Application

Mehr

Exkursion zu Capgemini Application Services Custom Solution Development. Ankündigung für Februar 2013 Niederlassung Stuttgart

Exkursion zu Capgemini Application Services Custom Solution Development. Ankündigung für Februar 2013 Niederlassung Stuttgart Exkursion zu Capgemini Application Services Custom Solution Development Ankündigung für Februar 2013 Niederlassung Stuttgart Ein Nachmittag bei Capgemini in Stuttgart Fachvorträge und Diskussionen rund

Mehr

Grenzen und Möglichkeiten. Senatsverwaltung für Inneres und Sport Verfassungsschutz Bereich: Wirtschaftsschutz René K.

Grenzen und Möglichkeiten. Senatsverwaltung für Inneres und Sport Verfassungsschutz Bereich: Wirtschaftsschutz René K. Grenzen und Möglichkeiten Senatsverwaltung für Inneres und Sport Verfassungsschutz Bereich: Wirtschaftsschutz René K. 1 Agenda Definition Architektur Durchgängigkeit der Technologien Risiken Pro Contra

Mehr

Brainloop Secure Boardroom

Brainloop Secure Boardroom Brainloop Secure Boardroom Efficient and Secure Collaboration for Executives Jörg Ganz, Enterprise Sales Manager, Brainloop Switzerland AG www.brainloop.com 1 Is your company at risk of information leakage?

Mehr

Wie man die Qualität von Cloud Services beurteilen und absichern kann. Andreas Weiss EuroCloud Deutschland

Wie man die Qualität von Cloud Services beurteilen und absichern kann. Andreas Weiss EuroCloud Deutschland Wie man die Qualität von Cloud Services beurteilen und absichern kann Andreas Weiss EuroCloud Deutschland IT Beschaffung Data Center fokussiert X-Node IaaS PaaS SaaS Kühlung Powe r and UPS LAN/WAN

Mehr

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW Datenschutz in der Cloud Stephan Oetzel Teamleiter SharePoint CC NRW Agenda Definitionen Verantwortlichkeiten Grenzübergreifende Datenverarbeitung Schutz & Risiken Fazit Agenda Definitionen Verantwortlichkeiten

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

IT-Grundschutz-Bausteine Cloud Computing

IT-Grundschutz-Bausteine Cloud Computing IT-Grundschutz-Bausteine Cloud Computing, BSI Referat B22 Analyse von Techniktrends in der Informationssicherheit 3. Cyber-Sicherheits-Tag für Teilnehmer der Allianz für Cyber-Sicherheit in der Spielbank

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Titelbild1 ANSYS. Customer Portal LogIn

Titelbild1 ANSYS. Customer Portal LogIn Titelbild1 ANSYS Customer Portal LogIn 1 Neuanmeldung Neuanmeldung: Bitte Not yet a member anklicken Adressen-Check Adressdaten eintragen Customer No. ist hier bereits erforderlich HERE - Button Hier nochmal

Mehr

Trotz SIEM, PIM & Co. - Wissen Sie wirklich, was in Ihrem Netz los ist? Kontrolle und revisionssichere Auditierung privilegierter IT-Zugriffe

Trotz SIEM, PIM & Co. - Wissen Sie wirklich, was in Ihrem Netz los ist? Kontrolle und revisionssichere Auditierung privilegierter IT-Zugriffe Trotz SIEM, PIM & Co. - Wissen Sie wirklich, was in Ihrem Netz los ist? Kontrolle und revisionssichere Auditierung privilegierter IT-Zugriffe It-sa Nürnberg, 16.-18.10.2012, Stand 12-401 (Exclusive Networks)

Mehr

Matthias Schorer 14 Mai 2013

Matthias Schorer 14 Mai 2013 Die Cloud ist hier was nun? Matthias Schorer 14 Mai 2013 EuroCloud Deutschland Conference 2013 Matthias Schorer Accelerate Advisory Services Leader, CEMEA 29.05.13 2 29.05.13 3 The 1960s Source: http://www.kaeferblog.com/vw-bus-t2-flower-power-hippie-in-esprit-werbung

Mehr

IT-Compliance Management und Identity Management Aktuelle Trends

IT-Compliance Management und Identity Management Aktuelle Trends IT-Compliance Management und Identity Management Aktuelle Trends Kurzbefragung Deutschland, April 2009 Matthias Zacher Senior Advisor matthias.zacher@experton-group.com Inhalt Themenabgrenzung Stichprobencharakteristika

Mehr

Cloud Computing und Metadatenkonzepte

Cloud Computing und Metadatenkonzepte Cloud Computing und Metadatenkonzepte 6. Darmstädter Informationsrechtstag F. Wagner - Cloud Computing und Metadatenkonzepte - 6. Darmstädter Informationsrechtstag 26.11.2010 1 Herausforderungen Sicherheit

Mehr

2012 Quest Software Inc. All rights reserved.

2012 Quest Software Inc. All rights reserved. Identity & Access Management neu interpretiert Stefan Vielhauer, Channel Sales Specialist Identity & Access Management André Lutermann, Senior Solutions Architect CISA/CHFI Rechtliche Rahmenbedingungen

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

Mash-Up Personal Learning Environments. Dr. Hendrik Drachsler

Mash-Up Personal Learning Environments. Dr. Hendrik Drachsler Decision Support for Learners in Mash-Up Personal Learning Environments Dr. Hendrik Drachsler Personal Nowadays Environments Blog Reader More Information Providers Social Bookmarking Various Communities

Mehr

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS Stefan Taubenberger und Prof. Jan Jürjens, 22. September 211 Ziele der Studie Konfirmative und explorative Studie mit folgenden Fragestellungen Welche Kriterien

Mehr

Die sichere Cloud? mit Trusted Cloud - der Weg aus dem Nebel. Caroline Neufert Nürnberg, 18. Oktober 2012

Die sichere Cloud? mit Trusted Cloud - der Weg aus dem Nebel. Caroline Neufert Nürnberg, 18. Oktober 2012 Die sichere Cloud? mit Trusted Cloud - der Weg aus dem Nebel Caroline Neufert Nürnberg, 18. Oktober 2012 Cloud Computing - Cloud Strategie Zu Beginn jeder Evaluierung gibt es wesentliche Kernfragen. Cloud

Mehr

Modellierung von Sicherheitsaspekten mit UML. Hauptseminar Softwaretechnologie Modellierung von Sicherheitsaspekten mit UML Florian Heidenreich 2004

Modellierung von Sicherheitsaspekten mit UML. Hauptseminar Softwaretechnologie Modellierung von Sicherheitsaspekten mit UML Florian Heidenreich 2004 Modellierung von Sicherheitsaspekten mit UML 1 1 Übersicht 1 Übersicht 2 Einführung / Motivation 3 Mechanismen zur Erweiterung der UML 4 UMLSec 5 SecureUML 6 Unterstützung durch Tools 7 Zusammenfassung

Mehr

Secure SDLC für die Masse dank OpenSAMM? OWASP 17.11.2011. The OWASP Foundation. Dr. Bruce Sams. http://www.owasp.org

Secure SDLC für die Masse dank OpenSAMM? OWASP 17.11.2011. The OWASP Foundation. Dr. Bruce Sams. http://www.owasp.org Secure SDLC für die Masse dank OpenSAMM? Dr. Bruce Sams 17.11.2011 Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the License. The Foundation

Mehr

S-ITsec: strategisches IT-Security-Managementsystem

S-ITsec: strategisches IT-Security-Managementsystem S-ITsec: strategisches IT-Security-Managementsystem IT-Sicherheit: Risiken erkennen, bewerten und vermeiden Ein etabliertes IT-Security-Managementsystem (ISMS) ist ein kritischer Erfolgsfaktor für ein

Mehr

Beim Kunden wahrgenommene Qualität von IT-Services Ein wichtiger Faktor in der Beschaffung von Cloud Services

Beim Kunden wahrgenommene Qualität von IT-Services Ein wichtiger Faktor in der Beschaffung von Cloud Services Beim Kunden wahrgenommene Qualität von IT-Services Ein wichtiger Faktor in der Beschaffung von Cloud Services BICCnet Arbeitskreistreffen "IT-Services" am 14. November bei fortiss Jan Wollersheim fortiss

Mehr

Infrastructure as a Service (IaaS) Solutions for Online Game Service Provision

Infrastructure as a Service (IaaS) Solutions for Online Game Service Provision Infrastructure as a Service (IaaS) Solutions for Online Game Service Provision Zielsetzung: System Verwendung von Cloud-Systemen für das Hosting von online Spielen (IaaS) Reservieren/Buchen von Resources

Mehr

Jan-Peter Schulz Senior Security Consultant

Jan-Peter Schulz Senior Security Consultant Jan-Peter Schulz Senior Security Consultant 2 Definitionen im Rahmen des Cloud Computing Cloud Computing ist ein Modell, das es erlaubt, bei Bedarf jederzeit und überall bequem über ein Netz auf einen

Mehr

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443 Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443 Roadshow INDUSTRIAL IT SECURITY Dr. Thomas Störtkuhl 18. Juni 2013 Folie 1 Agenda Einführung: Standard IEC 62443

Mehr

Distributed testing. Demo Video

Distributed testing. Demo Video distributed testing Das intunify Team An der Entwicklung der Testsystem-Software arbeiten wir als Team von Software-Spezialisten und Designern der soft2tec GmbH in Kooperation mit der Universität Osnabrück.

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

Company. Sicherheit und WebServices CORISECIO CORISECIO. Dr. Bruno Quint CORISECIO. BESEQURE gegründet 2002 in Darmstadt Germany

Company. Sicherheit und WebServices CORISECIO CORISECIO. Dr. Bruno Quint CORISECIO. BESEQURE gegründet 2002 in Darmstadt Germany Corporate Information Security Sicherheit und Webs Dr. Bruno Quint GmbH. Uhlandstr. 9. D-64297 Darmstadt. Germany. www.corisecio.com Company BESEQURE gegründet 2002 in Darmstadt Germany umbenannt 2007

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Toolunterstützte Validierung der Anforderungsabdeckung

Toolunterstützte Validierung der Anforderungsabdeckung Wir nehmen Kurs auf Ihren Erfolg Toolunterstützte Validierung der Anforderungsabdeckung Businessanalyse toolunterstützt DI Mag. Martin Lachkovics 1040 Wien, Operngasse 17-21 Agenda Die heikle Aufgabe der

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Funktionale Sicherheit ISO 26262 Schwerpunkt Requirements Engineering,

Funktionale Sicherheit ISO 26262 Schwerpunkt Requirements Engineering, Funktionale Sicherheit ISO 26262 Schwerpunkt Requirements Engineering, Manfred Broy Lehrstuhl für Software & Systems Engineering Technische Universität München Institut für Informatik ISO 26262 Functional

Mehr

Sicherheitsprofil SaaS-CRM

Sicherheitsprofil SaaS-CRM Sicherheitsprofil SaaS-CRM Dr. Clemens Doubrava Referat B22 Informationssicherheit und Digitalisierung Jahreskongress Trusted Cloud 2014 Strategische Aspekte des Cloud Computing CC-BY 2.0, Eugene Regis

Mehr

Employment and Salary Verification in the Internet (PA-PA-US)

Employment and Salary Verification in the Internet (PA-PA-US) Employment and Salary Verification in the Internet (PA-PA-US) HELP.PYUS Release 4.6C Employment and Salary Verification in the Internet (PA-PA-US SAP AG Copyright Copyright 2001 SAP AG. Alle Rechte vorbehalten.

Mehr

Vertrauenswürdiges Cloud Computing - ein Widerspruch? www.datenschutzzentrum.de. Die Verantwortlichkeit für Datenverarbeitung in der Cloud

Vertrauenswürdiges Cloud Computing - ein Widerspruch? www.datenschutzzentrum.de. Die Verantwortlichkeit für Datenverarbeitung in der Cloud Vertrauenswürdiges Cloud Computing - ein Widerspruch? Was ist Cloud Computing? Geltung des BDSG für Cloud Computing Inhaltsüberblick Die Verantwortlichkeit für Datenverarbeitung in der Cloud Auftragsdatenverarbeitung

Mehr

Standards für den Notfall ein Widerspruch? Der Business Continuity Standard BS25999-1:2006

Standards für den Notfall ein Widerspruch? Der Business Continuity Standard BS25999-1:2006 Standards für den Notfall ein Widerspruch? Der Business Continuity Standard BS25999-1:2006 Axept für Kunden und Partner AX After Hours Seminar ISACA Switzerland Chapter 29.5. V1.0_2006 Seite 1 Agenda Die

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

Methodische Entwicklung

Methodische Entwicklung Methodische Entwicklung sicherer CORBA-Anwendungen Jan Jürjens Software & Systems Engineering Informatik, TU München juerjens@in.tum.de http://www.jurjens.de/jan Jan Jürjens, TU München: Entwicklung sicherer

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Governance, Risk, Compliance (GRC) & SOA Identity Management. 14.02.2008 Sebastian Rohr, KCP sr@kuppingercole.de

Governance, Risk, Compliance (GRC) & SOA Identity Management. 14.02.2008 Sebastian Rohr, KCP sr@kuppingercole.de Governance, Risk, Compliance (GRC) & SOA Identity Management 14.02.2008 Sebastian Rohr, KCP sr@kuppingercole.de Agenda Management von Identitäten IAM, GRC was ist das? SOA wo ist der Bezug? Seite 2 Die

Mehr

Die fünf wichtigsten Maßnahmen für sicheres Cloud-Computing. Andreas Weiss Direktor EuroCloud Deutschland_eco e.v.

Die fünf wichtigsten Maßnahmen für sicheres Cloud-Computing. Andreas Weiss Direktor EuroCloud Deutschland_eco e.v. Die fünf wichtigsten Maßnahmen für sicheres Cloud-Computing Andreas Weiss Direktor EuroCloud Deutschland_eco e.v. Was ist Sicherheit? Wikipedia: Sicherheit (von lat. sēcūritās zurückgehend auf sēcūrus

Mehr

Security Audits. Ihre IT beim TÜV

Security Audits. Ihre IT beim TÜV Security Audits Ihre IT beim TÜV Thinking Objects GmbH Leistungsstark. Sicher. Nachhaltig. Gegründet 1994 inhabergeführt Hauptsitz Stuttgart Kompetenter IT-Dienstleister und Systemintegrator Schwerpunkte:

Mehr

EEX Kundeninformation 2007-09-05

EEX Kundeninformation 2007-09-05 EEX Eurex Release 10.0: Dokumentation Windows Server 2003 auf Workstations; Windows Server 2003 Service Pack 2: Information bezüglich Support Sehr geehrte Handelsteilnehmer, Im Rahmen von Eurex Release

Mehr

Safer Software Formale Methoden für ISO26262

Safer Software Formale Methoden für ISO26262 Safer Software Formale Methoden für ISO26262 Dr. Stefan Gulan COC Systems Engineering Functional Safety Entwicklung Was Wie Wie genau Anforderungen Design Produkt Seite 3 Entwicklung nach ISO26262 Funktionale

Mehr

Wolfgang Straßer. wolfgang.strasser@add-yet.de. @-yet GmbH Schloß Eicherhof D-42799 Leichlingen +49 (02175) 16 55 0 www.add-yet.de

Wolfgang Straßer. wolfgang.strasser@add-yet.de. @-yet GmbH Schloß Eicherhof D-42799 Leichlingen +49 (02175) 16 55 0 www.add-yet.de Business Security Management Wolfgang Straßer wolfgang.strasser@add-yet.de @-yet GmbH Schloß Eicherhof D-42799 Leichlingen +49 (02175) 16 55 0 These These: Ohne IT keine Wertschöpfung Ohne IT keine Innovation

Mehr

Digital Customer Experience Notwendiges Übel oder überlebenswichtige Notwendigkeit? Datalympics, 2. Juli 2014

Digital Customer Experience Notwendiges Übel oder überlebenswichtige Notwendigkeit? Datalympics, 2. Juli 2014 Digital Customer Experience Notwendiges Übel oder überlebenswichtige Notwendigkeit? Datalympics, 2. Juli 2014 Digitale Realität Die Welt verändert sich in rasantem Tempo Rom, Petersplatz, März 2013 Franziskus

Mehr

Markus BöhmB Account Technology Architect Microsoft Schweiz GmbH

Markus BöhmB Account Technology Architect Microsoft Schweiz GmbH Markus BöhmB Account Technology Architect Microsoft Schweiz GmbH What is a GEVER??? Office Strategy OXBA How we used SharePoint Geschäft Verwaltung Case Management Manage Dossiers Create and Manage Activities

Mehr

3A03 Security Löcher schnell und effizient schließen mit HP OpenView Radia

3A03 Security Löcher schnell und effizient schließen mit HP OpenView Radia 3A03 Security Löcher schnell und effizient schließen mit HP OpenView Radia Alexander Meisel HP OpenView 2004 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

Frühzeitige modellbasierte Risikoanalyse für mobile, verteilte Anwendungen

Frühzeitige modellbasierte Risikoanalyse für mobile, verteilte Anwendungen Frühzeitige modellbasierte Risikoanalyse für mobile, verteilte Anwendungen Christian Wessel 1 Thorsten Humberg 2 Sven Wenzel 1 Jan Jürjens 1 1 Technische Universität Dortmund, 44227 Dortmund 2 Fraunhofer-Institut

Mehr

RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution

RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution Dr. Johannes Juranek, Partner bei CMS Reich-Rohrwig Hainz Rechtsanwälte GmbH Ebendorferstraße 3, 1010 Wien WS 2011 1.

Mehr

BalaBit Shell Control Box Kontrolle und Monitoring privilegierter IT-Benutzer

BalaBit Shell Control Box Kontrolle und Monitoring privilegierter IT-Benutzer BalaBit Shell Control Box Kontrolle und Monitoring privilegierter IT-Benutzer terractive Security Breakfast Hotel Victoria, Basel 13.06.2013 Martin Grauel martin.grauel@balabit.com BalaBit IT Security

Mehr

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

Algorithms for graph visualization

Algorithms for graph visualization Algorithms for graph visualization Project - Orthogonal Grid Layout with Small Area W INTER SEMESTER 2013/2014 Martin No llenburg KIT Universita t des Landes Baden-Wu rttemberg und nationales Forschungszentrum

Mehr

GRC-Suite i RIS Eine intelligente Lösung

GRC-Suite i RIS Eine intelligente Lösung GRC-Suite i RIS GRC-Suite i RIS Eine intelligente Lösung Die Software GRC-Suite i RIS (intelligent Reports, Informations and Solutions) unterstützt Sie effektiv und effizient in Ihrem Governance-, Risk-

Mehr

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung

Mehr

Cloud! dotnet Usergroup Berlin. Sein oder nicht sein!?! Robert Eichenseer robert.eichenseer@conplement.de

Cloud! dotnet Usergroup Berlin. Sein oder nicht sein!?! Robert Eichenseer robert.eichenseer@conplement.de dotnet Usergroup Berlin Cloud! Sein oder nicht sein!?! Robert Eichenseer robert.eichenseer@conplement.de conplement AG Südwestpark 92 90449 Nürnberg http://www.conplement.de/roberteichenseer.html 1 conplement

Mehr

Prozesse als strategischer Treiber einer SOA - Ein Bericht aus der Praxis

Prozesse als strategischer Treiber einer SOA - Ein Bericht aus der Praxis E-Gov Fokus Geschäftsprozesse und SOA 31. August 2007 Prozesse als strategischer Treiber einer SOA - Ein Bericht aus der Praxis Der Vortrag zeigt anhand von Fallbeispielen auf, wie sich SOA durch die Kombination

Mehr