Frauen in der Security Forschung. Women in Security Research

Transkript

1 Frauen in der Security Forschung Women in Security Research

2 Bühne frei für Frauen Eva Czernohorszky Now it s time for women Nur jede sechste Person, die in einem österreichischen Unternehmen forscht, ist eine Frau. In Wien ist es jede fünfte. In Austrian enterprises, only one in six researchers is a woman. In Vienna, it is one in five. Diese bittere Tatsache hat mehrere Gründe einer davon ist der Teufelskreis der Vorbildwirkung: Gibt es wenige Frauen in der Forschung, so ist auch das Bild der Forschung in der Öffentlichkeit männlich. Fehlen geeignete Rollenvorbilder, fühlen sich weniger Mädchen angesprochen, Forschungsberufe zu ergreifen was sich in den Studierendenzahlen naturwissenschaftlicher und technischer Studienrichtungen widerspiegelt. There are many reasons behind this bitter truth. One of them is the vicious circle of social patterns: the low number of female researchers leads to a generally masculine image of research in our society. A lack of adequate role models may keep girls from pursuing a research career a circumstance that is also reflected by the small number of female students enrolling in science and engineering programs. Umso erfreulicher ist das vorliegende Werk von SBA Research, das Forscherinnen in diesem Kompetenzzentrum porträtiert. Denn ebenso wichtig wie frauenspezifische Fördermaßnahmen der ZIT ist es, das Bild des weißhaarigen Forschers im weißen Laborkittel in den Medien zu verdrängen und mit Bildern zu ersetzen, die tatsächlich abbilden, wer heute in Unternehmen forscht. Gemeinsam mit vielen anderen Maßnahmen Förderungen, Bewusstseinsbildung, Berufsorientierung abseits von Rollenklischees etc. bewirkt die Sichtbarmachung, dass in hoffentlich naher Zukunft gleich viele Frauen wie Männer forschen. Against this backdrop, this folder by SBA Research is a positive signal, as it portrays the competence center s female researchers. Changing the image of research is just as important as ZIT s funding programs for women. There needs to be a change in the way media portray science, away from greybeards in lab coats towards a more truthful view of the real-life situation. Visualizing the current status, together with other measures, such as funding, awareness raising and impartial career counseling, will hopefully soon result in a well-balanced ratio of female and male researchers. 1

3 Frauen in Security Women in Security Security ist ein facettenreiches und interdisziplinäres Forschungsfeld Stefanie Rinderle-Ma Ich habe mich für eine Karriere in der Forschung entschieden und dies noch nie bereut. Sich für Forschung zu interessieren, bedeutet für mich, neugierig zu sein und zu bleiben, nie aufzuhören, Fragen zu stellen sowie bisher unentdeckte Pfade zu beschreiten und Neues zu entdecken. Forschen heißt für mich dagegen nicht, in einem Elfenbeinturm isoliert von der Außenwelt zu sitzen und Gedankenkonstrukte zu schmieden, sondern vielmehr in kreativen Umgebungen mit inspirierten Teams zu arbeiten und sich auszutauschen. Dies ist heutzutage umso wichtiger, da Forschung zunehmend die Grenzen verschiedener Disziplinen überschreitet und sie miteinander verbindet. Dies gilt insbesondere auch für die Forschung im Bereich Security. Security ist ein facettenreiches und interdisziplinäres Forschungsfeld. So können zum Beispiel mathematische, wirtschaftliche oder auch technische Fragestellungen untersucht werden. Diese Vielfalt spiegelt sich auch in den folgenden Beiträgen und Forschungsschwerpunkten der in diesem Bereich tätigen Wissenschaftlerinnen wider. Ich wünsche viel Vergnügen bei der Lektüre der Broschüre Frauen in der Security Forschung und eine mögliche Inspiration für den eigenen Karriereweg. Security is a diverse and interdisciplinary field of research I chose a career in research and have never regretted it. To me, an interest in research means never losing your curiosity, never stopping asking questions, constantly trying new approaches, and making discoveries. Research, to me, is not sitting in an ivory tower far removed from the outside world, building thought constructs. Rather, it means working in creative environments with inspired teams, exchanging ideas and knowledge. This is particularly important today, as research increasingly crosses the boundaries of disciplines, bringing them closer together. This also holds true for security research. Security is a diverse and interdisciplinary field of research, addressing, among others, mathematical, economic and technical research questions. This diversity is reflected in the contributions and research interests of the female researchers in this publication. I hope you enjoy reading this publication on Women in Security Research perhaps it will even inspire you in your career. 2

4 Maria Leitner PhD Student Ich bin Doktorandin in der Workflow Systems and Technology Gruppe an der Fakultät für Informatik, Universität Wien. Im Rahmen der Kooperation mit SBA Research beschäftige ich mich mit Sicherheitskonzepten in adaptiven Geschäftsprozesssystemen. Oft wird in Geschäftsprozesssystemen nur auf eine spezielle Komponente zur Sicherung, wie zum Beispiel die Zugriffskontrolle, geachtet. Hingegen wird ein Gesamtkonzept für Sicherheit in diesen Systemen häufig vernachlässigt. Die Analyse der funktionalen Änderungen in Geschäftsprozesssystemen zeigte, dass die Systeme zum Beispiel bei Änderungen von Kontroll- und Datenfluss nicht ausreichend gesichert sind. Jedoch kann durch die kontrollierte Anwendung von Änderungen mittels Zugriffskontrolle die Sicherheit erhöht werden. I am a PhD student at the Workflow Systems and Technology Group at the Faculty of Computer Science, University of Vienna. In cooperation with SBA Research, my research focus lies on security mechanisms in adaptive process-aware information systems. Literature research provides evidence that a holistic approach is often missing in processaware information systems, because research focuses mostly on specific security functions such as access control. The examination of functional changes in process-aware information systems showed that control flow or data flow changes are insufficiently secured. Hence, we enabled the controlled application of changes with access control to improve security. Sichere adaptive Workflows Secure adaptive workflows 1. M. Leitner, J. Mangler, S. Rinderle-Ma: SPRINT Responsibilities: Design and development of security policies in process-aware information systems, Journal of Wireless Mobile Networks, Ubiquitous Computing, and Dependable Applications (JoWUA) Vol. 2(4) 2011, pp ISYOU 3. S. Rinderle-Ma, M. Leitner: On evolving organizational models without losing control on authorization constraints in web service orchestrations, In: IEEE 12th Conference on Commerce and Enterprise Computing (CEC), Shanghai, China, November 2011, pp IEEE 2. M. Leitner, S. Rinderle-Ma, J. Mangler: AW-RBAC: access control in adaptive workflow systems, In: 6th International Conference on Availability, Reliability and Security (ARES), Vienna, Austria, August 2011, pp IEEE 3

5 Frauen in Security Women in Security Martina Lindorfer PhD Student Ich arbeite an meiner Doktorarbeit mit Schwerpunkt auf der Analyse von Malware. Insbesondere Analyse von Malware erforsche ich, wie Malware ihr Verhalten im Laufe der Zeit verändert und sich weiterentwickelt. Dabei Analysis of malware setze ich statische Analysemethoden ein, um Veränderungen im Code der Malware zu erkennen und nutze dynamische Analysemethoden, um diese Änderungen Verhaltensmustern zuzuordnen. Darüber hinaus beschäftige ich mich auch mit Anti-Analyse-Verhalten von Malware, das dazu dient die Analyse in einer dynamischen Analyse-Sandbox zu umgehen. I am currently working on my PhD focusing on the analysis of malware. Especially, I am researching the evolution of malware by investigating how malware samples change and update their behavior over time. To this end I employ static analysis techniques to detect changes in the malware binaries and dynamic analysis techniques to map these code changes to behavioral patterns. Furthermore, my research interests also include anti-analysis behavior in malware that is targeted at circumventing the analysis in dynamic analysis sandboxes. 1. M. Lindorfer, C. Kolbitsch, P. Milani Comparetti: Detecting Environment-Sensitive Malware, In: International Symposium on Recent Advances in Intrusion Detection (RAID), Menlo Park, California, September 2011, pp Springer LNCS Vol

6 Stephanie Jakoubi Project Manager Ich arbeite seit 2009 als Projektleiterin bei SBA Research und bin unter anderem an der Entwicklung eines Programms zur Verarbeitung von Sicherheitsmeldungen beteiligt. Dieses wird in Zusammenarbeit mit der CERT-Abteilung eines Wirtschaftspartners erarbeitet und dient der Sammlung, Verwaltung und Verteilung von Sicherheitsmeldungen. Die Analyse der Sicherheitsmeldungen unterschiedlicher Quellen und die Erstellung einer einheitlichen Struktur stellten dabei eine wichtige Aufgabe dar. Des Weiteren musste ein Algorithmus zur Erkennung redundanter Sicherheitsmeldungen erarbeitet werden. I have been working as a project manager at SBA Research since 2009 and I am currently working on a tool for managing security vulnerabilities in cooperation with the CERT team of one of our partner companies. The prototype collects, sorts, manages and distributes vulnerability advisories. A major task of this project was collecting and analyzing security messages from various sources and developing a standardized format. Furthermore we had to develop an algorithm for finding duplicate messages. Sicherheitsmeldungen Vulnerability advisories 5

7 Frauen in Security Women in Security Stefanie Rinderle-Ma Full Professor Geschäftsprozesse bilden betriebliche Abläufe ab, z. B. Behandlungspfade im Krankenhaus oder die Abwicklung von Schadensfällen in einem Sichere Geschäftsprozesse Versicherungsunternehmen. Geschäftsprozesse sind dabei komplexe Gebilde aus möglicherweise Secure business processes vielen Arbeitsschritten, die manuell oder automatisiert ausgeführt werden und mehr oder weniger sensible Daten lesen, weitergeben und verarbeiten. Daher muss sichergestellt werden, dass nur berechtigte Personen auf Daten im Prozess zugreifen dürfen, beispielsweise nur der behandelnde Arzt Blutwerte einer Patientin einsehen darf. Die Frage, wie man geeignete Berechtigungen für Geschäftsprozesse mit dem Computer modellieren, umsetzen und prüfen kann, insbesondere auch, wenn sich der Prozess oder die Berechtigungen im Unternehmen einmal ändern, bildet einen Schwerpunkt unserer Zusammenarbeit mit SBA Research. Business processes are present in almost every enterprise, e. g. patient treatment processes in hospitals or handling claims by insurance companies. In many cases several people are working on the processes dealing with potentially sensitive data. Hence it is crucial that only authorized personnel can read and update data. For example, only the physician should be allowed to access the blood test results of a certain patient. The main focus of our work with SBA Research lies on the examination of how such authorizations can be modeled, implemented, and checked by using computers, particularly when processes or organizational structures undergo changes. 1. S. Rinderle-Ma, M. Leitner: On evolving organizational models without losing control on authorization constraints in web service orchestrations, In: IEEE 12th Conference on Commerce and Enterprise Computing (CEC), Shanghai, China, November 2011, pp IEEE 3. M. Leitner, S. Rinderle-Ma, J. Mangler: SPRINT Responsibilities: Design and development of security policies in process-aware information systems, Journal of Wireless Mobile Networks, Ubiquitous Computing, and Dependable Applications (JoWUA), Vol. 2(4) 2011, pp ISYOU 2. M. Leitner, S. Rinderle-Ma, J. Mangler: AW-RBAC: access control in adaptive workflow systems, In: 6th International Conference on Availability, Reliability and Security (ARES), Vienna, Austria, August 2011, pp IEEE 6

8 Katharina Krombholz Master Student Ich schreibe derzeit meine Diplomarbeit über soziale Netzwerke und damit zusammenhängende Gefahren bezüglich Privatsphäre und Datenschutz. Ich habe mich für dieses sehr aktuelle Thema entschieden, da die meisten Leute, vor allem Jugendliche, sehr viel Zeit auf Facebook, Google+ oder Twitter verbringen. Ziel meiner Forschungsarbeit gemeinsam mit SBA Research ist es, mittels qualitativer und quantitativer Methoden, wie Beobachtungen und Befragungen, zu ermitteln, wie vor allem junge Menschen mit ihren persönlichen Daten und publizierten Inhalten in sozialen Netzwerken umgehen. Weiters sollen ein Überblick über technische Sicherheitslücken in Hinblick auf die Datenschutzproblematik gegeben sowie Strategien für einen besseren Umgang damit aufgezeigt werden. I am currently writing my thesis about social networks and associated risks regarding privacy and data security. Social media sites such as Facebook, Google+ or Twitter have become very popular in recent years. Many people, especially adolescents, spend a lot of time on such platforms. The goal of my joint research with SBA Research is to utilize qualitative and quantitative methods, such as surveys, interviews and observations, to determine how young people manage their data in social Soziale Netzwerke und Privatsphäre networks. I also want to provide an overview of the risks and technical issues concerning security and data privacy in social networks as well as strategies Privacy in social networks for better handling. 7

9 Frauen in Security Women in Security Sigrun Goluch PhD Student Der Fokus meiner Forschungstätigkeit bei SBA Research liegt auf der Modellierung und Simulation von komplexen Strukturen als Grundlage für die Umsetzung von Sicherheitskonzepten und Simulation von Geschäftsprozessen als Basis für Tests möglicher Angriffsmodelle. Solch simulierte Strukturen können verschiedenster Natur sein, z. B. ein Unternehmen mit unterschiedlichen Simulating business processes Geschäftsprozessen oder ein soziales Netzwerk wie Facebook. Informationssicherheitsbezogene Geschäftsprozessmodellierung stellt eine neuartige Herausforderung dar. Die gesonderte Behandlung der Thematiken, also entweder Geschäftsprozessoder Sicherheitsmodellierung, kann zwar als gut erforscht bezeichnet werden, die Verbindung der beiden Ansätze ist aber noch relativ unerforscht, obwohl in der heutigen Zeit aus der Wirtschaftswelt nicht wegzudenken. The main focus of my research at SBA Research lies on modeling and simulating complex structures to be used as foundation for the implementation of security concepts as well as the basis for abstract testing of security threats. Those structures can be of different nature, e. g. a business with different underlying business processes or even a social network like Facebook. Business process modeling and simulation are used to enable desired business process optimizations. Current approaches mainly focus on economic aspects while security aspects are dealt with in separate initiatives. To establish an interconnection between these crucially important parts for maintaining a business process is a rather new but very important approach. 1. S. Tjoa, S. Jakoubi, S. Goluch, G. Kitzler, G. Goluch, G. Quirchmayr: A formal approach enabling risk-aware business process modeling and simulation, Journal IEEE Transactions on Services Computing, 2010, pp. 4: IEEE 3. M. Huber, M. Mulazzani, S. Goluch, G. Kitzler: Friend-in-the-middle attacks: Exploiting social net-working sites for spam, IEEE Internet Computing: Special Issue on Security and Privacy in Social Networks, Vol. 15(3) 2011, pp IEEE 2. S. Jakoubi, S. Tjoa, S. Goluch, G. Kitzler: Risk-Aware Business Process Management: Establishing the Link Between Business and Security, Journal Optimization and Its Applications, Vol , pp Springer New York 8

10 Simone Kriglstein Postdoc Im Rahmen meiner Dissertation kombinierte ich Ansätze aus dem Bereich Human Computer Interaction, Ontologie und Visualisierung, um einen benutzergerechten Visualisierungsansatz für Ontologien zu entwickeln. In meiner aktuellen Forschungsarbeit für SBA Research nutze ich meine gewonnenen Kenntnisse, um sicherheitsrelevante Aspekte (z. B. Zugriffskontrollen) in Geschäftsprozesssystemen benutzergerecht aufzubereiten. Dabei können Visualisierungen maßgeblich helfen, um Konzepte sowie deren Beziehungen zu erkennen. In my doctoral thesis I described an approach for the development process of ontology visualizations through the help of the human centered design approach. In my work for the SBA Research I am using my gained knowledge to express security-relevant aspects (e. g. access control) of business processes in a user friendly way. Especially visualization can help to convey concepts and their relationships. Visualisierung & Sicherheit Visualization & security 1. S. Kriglstein, S. Rinderle-Ma: Change Visualization in Business Processes Requirements Analysis, In: International Joint Conference on Computer Vision, Imaging and Computer Graphics Theory and Applications (VISIGRAPP/IVAPP), Rome, Italy, February 2012, pp SciTePress 3. S. Kriglstein, G. Wallner: Development Process and Evaluation of the Ontology Visualization Tool Knoocks A Case Study, In: International Joint Conference on Computer Vision, Imaging and Computer Graphics Theory and Applications (VISIGRAPP/IVAPP), Vilamoura, Algarve, Portugal, March 2011, pp SciTePress 2. S. Kabicher, S. Kriglstein, S. Rinderle-Ma: Visual Change Tracking for Business Process Models, In: 30th International Conference on Conceptual Modeling (ER), Brussels, Belgium, November 2011, pp Springer LNCS Vol

11 Frauen in Security Women in Security Christine Strauss Associate Professor Sicherheitsthemen sind Inhalt meiner Arbeiten seit Beginn meiner wissenschaftlichen Karriere. So habe ich mich in meiner Diplomarbeit an der Universität Wien mit Sicherheitsstandards Ganzheitliches Sicherheitsmanagement beschäftigt. Thema meiner Dissertation an der Universität Zürich war Sicherheitsmanagement; im Speziellen die Fragestellung, Investitionen in Integrated security management Sicherheitsmaßnahmen mit den Prinzipien eines Unternehmens in Einklang zu bringen. Mit zunehmender Verbreitung von Electronic Business sind Sicherheitsfragen für nahezu alle Unternehmen und Volkswirtschaften ein zentrales, komplexes Thema geworden, das Know-How aus etlichen Wissenschaftsdisziplinen braucht (z. B. Wirtschaftsrecht, Privatrecht, Betriebswirtschaft, Volkswirtschaft, Psychologie, Soziologie etc.). In meinem aktuellen Projekt bei SBA Research wird der Frage nachgegangen, wie konkrete Bedrohungen für Unternehmen aussehen können, welche Profile Angreifer haben können, welche Gegenmaßnahmen ergriffen werden können, und wie wirtschaftlich gerechtfertigte Maßnahmen gesetzt werden können. Security has been the focus of my research from the very beginning of my scientific career. I wrote my thesis at the University of Vienna on security standards. The topic of my dissertation at the University of Zurich was security management, focusing on the question how investments in security measures can be aligned with a company s principles. Due to an increase in ebusiness, security related issues have become more and more important for almost all kinds of enterprises and economics, proving the matters very relevance and the necessity to combine know-how from various scientific disciplines, e. g. commercial law, civil law, business administration, economy, psychology or sociology. In a current project with SBA Research we focus on the simulation of real-life threats and attacker profiles and, consequently, the development of countermeasures under the aspects of efficiency as well as profitability. 1. N. Kryvinska, C. Strauss, B. Collini-Nocker, P. Zinterhof: Enterprise Network Maintaining Mobility Architectural Model of Services Delivery, International Journal of Pervasive Computing and Communications (IJPCC), Vol. 7(2) 2011, pp C. Strauss: Quantitatives Risk-Management zur Bewältigung informationstechnischer Sicherheitsprobleme, Zeitschrift für betriebswirtschaftliche Forschung, Vol. 47(7/8) 1995, pp C. Strauss, C. Stummer: Multiobjective Decision Support in IT-Risk Management, International Journal of Information Technology and Decision Making (IJTDM), Vol. 1(2) 2002, pp

12 Anne Baumgrass PhD Student Meine Forschungstätigkeit an der Wirtschaftsuniversität Wien in Kooperation mit SBA Research richtet sich auf die Entwicklung automatisierter Ansätze zur Unterstützung des Role Engineering. Role Engineering befasst sich mit der Definition sogenannter rollenbasierter Zugriffskontrollmodelle (RBAC). Diese legen fest, über welche Berechtigungen die Mitarbeiter einer Organisation zur Durchführung bestimmter Aufgaben verfügen, etwa zur Bearbeitung eines Dokuments oder zur Benutzung eines spezifischen Informationssystems. Unser Ansatz zur automatisierten Entwicklung derartiger RBAC Modelle baut auf Daten auf, die in einer Organisation bereits existieren, wie beispielsweise Prozessbeschrei-bungen. Dadurch lassen sich zahlreiche monotone, zeitraubende Aufgaben des Role Engineering ersetzen. Role-based access control (RBAC) is a de facto standard to specify permissions required for legitimating users to perform their respective tasks within an organization. However, the definition of RBAC models is a costly task. Several steps are monotonous, time-consuming and can get tedious if conducted manually. In my current research at the Vienna University of Economics and Business in cooperation with SBA Research I am developing approaches to automatically derive RBAC artifacts using existing data in corporate systems, e. g. data from descriptions or execution histories of processes in information systems. In our research projects we demonstrate that such automation helps to reduce time-consuming and monotonous tasks significantly without loss of reliability. Rollenbasierte Zugriffskontrolle Role-based access control 1. A. Baumgrass, M. Strembeck, S. Rinderle-Ma: Deriving Role Engineering Artifacts from Business Processes and Scenario Models, In: 16th ACM Symposium on Access Control Models and Technologies (SACMAT), Innsbruck, Austria, June 2011, pp ACM 2. A. Baumgrass: Deriving current state RBAC models from event logs, In: 6th International Conference on Availability, Reliability and Security (ARES), Vienna, Austria, August 2011, pp IEEE 3. A. Baumgrass, T. Baier, J. Mendling, M. Strembeck: Conformance Checking of RBAC Policies in Process- Aware Information Systems, In: BPM Workshop on Workflow Security Audit and Certification (WfSAC), Clermont-Ferrand, France, August 2011, pp Springer LNBIP Vol

13 Frauen in Security Women in Security Sigrid Schefer-Wenzl PhD Student Sicherheitsbedingungen für Geschäftsprozesse Security constraints in business processes Im Rahmen meiner Forschungstätigkeit an der Wirtschaftsuniversität Wien und bei SBA Research beschäftige ich mich mit sicherheitsrelevanten Aspekten in Geschäftsprozessen, mit dem Ziel sie modellieren und prüfen zu können. Geschäftsprozessmodelle bilden Abläufe in Organisationen ab. Die visuelle Darstellung von Geschäftsprozessen ist beispielsweise ein wichtiges Hilfsmittel zur Kommunikation zwischen unterschiedlichen Interessensvertretern einer Organisation. Sicherheitsaspekte werden bei der Geschäftsprozessmodellierung jedoch häufig vernachlässigt. Dies kann zu Intransparenzen, Inkonsistenzen oder zu fehlender bzw. falscher Durchsetzung von Sicherheitsrichtlinien führen. In unserem Forschungsprojekt erarbeiten wir wissenschaftlich fundierte und praxistaugliche Ansätze für die integrierte Modellierung von Geschäftsprozessen und Sicherheitsaspekten. At the Vienna University of Economics and Business and together with SBA Research I am dealing with security-related aspects in business processes with the objective of modeling and checking them. Business process models show the sequences of actions performed in an organization. The visual representation of business processes facilitates communication between different organizational stakeholders. However, modeling support for security aspects in business processes is largely missing today. This causes intransparencies, inconsistencies or errors when enforcing security policies. In our research project we develop scientific and practical approaches for the integrated modeling of business processes and security aspects. 1. S. Schefer, M. Strembeck, J. Mendling, A. Baumgrass: Detecting and Resolving Conflicts of Mutual-Exclusion and Binding Constraints in a Business Process Context, In: 19th International Conference on Cooperative Information Systems (CoopIS), Crete, Greece, October 2011, pp Springer LNCS Vol S. Schefer, M. Strembeck, J. Mendling: Checking Satisfiability Aspects of Binding Constraints in a Business Process Context, In: BPM Workshop on Workflow Security Audit and Certification (WfSAC), Clermont-Ferrand, France, August 2011, pp Springer LNBIP Vol S. Schefer, M. Strembeck: Modeling Process-Related Duties with Extended UML Activity and Interaction Diagrams, In: International Workshop on Flexible Workflows in Distributed Systems, Workshops der wissenschaftlichen Konferenz: Kommunikation in verteilten Systemen (WowKiVS), Electronic Communications of the EASST, Kiel, Germany, March 2011, Vol

14 Elisabeth Weigl Researcher Als wissenschaftliche Mitarbeiterin im TIMBUS Projekt, einem teilweise von der EU geförderten Kooperationsprojekt im Bereich Digital Preservation in dessen Konsortium sich SBA Research befindet, beschäftige ich mich mit der Langzeitarchivierung von Geschäftsprozessen. Mein Forschungsschwerpunkt liegt bei Software Escrow, einem Treuhand- Service zwischen Softwarekäufer und Softwarehersteller, der sicherstellt, dass der Sourcecode des gelieferten Produkts im Falle eines geschäftlichen Wegfalls des Produzenten (z. B. Insolvenz) dem Käufer übergeben wird. Dafür ist es wichtig, die zu archivierenden Teile eines Softwareprojekts zu identifizieren um Datenintegrität and daher Informationssicherheit zu gewährleisten. As researcher in the TIMBUS project, a partially EU-funded cooperation project in the area of digital preservation, of whose consortium SBA Research is a member, I am concerned with preserving business services over long-term periods. My research focus lies on software escrow, which is a third party service for software purchasers and software providers that ensures that the purchaser gets the source code should the provider no longer be available, e. g., because of bankruptcy. For this service, it is important to identify which parts of the software have to be preserved to guarantee data integrity and, therefore, information security. Digitale Archivierung von Geschäftsprozessen Digital preservation of business processes 13

15 Frauen in Security Women in Security Natalia Kryvinska Postdoc Verlässlichkeit und Verfügbarkeit Availability and reliability Bereits seit den späten Neunzigerjahren befasse ich mich in meinen Forschungsarbeiten mit der Verlässlichkeit konvergierender Netzwerkarchitekturen sowie der Verfügbarkeit von Diensten in heterogenen Umgebungen. Meine Forschungsergebnisse finden sich nicht nur in meiner Dissertation, sondern führten in weiterer Folge zu einer Vielzahl von Vorträgen auf internationalen wissenschaftlichen Konferenzen und Publikationen in anerkannten Fachjournalen. Aufbauend auf diesen Forschungsergebnissen führe ich derzeit meine Studien im Bereich Electronic Business fort und beschäftige mich hier mit der höchstmöglichen Verfügbarkeit von eservices und der Verlässlichkeit der diesen zugrunde liegenden Netzwerkinfrastrukturen. Somit befinden sich zwei wesentliche Erfolgsfaktoren von ebusiness im Fokus meiner Untersuchungen. I have been conducting research on the reliability of converged network architectures and the availability of services in heterogeneous environments since the late 1990s. The results of my research can be found not only in my dissertation; they have also been presented at a considerable number of scientific conferences and published in refereed journals. Based on the results of my previous studies, my current work focuses on the area of electronic business. My research interests are the highest possible availability of eservices and the reliability of the network infrastructure behind them, making two fundamental success factors of ebusiness the focus of my work. 1. N. Kryvinska, C. Strauss, P. Zinterhof: A Method to Increase Services Availability on Web-based Inter- Enterprise Service Delivery Platforms, In: 5th IEEE International Conference on P2P, Parallel, Grid, Cloud and Internet Computing (3PGCIC), Fukuoka, Japan, November 2010, pp IEEE 3. N. Kryvinska: Intelligent Network Analysis by Closed Queueing Models, Journal Telecommunication Systems, Vol. 27(1) 2004, pp Kluwer/Springer 2. N. Kryvinska: An Analytical Approach for the Modeling of Real-time Services over IP Network, Journal Mathematics and Computers in Simulation, Elsevier Transactions of IMACS, Vol , pp

16 Melanie Breier Researcher Ich studiere Wirtschaftsinformatik an der Technischen Universität Wien und arbeite seit 2008 auch im Team der SBA Research an verschiedensten Projekten mit. Dabei bin ich sowohl als Forscherin als auch als Softwareentwicklerin tätig. Aktuell arbeite ich an einer auf Microsoft Share- Point Technologie basierenden Applikation, welche es Unternehmen ermöglicht, wesentliche Prozesse eines Informationssicherheitsmanagementsystems (ISMS) abzubilden und zu kontrollieren. Dabei wird die von ISO und ISO 9001 geforderte nachvollziehbare Dokumentenlenkung ermöglicht und workflowgestütztes Anstoßen des Review- und Genehmigungszyklus gewährleistet. I am a student of business informatics at the Vienna University of Technology. Alongside my studies, I have been working on various projects as researcher and software developer at SBA Research since Currently, I am working on as researcher and developer on a SharePoint-based solution to support the ISO as well as the ISO 9001 certification. Among the features provided are ISO-compliant document management and workflows to support processes (document Workflow gestütztes ISMS approval, document review, document publishing) based on best practices, and a reporting system Workflow based ISMS that supports a live overview of essential ISMS key performance indicators. 15

17 SBA Research ggmbh Favoritenstraße 16, 2. Stock 1040 Wien Telefon: Das Kompetenzzentrum SBA Research wird im Rahmen von COMET Competence Centers for Excellent Technologies durch BMVIT, BMWFJ, das Land Wien gefördert. Das Programm COMET wird durch die FFG abgewickelt.