Modell-basiertes IT-Sicherheits- und Compliance-Management Jan Jürjens
|
|
- Walter Busch
- vor 8 Jahren
- Abrufe
Transkript
1 Modell-basiertes IT-Sicherheits- und Compliance-Management Jan Jürjens TU Dortmund und Fraunhofer ISST
2 IT-Sicherheit und Compliance Steigende Anforderungen für Unternehmen, die Konformität mit übergeordneten Regulierungswerken zu demonstrieren: Ab 2013 müssen Versicherungen in der EU Solvency-II erfüllen => Mindestanforderungen an Risikomanagement, insbes. operationale Risken und IT-Sicherheitsrisken (MaRisk VA) Ähnlich im Banken-Bereich: Basel III (bis 2018), MaRisk BA Branchenunabhängig: Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KontraG); US: Sarbanes-Oxley Aufwendige und kostenintensive manuelle Arbeit. Derzeitige IT-Sicherheits-Bewertungsmethoden sind dafür nicht ausreichend. 1 1 S. Taubenberger, J. Jürjens: Durchführung von IT-Risikobewertungen und die Nutzung von Sicherheitsanforderungen in der Praxis. Studie, Fraunhofer ISST 2011 und DACH security 2011 Einführung Ansatz Vorgehen Werkzeug Evolution Schluss 2
3 Anwendungsgebiet: Clouds Einführung Ansatz Vorgehen Werkzeug Evolution Schluss 3
4 IT-Sicherheits- und Compliance-Management Ziele: Bessere Überprüfbarkeit und Nachvollziehbarkeit von Sicherheits- und Compliance-relevanten Aktivitäten. Kostenersparnis für betroffene Unternehmen durch Werkzeugunterstützung und Konvergenz / Integration von vorhandenen Aktivitäten. Idee: Entwicklung von automatischen Werkzeugen, die das Management von Sicherheits- und Compliance-Anforderungen auf Basis von vorhandenen Artefakten unterstützen. Insbesondere automatisierte IT-Sicherheits- und Risiko- Compliance-Report Analysen auf der Basis von Textdokumenten, Schnittstellen- Spezifikationen, Geschäftsprozess-Modellen, Log-Daten und anderen Datenquellen. Insbesondere auch Anwendung auf den Einsatz von Cloud-Computing. Compliant: NEIN Verstöße: - MaRISK VA 7.2: Einhaltung von BSI G3.1 nicht erfüllt Maßnahmen: - BSI Maßnahmenkatalog M 2.62 Einführung Ansatz Vorgehen Werkzeug Evolution Schluss 4
5 Modell-basiertes Sicherheits-/Compliance-Management Anforderungen Code-/ Testgen. Modelle Analysieren Reverse Engin. Implementierung Generieren Verifizieren Ausführen Evolution Konfiguration Einfügen Konfigurieren Laufzeitsystem Einführung Ansatz Vorgehen Werkzeug Evolution Schluss 5
6 Modellierung mit UMLsec Ziel: Dokumentation und automatische Analyse von sicherheits-relevanten Informationen (z.b. Sicherheits-Eigenschaften und -Anforderungen) als Teil der Systemspezifikation. Idee: UML für System-Modellierung. Sicherheitsinformationen als Markierungen (Stereotypen) einfügen, mithilfe der UML-Erweiterung UMLsec. Automatische Verifikation der Modelle gegen die Sicherheitsanforderungen auf Basis von formaler Semantik. Jan Jürjens: Secure systems development with UML. Springer Chines. Übers Einführung Ansatz Vorgehen Werkzeug Evolution Schluss 6
7 Vorgehen (1): Von Compliance nach IT-Sicherheit MaRisk VA Geschäftsprozess 7.2 (2) Materiell bedeutsame Einzelentscheidungen und Anweisungen von Führungsebenen unterhalb der Geschäftsleitung, die gegen die innerbetrieblichen Leitlinien verstoßen, sind schriftlich zu begründen, zu dokumentieren und der Geschäftsleitung zur Kenntnis vorzulegen. Unterschrift durch Sachbearbeiter Dokumentation über Begründung für eigene Unterschrift schreiben Unterschrift durch Unterschriftsberechtigten Rechtsgültiger Vertrag liegt vor Werkzeug-Repository: formalisierte Compliance-Anforderungen Dann: Begründung für Unterschrift dokumentieren d:unterschrift d:aushändigung Wenn: Ausnahme von innerbetrieblicher Leitlinie Aushändigung des Vertrags Einführung Ansatz Vorgehen Werkzeug Evolution Schluss 7
8 Vorgehen (2): Berücksichtigung von Sicherheitsstandards Werkzeuggestützte Annotation von GP-Modellen mit Risiken anhand des BSI-Grundschutzkataloges: Einführung Ansatz Vorgehen Werkzeug Evolution Schluss 8
9 Vorgehen (3): Modell-basierte Sicherheits-Analyse Strukturanalyse eines Geschäftsprozesses auf Basis von Compliance- Mustern Beispiel: Für jedes Auftreten eines Vertragsabschlusses wird 4-Augen-Prinzip überprüft. Einführung Ansatz Vorgehen Werkzeug Evolution Schluss 9
10 Vorgehen (4): Log-Daten-basierte Sicherheits-Analyse Beispiel: Überprüfung des 4-Augen-Prinzips anhand folgender Informationen: Request Ids stimmen überein Owner sind verschieden Auftrag wurde zum selben Zeitpunkt freigegeben Einführung Ansatz Vorgehen Werkzeug Evolution Schluss 10
11 Werkzeugunterstützung (s. Development Leader: Dr. Sven Wenzel. Senior Developers: Daniel Warzecha. Further developers and contributors: Benjamin Berghoff, Jens Bürger, Lidiya Kaltchev, Johannes Kowald, Kubi Mensah, Marcel Michel, Klaus Rudack Einführung Ansatz Vorgehen Werkzeug Evolution Schluss 11
12 Werkzeugunterstützung: Workflow Einführung Ansatz Vorgehen Werkzeug Evolution Schluss 12
13 Aktuelles Forschungsthema: Sicherheitsanforderungen vs. System-Evolution Sicherer Informationsfluss in einer web-basierten e-commerce- Kundenanwendung: Unsicher, weil der Rückgabe-Wert der öffentlichen Methode rx() von dem vertraulichen Attribut money abhängt. Nicht-trivialer Verifikationsaufwand für Modelle realistischer Größe. Systeme sind kontinuierlicher Evolution unterworfen. Prohibitiv aufwendig, das System komplett zu re-verifizieren, aber Sicherheit ist im Allgemeinen eine Einführung Ansatz Vorgehen Werkzeug Evolution Schluss 13
14 Sicherheitsanforderungen vs. System-Evolution: Lösungsansatz (1) 1) Formalisierung der Modellausführung. Beobachtung: Aktueller Zustand charakterisiert durch Folge t der bereits ausgeführten Transitionen und erhaltener Methodenargumente. Für nächste Statechart-Transition t 1 =(source,msg(input),cond,action,target) und Methodenargument inp definiere Formel Exec(t,t 1,inp)= [ state(t)=source receive(t)=msg(inp) cond(t.t 1 (inp))=true action state(t.t 1 (inp))=target ]. (formalisiert die Ausführung der Transition t 1 im Zustand t bei erhaltenen Methodenargumenten inp). Beispiel: Transition [money=>1000] Exec(t,t 1,inp)= [state(t)=noextraservice receive(t)=wm(inp) money(t)>=1000 money(t.t 1 )=money(t)+inp state(t.t 1 (inp))=extraservice]. Einführung Ansatz Vorgehen Werkzeug Evolution Schluss 14
15 Sicherheitsanforderungen vs. System-Evolution: Lösungsansatz (2) 2 Wenn zwei Systemzustände t, sich nur in den Werten der vertraulichen Attributen unterscheiden, darf ihr öffentlich beobachtbares Verhalten sich nicht unterscheiden: t pub t.t 1 (inp) pub 1 inp) (wobei t.t 1 pub 1 falls Exec(t,t 1,inp) att=wert genau dann wenn Exec 1 att=wert für jedes öffentliches Attribut oder Rückgabewert att). Beispiel: wm(0) pub wm(1000) aber nicht: wm(0).rx() pub wm(1000).rx() Einführung Ansatz Vorgehen Werkzeug Evolution Schluss 15
16 Sicherheitsanforderungen vs. System-Evolution: Lösungsansatz (3) 3) Im Fall einer Evolution (= Modelltransformation) M nur noch die Systemzustände t, betrachten, für die: t pub t.t 1 (inp) pub 2 (inp) => Brauche nur die Teile re-verifizieren, die sich geändert haben. Ermittle diese durch Berechnung der Modell-Differenzen! Beispiel: wm(0).rx() pub wm(1000).rx() Einführung Ansatz Vorgehen Werkzeug Evolution Schluss 16
17 System-Evolution: Werkzeugunterstützung Umsetzung der Evolutions- Analyse im Werkzeugprozess Resultierender Performanzgewinn M. Ochoa, J. Jürjens, D. Warzecha: A Sound Decision Procedure for the Compositionality of Secrecy, 4th International Symposium on Engineering Secure Software and Systems (ESSOS 2012), Springer, LNCS, F. Massacci, J. Jürjens, S. Wenzel et al.: Orchestrating Security and System Engineering for Evolving Systems (Invited paper). 4th European Conference ServiceWave 2011, LNCS, Springer Einführung Ansatz Vorgehen Werkzeug Evolution Schluss 17
18 Anwendung: Mobile Kommunikation bei O 2 UMLsec-basierte Sicherheitsanalyse der Regulierungen für den Einsatz mobiler Endgeräte bei O 2 (Germany) 62 Sicherheitsanforderungen aus Security Policy extrahiert. 21 Geschäftsprozess-relevante Anforderungen in 8 Aktivitätsdiagrammen modelliert mithilfe der UMLsec-Stereotypen <<fair exchange>> and <<provable>> 10 Datensicherheits-Anforderungen (Vertraulichkeit, Integrität) in Deployment-Diagramm modelliert. 3 Anforderungen bzgl. Rollenbasierter Zugangskontrolle (RBAC) modelliert 15 Anforderungen bzgl. Sicherheit der Netzwerkdienste, und Einsatz von Firewalls und Antivirensoftware modelliert (mithilfe weiterer Erweiterung von UMLsec) 13 Anforderungen konnten nicht direkt in UMLsec modelliert werden J. Jürjens, J. Schreck, P. Bartmann Model-based security analysis for mobile communications. 30 th International Conference on Software engineering (ICSE '08). ACM Einführung Ansatz Vorgehen Werkzeug Evolution Schluss 18
19 Anwendungsbeispiel: Internes Informationssystem MetaSearch Engine: Personalisierte Suche im Firmen- Intranet von BMW (passwort-geschützt). Einige Dokumente sehr sicherheitskritisch. Über potentielle Benutzer, Dokumente, Anfragen pro Tag. Nahtlos in unternehmensweite Sicherheitsarchitektur integriert. Bietet Sicherheitsdienste für Anwen-dungen (Benutzerauthentisierung, rollenbasierte Zugangskontrolle, globales Single-Sign-On), Ansatzpunkte für weitere Sicherheitsdienste. Erfolgreich mit UMLsec analysiert. [ICSE 07]
20 Weitere Anwendungen Gesundheitskarte: Architektur mit UMLsec untersucht, Schwachstellen aufgedeckt [Jour. Meth. Inform. Medicine 08] Internes Informationssystem [ICSE 07] Digitaler Formularschrank [SAFECOMP 03] Common Electronic Purse Specifications (Globaler Standard für elektr. Geldbörsen): mehrere Schwachstellen aufgedeckt [IFIPSEC 01, ASE 01] Biometrische Authentisierungssysteme: mehrere Schwachstellen aufgedeckt [ACSAC 05, Models 09] Gesundheitsinformationssysteme [Caise 09] Return-on-Security Investment Abschätzung Analyse Digitale-Signatur-Architektur IT-Sicherheits-Risikomodellierung Smart-card Software-Update Plattform Aktuell: Cloud-Anwender Sicherheitsanalyse Geplant: Cloud-Anbieter Sicherheitsanalyse Sicherheitsökonomische Analysen Einführung Ansatz Vorgehen Werkzeug Evolution Schluss 20
21 Modell-basierte Sicherheit: Überblick über das Forschungsfeld (Auswahl) 1999: A Language for Modeling Secure Business Transactions (Röhm, Herrmann, Pernul) 2001: UMLsec: UML profile for security modelling (Jürjens) Model-based security testing with AutoFocus (Wimmel, Jürjens) 2002: Secure UML: Modelling RBAC with UML (Basin et al.) Hypermedia security modeling with Ariadne (Aedo, Diaz et al.) Aspect-oriented Security Modelling (France et al.) Model-based IT security risk assessment (Stølen et al.) Interactive theorem proving of UML models for security (Haneberg, Reif et al.) 2003: Formal verification for UML models of access control (Koch, Parisi-Presicce) 2004: Automated verification tools for UMLsec (Shabalin et al.) Actor-centric modeling of user rights with UML (Breu et al.) Extending OCL for secure database development (Fernández-Medina et al.) 2005: UMLsec Buch (Jürjens) 2007: Security monitors for UML policy models (Massacci et al.) 2008: Executable misuse cases for security concerns (Whittle et al.) Business Process Compliance Checking (El Kharbili, de Medeiros, Stein, van der Aalst) 2009: Model-based security vs performance evaluation (Woodside et al.) UMLsec Buch: Übersetzung ins Chinesische (Jürjens) 2010: Supporting Compliance through Enhancing Internal Control Systems by Conceptual Business Process Security Modeling (Riesner, Pernul) From requirements to UMLsec models (Houmb et al.; Islam et al.; Mouratidis et al.) Security monitoring for UMLsec models (Bauer et al.; Pironti et al.) Einführung Ansatz Vorgehen Werkzeug Evolution Schluss 21
22 Zusammenfassung: Modell-basiertes IT-Sicherheits- und Compliance-Management Problem: Steigende Anforderungen für Unternehmen, die Konformität mit übergeordneten Regulierungswerken zu demonstrieren. Ziele: Verbesserung der Verlässlichkeit und Nachvollziehbarkeit von Aktivitäten im IT-Sicherheits- und Compliance-Management sowie Kostenersparnis Idee: Entwicklung von automatischen Werkzeugen, die das Management von Sicherheits- und Compliance-Anforderungen auf Basis von vorhandenen Artefakten unterstützen. Automatisierte IT-Sicherheits- und Risiko-Analysen auf der Basis von Textdokumenten, Schnittstellen-Spezifikationen, Geschäftsprozess-Modellen, Log-Daten und anderen Datenquellen. Ergebnisse: Erfolgreiche Validierung in mehreren industriellen Anwendungsprojekten. Aktuelle Arbeiten: Anwendung auf den Einsatz von Cloud-Computing (Projekte SecureClouds, ClouDAT) Berücksichtigung ökonomischer Aspekte (Projekt Seconomics) Compliance-Report Compliant: NEIN Verstöße: - MaRISK VA 7.2: Einhaltung von BSI G3.1 nicht erfüllt Maßnahmen: - BSI Maßnahmenkatalog M 2.62 Einführung Ansatz Vorgehen Werkzeug Evolution Schluss 22
Den Nebel lichten: Von Compliance-Regularien zu testbaren Sicherheitsanforderungen Prof. Dr. Jan Jürjens
Den Nebel lichten: Von Compliance-Regularien zu testbaren Sicherheitsanforderungen Prof. Dr. Jan Jürjens TU Dortmund und Fraunhofer ISST Herausforderung: Compliance Steigende Anforderungen für Unternehmen,
MehrWerkzeuggestützte Identifikation von IT-Sicherheitsrisiken in Geschäftsprozessmodellen
Werkzeuggestützte Identifikation von IT-Sicherheitsrisiken in Geschäftsprozessmodellen Marc Peschke (Softlution) Martin Hirsch (FH Dortmund) Jan Jürjens (Fraunhofer ISST und TU Dortmund) Stephan Braun
MehrGeschäftsprozess-basiertes Compliance-Management Jan Jürjens
Geschäftsprozess-basiertes Compliance-Management Jan Jürjens TU Dortmund und Fraunhofer ISST Herausforderung: Compliance Steigende Anforderungen für Unternehmen, die Konformität mit übergeordneten Regulierungswerken
MehrSicherheit und Compliance für IT-gestützte Prozesse
Sicherheit und Compliance für IT-gestützte Prozesse Jan Jürjens, TU Dortmund und Fraunhofer ISST TU Dortmund, Fak. Informatik: Round-Table, 14. Dezember 2010 Sicherheit und Compliance für IT-gestützte
MehrEvolution vs. semantische Konsistenz
Evolution vs. semantische Konsistenz Workshop des GI-AK Traceability, Dortmund J. Jürjens Das Forschungsprojekt ClouDAT (Förderkennzeichen 300267102) wird/wurde durch das Land NRW und Europäischen Fonds
MehrSicherheit und Compliance in der Cloud
Sicherheit und Compliance in der Cloud Prof. Dr. Jan Jürjens TU Dortmund Das Forschungsprojekt ClouDAT (Förderkennzeichen 300267102) wird/wurde durch das Land NRW und Europäischen Fonds für regionale Entwicklung
MehrZertifizierung für sichere Cyber-Physikalische Systeme
Zertifizierung für sichere Cyber-Physikalische Systeme Prof. Dr. Jan Jürjens Fraunhofer Institut für Software- und Systemtechnik ISST, Dortmund http://www.isst.fraunhofer.de http://jan.jurjens.de Steigende
MehrModellbasiertes Sicherheits- und Compliance-Management
Modellbasiertes Sicherheits- und Compliance-Management Prof. Dr. Jan Jürjens Fraunhofer-Attract-Gruppe Apex Fraunhofer-Institut für Software- und Systemtechnik ISST, Dortmund http://www.isst.fraunhofer.de/de/geschaeftsfelder/it-compliance-fuer-die-industrie.html
MehrIT-Architekturen für auditierbare Geschäftsprozessanwendungen (Eingeladener Vortrag)
IT-Architekturen für auditierbare Geschäftsprozessanwendungen (Eingeladener Vortrag) Fraunhofer-Symposium "Netzwert" 2013 J. Jürjens Das Forschungsprojekt ClouDAT (Förderkennzeichen 300267102) wird/wurde
MehrSiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)
Unternehmen: Branche: Ansprechpartner: Position: Straße: PLZ / Ort: Tel.: Mail: Website: Kontaktdaten Datenschutzbeauftragter: Fax: Sicherheitspolitik des Unternehmens JA NEIN 01. Besteht eine verbindliche
MehrInformationswirtschaft II Rational Unified Process (RUP)
Informationswirtschaft II Rational Unified Process (RUP) Wolfgang H. Janko, Michael Hahsler und Stefan Koch Inhalt Historische Entwicklung Kennzeichen von RUP Lebenszyklus und Phasen Arbeitsabläufe Das
MehrInformationswirtschaft II
Rational Unified Process (RUP) Informationswirtschaft II Wolfgang H. Janko, Michael Hahsler und Stefan Koch Seite 1 Inhalt Historische Entwicklung Kennzeichen von RUP Lebenszyklus und Phasen Arbeitsabläufe
MehrÄnderungen ISO 27001: 2013
Änderungen ISO 27001: 2013 Loomans & Matz AG August-Horch-Str. 6a, 55129 Mainz Deutschland Tel. +496131-3277 877; www.loomans-matz.de, info@loomans-matz.de Die neue Version ist seit Oktober 2013 verfügbar
MehrWozu Identitäts- und Berechtigungsmanagement? Alle Wege führen zum IAM.
Wozu Identitäts- und Berechtigungsmanagement? Alle Wege führen zum IAM. 4. IT-Grundschutz-Tag 2014, Nürnberg Bundesamt für Sicherheit in der Informationstechnik ism Secu-Sys AG Gerd Rossa, CEO ism Secu-Sys
MehrModellbasiertes Sicherheits-Testen für Cloud-basierte Prozesse
Modellbasiertes Sicherheits-Testen für Cloud-basierte Prozesse Prof. Dr. Jan Jürjens Fraunhofer Institut für Software- und Systemtechnik ISST, Dortmund http://www.isst.fraunhofer.de http://jan.jurjens.de
MehrVertraulich. Nachname: Vorname: Matrikel-Nummer: Studiengang: Datum: 30. Januar 2015
Information Security Management System Klausur Wintersemester 2014/15 Hochschule Albstadt-Sigmaringen Nachname: Vorname: Matrikel-Nummer: Studiengang: Vertraulich Datum: 30. Januar 2015 Bitte lesen Sie
MehrKeine Kompromisse. Optimaler Schutz für Desktops und Laptops CLIENT SECURITY
Keine Kompromisse Optimaler Schutz für Desktops und Laptops CLIENT SECURITY Aktuelle Software ist der Schlüssel zur Sicherheit 83 % [1] der Top-Ten-Malware hätten mit aktueller Software vermieden werden
MehrIDV Assessment- und Migration Factory für Banken und Versicherungen
IDV Assessment- und Migration Factory für Banken und Versicherungen Erfassung, Analyse und Migration von Excel- und AccessAnwendungen als User-Selfservice. Sind Ihre Excel- und Access- Anwendungen ein
MehrRisikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014
Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014 Risikomanagement Eine Einführung Risikomanagement ist nach der Norm ISO 31000 eine identifiziert, analysiert
MehrAgile Vorgehensmodelle in der Softwareentwicklung: Scrum
C A R L V O N O S S I E T Z K Y Agile Vorgehensmodelle in der Softwareentwicklung: Scrum Johannes Diemke Vortrag im Rahmen der Projektgruppe Oldenburger Robot Soccer Team im Wintersemester 2009/2010 Was
MehrRequirements Management mit RequisitePro. Rational in der IBM Software Group. Der Rational Unified Process als Basis für die Projektarbeit
IBM Software Group IBM Rational mit RequisitePro Hubert Biskup hubert.biskup@de.ibm.com Agenda Rational in der IBM Software Group Der Rational Unified Process als Basis für die Projektarbeit mit Rational
MehrCeBIT 17.03.2015. CARMAO GmbH 2014 1
CeBIT 17.03.2015 CARMAO GmbH 2014 1 HERZLICH WILLKOMMEN Applikationssicherheit beginnt lange bevor auch nur eine Zeile Code geschrieben wurde Ulrich Heun Geschäftsführender Gesellschafter der CARMAO GmbH
MehrZugriff auf Unternehmensdaten über Mobilgeräte
1 Mobility meets IT Service Management 26. April 2012 in Frankfurt Zugriff auf Unternehmensdaten über Mobilgeräte Notwendigkeit und Risiken Ergebnisse einer europaweiten Anwenderstudie Norbert Pongratz,
MehrProzessorientierte Biobank- Modellierung
Prozessorientierte Biobank- Modellierung Die Basis für die datenschutzrechtliche Auditierung Ralph Herkenhöner Institut für Informatik Christian-Albrechts-Universität zu Kiel Übersicht Biobank? Auditierung
MehrLebendige Sicherheit: Entwicklung von Secure Software im dynamischen Umfeld
Lebendige Sicherheit: Entwicklung von Secure Software im dynamischen Umfeld Prof. Dr. Ruth Breu Quality Engineering Laura Bassi LaB Institut für Informatik Universität Innsbruck Quality Engineering Projekte
MehrGeschäftsprozesse in die Cloud - aber sicher! (... und compliant) Prof. Dr. Jan Jürjens
Geschäftsprozesse in die Cloud - aber sicher! (... und compliant) Prof. Dr. Jan Jürjens TU Dortmund Das Forschungsprojekt ClouDAT (Förderkennzeichen 300267102) wird/wurde durch das Land NRW und Europäischen
MehrRisiken auf Prozessebene
Risiken auf Prozessebene Ein Neuer Ansatz Armin Hepe Credit Suisse AG - IT Strategy Enabeling, Practices & Tools armin.hepe@credit-suisse.com Persönliche Vorstellung, kurz 1 Angestellter bei Credit Suisse
MehrArchitekturplanung und IS-Portfolio-
Architekturplanung und IS-Portfolio- management Gliederung 1.Einführung 2.Architekturplanung 3.IS-Portfoliomanagement 4.AP und IS-PM 5.Fazit 2 1. Einführung Problem: Verschiedene Software im Unternehmen
MehrHerausforderungen des Enterprise Endpoint Managements
Herausforderungen des Enterprise Endpoint Managements PPPvorlage_sxUKMvo-05.00.potx santix AG Mies-van-der-Rohe-Straße 4 80807 München www.santix.de santix AG Herausforderungen 09.10.2013 Herausforderungen
MehrBausteine eines Prozessmodells für Security-Engineering
Bausteine eines Prozessmodells für Security-Engineering Ruth Breu Universität Innsbruck M. Breu Mai-03/1 Motivation Entwicklung einer Methode zum systematischen Entwurf zugriffssicherer Systeme Integration
MehrIT-Revision als Chance für das IT- Management
IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT
MehrRechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.
NetworkedAssets GmbH Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. Dezember 2006 Rechtliche Aspekte Administration Gliederung Praktische
MehrG+H SoftwareSolutions Oktober 2012. Software zur unternehmensweiten Identitäts- und Berechtigungsüberprüfung
Oktober 2012 Software zur unternehmensweiten Identitäts- und Berechtigungsüberprüfung Welchen Herausforderungen steht ein Unternehmen häufig gegenüber? Wie kann daccord Ihnen dabei eine Lösung bieten?
MehrPCC Outlook Integration Installationsleitfaden
PCC Outlook Integration Installationsleitfaden Kjell Guntermann, bdf solutions gmbh PCC Outlook Integration... 3 1. Einführung... 3 2. Installationsvorraussetzung... 3 3. Outlook Integration... 3 3.1.
MehrSERVICE SUCHE ZUR UNTERSTÜTZUNG
SERVICE SUCHE ZUR UNTERSTÜTZUNG VON ANFORDERUNGSERMITTLUNG IM ERP BEREICH MARKUS NÖBAUER NORBERT SEYFF ERP SYSTEME Begriffsbestimmung: Enterprise Resource Planning / Business Management Solution Integrierte
MehrSoftware Engineering für kritische Systeme Jan Jürjens
Software Engineering für kritische Systeme http://jan.jurjens.de Wer bin ich? Ab 09/2009: Professor für Angewandte Informatik (insb. Software Engineering) an der TU Dortmund Wissenschaftskoordinator Enterprise
MehrChili for Sharepoint
Sitecore Chili for Sharepoint Presented by: Sven Lehmkuhl Director Sales DACH SLE@sitecore.net Über Sitecore Führender Anbieter von Enterprise.NET Web Content Management und Portal Software Globale Präsenz
MehrDer beste Plan für Office 365 Archivierung.
Der beste Plan für Office 365 Archivierung. Der Einsatz einer externen Archivierungslösung wie Retain bietet Office 365 Kunden unabhängig vom Lizenzierungsplan viele Vorteile. Einsatzszenarien von Retain:
MehrSicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden
MehrProzessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am 14.08.08
Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements von Stephanie Wilke am 14.08.08 Überblick Einleitung Was ist ITIL? Gegenüberstellung der Prozesse Neuer
MehrDr. Klaus Körmeier BlueBridge Technologies AG
Dr. Klaus Körmeier BlueBridge Technologies AG Agenda Was ist ein SharePoint Wiki Anwendungsbeispiele und Erweiterungen Was ist beim Einsatz zu beachten Zusammenfassung Partner Partner BlueBridge AG SharePoint-Erfahrung
MehrInformations- / IT-Sicherheit - Warum eigentlich?
Informations- / IT-Sicherheit - Warum eigentlich? Hagen, 20.10.2015 Uwe Franz Account Manager procilon IT-Solutions GmbH Niederlassung Nord-West Londoner Bogen 4 44269 Dortmund Mobil: +49 173 6893 297
MehrSecurity of Internet Payments
Die Recommendations for the Security of Internet Payments Informationsveranstaltung: IT-Aufsicht bei Banken 29. Oktober 2013 Dr. Markus Held, BA 58 Überblick Einleitung - Worum geht es? European Forum
MehrGrundlagen Software Engineering
Grundlagen Software Engineering Rational Unified Process () GSE: Prof. Dr. Liggesmeyer, 1 Rational Unified Process () Software Entwicklungsprozess Anpassbares und erweiterbares Grundgerüst Sprache der
MehrProbeklausur. Lenz Belzner. January 26, 2015. Lenz Belzner Probeklausur January 26, 2015 1 / 16
Probeklausur Lenz Belzner January 26, 2015 Lenz Belzner Probeklausur January 26, 2015 1 / 16 Definieren Sie Software Engineering in Abgrenzung zu Individual Programming. Ingenieursdisziplin professionelle
MehrWir erledigen alles sofort. Warum Qualität, Risikomanagement, Gebrauchstauglichkeit und Dokumentation nach jeder Iteration fertig sind.
Wir erledigen alles sofort Warum Qualität, Risikomanagement, Gebrauchstauglichkeit und Dokumentation nach jeder Iteration fertig sind. agilecoach.de Marc Bless Agiler Coach agilecoach.de Frage Wer hat
MehrIT-Sicherheitsmanagement bei der Landeshauptstadt München
IT-Sicherheitsmanagement bei der Landeshauptstadt München 7. Bayerisches Anwenderforum egovernment Schloss Nymphenburg, München 9. Juni 2015 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung
MehrModernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central
Modernes Vulnerability Management Christoph Brecht Managing Director EMEA Central Definition Vulnerability Management ist ein Prozess, welcher IT Infrastrukturen sicherer macht und Organisationen dabei
MehrComparing Software Factories and Software Product Lines
Comparing Software Factories and Software Product Lines Martin Kleine kleine.martin@gmx.de Betreuer: Andreas Wuebbeke Agenda Motivation Zentrale Konzepte Software Produktlinien Software Factories Vergleich
MehrRequirements Engineering für IT Systeme
Requirements Engineering für IT Systeme Warum Systemanforderungen mit Unternehmenszielen anfangen Holger Dexel Webinar, 24.06.2013 Agenda Anforderungsdefinitionen Von der Herausforderung zur Lösung - ein
Mehr[Customer Service by KCS.net] KEEPING CUSTOMERS SUCCESSFUL
[Customer Service by KCS.net] KEEPING CUSTOMERS SUCCESSFUL Was bedeutet Customer Service by KCS.net? Mit der Einführung von Microsoft Dynamics AX ist der erste wichtige Schritt für viele Unternehmen abgeschlossen.
MehrSystemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5
Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat
MehrMultichannel Challenge: Integration von Vertriebsorganisation und Contact Center in der Versicherung
Philip Michel CRM Project Manager 23 June 2011 Multichannel Challenge: Integration von Vertriebsorganisation und Contact Center in der Versicherung 2009 IBM Corporation Die Multichannel Challenge eines
MehrDaten haben wir reichlich! 25.04.14 The unbelievable Machine Company 1
Daten haben wir reichlich! 25.04.14 The unbelievable Machine Company 1 2.800.000.000.000.000.000.000 Bytes Daten im Jahr 2012* * Wenn jedes Byte einem Buchstaben entspricht und wir 1000 Buchstaben auf
MehrSeamless Model-based Engineering of a Reactive System
Seamless Model-based Engineering of a Reactive System Seminar im Wintersemester 2013/2014 Andreas Vogelsang, Sebastian Eder, Georg Hackenberg, Maximilian Junker http://www4.in.tum.de/lehre/seminare/ws1314/seamless/
Mehrb+m Informatik AG Langlebige und zukunftsfähige modellgetriebene Softwaresysteme? Thomas Stahl b+m Informatik AG 13.06.
Langlebige und zukunftsfähige modellgetriebene Softwaresysteme? Thomas Stahl 13.06.2012, KoSSE-Tag 1 1 b+m Business IT Management Geschäftsfelder Banken & Sparkassen Versicherungen Engineering Solutions
MehrWir organisieren Ihre Sicherheit
Wir organisieren Ihre Sicherheit Wir organisieren Ihre Sicherheit Unternehmen Die VICCON GmbH versteht sich seit 1999 als eigentümergeführtes und neutrales Unternehmen für Management- und Sicherheitsberatung.
MehrFoMSESS Position Statement
FoMSESS Position Statement Jan Jürjens Software & Systems Engineering Informatics, TU Munich Germany juerjens@in.tum.de http://www.jurjens.de/jan GI FoMSESS: Formale Methoden und Software Engineering Fundament
MehrITIL & IT-Sicherheit. Michael Storz CN8
ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung
MehrDirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen
Dirk Loomans, Micha-Klaus Müller Bedrohungs- und Schwachstellenanalysen Übersicht über die Arbeitshilfen risikoanalyse.doc Das Klammersymbol Checkliste zur Durchführung einer Risikoanalyse im Text verweist
MehrMedizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong
Medizintechnik und Informationstechnologie im Krankenhaus Dr. Andreas Zimolong DIN EN 80001-1:2011 Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten Teil 1: Aufgaben, Verantwortlichkeiten
MehrIT-Beratung: Vom Geschäftsprozess zur IT-Lösung
Ralf Heib Senior Vice-President Geschäftsleitung DACH IT-Beratung: Vom Geschäftsprozess zur IT-Lösung www.ids-scheer.com Wofür steht IDS Scheer? Wir machen unsere Kunden in ihrem Geschäft erfolgreicher.
MehrDie Telematikinfrastruktur als sichere Basis im Gesundheitswesen
Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen conhit Kongress 2014 Berlin, 06.Mai 2014 Session 3 Saal 3 Gesundheitsdaten und die NSA Haben Patienten in Deutschland ein Spionageproblem?
Mehr1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 Diese Frage kann und darf aus wettbewersrechtlichen Gründen die AGFS nicht beantworten. 24 F12 Siehe Chart Seite 43 F22 Grundsätzlich funktionieren
MehrSECURITY DESIGN PATTERN FÜR EHEALTH-PLATTFORMEN
Matthias Heyde / Fraunhofer FOKUS SECURITY DESIGN PATTERN FÜR EHEALTH-PLATTFORMEN Dr. Jörg Caumanns Fraunhofer FOKUS, Berlin BEISPIELE FÜR EHEALTH ARCHITEKTUREN Security Security Security c c c c c c S
MehrSTUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS
STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS Stefan Taubenberger und Prof. Jan Jürjens, 22. September 211 Ziele der Studie Konfirmative und explorative Studie mit folgenden Fragestellungen Welche Kriterien
MehrITSM-Lösungen als SaaS
6. im Bundespresseamt Briefing 1: Cloud Computing-Perspektiven für die Öffentliche Verwaltung ITSM-Lösungen als SaaS Martin Krause, INFORA GmbH IT Service Management IT Service Management fasst alle standardisierten
MehrEvaluation of Database Design and Reverse Engineering Tools for a Large Software System
Evaluation of Database Design and Reverse Engineering Tools for a Large Software System Anne Thomas TU Dresden Dr. B. Demuth Pre Press GmbH (Dresden) T. Reuter Gliederung Einleitung Vorgehensweise Kontext
MehrIT-Security Portfolio
IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH Übersicht IT-Security Technisch Prozesse Analysen Beratung Audits Compliance Bewertungen Support & Training
MehrEXZELLENTE MANAGEMENT- UNTERSTÜTZUNG AUF ZEIT
EXZELLENTE MANAGEMENT- UNTERSTÜTZUNG AUF ZEIT SIE SUCHEN WIR FINDEN Temporäre Verstärkung in Fach- und Managementpositionen Ob bei der Einführung neuer Prozesse, bei Wachstums- oder Sanierungsprojekten
MehrDokumentation für die Software-Wartung
7. Workshop Software-Reengineering Dokumentation für die Software-Wartung Stefan Opferkuch Universität Stuttgart Institut für Softwaretechnologie, Abteilung Software Engineering 4. Mai 2005 Übersicht Wie
MehrUmsetzung des OrViA-Frameworks mit ARIS
Umsetzung des OrViA-Frameworks mit ARIS Sebastian Stein sebastian.stein@ids-scheer.com IDS Scheer AG PROJEKTTRÄGER Agenda Motivation Kurzüberblick SOA Strukturierte Anforderungsanalyse mit ARIS Validierung
MehrDienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden
Dienstleistungen Externer Datenschutz Beschreibung der Leistungen, die von strauss esolutions erbracht werden Markus Strauss 14.11.2011 1 Dienstleistungen Externer Datenschutz Inhalt 1. Einleitung... 2
MehrIntegriertes Risikomanagement mit GAMP 5 Risiken effizient managen!
Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter
MehrNEWSLETTER. 2012-08 Rüstoptimierung & Traceability, mit Label Feeder. August 2012. Neu im Vertrieb: Traceability
TDC News August 2012 Neu im Vertrieb: (Software) dazu passende Label Feeder ALF 12 Software In 30 Sekunden vorrüsten 0% Fehler 100% Kontrolle Schnelles Vorrüsten auf den Feeder-Rüstwagen 0% Fehlerquote
MehrSafety Management Systeme in der Luftfahrt. Joel Hencks. AeroEx 2012 1 12/09/2012
Safety Management Systeme in der Luftfahrt Joel Hencks AeroEx 2012 1 Agenda Warum SMS? Definitionen Management System laut EASA SMS vs. CM SMS vs. Flugsicherheitsprogramme Schlüsselprozesse des SMS SMS
MehrSichere E-Mail Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere E-Mail. der
Sichere E-Mail der Nutzung von Zertifikaten / Schlüsseln zur sicheren Kommunikation per E-Mail mit der Sparkasse Germersheim-Kandel Inhalt: 1. Voraussetzungen... 2 2. Registrierungsprozess... 2 3. Empfang
MehrWie viel IT-Sicherheit braucht mein Unternehmen? Was ist IT-Sicherheit? Prozess Chefsache Management-Tool Notwendigkeit Warum IT-Sicherheit? Gesetze Rechtsverordnungen Kunden Öffentlichkeit Geschäftspartner
MehrDie Post hat eine Umfrage gemacht
Die Post hat eine Umfrage gemacht Bei der Umfrage ging es um das Thema: Inklusion Die Post hat Menschen mit Behinderung und Menschen ohne Behinderung gefragt: Wie zufrieden sie in dieser Gesellschaft sind.
MehrSicherheit auch für SAP
Sicherheit auch für SAP Sicherheit auch für SAP Wirtschaftsstraftäter Externe Regularien Maßnahmen und Konzepte in SAP Live-Hacking Sicherheit auch für SAP 2 Wirtschaftsstraftäter Sicherheit auch für SAP
MehrSicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller
MehrBüroWARE Exchange Synchronisation Grundlagen und Voraussetzungen
BüroWARE Exchange Synchronisation Grundlagen und Voraussetzungen Stand: 13.12.2010 Die BüroWARE SoftENGINE ist ab Version 5.42.000-060 in der Lage mit einem Microsoft Exchange Server ab Version 2007 SP1
MehrCad-OasEs Int. GmbH. 20 Jahre UG/NX Erfahrung prägen Methodik und Leistungen. Nutzen Sie dieses Wissen!
Cad-OasEs Int. GmbH 20 Jahre UG/NX Erfahrung prägen Methodik und Leistungen Nutzen Sie dieses Wissen! Roland Hofmann Geschäftsführer der Cad-OasEs Int. GmbH Die Cad-OasEs bietet seit mehr als 20 Jahren
MehrIT-Sicherheit / Smartcards und Verschlüsselung Kobil midentity Classic L 256MB ohne Sim Karte
IT-Sicherheit / Smartcards und Verschlüsselung Kobil midentity Classic L 256MB ohne Sim Karte Seite 1 / 7 Kobil midentity Classic L 256MB KOBIL midentity ist der weltweit erste Smartcard Terminal mit integriertem
MehrSkills-Management Investieren in Kompetenz
-Management Investieren in Kompetenz data assessment solutions Potenziale nutzen, Zukunftsfähigkeit sichern Seite 3 -Management erfolgreich einführen Seite 4 Fähigkeiten definieren und messen Seite 5 -Management
MehrLaufzeitverifikation
Laufzeitverifikation Martin Möser Seminar Fehlertolerante und Selbstheilende Systeme: Verifikation und Validierung autonomer Systeme Martin Möser - 1 Einführung / Motivation Autonome Systeme Komplexes
MehrDiplomarbeit. Konzeption und Implementierung einer automatisierten Testumgebung. Thomas Wehrspann. 10. Dezember 2008
Konzeption und Implementierung einer automatisierten Testumgebung, 10. Dezember 2008 1 Gliederung Einleitung Softwaretests Beispiel Konzeption Zusammenfassung 2 Einleitung Komplexität von Softwaresystemen
MehrMicrosoft SharePoint 2013 Designer
Microsoft SharePoint 2013 Designer Was ist SharePoint? SharePoint Designer 2013 Vorteile SharePoint Designer Funktionen.Net 4.0 Workflow Infrastruktur Integration von Stages Visuelle Designer Copy & Paste
MehrPensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione
Compliance-Reglement 1. Grundsätze und Ziele Compliance ist die Summe aller Strukturen und Prozesse, die sicherstellen, dass und ihre Vertreter/Vertreterinnen alle relevanten Gesetze, Vorschriften, Codes
MehrBPMN 2.0, SCOR und ISO 27001. oder anders gesagt. BPMN is sexy?
BPMN 2.0, SCOR und ISO 27001 oder anders gesagt. BPMN is sexy? Seite 1 SCOR (Supply-Chain Operations Reference-model) Das SCOR-Modell ist ein Prozess- Referenzmodell für die Unternehmens- und Branchenübergreifende
MehrNormerfüllung in der Praxis am Beispiel "Tool Qualification" Dr. Anne Kramer, sepp.med gmbh
Normerfüllung in der Praxis am Beispiel "Tool Qualification" Dr. Anne Kramer, sepp.med gmbh Über uns Mittelständischer IT-Service Provider 30 Jahre Industrieerfahrung Unsere Referenzen Medizintechnik Pharma
MehrPressekonferenz Cloud Monitor 2015
Pressekonferenz Cloud Monitor 2015 Achim Berg, BITKOM-Vizepräsident Peter Heidkamp, Partner KPMG Berlin, 6. März 2015 Definition und Ausprägungen von Cloud Computing Aus Nutzersicht Nutzung von IT-Leistungen
MehrAgile Software-Entwicklung im Kontext der EN50128 Wege zum Erfolg
Herzlich willkommen Agile Software-Entwicklung im Kontext der EN50128 Wege zum Erfolg Heike Bickert Software-/Systemingenieurin, Bereich Quality Management Braunschweig // 17.11.2015 1 Agenda ICS AG Fragestellungen
MehrDer Schutz von Patientendaten
Der Schutz von Patientendaten bei (vernetzten) Software-Medizinprodukten aus Herstellersicht 18.09.2014 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt Spezialisiert
MehrFree your work. Free your work. Wir wollen Ihnen die Freiheit geben, sich auf Ihr Geschäft zu konzentrieren.
Free your work. Free your work. Wir wollen Ihnen die Freiheit geben, sich auf Ihr Geschäft zu konzentrieren. 1 Automatische Verifikation von Anforderungen Dr. Guido Dischinger guido.dischinger@liantis.com
Mehrstatuscheck im Unternehmen
Studentische Beratungsgesellschaft für Sicherheitsangelegenheiten an der HWR Berlin statuscheck im Unternehmen Mit unserem statuscheck analysieren wir für Sie Schwachstellen, Risiken sowie Kosten und Nutzen
MehrMarkus Pister (Autor) Integration formaler Fehlereinflussanalyse in die Funktionsentwicklung bei der Automobilindustrie
Markus Pister (Autor) Integration formaler Fehlereinflussanalyse in die Funktionsentwicklung bei der Automobilindustrie https://cuvillier.de/de/shop/publications/1145 Copyright: Cuvillier Verlag, Inhaberin
MehrGESINE - Geschäftsprozess- Sicherheit für KMU in der Cloud
GESINE - Geschäftsprozess- Sicherheit für KMU in der Cloud Open Identity Summit 2013-09-09 2013-09-11 Kloster Banz, Germany Prof. Dr. Torsten Eymann, Universität Bayreuth Philipp Vogler, BF/M Bayreuth
MehrHerausforderungen der IT-Sicherheit aus rechtlicher Sicht
IT Trends Sicherheit Bochum 24. April 2013 Herausforderungen der IT-Sicherheit aus rechtlicher Sicht Prof. Dr. Georg Borges Lehrstuhl für Bürgerliches Recht, deutsches und internationales Wirtschaftsrecht,
Mehr