In dieser Kurseinheit soll die Grundlage für das Verständnis von Sicherheit in Web-basierten Anwendungen aufgebaut werden.

Größe: px
Ab Seite anzeigen:

Download "In dieser Kurseinheit soll die Grundlage für das Verständnis von Sicherheit in Web-basierten Anwendungen aufgebaut werden."

Transkript

1 In dieser Kurseinheit soll die Grundlage für das Verständnis von Sicherheit in Web-basierten Anwendungen aufgebaut werden. (1) Die Thematik wird anhand grundlegender Begriffe der Sicherheitsdomäne eingeführt. Weiterführende Themen werden an Hand eines sicherheitsorientierten Entwicklungsprozesses erläutert. (2) Die Erhebung von Sicherheitsanforderungen ist eine Grundlage, für korrekten Entwurf und Implementierung. In diesem Kapitel wird ein Verfahren zur Erhebung von Sicherheitsanforderungen vorgestellt. Zudem werden Werkzeuge zur Erhebung von Sicherheitsanforderungen auf Basis von Anwendungsfällen gezeigt. (3) Beim Entwurf einer sicheren Anwendung spielen Sicherheitsmuster eine zentrale Rolle. Sicherheitsmuster, die die Autorisation und Authentifizierung betreffen, werden eingeführt und ihr Zusammenhang erklärt. Zudem wird gezeigt, wie Sicherheitsmuster und die erhobenen Sicherheitsanforderungen und Schutzziele zusammenhängen. 1

2 Die Kurseinheit "Sicherheit" betrachtet die bisher präsentierten Kurseinheiten unter dem Aspekt der Sicherheit. Ziel der Lerneinheit soll es sein, ein Verständnis dafür zu entwickeln, wie sich der nichtfunktionale bzw. qualitätsorientierte Aspekt der Sicherheit in einem sicherheitsorientierten Entwicklungsprozess einbauen lässt, um eine möglichst weitgehend abgesicherte Web-Anwendung zu entwickeln. (5. SICHERHEIT) Eingeordnet ist die Sicherheitskurseinheit als Ergänzung zur Kurseinheit Komponenten im Bereich der Architekturen und der Entwicklung von Web-Anwendungen. Gezeigt wird, welche Sicherheitskonzepte einen Entwicklungsprozess ergänzen, so dass eine sichere Web-Anwendung entwickelt werden kann. Insbesondere wird Bezug genommen auf Sicherheitsmuster, die zur Absicherung von Komponenten eingesetzt werden können. 2

3 (1) Schon vor der automatisierten Informationsverarbeitung mittels Rechenmaschinen wurden Mittel zum Schutz von sensiblen Informationen genutzt, um diese vor Einsicht durch nicht-autorisierte Personen zu schützen. Seit dem Betrieb der ersten Mainframes, der Entwicklung des Personal Computers sowie der Entwicklung des Internets wuchsen die Herausforderungen bei der Sicherheitsgewährleistung von verarbeiteten Informationen. (2) Um Gefahren abzuwenden, werden Schutz- bzw. Sicherheitsmaßnahmen errichtet. Diese sind meist mehrschichtig, um alle Gefahren abzuwehren und einen größtmöglichen Schutz zu bieten. Während dies für beliebige Dinge der realen Welt gilt, können für Informationssysteme in Unternehmen physische, persönliche, operationelle, Kommunikations- und Netzwerksicherheit als Beispiele zu solchen Schichten gezählt werden [WM05: 8]. (3) Diese Definition umfasst die vorherigen Beispiele und betrachtet zusätzlich die Verwaltung von Informationssicherheit [WM05: 8]. (4) Die Realisierung von Informationssicherheit erweist sich nicht selten als komplexes Unterfangen, da viele Facetten berücksichtigt werden müssen. Zum einen sind vielfältige Sicherheitsmaßnahmen entstanden, deren Funktionsweise und Anwendungsbereich meist nur von Sicherheitsexperten verstanden werden. Zum anderen müssen alle Ebenen eines Informationssystems berücksichtigt werden. Dies beinhaltet neben der funktionalen Anwendungsschicht auch die darunter liegenden Ausführungsumgebungen und Netzwerke sowie die darüber liegenden Geschäftsprozesse und menschlichen Nutzen. Allerdings dürfen die Sicherheitsmaßnahmen die Benutzbarkeit der Informationssysteme nur nicht wesentlich beeinträchtigen. Auch diese Abwägung erschwert die Einführung von Sicherheitsmaßnahmen. (5) Trotz des Sicherheitsbedürfnisses kommt es häufig dazu, dass aufgrund der Komplexität der Sicherheitsdomäne, Sicherheit oft nur zweitrangig bei der Entwicklung von Informationssystemen betrachtet wird. Meist werden erst nach der erfolgreichen Umsetzung der geschäftlichen Funktionen Sicherheitsprobleme betrachtet und dann oft unzureichende Maßnahmen umgesetzt. [WM05] M. E. Whitman and H. J. Mattord: Principles of Information Security, 2nd ed. Boston: Thomson Course Technology, p. 576,

4 Der hier dargestellte Verlauf ist angelehnt an [FP07] (1-3) Sicherheit hat über die Jahre immer mehr an Relevanz zugenommen. Frühe Software-Systeme mussten nur lokal abgesichert werden, beispielsweise durch lokale Benutzer und geringfügige Absicherung der Daten unter den Benutzern. Mit der Vernetzung der Systeme stieg das Angriffsrisiko nur geringfügig, da die Anzahl der Benutzer und verbundenen Systeme sehr gering war. Erst mit der breiten Einführung von Computersystemen in Firmen und lokalen Software-Systemen auf den Mainframes der Firmen mussten neue Sicherheitslösungen entworfen werden. Daten wurden nicht mehr nur lokal gespeichert, sondern waren auch im Netzwerk für verschiedene Benutzer zugänglich. Hierfür mussten Benutzerverzeichnisse für eine Vielzahl an Benutzern entstehen. Zudem mussten Autorisations- und Zugriffskontrollkonzepte entwickelt werden, die mit den Benutzern von verschiedenen Computersystemen umgehen konnten. Allerdings waren die Benutzer noch bekannt und die Software- Systemen waren i. d. R. in einem isolierten Netzwerk verfügbar. (4) Durch die globale Vernetzung hat das Thema Sicherheit enorm an Relevanz zugenommen. Grund hierfür ist die uneingeschränkte Verfügbarkeit des Software-Systems für alle angeschlossenen Computersysteme. Somit haben auch Angreifer Zugriff auf die Systeme und können Sicherheitslücken ausnutzen. Durch die immer größer werdenden Datenmengen, die Benutzer auf Software-Systemen im Internet speichern, steigt auch das Interesse von Angreifern, auf diese Daten zuzugreifen. Da auch immer mehr sensible Daten gespeichert werden, steigt neben der Attraktivität für Angreifer, auch die Auswirkung bei unbefugtem Zugriff auf Daten. Des Weiteren verändern sich auch die Anforderungen an die Sicherheitslösungen. Um Benutzer für die eigenen Dienste zu gewinnen, müssen diese, neben der Funktionalität, auch einfach benutzbar sein. Aus diesem Grund entstehen Lösungen wie Social Logins. [FP07] Eduardo B. Fernandez and Maria M. Larrondo Petrie: Security patterns and secure systems design using UML, IARIA ICWMC/ICCGI

5 (1) Der Schutzbedarf von Informationsressourcen ist bedingt durch den mit ihnen verbundenen unternehmerischen Wert [Ec09:6f; WH05:9ff]. Dieser Schutzbedarf kann durch drei grundlegende Schutzziele verfolgt werden. Bekannt sind die drei Ziele auch als C.I.A., was für Cofidentiality, Integrity und Availability bzw. Vertraulichkeit, Integrität und Verfügbarkeit steht. (1.1) Vertraulichkeit umfasst den Schutz von Daten vor unautorisiertem Zugriff. Dieses Ziel kann beispielsweise durch Verschlüsselung erreicht werden. Authentifizierung und Autorisierung sind ebenfalls Möglichkeiten die Vertraulichkeit zu gewährleisten. (1.2) Zur Integrität zählt der Schutz vor unerlaubter Manipulation von Daten. Hierzu gehört ebenfalls die Erkennung von Manipulation, beispielsweise wenn ein Schutz nicht möglich ist. Ein weiterer Bestandteil der Integrität ist die Authentizität. Diese muss gewährleistet sein, um zu erkennen, ob eine Manipulation autorisiert ist. (1.3) Ein oft vernachlässigter Aspekt der Sicherheit ist die Verfügbarkeit. Die Sicherstellung der Datenverfügbarkeit und der Schutz vor Verlust, beispielsweise durch Redundanzen, ist das dritte wichtige Schutzziel. (2) Die grundlegenden Schutzziele können je nach Kontext der Anwendung erweitert werden. Zur Bewertung von Software-Systemen sieht der Standard [ISO25010] beispielsweise die zusätzlichen Eigenschaften Authentizität, Nachweisbarkeit und Verantwortlichkeit vor. In Deutschland kann es zudem hilfreich sein, auch Datenschutz als weiteres Ziel zu definieren. Diese Verfeinerung dient auch der Hervorhebung von wichtigen Anforderungen an die Sicherheit der Anwendung. (2.1) Diese erklären sich wie folgt (Authentizität) Feststellung der Identität einer Ressource oder eines Subjekts (Nachweisbarkeit) Das Auftreten von Aktionen und Ereignissen ist nachweisbar (Verantwortlichkeit) Rückverfolgung von Aktionen zum Verursacher (Datenschutz) Die Einhaltung der Datenschutzrichtlinien, bspw. durch Datensparsamkeit. C.I.A. Diskretion (engl. confidentiality), Integrität (engl. integrity), Verfügbarkeit (engl. availability) [Ec09] C. Eckert: IT-Sicherheit, 6th ed. München: Oldenbourg Wissenschaftsverlag, 2009, p [WM05] M. E. Whitman and H. J. Mattord: Principles of Information Security, 2nd ed. Boston: Thomson Course Technology, 2005, p [ISO25010] International Organization for Standardization: Systems and software engineering - Systems and software Quality Requirements and Evaluation (SQuaRE) - System and software quality models. 5

6 Ein wichtiger Aspekt der verfolgten Schutzziele insbesondere die Vertraulichkeit und die Integrität - hat mit der Frage zu tun, WER in einem IT-System WELCHE Ressourcen WIE nutzen darf, womit sich das Identity and Access Management (IAM) beschäftigt. (1) Es ist eine Frage der Anschauung, ob alle IAM-Inhalte (z.b. Verzeichnisse und deren Provisionierung) Teil der IT-Sicherheit sind. (1.1) Die Bereitstellung dieser Sicherheitsfunktionen ist das eigentliche Ziel des IAM. (2) IAM sorgt dafür, dass die richtigen Leute aus dem richtigen Anlass Zugriff auf die richtigen Ressourcen haben und dass sie damit das Richtige tun [Du12]. (3) Grundlegend wichtig für die Aufrechterhaltung der Integrität und Vertraulichkeit ist es, dass nur berechtigte Subjekte Zugriff auf Daten haben. Das IAM setzt sich genau mit dieser Fragestellung und damit verbundenen Themen auseinander. (3.1) Der Teilbereich der Identitäten umfasst auch deren Speicherung und Bekanntmachung über verschiedene Systeme hinweg. Dies ist notwendig, um eine informierte Entscheidung über den Zugriff auf Daten durchführen zu können. (3.2) Des Weiteren ist die Autorisation und somit die Vergabe von Berechtigungen ein wichtiger Teil des IAM. Die Autorisation kann in größeren System sehr komplex werden, weshalb eine Reihe von Lösungen und Sicherheitsmustern hierfür entstanden sind. (3.3) Ein weiterer wichtiger Aspekt ist die Durchsetzung der Berechtigungen. Die Durchsetzung fußt dabei auf der Identitätsfeststellung der vergebenen Rechte und führt mit diesen Informationen eine Zugriffskontrolle durch. (4) Auf Grund der historischen Gegebenheiten kann unterschieden werden zwischen Sicherheitslösungen, die im Unternehmensumfeld (geschlossene Netzwerke, bekannte Benutzergruppen) und im Verbraucherumfeld (unbekannte Benutzer, hohes Angriffsrisiko) eingesetzt werden. IAM Identity and Access Management [Du12] Teodor Dumitrescu: Identity and Access Managment im Kontext der Cloud Trends und Möglichkeiten, ic Consult, C&M-Teamserver > Mitglieder > 3-0.Literatur > Sicherheit_IAM 6

7 (1) Um Sicherheitsmaßnahmen in einem Informationssystem zu implementieren, empfiehlt sich ein sicherheitsorientierter Entwicklungsprozess. Hierzu wird ein bestehender fachlicher Entwicklungsprozess um Aktivitäten ergänzt, so dass Sicherheitsmaßnahmen in einem methodischen Vorgehen entwickelt werden können. Ein solches Vorgehen ist jedoch meist nicht etabliert, was dazu führt, dass Sicherheitsmaßnahmen nach der Implementierung der fachlichen Funktionalität umgesetzt werden. Dieses "penetrate and patch"-vorgehen, d.h. die Sicherheitslücken relativ zufällig entdecken und durch nachträglich eingespielte Aktualisierungen schließen, ist jedoch nicht der Sicherheit einer Anwendung förderlich. Denn wie an der Abbildung zu sehen, erfordert ein nachvollziehbares und qualitätsgesichertes Vorgehen zur Entwicklung sicherer Software vielfältige Methoden undwerkzeuge in allen Entwicklungsphasen. (Anforderungsanalyse, Missbrauchsanwendungsfälle, Szenarien, ) UML-Anwendungsfälle sind ein erprobtes Mittel zur Spezifizierung von Anwendungsfällen und Szenarien, aus welchen funktionale Anforderungen abgeleitet werden. Einen ähnlichen Ansatz nutzen Missbrauchsanwendungsfälle, um die Bedrohungen für Anwendungsfälle zu spezifizieren. Aus den so dargestellten Bedrohungen bzw. Missbrauch von Anwendungsfällen werden im Anschluss Sicherheitsanforderungen abgeleitet. (Entwurf, Sicherheitsmuster, Sicherheitsarchitektur, ) In der Entwurfsphase werden zu den Anforderungen passende Sicherheitsmaßnahmen modelliert. Sicherheitsmuster helfen, aus dem bereits existierenden Sicherheitswissen erprobte Lösungen zu bekannten Sicherheitsproblemen auszuwählen. Ziel des Entwurfs ist es, sowohl die konzeptionelle Architektur der Sicherheitsfunktionalität als auch deren Feinentwurf zu spezifizieren. Sicherheitsrichtlinien spezifizieren dabei die Funktionsweise von einzelnen Sicherheitskomponenten im Detail. (Implementierung, Sicherheitsstandards, Konventionen für sicheren Quellcode,...) Die Umsetzung von Sicherheitsmaßnahmen sollte nur im Ausnahmefall durch eine Eigenimplementierung durchgeführt werden. Stattdessen sollten bestehende Sicherheitsstandards, -produkte oder -rahmenwerke eingesetzt werden, welche eine ausgereifte Implementierung von Sicherheitsmechanismen bereitstellen. Bei der Umsetzung von sicherheitsrelevantem sowie auch fachlichem Quelltext müssen Konventionen eingehalten werden, welche der Einführung von sicherheitskritischen Fehlern (engl. bugs) vorbeugen. Dieser Aspekt wird jedoch in dieser Vorlesung nicht weiter vertieft. (Tests, Penetrationstest, Statische Analyse, ) In der Testphase werden die umgesetzten Software-Artefakte auf Sicherheitslücken überprüft. Mittels Penetrationstests werden bekannte Angriffsszenarien simuliert und die Reaktion der entwickelten Software untersucht. Statische Analyse untersucht den Quelltext der Anwendung auf bekannte Fehler verursachende Quellcodekonstrukte. (Betrieb, Angriffserkennung, Systemerholung,...) Im Betrieb der entwickelten Anwendung müssen neue Angriffsmethoden erkannt und noch unbekannte Verwundbarkeiten analysiert werden. Dementsprechend muss die Sicherheitsfunktionalität der aktuellen Gefährdungslage angepasst werden. Der sicherheitsbasierte Entwicklungsprozess wird dabei erneut durchlaufen. Sollte eine Sicherheitslücke ausgenutzt worden sein, so muss das System in einen funktionsfähigen Zustand zurückgebracht werden. [Mc04] G. McGraw: Software Security, IEEE Security & Privacy, vol. 2, no. 2, pp ,

8 (1) Die drei Schutzziele sind Vertraulichkeit, der Schutz vor unbefugter Gewinnung von Information aus Daten, Integrität, der Schutz vor unautorisiertem Verändern oder Einsehen von Daten, und Verfügbarkeit, der Schutz vor Verlust oder Nicht-Erreichbarkeit von Daten. (2) Wenn für eine Anwendung bestimmte Sicherheitsaspekte hohe Priorität haben und gesondert hervorgehoben werden sollen, so können weitere Schutzziele ergänzt werden. Dies kann beispielsweise bei Online-Shops mit Kreditkartenabrechnung der Fall sein, da hier besondere Datenschutzbestimmungen gelten. (3) Das Software-System war unter Umständen nicht ausreichend vor Fremdzugriff gesichert oder die Authentifikation war zu leicht zu umgehen, was auf das Schutzziel Integrität hindeutet. Zudem hätten die Kreditkartendaten verschlüsselt abgelegt werden können, wodurch das Lesen unmöglich gewesen wäre und das Schutzziel Vertraulichkeit verbessert worden wäre. (4) Je Schutzziele beispielsweise Verschlüsselung der Daten, Zugriffskontrolle und redundante Speicherung. (5) Sicherheit wird nicht erst am Ende als Zusatz betrachtet sondern ist zentraler Bestandteil jeder Phase. (6) Penetrationstests sind umfassende Sicherheitstests, die das Gesamt-Software-System testen und nicht nur einzelne Teile. Das System wird mit den Mitteln eines Angreifers auf Schwachstellen geprüft. Nach dem klassischen Entwicklungsprozess finden Penetrationstests in der Testphase Anwendung. Bei der agilen Entwicklung können solche Tests durchgehend, beispielsweise als Integrationstests, genutzt werden. (7) Wenn Sicherheit nicht von Anfang an einbezogen wird, können unter Umständen nicht alle Sicherheitsanforderungen umgesetzt werden oder ihre Umsetzung ist aufwendig. Zudem fehlt die Gewissheit, alle Sicherheitsprobleme bedacht zu haben. Es wird sich auf die funktionalen Anforderungen konzentriert und Sicherheit erst nach deren Implementierung angegangen. Dies führt zu dem typischen "Identify and Patch"-Verhalten, das heißt, es wird nach Lücken gesucht und diese geschlossen, anstatt sich auf die Absicherung des Gesamtsystems zu konzentrieren. 8

9 (1) Bei der Entwicklung sicherer Web-Anwendungen sollte neben funktionalen Anforderungen auch ein Fokus auf die Sicherheitsanforderungen gelegt werden. (2.1) Sicherheitsanforderungen sollten eine Entwurfsentscheidung nicht vorwegnehmen. In der Anforderungserhebungsphase sind meist noch nicht alle Informationen für eine qualitative Entwurfsentscheidung vorhanden, beispielsweise können vorhandene Systeme, zu verwendende Technologien und andere Einflüsse auf die Architektur noch nicht bekannt sein, weswegen diese Entwurfsentscheidung auch erst in der Entwurfsphase getroffen werden sollte. [TJ+08] (2.2) Sicherheitsanforderungen sind Beschränkungen der funktionalen Anforderung zur Erfüllung von Sicherheitszielen (engl. "constraints on the functions [that]... operationalize one or more security goals") [HL+08]. Als Titel der Anforderung kann ein "nur von" (engl. only to) genutzt werden, um eine Einschränkung auf der funktionalen Anforderung zu definieren und somit einen Bezug zu dieser herzustellen. Diese Formulierung hilft auch bei der Vermeidung der Nennung von Sicherheitsmaßnahmen. [HM+06] (3) Zur Erhebung von Sicherheitsanforderungen wurden zahlreiche Methoden entwickelt. Einen Überblick über verschiedene Techniken bietet [TL+08]. In diesem Artikel stellen die Autoren auch einen eigenen, wie sie schreiben, praxisorientierteren Ansatz vor. Eine der bekannteren und umfassenderen Methoden ist das Security Quality Requirements Engineering (SQUARE), das ein breites Spektrum an wichtigen Aspekten abdeckt, allerdings nur ein Rahmenwerk für den Erhebungsprozess darstellt. Einen weitverbreiteter und modellgetriebener Ansatz ist CORAS, wobei ein Schwerpunkt auf die Analyse gesetzt wird und eine anschließende Formulierung von Anforderungen notwendig ist. (4) Weiterhin sind Sammlungen von Bedrohungen und möglichen Lösungen eine gute Quelle zur Erhebung von Anforderungen und auch für die Formulierung von Maßnahmen in der Entwurfsphase. Eine bekannte Quelle ist in Deutschland der IT-Grundschutz. Dieser wird vom Bundesamt für Sicherheit in der Informationstechnik verwaltet. Der IT-Grundschutz enthält allgemeine Informationen für den Schutz von Anwendungen auf verschiedenen Ebenen, vom Netzwerk bis hin zur Anwendungsebene. Das Open Web Application Security Project (OWASP) ist eine Anlaufstelle für Sicherheitsbelange von Web-Anwendungen, beispielsweise veröffentlich die OWASP die Top 10 Sicherheitslücken von Web-Anwendungen und Maßnahmen zur Absicherung. SQUARE OWASP Security Quality Requirements Engineering Open Web Application Security Project [Me06] Nancy Mead: SQUARE Process, Build Security In, https://buildsecurityin.us-cert.gov/articles/bestpractices/requirements-engineering/square-process [TL+08] Inger Anne Tondel, Martin Gilje Jaatun, Per Hakon Meland: Security Requirements for the Rest of Us: A Survey, Software, IEEE, Volume:25, Issue: 1. [BD+06] Mass Doldal Lund, Bjornar Solhaug, Ketil Stolen: The CORAS Model-based Method for Security Risk Analysis, SINTEF, Oslo, September [OWASP] Open Web Application Security Project. https://www.owasp.org [HL+08] Charles Haley, Robin Laney, Joathan Moffett, Bashar Nuseibeh: Security Requirements Engineering: A Framework for Representation and Analysis, IEEE Transactions on Software Engineering, Volume 34, Issue 1, January

10 (1-3) Das Security Quality Requirements Engineering (SQUARE) beschreibt Schritte zur ganzheitlichen Analyse von Sicherheitsanforderungen einer Anwendung. SQUARE wurde von Nancy Mead mit dem Ziel entwickelt, einen einheitlichen Rahmen für verschiedene bestehende Werkzeuge zu bieten [Me06]. Für jeden Schritt sind die beteiligten Gruppen und die erwarteten Ergebnisse spezifiziert. (4) Das Ziel des Prozesses sind nicht nur die Sicherheitsanforderungen, die im Verlauf von SQUARE priorisiert und kategorisiert werden, sondern vor allem auch das gemeinsame Verständnis aller beteiligten Parteien. Jeder Akteur (engl. Stakeholder) erhält einen Einblick in die Sicherheitsproblematik, die Bedrohungen auf die Geschäftswerte und die Anwendung als Ganzes. (Kontext festlegen) Im ersten Abschnitt von SQUARE soll der Kontext für den weiteren Prozess festgelegt werden. Alle Beteiligten einigen sich zuerst über das Verständnis der Begrifflichkeiten. Als Nächstes werden die Schutzziele festgelegt und diesen Geschäftswerte (engl. Assets) zugewiesen. Schutzziele beschreiben einen wünschenswerten Zustand in der Zukunft, nicht wie dieser erreicht wird. Abschließend werden Artefakte entwickelt, die für die Sicherheitsanforderungserhebung wichtig sind. Hierzu gehören die zuvor genannten Szenarien und Missbrauchsanwendungsfälle. (Sicherheitsanforderungen sammeln) Nachdem der Kontext festgelegt ist, sollen die Anforderungen aus den Artefakten abgeleitet werden. Hierfür ist zuerst eine Risikoanalyse vorgesehen. Anhand der Risiken können die Anforderungen in folgenden Schritten priorisiert werden und zudem zeigen sie einen ersten Schwerpunkt auf. Im Anschluss wird eine Methode zur konkreten Anforderungserhebung ausgewählt, mit der die Anforderungen anschließend auch identifiziert werden. Die zuvor erstellten Artefakte werden als Grundlage genutzt. (Anforderungen analysieren) Die letzten Schritte dienen dazu, die Auswahl der relevanten Anforderungen zu erleichtern. Zuerst werden die Anforderungen in Kategorien eingeteilt. Zur Kategorisierung können die Anforderungen beispielsweise für die späteren Entwicklungsteams aufgeteilt werden. Eine weitere Möglichkeit ist die Einteilung gemäß Schutzzielen oder typischen Sicherheitsanforderungskategorien [Fi03]. Im Anschluss wird eine Priorisierung der Anforderungen vorgenommen. Als abschließender Schritt werden die Anforderungen auf Korrektheit, Vollständigkeit und Konsistenz überprüft. SQUARE Security Quality Requirements Engineering [Me06] Nancy Mead: SQUARE Process, Build Security In, https://buildsecurityin.us-cert.gov/articles/bestpractices/requirements-engineering/square-process [Fi03] Donald G. Firesmith: Engineering Security Requirements, Journal of Object Technology, vol. 2, no. 1, January-February

11 (1) Eine wesentliche Voraussetzung zur Umsetzung von Sicherheitsmaßnahmen stellt die Erhebung und Spezifikation von Schutzzielen dar. Durch die Erhebung wird der Schutzbedarf der zu entwickelnden Anwendung festgestellt. Hierdurch wird ermittelt, von welcher Art die umzusetzenden Maßnahmen sind und welchen Umfang sie einnehmen. (2) Zur Ermittlung des Schutzbedarfs kann für jeden Unternehmenswert die Frage nach der Schutzbedürftigkeit jedes Schutzziels gestellt werden. Der Grundschutz des Bundesamts für Sicherheit in der Informationstechnik schlägt hierbei eine Bewertung nach normal, hoch und sehr hoch vor. [BSI2:52]. Wie gut sollte die Vertraulichkeit geschützt werden? Welche Priorität hat die Integrität? Und wie verfügbar muss der Unternehmenswert sein? (3) Schutzziele können weiter verfeinert werden. Zur Konkretisierung der allgemeinen Schutzziele auf abstrakter Ebene, können Schutzziele weiter verfeinert werden und beispielsweise auf Teile des Unternehmenswert genauer eingegangen werden. [BSI2] Bundesamt für Sicherheit in der Informationstechnik, "IT-Gundschutz-Vorgehensweise", BSI-Standard 100-2, Version 2.0,

12 (1, 2) Eine sich an der Erhebung von Anforderungen durch Anwendungsfälle orientierende Methode zur Ermittlung von Sicherheitsanforderungen sind Missbrauchs- [SO05] und Sicherheitsanwendungsfälle [Fi03]. Während Missbrauchsanwendungsfälle zur Beschreibung von Bedrohungen dienen, werden Sicherheitsanwendungsfälle zur Beschreibung von Sicherheitsanforderungen genutzt. Diese Werkzeuge dienen lediglich der grafischen Repräsentation und bieten keine Vorgehensweise zur Erhebung der Bedrohungen und Anforderungen an. (3) Sicherheitsanforderungen werden häufig mit architekturellen Sicherheitsmaßnahmen ausgedrückt. Hierdurch werden jedoch bereits in der Analysephase Entwurfsentscheidungen getroffen, obwohl die fachliche Architektur noch nicht entworfen wurde. Stattdessen beinhalten Sicherheitsanforderungen das zu schützende Objekt und den Grund für den Schutz im Sinne der Sicherstellung eines Schutzzieles. Durch die Relation zu einer fachlichen Ressource bzw. zu einer funktionalen Anforderungen lassen sich die Sicherheitsanforderungen spezifisch genug ausdrücken, so dass im Entwurf auf geeignete Sicherheitsmaßnahmen gesetzt werden kann [TJ+08]. Ausnahmen können hier jedoch Anforderungen des Kunden an das Produkt stellen. Wünscht der Kunde explizit eine spezielle Maßnahme, so sollte diese Information dokumentiert werden. [Fi03] D. G. Firesmith: Security use cases, Journal of Object Technology, vol. 2, May [So05] G. Sindre, A. L. Opdahl: Eliciting Security Requirements with Misuse Cases, Requirements Engineering, vol. 10, no. 1, [TJ+08] I. A. Tøndel, M. G. Jaatun, P. H. Meland: Security requirements for the Rest of Us: A Survey, IEEE Software, vol. 25, no. 1,

13 (1) Nur wenn der Schutzbedarf bekannt ist, können geeignete Gegenmaßnahmen getroffen werden. Zudem ist es dann auch möglich, eine wirtschaftliche Lösung zu entwickeln. Wenn beispielsweise ein niedriger Schutzbedarf erkannt wurde, kann eine schlankere und kostengünstigere Umsetzung gewählt werden. (2) Zur Ermittlung des Schutzbedarfs kann für den Unternehmenswert gefragt werden, wie wichtig ein bestimmtes Schutzziel ist. Wie wichtig ist die Vertraulichkeit für Kreditkartendaten? Wie wichtig ist die Vertraulichkeit für die Auflistung der Standorte eines Unternehmens? (3) Je nach Anwendungsgröße und Unternehmenswert können die Schutzziele zu abstrakt und ungenau sein. Mit den abstrakten Schutzzielen kann ein Entwickler nur schwer arbeiten. Deshalb kann es sinnvoll sein, die Schutzziele zu konkretisieren und auch auf einzelne Teile des Unternehmenswerts zu beziehen. Eventuell sind einzelne Teile des Unternehmenswerts sehr schutzbedürftig im Vergleich zu anderen. Beispielsweise ist das Pseudonym einer Person weniger schützenswert als ihr Geburtsdatum. (4) Erst der Software-Architekt sollte Entwurfsentscheidungen treffen, da erst zur Entwurfszeit alle Anforderungen bekannt sind und somit erst dann eine fundierte Entscheidung getroffen werden kann. (5) "Ein Benutzer kann sich mit seinem Benutzernamen und Passwort authentifizieren". Die Anforderung schreibt so klar vor, mit welchen Daten sich ein Benutzer anmelden kann. Was ist, wenn sehr vertrauliche Daten übertragen werden und eine stärkere Authentifizierung sinnvoll wäre? Bisher hat der Architekt keinen Benutzernamen vorgesehen, wieso soll dieser nun zur Authentifizierung hinzugefügt werden? (6) Zur Unterstützung können Missbrauchs- und Sicherheitsanwendungsfälle genutzt werden, siehe vorherige Folien. 13

14 (1) Sicherheitsmuster beschreiben erprobte Lösungen zu wiederauftretenden Sicherheitsproblemen in einem spezifischen Kontext. Die Lösung besteht aus einer Menge von interagierenden abstrakten Rollen, welche in verschiedene konkrete Entwurfsstrukturen arrangiert werden können [SF+05:31]. Bei der Integration von fachlicher und sicherheitsbasierter Entwicklung ist ein Musteransatz vorteilhaft [SF+05:34]. Sicherheitsmuster sind für verschiedene Phasen des Entwicklungsprozesses verfügbar. (1.1) Muster beschreiben grundlegendes Sicherheitswissen in strukturierter und nachvollziehbarer Form. Die Bestandteile einer solchen Beschreibung entsprechen denen von Entwurfsmustern und umfassen somit unter anderem den Kontext des Problems, eine Beschreibung der Lösung und Konsequenzen durch die Verwendung des Musters. Muster werden bereits in der fachlichen Entwicklung genutzt. Sicherheitsmuster orientieren sich an der für Softwareentwickler und Architekturen gewohnten Beschreibungsform, somit ist die einheitliche Behandlung von fachlichen und Sicherheitsaspekten möglich. (1.3) Sicherheitsmuster können sowohl für die detaillierte Implementierung von Sicherheitsmaßnahmen als auch für die abstrakte logische Strukturierung eingesetzt werden. Hierdurch wird eine iterative musterbasierte Verfeinerung der Sicherheitslösung ermöglicht. (1.4) Obwohl Sicherheitsmuster Lösungen bereitstellen, sollten die zu behandelnden Probleme bzw. Sicherheitsanforderungen nicht außer acht gelassen werden. Ohne ein wohldefiniertes Sicherheitsproblem besteht die Gefahr, dass ein unzureichendes Sicherheitsmuster eingesetzt wird [SF+05:35]. DES Data Encryption Standard [SF+05] M. Schumacher, E. B. Fernandez, D. Hybertson, F. Buschmann, and P. Sommerlad: Security Patterns Integrating Security and Systems Engineering, Chichester, England: John Wiley & Sons Ltd,

15 Im Gebiet des Identitäts- und Zugriffsmanagement gibt es eine Reihe von zentralen Begriffen. Auf dieser Seite sollen die Begriffe in einem Ablauf exemplarisch erklärt werden. (Authentifizierung oder Authentisierung) Im Vergleich zur englischen Sprache bietet die deutsche ein größeres Vokabular und somit genauere Formulierungsmöglichkeiten an. Beispielsweise kann Authentication mit Authentifizierung oder Authentisierung übersetzt werden. Der englische Begriff Authentication kann im deutschen Authentifizieren ist das Zuordnen einer Identität zu einem Subjekt (engl. "Authentication is the binding of an identity to a subject" [Bi03]). Der Prozess der Authentifizierung wird durch (1.1) bis (4) beschrieben. (Autorisierung) Beschreibt den gewährten Zugriff eines Subjekts auf eine Ressource mit einer definierten Aktion ("Bob ist autorisiert seine Adresse zu ändern") [Fe13]. Schritt (1.2) zeigt die Vergabe einer Autorisation und die Schritte (6) bis (10) die Überprüfung der Autorisierung. (Zugriffskontrolle) Ein Mechanismus zur Durchsetzung der Autorisierung. [Fe13] (Referenzmonitor) Ein allgemeines Sicherheitsmuster zur Durchsetzung von Autorisierungsentscheidungen. Es beschreibt, dass Anfragen an geschützte Ressourcen abgefangen und an den Referenzmonitor weitergeleitet werden sollen. Der Referenzmonitor prüft anschließend, ob eine Autorisierung existiert und entscheidet so über den Zugriff oder das Zurückweisen der Anfrage. [SF+05] Der Ablauf zeigt beispielhaft einen Referenzmonitor in einer Web-Anwendung. Eine Anfrage wird abgefangen und die Autorisierung überprüft, bevor der Zugriff durch den Referenzmonitor gewährt oder verweigert wird. [Fe13] Eduardo B. Fernandez: Security Patterns in Practice Designing Secure Architectures using Software Patterns, Wiley, pp. 501, [Bi03] Matt Bishop: Computer Security Art and Science, Addison Wesley, pp. 309, [SF+05] M. Schumacher, E. B. Fernandez, D. Hybertson, F. Buschmann, and P. Sommerlad: Security Patterns Integrating Security and Systems Engineering, Chichester, England: John Wiley & Sons Ltd,

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

Datensicherheit. Vorlesung 1: 10.4.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 1: 10.4.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 1: 10.4.2015 Sommersemester 2015 h_da, Lehrbeauftragter Nachklausur IT- und Medientechnik Freitag, 24. April 2015 12.15 13.45 Uhr Raum A10/001 Allgemeines zur Vorlesung die Folien

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

Liste der Handbücher. Liste der Benutzerhandbücher von MEGA

Liste der Handbücher. Liste der Benutzerhandbücher von MEGA Liste der Handbücher Liste der Benutzerhandbücher von MEGA MEGA 2009 SP4 1. Ausgabe (Juni 2010) Die in diesem Dokument enthaltenen Informationen können jederzeit ohne vorherige Ankündigung geändert werden

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Software Design Patterns. Ausarbeitung über. Security Patterns SS 2004

Software Design Patterns. Ausarbeitung über. Security Patterns SS 2004 Ausarbeitung über SS 2004 Dennis Völker [dv04@hdm-stuttgart.de] Steffen Schurian [ss59@hdm-stuttgart.de] Überblick Sicherheit sollte eine Eigenschaft moderner, verteilter Anwendungen sein, jedoch ist ein

Mehr

SOA Security in der Praxis Entwurfsmuster für eine sichere Umsetzung

SOA Security in der Praxis Entwurfsmuster für eine sichere Umsetzung Ergebnisse der TeleTrusT-AG "SOA" SOA Security in der Praxis Entwurfsmuster für eine sichere Umsetzung Arbeitsergebnisse des SOA Security AKs Anfang 2009 - Themenfindung für das Dokument Mitte 2009 Vorgehenskonzept

Mehr

Federated Identity Management

Federated Identity Management Federated Identity Management Verwendung von SAML, Liberty und XACML in einem Inter Campus Szenario d.marinescu@gmx.de 1 Fachbereich Informatik Inhalt Grundlagen Analyse Design Implementierung Demo Zusammenfassung

Mehr

IT-Sicherheit Einführung

IT-Sicherheit Einführung Karl Martin Kern IT-Sicherheit Einführung (http://www.xkcd.com/834/) Über mich... Dipl.-Inform. (FH) Karl Martin Kern (htwg@kmkern.de) Studium der technischen Informatik an der HTWG (damals Fachhochschule)

Mehr

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS Stefan Taubenberger und Prof. Jan Jürjens, 22. September 211 Ziele der Studie Konfirmative und explorative Studie mit folgenden Fragestellungen Welche Kriterien

Mehr

TeleTrusT-interner Workshop. Nürnberg, 21./22.06.2012

TeleTrusT-interner Workshop. Nürnberg, 21./22.06.2012 TeleTrusT Bundesverband IT-Sicherheit e.v. TeleTrusT Bundesverband IT-Sicherheit e.v. Der IT-Sicherheitsverband e.v. TeleTrusT-interner Workshop Nürnberg, 21./22.06.2012 TeleTrusT Bundesverband IT-Sicherheit

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Technische Universität München. SAML/Shibboleth. Ein Vortrag von Florian Mutter

Technische Universität München. SAML/Shibboleth. Ein Vortrag von Florian Mutter SAML/Shibboleth Ein Vortrag von Florian Mutter Security Assertion Markup Language XML-basierter Standard für den Austausch von Authentifizierungs-, Attributs- Berechtigungsinformationen Seit 2001 von OASIS

Mehr

Sicherheitsaspekte von Web Services. Hauptseminar Rechnernetze

Sicherheitsaspekte von Web Services. Hauptseminar Rechnernetze Sicherheitsaspekte von Web Services Hauptseminar Rechnernetze Stefan Hennig sh790883@inf.tu-dresden.de 21. Januar 2005 Gliederung Einführung Überblick Sicherheit auf Netzwerk- und Transportebene XML-Sicherheit

Mehr

The Rational Unified Process. Eine Einführung von T. Langer und A. Nitert

The Rational Unified Process. Eine Einführung von T. Langer und A. Nitert The Rational Unified Process Eine Einführung von T. Langer und A. Nitert Übersicht Einleitung Probleme der SW-Entwicklung, Best Practices, Aufgaben Was ist der Rational Unified Process? Struktur des Prozesses

Mehr

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07

Mehr

Paradigmenwechsel im Access Management Organisationsübergreifende Autorisierung und Rechteverwaltung

Paradigmenwechsel im Access Management Organisationsübergreifende Autorisierung und Rechteverwaltung Paradigmenwechsel im Access Management Organisationsübergreifende Autorisierung und Rechteverwaltung security Essen 2010 security-forum - 06.10.2010 Michael Gröne groene [at] internet sicherheit. de Institut

Mehr

Die Softwareentwicklungsphasen!

Die Softwareentwicklungsphasen! Softwareentwicklung Die Softwareentwicklungsphasen! Die Bezeichnungen der Phasen sind keine speziellen Begriffe der Informatik, sondern den allgemeinen Prinzipien zur Produktion integrierter Systeme entliehen.

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Freistuhl 7 44137 Dortmund für den Webshop RWE SmartHome Shop die Erfüllung aller Anforderungen

Mehr

Service-Orientierte Architekturen

Service-Orientierte Architekturen Hochschule Bonn-Rhein-Sieg Service-Orientierte Architekturen Kapitel 7: Web Services IV Exkurs über Sicherheitsanforderungen Vorlesung im Masterstudiengang Informatik Sommersemester 2010 Prof. Dr. Sascha

Mehr

Whitepaper. bi-cube SSO SSO in einer Terminal Umgebung. T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g

Whitepaper. bi-cube SSO SSO in einer Terminal Umgebung. T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g Whitepaper bi-cube SSO T e c h n o l o g i e n L ö s u n g e n T r e n d s E r f a h r u n g Inhalt 1 DIE SITUATION...3 2 ZIELSTELLUNG...4 3 VORAUSSETZUNG...5 4 ARCHITEKTUR DER LÖSUNG...6 4.1 Biometrische

Mehr

MM-2-111-403-00. IT-Sicherheit

MM-2-111-403-00. IT-Sicherheit MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Dipl.-Ök. Thorben Sandner Institut für Wirtschaftsinformatik Leibniz Universität Hannover. sandner@iwi.uni-hannover.de

Dipl.-Ök. Thorben Sandner Institut für Wirtschaftsinformatik Leibniz Universität Hannover. sandner@iwi.uni-hannover.de 09. Juni 2009 Dipl.-Ök. Thorben Sandner sandner@iwi.uni-hannover.de Definition Sicherheit Sicherheit bezeichnet den Zustand des Sicherseins vor Gefahr oder Schaden bzw. einen Zustand, in dem Schutz vor

Mehr

CeBIT 17.03.2015. CARMAO GmbH 2014 1

CeBIT 17.03.2015. CARMAO GmbH 2014 1 CeBIT 17.03.2015 CARMAO GmbH 2014 1 HERZLICH WILLKOMMEN Applikationssicherheit beginnt lange bevor auch nur eine Zeile Code geschrieben wurde Ulrich Heun Geschäftsführender Gesellschafter der CARMAO GmbH

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern IT-Riskmanagement Strategie und Umsetzung Armin Furter TKH Informationmangement Bern Inhalte Einführung Allgemeines Risikomangement IT-Risikomanagement Mögliche Methoden Begriffe Bedrohung Schaden Schadensausmass

Mehr

Benutzerverwaltung mit ASP.NET Membership

Benutzerverwaltung mit ASP.NET Membership Benutzerverwaltung mit ASP.NET Membership Dieser Artikel soll zeigen, wie man ASP.NET Membership einsetzt, um Benutzer einer Web Anwendung zu authentifizieren. Es werden sowohl Grundlagen wie die Einrichtung

Mehr

IT-Sicherheit Prof. Dr. Claudia Eckert

IT-Sicherheit Prof. Dr. Claudia Eckert IT-Sicherheit Prof. Dr. Claudia Eckert Technische Universität München Organisatorisches: Vorlesung 3 SWS, Übung 1 SWS: 5 Credit-Points Mi 16:00-17:30 MI HS2 (Vorlesung) Do 16:15-17:00 MI HS2 (Vorlesung)

Mehr

Lehrveranstaltungshandbuch IT-Sicherheit

Lehrveranstaltungshandbuch IT-Sicherheit Lehrveranstaltungshandbuch IT-Sicherheit Lehrveranstaltung Befriedigt Modul (MID) Organisation Kompetenznachweis Lehrveranstaltungselemente Vorlesung/Übung Seminar Verantwortlich: Prof.Dr. Knospe Lehrveranstaltung

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Nutzung und Erweiterung von IT-Standards zur Realisierung von Authentifizierung und Zugriffsschutz für Geo Web Services

Nutzung und Erweiterung von IT-Standards zur Realisierung von Authentifizierung und Zugriffsschutz für Geo Web Services Nutzung und Erweiterung von IT-Standards zur Realisierung von Authentifizierung und Zugriffsschutz für Geo Web Services Universität der Bundeswehr München Was erwartet Sie in diesem Vortrag? Thema 4 Thema

Mehr

Sicherheit in Workflow-Management-Systemen

Sicherheit in Workflow-Management-Systemen Sicherheit in Workflow-Management-Systemen Fakultät für Informatik Institut für Programmstrukturen und Datenorganisation KIT University of the State of Baden-Wuerttemberg and National Research Center of

Mehr

Übung 6: Feinentwurf. Prof. Dr. Dr. h.c. Manfred Broy Dr. Herbert Ehler, Martin Feilkas 6. Juli 2006 Bernd Spanfelner, Sebastian Winter

Übung 6: Feinentwurf. Prof. Dr. Dr. h.c. Manfred Broy Dr. Herbert Ehler, Martin Feilkas 6. Juli 2006 Bernd Spanfelner, Sebastian Winter Prof. Dr. Dr. h.c. Manfred Broy Sommersemester Dr. Herbert Ehler, Martin Feilkas 6. Juli 2006 Bernd Spanfelner, Sebastian Winter Einführung in die Softwaretechnik Übung 6: Feinentwurf Aufgabe 17: Entwurfsmuster

Mehr

Anforderungen und Auswahlkriterien für Projektmanagement-Software

Anforderungen und Auswahlkriterien für Projektmanagement-Software Anforderungen und Auswahlkriterien für Projektmanagement-Software Anika Gobert 1,Patrick Keil 2,Veronika Langlotz 1 1 Projektmanagement Payment Giesecke &Devrient GmbH Prinzregentenstr. 159, Postfach 800729,

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

IT-Sicherheit. 1. Einführung und organisatorische Sicherheit. 2. Datenschutz und Nicht-technische Datensicherheit. 3. Identity Management

IT-Sicherheit. 1. Einführung und organisatorische Sicherheit. 2. Datenschutz und Nicht-technische Datensicherheit. 3. Identity Management IT-Sicherheit 1. Einführung und organisatorische Sicherheit 2. Datenschutz und Nicht-technische Datensicherheit 3. Identity Management 4. Angewandte IT Sicherheit 5. Praktische IT Sicherheit 1. Einführung

Mehr

Account Information Security Programme - Allgemeine Informationen -

Account Information Security Programme - Allgemeine Informationen - Account Information Security Programme - Allgemeine Informationen - Neue Sicherheitsstandards für die Aufbewahrung und Weiterverarbeitung sensibler Karteninhaberdaten Kreditkartenzahlungen erfreuen sich

Mehr

Hochschule Prof. Dr. Martin Leischner Bonn-Rhein-Sieg Netzwerksysteme und TK Modul 7: SNMPv3 Netzmanagement Folie 1

Hochschule Prof. Dr. Martin Leischner Bonn-Rhein-Sieg Netzwerksysteme und TK Modul 7: SNMPv3 Netzmanagement Folie 1 Modul 7: SNMPv3 18.06.2014 14:42:33 M. Leischner Netzmanagement Folie 1 SNMP-Versionen Party-Based SNMP Version 2 (SNMPv2p) User-Based SNMP Version 2 (SNMPv2u) SNMP Version 3 1988 1989 1990 1991 1992 1993

Mehr

Endpoint Security. Where trust begins and ends. SINN GmbH Andreas Fleischmann Technischer Leiter. www.s-inn.de

Endpoint Security. Where trust begins and ends. SINN GmbH Andreas Fleischmann Technischer Leiter. www.s-inn.de Endpoint Security Where trust begins and ends SINN GmbH Andreas Fleischmann Technischer Leiter www.s-inn.de Herausforderung für die IT Wer befindet sich im Netzwerk? Welcher Benutzer? Mit welchem Gerät?

Mehr

Softwaretechnik. Fomuso Ekellem WS 2011/12

Softwaretechnik. Fomuso Ekellem WS 2011/12 WS 2011/12 Inhalt Projektvorstellung Übung 1 Wiederholung zusammengefasst Planungsphase Lernziele Ziele und Inhalt der Planungsphase Anlass und Aufgabestellung(Was ist dabei erförderlich) Requirement Engineering

Mehr

Block R (Rahmen): SE Aktivitäten 21.10.04 2. Vorlesung Methoden des Software Engineering. Block R Rahmen Aktivitäten der Software-Entwicklung

Block R (Rahmen): SE Aktivitäten 21.10.04 2. Vorlesung Methoden des Software Engineering. Block R Rahmen Aktivitäten der Software-Entwicklung Block R (Rahmen): SE Aktivitäten 21.10.04 1 Vorlesung Methoden des Software Engineering Block R Rahmen Aktivitäten der Software-Entwicklung Martin Wirsing Einheit R.2, 21.10.2004 Block R (Rahmen): SE Aktivitäten

Mehr

Software Engineering. 3. Anforderungsanalyse. Franz-Josef Elmer, Universität Basel, HS 2010

Software Engineering. 3. Anforderungsanalyse. Franz-Josef Elmer, Universität Basel, HS 2010 Software Engineering 3. Anforderungsanalyse Franz-Josef Elmer, Universität Basel, HS 2010 Software Engineering: 3. Anforderungsanalyse 2 Definitionen Anforderungen (Requirements): Beschreibung aller Leistungen,

Mehr

Einflussfaktoren auf eine Softwarearchitektur und ihre Wechselwirkungen Entwurfsentscheidungen systematisieren

Einflussfaktoren auf eine Softwarearchitektur und ihre Wechselwirkungen Entwurfsentscheidungen systematisieren 1 Einflussfaktoren auf eine Softwarearchitektur und ihre Wechselwirkungen Entwurfsentscheidungen systematisieren W3L AG info@w3l.de 2011 2 Agenda Softwarearchitektur und Architekturentwurf Definition Überblick

Mehr

Aktive Schnittstellenkontrolle

Aktive Schnittstellenkontrolle Aktive Schnittstellenkontrolle Version 1.0 Ausgabedatum 05.03.2013 Status in Bearbeitung in Abstimmung Freigegeben Ansprechpartner Angelika Martin 0431/988-1280 uld34@datenschutzzentrum.de Inhalt 1 Problematik...2

Mehr

Vorlesung Sicherheit

Vorlesung Sicherheit Vorlesung Sicherheit Dennis Hofheinz IKS, KIT 01.07.2013 1 / 31 Überblick 1 Zugriffskontrolle Das Bell-LaPadula-Modell Das Chinese-Wall-Modell Zusammenfassung 2 Analyse größerer Systeme Motivation Der

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit (Teil 2d) Vorlesung im Sommersemester 2014 an der Universität Ulm von Bernhard C.

Grundlagen des Datenschutzes und der IT-Sicherheit (Teil 2d) Vorlesung im Sommersemester 2014 an der Universität Ulm von Bernhard C. Vorlesung im Sommersemester 2014 an der Universität Ulm von 2. Grundlagen der IT-Sicherheit Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche

Mehr

Der Projektmanager (nach GPM / IPMA) Fragen zur Selbsteinschätzung und für die Prüfungsvorbereitung. Kapitel B Vorgehensmodelle

Der Projektmanager (nach GPM / IPMA) Fragen zur Selbsteinschätzung und für die Prüfungsvorbereitung. Kapitel B Vorgehensmodelle Der Projektmanager (nach GPM / IPMA) Fragen zur Selbsteinschätzung und für die Prüfungsvorbereitung Kapitel B Vorgehensmodelle Inhaltsverzeichnis 1 B Vorgehensmodell... 3 1.1 Welche Vorgehensmodelle sind

Mehr

Data Lineage goes Traceability - oder was Requirements Engineering von Business Intelligence lernen kann

Data Lineage goes Traceability - oder was Requirements Engineering von Business Intelligence lernen kann Data Lineage goes Traceability - oder was Requirements Engineering von Business Intelligence lernen kann Andreas Ditze MID GmbH Kressengartenstraße 10 90402 Nürnberg a.ditze@mid.de Abstract: Data Lineage

Mehr

Requirements Engineering (Anforderungstechnik)

Requirements Engineering (Anforderungstechnik) 5 Requirements Engineering Einführung 5.1 Was ist Requirements Engineering? Erste Näherung: Requirements Engineering (Anforderungstechnik) ist das systematische, disziplinierte und quantitativ erfassbare

Mehr

(c) 2014, Peter Sturm, Universität Trier

(c) 2014, Peter Sturm, Universität Trier Soziotechnische Informationssysteme 6. OAuth, OpenID und SAML Inhalte Motivation OAuth OpenID SAML 1 Grundlagen Schützenswerte Objekte Zugreifende Subjekte Authentifizierung Nachweis einer behaupteten

Mehr

Produktphilosophie erstellen

Produktphilosophie erstellen User Experience Produktphilosophie erstellen Bereich Anforderungen Aktivität Ziele Erleichterte Kommunikation zwischen Stakeholdern Designentscheidungen erleichtern/rechtfertigen schnell durchführbar einfach

Mehr

Seminar Grid-Computing. Oktay Tugan, WS 2006/07 SICHERHEIT

Seminar Grid-Computing. Oktay Tugan, WS 2006/07 SICHERHEIT Seminar Grid-Computing Oktay Tugan, WS 2006/07 SICHERHEIT Überblick Motivation Sicherheitsfunktionen und Schwierigkeiten Anforderungen Beispiel GSI Weitere Sicherheitsmechanismen Gesellschaftliche Probleme

Mehr

IT-Grundschutz praktisch im Projekt Nationales Waffenregister

IT-Grundschutz praktisch im Projekt Nationales Waffenregister IT-Grundschutz praktisch im Projekt Nationales Waffenregister Günther Ennen Bundesamt für Sicherheit in der Informationstechnik 19. Berliner Anwenderforum E-Government am 19. und 20. Februar 2013 Fachforum

Mehr

KASTEL-Zertifikat für Studierende

KASTEL-Zertifikat für Studierende KASTEL-Zertifikat für Studierende Fraunhofer IOSB Institut für angewandte Informatik und formale Beschreibungsverfahren Institut für Informations- und Wirtschaftsrecht Institut für Kryptographie und Sicherheit

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Uniscon universal identity control GmbH Agnes-Pockels-Bogen 1 80992 München für das Verfahren IDGARD Datenschutzkasse,

Mehr

Regelwerk für die Planung und Konzipierung sicherer Datennetze. Dr. Herbert Blum

Regelwerk für die Planung und Konzipierung sicherer Datennetze. Dr. Herbert Blum Regelwerk für die Planung und Konzipierung sicherer Datennetze Dr. Herbert Blum 12. Deutscher IT-Sicherheitskongress Bonn, 7 Anwendung 6 Darstellung 5 Sitzung Anwendung Datensicherheit in Netzen 3 Vermittlung

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

Risikoanalyse mit der OCTAVE-Methode

Risikoanalyse mit der OCTAVE-Methode Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Webanwendungssicherheit und Penetrationstests in Behörden. 13. März 2014, München

Webanwendungssicherheit und Penetrationstests in Behörden. 13. März 2014, München Webanwendungssicherheit und Penetrationstests in Behörden 13. März 2014, München Webanwendungssicherheit und Penetrationstests in Behörden Die Notwendigkeit Server technisch vor Angriffen zu schützen ist

Mehr

Programmierhandbuch SAP NetWeaver* Sicherheit

Programmierhandbuch SAP NetWeaver* Sicherheit Martin Raepple Programmierhandbuch SAP NetWeaver* Sicherheit Galileo Press Bonn Boston Inhalt Vorwort 13 2.1 Sicherheit und serviceorientierte Architekturen 24 2.1.1 Sicherheitsziele der Informationssicherheit

Mehr

ELWIS 3.0. Dokumentation E-Mail-Verteilerlisten

ELWIS 3.0. Dokumentation E-Mail-Verteilerlisten ELWIS 3.0 Dokumentation E-Mail-Verteilerlisten Dienstleistungszentrum Informationstechnik im Geschäftsbereich des BMVBS (DLZ-IT BMVBS) Bundesanstalt für Wasserbau Am Ehrenberg 8, 98693 Ilmenau Stand, 10.02.2011

Mehr

Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen

Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen Sicherheitsarchitektur Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen Ing. Johannes MARIEL, Stabsabteilung Sicherheit & Qualität Februar 2008 www.brz.gv.at Der IT-Dienstleister des Bundes

Mehr

Wirtschaftsportalverbund Sicherheitsklassen

Wirtschaftsportalverbund Sicherheitsklassen Wirtschaftsportalverbund Sicherheitsklassen Version 30.8.2014 Rainer Hörbe 1 Inhalt Inhalt... 2 Begriffe... 2 1 Einführung... 2 2 Geltungsbereich der Sicherheitsklassen... 3 3 Risikoeinstufung der Sicherheitsklassen...

Mehr

Software Requirements Specification

Software Requirements Specification Software Requirements Specification Identifikation von Sehenswürdigkeiten basierend auf Bildinhalten Iterationsschritt: 3 Abgabedatum: 08.06.2010 Gruppe 37: Matthias Hochsteger 0627568 Josef Kemetmüller

Mehr

Autorisierung. Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente

Autorisierung. Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente Autorisierung Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente Dokumentation zum Referat von Matthias Warnicke und Joachim Schröder Modul: Komponenten basierte Softwareentwickelung

Mehr

Experience. nr.52. ERNI Erfahrungsberichte rund um Management-, Prozess- und Technologiethemen. märz 2012

Experience. nr.52. ERNI Erfahrungsberichte rund um Management-, Prozess- und Technologiethemen. märz 2012 ERNI Erfahrungsberichte rund um Management-, Prozess- und Technologiethemen Experience nr.52 märz 2012 RequIREMENTs EngINEERINg Ins Schwarze treffen Ins SchwARze treffen Requirements Engineering: die Grundlagen

Mehr

iphone und ipad im Unternehmen? Ja. Sicher.

iphone und ipad im Unternehmen? Ja. Sicher. iphone und ipad im Unternehmen? Ja. Sicher. Im aktivierten Smartcard-Modus ist der unautorisierte Zugriff auf Geschäftsdaten in SecurePIM nach heutigem Stand der Technik nicht möglich. Ihr Upgrade in die

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen e-netz Südhessen GmbH & Co. KG Dornheimer Weg 24 64293 Darmstadt für das IT System Querverbundleitstelle Darmstadt

Mehr

Anwendung der Aspektorientierung : Security

Anwendung der Aspektorientierung : Security Seminar AOSD Anwendung der Aspektorientierung : Security Miao Tang Betreuer: Dipl.-Inform. Dirk Wischermann 1. Motivation Anwendung der AO: Security 2 Sicherheitsprobleme beim Design und bei der Programmierung

Mehr

Informationssystemanalyse Use Cases 11 1

Informationssystemanalyse Use Cases 11 1 Informationssystemanalyse Use Cases 11 1 Use Cases Slide 1 Als ein populäres Mittel um Anforderungen zu erfassen und Systeme zu beschreiben, werden Use Cases benutzt. Sie bilden die Basis für eine umfassendere

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Multicast Security Group Key Management Architecture (MSEC GKMArch)

Multicast Security Group Key Management Architecture (MSEC GKMArch) Multicast Security Group Key Management Architecture (MSEC GKMArch) draft-ietf-msec-gkmarch-07.txt Internet Security Tobias Engelbrecht Einführung Bei diversen Internetanwendungen, wie zum Beispiel Telefonkonferenzen

Mehr

Software Engineering Analyse und Analysemuster

Software Engineering Analyse und Analysemuster Software Engineering Analyse und Analysemuster Prof. Adrian A. Müller, PMP, PSM 1, CSM Fachbereich Informatik und Mikrosystemtechnik 1 Klassendiagramme in der Analyse Im Rahmen der Anforderungsanalyse

Mehr

Felix Günther. Cryptographic Treatment of Private User Profiles. TU Darmstadt. CAST-Workshop am 24.11.2011 (CAST-Förderpreis 2011)

Felix Günther. Cryptographic Treatment of Private User Profiles. TU Darmstadt. CAST-Workshop am 24.11.2011 (CAST-Förderpreis 2011) Cryptographic Treatment of Private User Profiles CAST-Workshop am 24.11.2011 (CAST-Förderpreis 2011) Felix Günther TU Darmstadt 24. November 2011 CAST-Workshop (CAST-Förderpreis 2011) Felix Günther (TU

Mehr

Projektmodell Softwareentwicklung: Unified Software Development Process / Unified Process (Teil I)

Projektmodell Softwareentwicklung: Unified Software Development Process / Unified Process (Teil I) Projektmodell Softwareentwicklung: Unified Software Development Process / Unified Process (Teil I) Historisch Kulturelle Informationsverarbeitung Hauptseminar: KLIPS 2.0 Dozent: Prof. Dr. Thaller Referent:

Mehr

1 Dataport 12.Juli 2007 Internationale Standards zu Identity Management. Deckblatt. Harald Krause

1 Dataport 12.Juli 2007 Internationale Standards zu Identity Management. Deckblatt. Harald Krause 1 Dataport 12.Juli 2007 Internationale Standards zu Identity Management Deckblatt Bremen, E-Government in medias res, 12. Juli 2007 Internationale Standards zu Identity Management 3 Dataport 12.Juli 2007

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink

Hacker-Methoden in der IT- Sicherheitsausbildung. Dr. Martin Mink Hacker-Methoden in der IT- Sicherheitsausbildung Dr. Martin Mink Hacker-Angriffe 3.11.2010 Hacker-Methoden in der IT-Sicherheitsausbildung Dr. Martin Mink 2 Typische Angriffe auf Web- Anwendungen SQL Injection

Mehr

IT-Grundschutz: Cloud-Bausteine

IT-Grundschutz: Cloud-Bausteine IT-Grundschutz: Cloud-Bausteine Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 12.09.2013 Was sind die Risiken? (Public

Mehr

Grundsätzliche Struktur und Entwurfsprinzipien des Gesamtsystems. Grundsätzliche Struktur und Entwurfsprinzipien der einzelnen Pakete

Grundsätzliche Struktur und Entwurfsprinzipien des Gesamtsystems. Grundsätzliche Struktur und Entwurfsprinzipien der einzelnen Pakete Allgemeines 2 Produktübersicht 2 Grundsätzliche Struktur und Entwurfsprinzipien des Gesamtsystems 3 Grundsätzliche Struktur und Entwurfsprinzipien der einzelnen Pakete Account-Verwaltung 5 Freund-Funktionen

Mehr

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen Dirk Loomans, Micha-Klaus Müller Bedrohungs- und Schwachstellenanalysen Übersicht über die Arbeitshilfen risikoanalyse.doc Das Klammersymbol Checkliste zur Durchführung einer Risikoanalyse im Text verweist

Mehr

Grob- und Detailplanung bei der Implementierung nutzen

Grob- und Detailplanung bei der Implementierung nutzen Softwarearchitektur Grob- und Detailplanung bei der Implementierung nutzen Bereich Realisierung Aktivität Softwareinkrement realisieren Ziele Vermitteln einer Orientierungshilfe für alle Entwickler Etablierung

Mehr

XML-Sicherheitsdienste für das Netzwerk der Global Biodiversity Information Facility GBIF

XML-Sicherheitsdienste für das Netzwerk der Global Biodiversity Information Facility GBIF XML-Sicherheitsdienste für das Netzwerk der Global Biodiversity Information Facility GBIF Dipl.-Inf. Lutz Suhrbier Prof. Dr.-Ing. Robert Tolksdorf Dipl.-Inf. Ekaterina Langer Freie Universität Berlin Institut

Mehr

11 Security Engineering

11 Security Engineering 11 Security Engineering d.h. sichere Entwicklung sicherer Software (safe) (secure) oder sicherheitsbewusste Softwaretechnik ITS-11.1 1 Bei traditionellen Phasenmodellen: Anforderungsermittlung/Systemspezifikation

Mehr

Softwarepraktikum SS 2005 Inhalt - VL 10. Softwaretechnik. Softwareentwicklungszyklus (2) Wasserfallmodell. Softwareentwicklungszyklus

Softwarepraktikum SS 2005 Inhalt - VL 10. Softwaretechnik. Softwareentwicklungszyklus (2) Wasserfallmodell. Softwareentwicklungszyklus Softwarepraktikum SS 2005 Inhalt - VL 10 1 Softwaretechnik 2 Anforderungsanalyse 3 Systemmodelle Softwaretechnik Technische Disziplin, mit dem Ziel, kosteneffektiv Softwaresysteme zu entwickeln Techniken

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

16 Architekturentwurf Einführung und Überblick

16 Architekturentwurf Einführung und Überblick Teil III: Software-Architekturentwurf 16 Architekturentwurf Einführung und Überblick 16.1 Software entwerfen Warum? Beim Arbeiten im Kleinen nicht oder nur ansatzweise (Detailentwurf) Größere Software

Mehr

ebusiness Lösung Dokumentenaustausch im

ebusiness Lösung Dokumentenaustausch im LEITFADEN ebusiness Lösung Dokumentenaustausch im Web Zusammenarbeit vereinfachen ebusiness Lösung Dokumentenaustausch im Web Impressum Herausgeber ebusiness Lotse Darmstadt-Dieburg Hochschule Darmstadt

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

Abschnitt 16: Objektorientiertes Design

Abschnitt 16: Objektorientiertes Design Abschnitt 16: Objektorientiertes Design 16. Objektorientiertes Design 16 Objektorientiertes Design Informatik 2 (SS 07) 610 Software-Entwicklung Zur Software-Entwicklung existiert eine Vielfalt von Vorgehensweisen

Mehr

Quality Point München

Quality Point München Quality Point München Test webbasierter Applikationen - Vorgehen, Instrumente, Probleme Gestern habe ich mich wieder über eine fehlerhafte Webanwendung geärgert. Muss das sein? Test ist halt auch hier

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

ITIL & TOGAF die Doppelspitze für IT Governance

ITIL & TOGAF die Doppelspitze für IT Governance 1 ITIL Day 2014 ITIL & TOGAF die Doppelspitze für IT Governance Referenten: Arif Chughtai, Matthias Gessenay 2 Referenten Arif Chughtai mail@arifchughtai.org www.arifchughtai.org Matthias Gessenay matthias.gessenay@corporatesoftware.ch

Mehr

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz IT-Grundschutz modellieren modellieren Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz / Überblick IT- Grundschutzhandbuch (GSHB) betrachtet im Allgemeinen folgende Merkmale: Infrastruktur

Mehr