Teil I Grundlagen des Risikomanagements und der IT-Sicherheit

Größe: px
Ab Seite anzeigen:

Download "Teil I Grundlagen des Risikomanagements und der IT-Sicherheit"

Transkript

1

2 Auf einen Blick Teil I Grundlagen des Risikomanagements und der IT-Sicherheit 1 Risiko- und Kontrollmanagement Enterprise-Risk-Management-Strategie Anforderungen Sicherheitsstandards Informationstechnische Sicherheit Teil II Sicherheit in SAP NetWeaver und Anwendungssicherheit 6 ERM Navigation Control Map Webservices, Enterprise Services und serviceorientierte Architekturen GRC-Lösungen in SAP BusinessObjects SAP NetWeaver Application Server SAP NetWeaver Business Warehouse BI-Lösungen in SAP BusinessObjects SAP NetWeaver Process Integration SAP Partner Connectivity Kit Klassische SAP-Middleware SAP NetWeaver Master Data Management SAP NetWeaver Portal SAP NetWeaver Mobile SAP Auto-ID Infrastructure SAP Solution Manager Berechtigungen in SAP ERP SAP ERP Human Capital Management und Datenschutz SAP Strategic Enterprise Management SAP Customer Relationship Management SAP Supply Chain Management SAP Supplier Relationship Management Branchenspezifische SAP-Lösungsportfolios Datenbankserver User Interfaces

3 Inhalt Geleitwort von Wolfgang Lassmann Geleitwort von Monika Egle Geleitwort von Jose Estrada Einleitung Teil I: Grundlagen des Risikomanagements und der IT-Sicherheit 1 Risiko- und Kontrollmanagement Sicherheitsziele Unternehmenswerte Typen von Unternehmenswerten Klassifizierung von Unternehmenswerten Risiken Risikotypen Klassifizierung von Risiken Kontrollen Kontrolltypen Klassifizierung von Kontrollen Enterprise-Risk-Management-Strategie Status quo Komponenten Rahmenbedingungen Strategie Methoden Best Practices Dokumentation Best Practices einer SAP-Sicherheitsstrategie Vorgehensweise Prinzip der Informationsverantwortung Identity Management Anforderungen Rechtliche Anforderungen Sarbanes-Oxley Act SOX-Umsetzung in Japan

4 Inhalt Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme International Financial Reporting Standards Branchenspezifische Anforderungen Nahrungsmittel- und pharmazeutische Industrie und Medizintechnik Finanz-, Kredit- und Bankwirtschaft Basel (I, II, III) Chemiestoffe und Umweltschutz Innerbetriebliche Anforderungen Sicherheitsstandards Internationale Sicherheitsstandards ISO/IEC 27002: CobiT IT Infrastructure Library COSO Länderspezifische Sicherheitsstandards NIST Special Publication IT-Grundschutz-Kataloge PIPEDA Informationstechnische Sicherheit Kryptografie Symmetrisches Verschlüsselungsverfahren Asymmetrisches Verschlüsselungsverfahren Kryptografie mit elliptischen Kurven Hybrides Verschlüsselungsverfahren Secure-Socket-Layer-Verschlüsselung Hash-Verfahren Digitale Signatur Public-Key-Infrastruktur Authentisierungsverfahren Benutzername und Passwort Challenge Response Kerberos Secure Token Digitales Zertifikat Biometrische Verfahren

5 Inhalt 5.4 Netzwerkgrundlagen und Sicherheitsaspekte OSI-Schichtenmodell Firewall-Technologien im Überblick Teil II: Sicherheit in SAP NetWeaver und Anwendungssicherheit 6 ERM Navigation Control Map SAP-Anwendungen Komponenten von SAP NetWeaver Sicherheitstechnologien Berechtigungen, Risiko- und Änderungsmanagement und Revision Identity Management Gesicherte Authentisierung und Single Sign-on Technische Sicherheit Einflussfaktoren Webservices, Enterprise Services und serviceorientierte Architekturen Einführung und technische Grundlagen Sicherheitskriterien für Webservices Sicherheit und Risikomanagement für serviceorientierte Architekturen SAP Enterprise Services Sicherheitsrichtlinien für SAP Enterprise Services Serviceorientierte Architekturen und Governance GRC-Lösungen in SAP BusinessObjects Einführung und Funktionalität Ziele der GRC-Lösungen in SAP BusinessObjects Methoden der GRC-Lösungen in SAP BusinessObjects Planung des Einsatzes der GRC-Lösungen in SAP BusinessObjects GRC-Lösungen von SAP BusinessObjects im Überblick SAP BusinessObjects Risk Management Hauptkomponenten Phasen Verantwortlichkeiten Berichtswesen

6 Inhalt 8.3 SAP BusinessObjects Access Control Allgemeine Anforderungen an das SAP-Berechtigungssystem Hauptkomponenten SAP BusinessObjects Process Control Eigene Startseite Konformitätsstruktur Bewertungseinrichtung Bewertungsergebnisse Zertifizierung Berichtszentrum Zertifizierung SAP BusinessObjects Global Trade Services Compliance Management Customs Management Risk Management Electronic Compliance Reporting Systemadministration SAP Environment, Health, and Safety Management Übersicht Chemikaliensicherheit Umwelt-, Gesundheits- und Arbeitsschutz Einhaltung produktbezogener Umweltauflagen Compliance- und Emissionsmanagement SAP BusinessObjects Sustainability Performance Management SAP NetWeaver Application Server Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Technisches Berechtigungskonzept für Administratoren Berechtigungskonzept für Java-Anwendungen Einschränkung der Berechtigungen bei RFC-Aufrufen Technische Sicherheit Einführung eines Single-Sign-on- Authentisierungsmechanismus Anbindung des SAP NetWeaver Application Servers an ein zentrales LDAP-Verzeichnis

7 Inhalt Änderung der Standardpasswörter für Standardbenutzer Sicherheitskonfiguration des SAP-Gateways Einschränkung des Betriebssystemzugriffs Wichtige sicherheitsrelevante Systemparameter konfigurieren Konfiguration von verschlüsselten Kommunikationsverbindungen (SSL und SNC) Überflüssige Internetdienste einschränken Sichere Netzwerkarchitektur für den Einsatz des SAP NetWeaver Application Servers für das Internet Einführung eines Application Level Gateways zur Absicherung von Internetanwendungen Einführung von Härtungsmaßnahmen auf Betriebssystemebene Einführung eines Qualitätssicherungsprozesses für die Softwareentwicklung Sicherheits- und Berechtigungsprüfungen in selbst entwickeltem ABAP- und Java-Programmcode SAP NetWeaver Business Warehouse Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Berechtigungen Analyseberechtigungen Weitere Konzepte Technische Sicherheit BI-Lösungen in SAP BusinessObjects Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Berechtigungskonzept für SAP BusinessObjects Anwendungsbeispiele für Berechtigungskonzepte Sicherung des administrativen Zugangs und des Gastbenutzers Konfiguration von Passwortregeln Anwendungsberechtigungen

8 Inhalt 11.4 Technische Sicherheit Externe Authentisierung und Single Sign-on Nutzung der Audit-Funktion Netzwerkkommunikation mittels SSL und CORBA-Services SAP NetWeaver Process Integration Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Berechtigungen für den Enterprise Services Builder Passwörter und Berechtigungen für technische Servicebenutzer Berechtigungen für den administrativen Zugang zu SAP NetWeaver PI Passwortregeln für Administratoren Technische Sicherheit Definition von technischen Servicebenutzern für Kommunikationsverbindungen während der Laufzeit Einrichtung der Verschlüsselung für Kommunikationsverbindungen Digitale Signatur für XML-basierte Nachrichten Verschlüsselung von XML-basierten Nachrichten Netzwerkseitige Absicherung von Integrationsszenarien Audit des Enterprise Services Builders Absicherung des File-Adapters auf Betriebssystemebene Verschlüsselung der PI-Kommunikationsverbindungen und Webservices Sicherheit für Webservices SAP Partner Connectivity Kit Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Technische Sicherheit Eigener technischer Servicebenutzer für jedes angeschlossene Partnersystem

9 Inhalt Einrichtung der Verschlüsselung für Kommunikationsverbindungen Digitale Signatur für XML-basierte Nachrichten Netzwerkseitige Absicherung von Integrationsszenarien Audit des Nachrichtenaustausches Absicherung des File-Adapters auf Betriebssystemebene Klassische SAP-Middleware SAP Web Dispatcher Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Technische Sicherheit SAProuter Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Technische Sicherheit SAP Internet Transaction Server Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Technische Sicherheit SAP NetWeaver Master Data Management Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Identity Management und Berechtigungen Revisionssicherheit Technische Sicherheit Kommunikationssicherheit Weitere wichtige Komponenten SAP NetWeaver Portal Einführung und Funktionalität Technische Architektur

10 Inhalt Bedeutung der User Management Engine Risiken und Kontrollen Anwendungssicherheit Aufbau und Design von Portalrollen Berechtigungen für die User Management Engine Portalsicherheitszonen Authentisierungsprüfung für iview-zugriff Standardportalrollen und delegierte Benutzeradministration Abgleich der Portalrollen mit ABAP-Rollen Änderungsmanagementprozess für neue Portalinhalte Technische Sicherheit Anschluss des SAP NetWeaver Portals an ein zentrales LDAP-Verzeichnis oder SAP-System Einführung eines SSO-Mechanismus auf Basis einer Ein-Faktor-Authentisierung Einführung eines SSO-Mechanismus auf Basis einer integrierten Authentisierung Einführung eines SSO-Mechanismus auf Basis von personenbezogenen Zertifikaten Konfiguration für den anonymen Zugriff Sichere Erstkonfiguration Sichere Netzwerkarchitektur Einführung eines Application Level Gateways zur Absicherung von Portalanwendungen Konfiguration von verschlüsselten Kommunikationsverbindungen Einsatz eines Viren-Scanners zur Vermeidung einer Vireninfektion SAP NetWeaver Mobile Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Berechtigungskonzept für mobile Anwendungen Berechtigungskonzept für die Administration Einschränkung der Berechtigungen des RFC-Benutzers auf Backend-Anwendungen Technische Sicherheit

11 Inhalt Einrichtung von verschlüsselten Kommunikationsverbindungen Synchronisationskommunikation absichern Überflüssige Dienste auf dem SAP NetWeaver Mobile-Server deaktivieren Sichere Netzwerkarchitektur Monitoring Sicherer Programmcode SAP Auto-ID Infrastructure Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Berechtigungskonzept für die SAP Auto-ID Infrastructure Berechtigungskonzept für die Administration Einschränkung der Berechtigungen des RFC-Benutzers auf Backend-Anwendungen Authentisierung, Passwortregeln und Sicherheit Technische Sicherheit Einrichtung von verschlüsselten Kommunikationsverbindungen Überflüssige Dienste auf dem Server deaktivieren Sichere Netzwerkarchitektur SAP Solution Manager Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Technische Sicherheit Sicherheitsmaßnahmen für den Benutzerzugang Systemüberwachungsfunktion RFC-Kommunikationssicherheit Datenkommunikationssicherheit Wichtige Komponenten von SAP NetWeaver Berechtigungen in SAP ERP Einführung und Funktionalität Risiken und Kontrollen

12 Inhalt 20.3 Anwendungssicherheit Authentisierung Berechtigungen Weitere Berechtigungskonzepte Best-Practice-Lösungen Technische Sicherheit SAP ERP Human Capital Management und Datenschutz Einführung und Funktionalität Datenschutz im Personalwesen Technische und organisatorische Maßnahmen Risiken und Kontrollen Anwendungssicherheit Personalstammdatenberechtigungen Bewerberberechtigungen Personalplanungsberechtigungen Berechtigungen im Berichtswesen Strukturelle Berechtigungen Berechtigungen für die Personalentwicklung Toleranzzeiten für Berechtigungen Berechtigungen für Prüfverfahren Kundeneigene Berechtigungsprüfungen Indirekte Rollenzuordnung über die Organisationsstruktur Zusätzliche Transaktionen mit Relevanz für interne Kontrollen Technische Sicherheit SAP Strategic Enterprise Management Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Technische Sicherheit SAP Customer Relationship Management Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Berechtigungen in SAP CRM

13 Inhalt Berechtigungen für Portalrollen Technische Sicherheit Technische Absicherung der mobilen Anwendung Weitere wichtige Komponenten SAP Supply Chain Management Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Berechtigungen für die ippe Workbench Berechtigungen für das Supply Chain Planning Berechtigungen für das SAP Event Management Technische Sicherheit SAP Supplier Relationship Management Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Wichtige Berechtigungen Regelbasierte Sicherheitsüberprüfungen anhand von Geschäftspartnerattributen Benutzermanagement Technische Sicherheit Sicherheitsumgebung basierend auf SAP NetWeaver Sicherheitsumgebung für RFC-Kommunikation Branchenspezifische SAP-Lösungsportfolios Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit SAP MaxSecure Support SAP-Rollenmanager Technische Sicherheit Datenbankserver Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Technische Sicherheit

14 Inhalt Änderung von Standardpasswörtern Entfernung von nicht benötigten Datenbankbenutzern Einschränkung des Datenbankzugriffs Erstellung und Implementierung eines Datensicherungskonzeptes Filterung von Datenbankanfragen Erstellung und Implementierung eines Upgrade- Konzeptes User Interfaces SAP GUI Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Technische Sicherheit Webbrowser Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Technische Sicherheit Mobile Endgeräte Einführung und Funktionalität Risiken und Kontrollen Anwendungssicherheit Technische Sicherheit Anhang A Literatur- und Quellenverzeichnis B Die Autoren Index

15 Geleitwort von Wolfgang Lassmann Namhafte Unternehmen der IT-Branche wie SAP, Microsoft und die Software AG sowie wissenschaftliche Einrichtungen und Beratungsunternehmen unterstützen seit Jahren Initiativen, die der allseitigen Verbesserung der IT-Sicherheit dienen. Beispiele sind»deutschland sicher im Netz«oder die»sap Global Security Alliance«der International Association for SAP Partners (IA4SP). Diese Initiativen helfen sowohl den Kunden als auch den Lösungsanbietern, möglichst einfache Verfahren und Kontrolllösungen für die komplizierte IT-Welt gemeinsam zu projektieren und zu implementieren. Die zunehmende weltweite Vernetzung der Computer, die immer weiter reichenden nationalen und internationalen Geschäftsprozesse über das Internet und die zunehmende Komplexität von Informationssystemen vergrößern die Gefahr fahrlässiger Handlungen oder vorsätzlicher Angriffe auf die Informationssysteme. Anonyme Angreifer können unbefugt von einem beliebigen Ort mit Internetzugang in entfernte Systeme eindringen und hohen materiellen oder gesellschaftlichen Schaden verursachen. Eine wichtige Aufgabe wissenschaftlicher Einrichtungen und Institutionen im IT-Bereich ist es, komplizierte Zusammenhänge und Gefahren aufzuzeigen und wirksame Lösungen zur Abwehr von potenziellen und realen Angriffen vorzuschlagen. In diesem vorliegenden Fachbuch widmen sich die Autoren Mario Linkies und Horst Karin einer solchen Aufgabe in geschickter Weise. Als erfahrene Spezialisten auf dem Gebiet der IT-Sicherheit besonders im Umfeld von SAP verfügen sie über wertvolle Erfahrungen und aktuelles Praxiswissen, aber auch über die notwendige theoretische Systematik für die wesentlichen Zusammenhänge. Das Buch vermittelt einen überschaubaren Einstieg in die Gesamtthematik der SAP-Sicherheit und Risikokontrolle. Dabei ist es den Autoren sehr gut gelungen, das nach außen gerichtete technologische Sicherheitsmanagement (Security Control) mit dem nach innen orientierten betriebswirtschaftlichen Risikomanagement (Risk Control) zu verbinden. Integrierte Lösungen, Beachtung von Risiken, ganzheitlicher Ansatz all das sind Begriffe, die die Bedeutung der IT- Sicherheit beschreiben. 19

16 Geleitwort von Wolfgang Lassmann Das Buch regt an, über die bisherigen Sicherheitslösungen im eigenen Unternehmen kritisch nachzudenken und diese mit den neuen Anforderungen zu vergleichen. Folgerichtig gelangt der Leser über die Risikoanalyse zu effektiven Kontrollmethoden und schließlich zu einer IT-Sicherheit, die den gesetzlichen Anforderungen entspricht. Mit der ERM Navigation Control Map wird in diesem Buch ein Szenario behandelt, das SAP- und andere IT-Komponenten mit den erforderlichen Kommunikations- und Sicherheitslösungen grafisch zueinander in Beziehung setzt. Die ERM Navigation Control Map dient der Erkennung und Beachtung von Risiken und der Simulation von Kontroll- und Sicherheitslösungen einer IT-Landschaft unter Nutzung möglicher SAP- und anderer Lösungen. Ich bin sicher, dass dieses Buch einen wesentlichen Beitrag für die verantwortungsvolle Arbeit auf den Gebieten des Sicherheits- und Risikomanagements in der IT-Branche leistet. Den Autoren sei Dank dafür! Prof. Dr. Dr. h. c. Wolfgang Lassmann Universitätsprofessor für Wirtschaftsinformatik und Operations Research an der Martin-Luther-Universität Halle-Wittenberg, Deutschland 20

17 Geleitwort von Monika Egle War Datenschutz lange ein Stiefkind in Gesellschaft und Politik, erhält er nun durch die Skandale der letzten Jahre ungeahnte Aufmerksamkeit. Vom international aufgestellten Telekommunikations-Provider über große Logistikunternehmen bis hin zum Discounter: Datenschutzpannen machen Schlagzeilen. Die Bürger und somit die Kunden und Mitarbeiter im Unternehmen sind sensibilisiert und fordern immer häufiger ihr Recht auf informationelle Selbstbestimmung ein. Durch die gesteigerte Aufmerksamkeit in der Gesellschaft in Bezug auf den Datenschutz sowie durch die zunehmende Komplexität der Organisations- und IT-Strukturen steigen die Anforderungen an den Datenschutzbeauftragten. Die Vernetzung von IT-Systemen ermöglicht die Kombination und Verknüpfung von Informationen bis hin zu vollständigen Persönlichkeitsprofilen. So war die datenschutzrechtliche Diskussion um SAP früher hauptsächlich geprägt durch den Arbeitnehmerdatenschutz. Von Personal- und Betriebsräten wurde vor allem problematisiert, inwieweit die im Rahmen der Personalverwaltung erfassten Arbeitnehmerdaten zu Leistungs- und Verhaltenskontrollen verwendet werden können. Im Zeitalter von SAP CRM und SAP NetWeaver BW ergeben sich jedoch für die Praxis des Datenschutzbeauftragten völlige neue Herausforderungen. Es gilt, komplexe Strukturen über die eigentlich verantwortlichen Stellen hinaus zu durchdringen sowie diese im Sinn des Datenschutzes auf Rechtmäßigkeit und Risiken hin zu prüfen. Prüfen im Sinn des Datenschutzes bedeutet vor allem, auch die Informationssicherheit von IT-Systemen zu betrachten, die sogenannten technischen und organisatorischen Maßnahmen im Sinn von 9 BDSG nebst Anlage. Den Autoren ist es mit diesem Buch in verständlicher Art und Weise gelungen, komplizierte Zusammenhänge der Informationssicherheit von SAP-Systemen darzustellen und wirksame Lösungen zum Risikomanagement aufzuzeigen. So wird eine fundierte und praxisorientierte Basis geschaffen, die es dem Datenschutzbeauftragten ermöglicht, in das Thema Informationssicherheit von SAP- Systemen einzusteigen und dieses zu vertiefen. 21

18 Geleitwort von Monika Egle Eines ist sicher: Die Datenschutzbeauftragten müssen sich der Herausforderung stellen und sich auf die Strukturen komplexer IT-Systeme einlassen. Das vorliegende Buch liefert dazu eine wertvolle Grundlage für den Datenschutzbeauftragten, in dessen Verantwortungsbereich komplexe SAP-Systeme im Einsatz sind. Dipl. Ing. (FH) Monika Egle Bereichsleiterin Informationssicherheit und Datenschutz der DITIS, NL JMV GmbH & Co. KG ein Unternehmen des Voith Konzerns Mitglied des Arbeitskreises»Externe Datenschutzbeauftragte«sowie der Regionalgruppe Süd des Berufsverbands der Datenschutzbeauftragten (BvD) e.v., Deutschland 22

19 Geleitwort von Jose Estrada Risikomanagement und Risikokontrolle sind in Unternehmen und administrativen Organisationen von großer Bedeutung. In den vergangenen Jahren haben individuelle und organisierte Computerkriminalität rapide zugenommen. Die Gefahr von Angriffen auf Informationen, deren Eigentümer und Anwender wird zu einer immensen Bedrohung für einzelne Organisationen und richtet jährlich beträchtliche Schäden an, die ganze Volkswirtschaften bedrohen. Nicht zuletzt sind das Entstehen und die Auswirkungen von globalen Finanz- und Wirtschaftskrisen auch auf Ursachen im fehlenden oder unzureichenden Risikomanagement zurückzuführen. Risiko- und Compliance-Management nimmt daher einen großen Teil dieses Buches ein, das damit seiner Bedeutung gerecht wird. Die Vielzahl der technischen Lösungsangebote muss einhergehen mit einer soliden Betrachtung von Risikofaktoren auf unterschiedlichen Ebenen, um erfolgreich Unternehmen und Organisationen zu führen und langfristigen Erfolg zu sichern. Mario Linkies und Horst Karin widmen sich in diesem vorliegenden Fachbuch eindrucksvoll dem Themenkomplex SAP-Sicherheit und Risikomanagement. Sie stellen schwierige prozessuale und technische Zusammenhänge dar und schaffen den Spagat zwischen theoretisch-wissenschaftlicher Vorgehensweise und pragmatischer Umsetzung. Die Autoren erläutern dabei viele wichtige Konzepte und geben praktische Empfehlungen für die Erkennung und den Umgang mit Risiken sowie die Etablierung geeigneter Schutz- und Kontrollmaßnahmen für SAP-Kunden. Dabei führen sie alle wichtigen Komponenten zur Absicherung von SAP-Systemen und Geschäftsprozessen ins Feld, um Sicherheit im Unternehmen umfassend zu etablieren. Das Buch beinhaltet vielfältige und langjährige internationale Erfahrungen der Autoren und führt den Leser ausgehend von einer bildhaften Darstellung von Anforderungen und Kontrollzielen hin zu pragmatischen, aber auch technisch anspruchsvollen IT-Sicherheitsmaßnahmen, die mithilfe von SAP-Standardlösungen und zusätzlichen Werkzeugen erreicht werden können. So detailliert 23

20 Geleitwort von Jose Estrada viele Konzepte auch beschrieben werden, der Leser verliert nie den Grundgedanken und die Notwendigkeiten von Sicherheitslösungen aus den Augen. Prof. Jose Miguel Estrada Professor für Risikomanagement und Corporate Governance an der Universität von Montevideo, Uruguay 24

21 Einleitung Wir leben in einer unsicheren Welt. Unsere Wertvorstellungen haben sich verändert, und die Werte, die in immer schneller verlaufenden Wertschöpfungszyklen erschaffen werden, scheinen bedrohter denn je. Investitionen und Unternehmen, Menschen und Märkte, Arbeit und Gesundheit, Bildung und Umwelt alle Komponenten unseres Zusammenlebens wanken und zeigen, wie verletzlich und schützenswert menschliche Errungenschaften sind. Sicherheit ist daher nicht nur ein Grundbedürfnis der Menschen, sondern eine wichtige Bedingung für den Aufbau von Wirtschaft und Leben. Risiken sind allgegenwärtig, müssen jedoch kalkulierbar sein. Ethik und Transparenz sind gefordert. Mit Einzelaktionen lassen sich die Probleme unserer Welt nicht mehr bewältigen. Umfassende, logische, in sich abgestimmte und international angelegte Schritte sind zum Aufbau einer innovativen, umweltbewussten, qualitäts- und leistungsorientierten Weltwirtschaft notwendig. Der finanzielle Zerfall von Großunternehmen im letzten Jahrzehnt, der massive Einbruch der Finanzmärkte oder der folgenschwere Verlust von wirtschaftlicher Moral haben seit Anfang des neuen Jahrtausends das Vertrauen von Anteilseignern, Mitarbeitern und Konsumenten nicht nur im börsennotierten Bereich erschüttert. Dies verstärkt die Einführung neuer Gesetze und die Erweiterung von staatlichen Kontroll- und Sicherheitsnormen. Der Sarbanes-Oxley Act (SOX) in den USA gilt für börsennotierte Unternehmen und hat durch verschärfte Konsequenzen für leitende Manager indirekt den Einfluss weltweit auch auf nicht börsennotierte Unternehmen erweitert. Ähnliches gilt bei den Basel-Gesetzen für die Finanzindustrie, REACH für die Chemieindustrie, und in Japan hat man gar eine eigene Version des Sarbanes- Oxley Acts entwickelt, den sogenannten J-SOX. Ziel all dieser Gesetzgebungen ist es, stärkere Kontrollen und verbesserte Sicherheitsmaßnahmen innerhalb von Unternehmen und Organisationen sowie Abläufe zu etablieren, damit Anleger, Firmen, Händler, Mitarbeiter und Verbraucher besser geschützt sind. Ein Mittel zur Durchsetzung dieser staatlich kontrollierten und zum Teil mit persönlichen Strafen für die betroffenen Manager verbundenen Gesetze ist die Sicherheit von IT-unterstützten Prozessen sowie von geschäftlichen und Finanztransaktionen durch konsequente Sicherheitsmaßnahmen. 25

22 Einleitung Erforderlich ist daher ein Risikomanagement, das einerseits die Risikoerkennung fördert und andererseits tatsächlich effektive Kontrollen und integrierte Sicherheitsmaßnahmen einbindet. Der Aufbau umfassender Sicherheits- und Kontrollsysteme mit vertretbarem Aufwand wird daher in den Mittelpunkt nicht nur unternehmerischen Handelns rücken und ein wesentliches Ziel zur Sicherung von Investitionen und Werten sein. Internationale Abkommen, Gesetze, branchenspezifische Richtlinien und unternehmenseigene Vorgaben setzen dazu heute schon die Rahmenbedingungen. Die Kontrolle von Risiken und die Reduzierung von Bedrohungspotenzialen sind zwei der wesentlichen Elemente, die den IT-Bereich in den kommenden Jahren prägen werden. Mit wachsender Funktionalität, veränderter Technologie, der externen Öffnung interner Abläufe und strengeren staatlichen, branchenspezifischen und internationalen Regulierungen ergeben sich neue Anforderungen an sichere Prozesse, IT-gestützte Systeme, Applikationen und Anwender. Die globalisierte Verflechtung von Unternehmen, Partnern und Kunden erhöht die Anforderungen an die Flexibilität IT-gestützter Kommunikationskomponenten. Mitarbeiter, Konsumenten, Produzenten, Lieferanten und Dienstleister verwenden mobile und multifunktionale Kommunikationsgeräte, um Geschäftsinformationen aller Art auszutauschen. Verteilte Systeme, serviceorientierte Architekturen, die Zunahme der Konzentration von Anwendungen, wechselnde Bedingungen für wirtschaftliche und soziale Zufriedenheit sind alles Bausteine des Wandels der ökonomischen Prozesse und Technologien. Die genannten ökonomischen und technologischen Veränderungen spiegeln sich in den Geschäfts- und Marktabläufen wider. Diese Veränderungen bergen nicht nur an sich Risiken, sondern werden auch von neuen Bedrohungen begleitet. Diese Entwicklungen und die Interaktion von Geschäftspartnern, Mitarbeitern und Kunden können nur über neue Wege und einen tatsächlichen Quantensprung bei Sicherheitsstrategien und deren zielgerichteter gesamtheitlicher Umsetzung geschützt werden. Wesentliche Elemente der Sicherheitsmaßnahmen in IT-nahen Anwendungen und Kontrollen werden in diesem Buch dargestellt. Unsere Motivation SAP hat in den vergangenen Jahren aufgrund der sich verändernden Anforderungen das Angebot an Funktionalitäten ebenso kontinuierlich erweitert wie den Einsatz neuer Technologien, die sich beispielsweise in serviceorientierten Architekturen und deren Umsetzung durch Dienste manifestieren. Ein wesent- 26

Mario Linkies, Frank Off Sicherheit und Berechtigungen in SAP -Systemen

Mario Linkies, Frank Off Sicherheit und Berechtigungen in SAP -Systemen 2008 AGI-Information Management Consultants May be used for personal purporses only or by libraries associated to dandelon.com network. Mario Linkies, Frank Off Sicherheit und Berechtigungen in SAP -Systemen

Mehr

Programmierhandbuch SAP NetWeaver* Sicherheit

Programmierhandbuch SAP NetWeaver* Sicherheit Martin Raepple Programmierhandbuch SAP NetWeaver* Sicherheit Galileo Press Bonn Boston Inhalt Vorwort 13 2.1 Sicherheit und serviceorientierte Architekturen 24 2.1.1 Sicherheitsziele der Informationssicherheit

Mehr

Service-Orientierte Architekturen

Service-Orientierte Architekturen Hochschule Bonn-Rhein-Sieg Service-Orientierte Architekturen Kapitel 7: Web Services IV Exkurs über Sicherheitsanforderungen Vorlesung im Masterstudiengang Informatik Sommersemester 2010 Prof. Dr. Sascha

Mehr

Mario Linkies, Frank Off. Sicherheit und Berechtigungen in SAP -Systemen

Mario Linkies, Frank Off. Sicherheit und Berechtigungen in SAP -Systemen Mario Linkies, Frank Off Sicherheit und Berechtigungen in SAP -Systemen Inhalt Vorwort von Prof. Wolfgang Lassmann 15 Vorwort von Dr. Sachar Paulus 17 1 Einleitung 21 1.1 Motivation... 21 1.2 Inhalt...

Mehr

Loren Heilig, Steffen Karch. SAP NetWeaver 8. Galileo Press. Bonn Boston

Loren Heilig, Steffen Karch. SAP NetWeaver 8. Galileo Press. Bonn Boston Loren Heilig, Steffen Karch SAP NetWeaver 8 Galileo Press Bonn Boston Geleitwort 17 Danksagung 19 2.1 Anforderungen an eine IT-Landschaft 29 2.1.1 Flexibilität als Erfolgsfaktor 29 2.1.2 Kostenbewusstsein

Mehr

Praxishandbuch SAP NetWeaver" Pl - Entwicklung

Praxishandbuch SAP NetWeaver Pl - Entwicklung Valentin Nicolescu, Burkhardt Funk, Peter Niemeyer, Matthias Heiler, Holger Wittges, Thomas Morandell, Florian Visintin, Benedikt Kleine Stegemann, Harald Kienegger Praxishandbuch SAP NetWeaver" Pl - Entwicklung

Mehr

NetWaever-Komponenten

NetWaever-Komponenten NetWaever-Komponenten Bremerhaven 07.05.2006 T4T Bremerhaven 1 Inhaltsverzeichnis 1. People Integration 2. Information Integration 3. Process Integration 4. Solution Management T4T Bremerhaven 2 Kapitel

Mehr

Integration von SAP Netweaver mit Identity und Access Management

Integration von SAP Netweaver mit Identity und Access Management Integration von SAP Netweaver mit Identity und Access Management Integration von SAP Netweaver mit Identity und Access Management Unternehmenslösungen für sicheres und skalierbares Identity und Access

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Von SAP R/3 zu mysap ERP und NetWeaver

Von SAP R/3 zu mysap ERP und NetWeaver Von SAP R/3 zu mysap ERP und NetWeaver Bremerhaven 06.05.2006 T4T Bremerhaven 1 Inhaltsverzeichnis 1. Motivation für SAP NetWeaver 2. SAP R/3 mysap ERP und SAP Business Suite 3. Application Platform T4T

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

SAP SharePoint Integration. e1 Business Solutions GmbH

SAP SharePoint Integration. e1 Business Solutions GmbH SAP SharePoint Integration e1 Business Solutions GmbH Inhalt Duet Enterprise Überblick Duet Enterprise Use Cases Duet Enterprise Technologie Duet Enterprise Entwicklungs-Prozess Duet Enterprise Vorteile

Mehr

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7 xv 1 Einleitung 1 2 Einführung und Grundlagen 7 2.1 Die neue Rolle der IT...................................... 7 2.2 Trends und Treiber........................................ 8 2.2.1 Wertbeitrag von

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

Governance, Risk, Compliance (GRC) & SOA Identity Management. 14.02.2008 Sebastian Rohr, KCP sr@kuppingercole.de

Governance, Risk, Compliance (GRC) & SOA Identity Management. 14.02.2008 Sebastian Rohr, KCP sr@kuppingercole.de Governance, Risk, Compliance (GRC) & SOA Identity Management 14.02.2008 Sebastian Rohr, KCP sr@kuppingercole.de Agenda Management von Identitäten IAM, GRC was ist das? SOA wo ist der Bezug? Seite 2 Die

Mehr

Identity Management Service-Orientierung. 27.03.2007 Martin Kuppinger, KCP mk@kuppingercole.de

Identity Management Service-Orientierung. 27.03.2007 Martin Kuppinger, KCP mk@kuppingercole.de Identity Management Service-Orientierung 27.03.2007 Martin Kuppinger, KCP mk@kuppingercole.de Das Extended Enterprise verändert den Umgang mit Identitäten und Sicherheit Mitarbeiter Kunden Lieferanten

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

DSAG. Novell Identity Manager in SAP NetWeaver B2B Umgebung bei Endress+Hauser. 2007 Endress+Hauser / Novell. Folie 1

DSAG. Novell Identity Manager in SAP NetWeaver B2B Umgebung bei Endress+Hauser. 2007 Endress+Hauser / Novell. Folie 1 Novell Identity Manager in SAP NetWeaver B2B Umgebung bei Endress+Hauser Folie 1 Agenda Endress+Hauser Unternehmenspräsentation IT Strategie B2B Identity Management Überblick Kundenportal Technologie /

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

Identity-Management flexible und sichere Berechtigungsverwaltung

Identity-Management flexible und sichere Berechtigungsverwaltung Identity-Management flexible und sichere Berechtigungsverwaltung Neue Herausforderungen im nationalen und internationalen Einsatz erfordern dynamische IT- Prozesse Bonn, 06. November 2009 Herausforderungen

Mehr

Consulting Services Effiziente Sicherheitsprozesse nach Mass.

Consulting Services Effiziente Sicherheitsprozesse nach Mass. Consulting Services Effiziente Sicherheitsprozesse nach Mass. Angemessene, professionelle Beratung nach internationalen Sicherheitsstandards. Effektive Schwachstellenerkennung und gezielte Risikominimierung.

Mehr

WIE MELDEN SIE SICH AN SAP AN? SAP NETWEAVER SINGLE SIGN-ON SAP SECURITY UND SICHERES SINGLE SIGN-ON MARKUS NÜSSELER-POLKE

WIE MELDEN SIE SICH AN SAP AN? SAP NETWEAVER SINGLE SIGN-ON SAP SECURITY UND SICHERES SINGLE SIGN-ON MARKUS NÜSSELER-POLKE MARKUS NÜSSELER-POLKE SAP NETWEAVER SINGLE SIGN-ON SAP SECURITY UND SICHERES SINGLE SIGN-ON FÜR SAP UND NON-SAP UMGEBUNGEN WIE MELDEN SIE SICH AN SAP AN? 1 Alltägliche Situation beim Kunden! Nüsseler Pa$$w0rd

Mehr

SAP BusinessObjects Solutions for Governance, Risk and Compliance

SAP BusinessObjects Solutions for Governance, Risk and Compliance SAP BusinessObjects Solutions for Governance, Risk and Compliance B4: Berechtigungsvergabe datenschutz- und compliancekonform gestalten mit SAP BusinessObjects Access Control und SAP Netweaver Identity

Mehr

Howto. Konfiguration eines Adobe Document Services

Howto. Konfiguration eines Adobe Document Services Howto Konfiguration eines Adobe Document Services (ADS) Inhaltsverzeichnis: 1 SYSTEMUMGEBUNG... 3 2 TECHNISCHE VERBINDUNGEN ZWISCHEN DEN SYSTEMEN... 3 2.1 PDF BASIERENDE FORMULARE IN DER ABAP UMGEBUNG...

Mehr

SAP Systeme absichern: Gut gemeint ist nicht gut gemacht! Erfahrungen aus SAP Security Audits und Tipps zur Härtung Ihrer Systeme

SAP Systeme absichern: Gut gemeint ist nicht gut gemacht! Erfahrungen aus SAP Security Audits und Tipps zur Härtung Ihrer Systeme SAP Systeme absichern: Gut gemeint ist nicht gut gemacht! Erfahrungen aus SAP Security Audits und Tipps zur Härtung Ihrer Systeme Ralf Kempf akquinet AG www.dsag.de/go/jahreskongress AGENDA 1. Erfahrungen

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Company. Sicherheit und WebServices CORISECIO CORISECIO. Dr. Bruno Quint CORISECIO. BESEQURE gegründet 2002 in Darmstadt Germany

Company. Sicherheit und WebServices CORISECIO CORISECIO. Dr. Bruno Quint CORISECIO. BESEQURE gegründet 2002 in Darmstadt Germany Corporate Information Security Sicherheit und Webs Dr. Bruno Quint GmbH. Uhlandstr. 9. D-64297 Darmstadt. Germany. www.corisecio.com Company BESEQURE gegründet 2002 in Darmstadt Germany umbenannt 2007

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

Workshop 2. SAP Solution Manager zur Installation von SAP-Systemen. Abschlusspräsentation. Dresden, 31.Januar 2008

Workshop 2. SAP Solution Manager zur Installation von SAP-Systemen. Abschlusspräsentation. Dresden, 31.Januar 2008 Workshop 2 SAP Solution Manager zur Installation von SAP-Systemen Abschlusspräsentation Dresden, 31.Januar 2008 Team des Workshop 2, IW04, HTW Dresden (FH) WS 02/07 HTW-Dresden 1 Agenda Allgemeiner Überblick

Mehr

Peter Körner Adobe Systems Berlin, 3. Juni 2005

Peter Körner Adobe Systems Berlin, 3. Juni 2005 Interactive Forms based on Adobe Software: Überblick Peter Körner Adobe Systems Berlin, 3. Juni 2005 Einleitung Anwendungsszenarios Technologie Einleitung Anwendungsszenarios Technologie Anforderungen

Mehr

Integrating Architecture Apps for the Enterprise

Integrating Architecture Apps for the Enterprise Integrating Architecture Apps for the Enterprise Ein einheitliches Modulsystem für verteilte Unternehmensanwendungen Motivation und Grundkonzept Inhalt Problem Ursache Herausforderung Grundgedanke Architektur

Mehr

SAP Support On Demand - IBMs kombiniertes Service-Angebot für SAP Hosting und SAP Application Management Services (AMS)

SAP Support On Demand - IBMs kombiniertes Service-Angebot für SAP Hosting und SAP Application Management Services (AMS) (IGS) SAP Support On Demand - IBMs kombiniertes Service-Angebot für SAP Hosting und SAP Application Services (AMS) Martin Kadner, Product Manager SAP Hosting, GTS Klaus F. Kriesinger, Client Services Executive,

Mehr

IT-Sicherheit. IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen. Informationsrechtstag 2006 / Seite 1 von 22

IT-Sicherheit. IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen. Informationsrechtstag 2006 / Seite 1 von 22 IT-Sicherheit IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen Informationsrechtstag 2006 / Seite 1 von 22 BASF IT Services Wir stellen uns vor Gründung einer europaweiten IT-Organisation

Mehr

Schützen Sie Ihre Daten und Prozesse auf einfache Art und Weise. Matthias Kaempfer April, 20 2015

Schützen Sie Ihre Daten und Prozesse auf einfache Art und Weise. Matthias Kaempfer April, 20 2015 Schützen Sie Ihre Daten und Prozesse auf einfache Art und Weise Matthias Kaempfer April, 20 2015 Ganzheitlicher SAP Sicherheitsansatz Detect attacks Secure infrastructure Security processes and awareness

Mehr

Dokumentation zum Projekt Mail-Adapter in SAP PI. 17.01.2011 Sinkwitz, Sven 519707 Theel, Thomas 519696

Dokumentation zum Projekt Mail-Adapter in SAP PI. 17.01.2011 Sinkwitz, Sven 519707 Theel, Thomas 519696 Dokumentation zum Projekt Mail-Adapter in SAP PI 17.01.2011 Sinkwitz, Sven 519707 Theel, Thomas 519696 Inhalt 1. Einleitung... 2 2. Vorgehen... 3 1. Datentyp für die Mail einrichten... 3 2. Message Typen

Mehr

IT Sicherheitsleitlinie der DATAGROUP

IT Sicherheitsleitlinie der DATAGROUP IT Sicherheitsleitlinie der DATAGROUP Dezember 2011 Dr. Tobias Hüttner Version 2.0 Seite 1 von 5 Änderungshistorie IT Sicherheitsleitlinie der DATAGROUP In der nachfolgenden Tabelle werden alle Änderungen

Mehr

Was NetWeaver wirklich bietet

Was NetWeaver wirklich bietet Was NetWeaver wirklich bietet Erschienen in der Computerwoche 03/2007 Von Dr. Carl Winter, REALTECH AG Welche SAP Produkt-Versionen und SAP Releases gehören und passen zusammen. Welche sind die aktuellen

Mehr

Service. Was ist eine Enterprise Service Architecture und wie reagiert SAP. Warum Monitoring in ZENOS, was monitort die XI?

Service. Was ist eine Enterprise Service Architecture und wie reagiert SAP. Warum Monitoring in ZENOS, was monitort die XI? Service Was ist eine Enterprise Service Architecture und wie reagiert SAP Allgemeine Definition Was gehört in ZENOS (Service-Layer)? Business Logik ZENOS als Provider für SAP-based Services (ESA/SOA) Warum

Mehr

Herausforderungen bei der Mobilisierung von Unternehmensprozessen mit Hilfe von Tablets und Smartphones. Matthias Klocke. Bildquelle: CC-BY-3Gstore.

Herausforderungen bei der Mobilisierung von Unternehmensprozessen mit Hilfe von Tablets und Smartphones. Matthias Klocke. Bildquelle: CC-BY-3Gstore. Herausforderungen bei der Mobilisierung von Unternehmensprozessen mit Hilfe von Tablets und Smartphones Matthias Klocke Bildquelle: CC-BY-3Gstore.de Lynx in Fakten 1989 gründet Hans-Joachim Rosowski das

Mehr

wikima4 mesaforte firefighter for SAP Applications

wikima4 mesaforte firefighter for SAP Applications 1 wikima4 mesaforte firefighter for SAP Applications Zusammenfassung: Effizienz, Sicherheit und Compliance auch bei temporären Berechtigungen Temporäre Berechtigungen in SAP Systemen optimieren die Verfügbarkeit,

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

Integrationsprozesse. cross component BPM - Steuerung systemübergreifender Szenarien. Konrad Lubenow, FHTW Berlin, Juli 2007

Integrationsprozesse. cross component BPM - Steuerung systemübergreifender Szenarien. Konrad Lubenow, FHTW Berlin, Juli 2007 Integrationsprozesse cross component BPM - Steuerung systemübergreifender Szenarien Konrad Lubenow, FHTW Berlin, Juli 2007 Integrationsprozesse XI(ccBPM) normaler Messageaustausch über den Integrationsserver

Mehr

Sicherheitsaspekte in Service Orientierten Architekturen. Eike Falkenberg Sommersemester 2006 Anwendungen I

Sicherheitsaspekte in Service Orientierten Architekturen. Eike Falkenberg Sommersemester 2006 Anwendungen I Sicherheitsaspekte in Service Orientierten Architekturen Eike Falkenberg Sommersemester 2006 Anwendungen I Agenda SOA? Web Services? Sicherheitsrisiko Web Services Web Services & Sicherheit Sichere SOAs

Mehr

Wolfgang Straßer. wolfgang.strasser@add-yet.de. @-yet GmbH Schloß Eicherhof D-42799 Leichlingen +49 (02175) 16 55 0 www.add-yet.de

Wolfgang Straßer. wolfgang.strasser@add-yet.de. @-yet GmbH Schloß Eicherhof D-42799 Leichlingen +49 (02175) 16 55 0 www.add-yet.de Business Security Management Wolfgang Straßer wolfgang.strasser@add-yet.de @-yet GmbH Schloß Eicherhof D-42799 Leichlingen +49 (02175) 16 55 0 These These: Ohne IT keine Wertschöpfung Ohne IT keine Innovation

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

Anforderungen an Datenbankservices in SOA-basierten Lösungen. Liane Will SAP AG/ Otto-von-Güricke-Universität Magdeburg 6.5.2010

Anforderungen an Datenbankservices in SOA-basierten Lösungen. Liane Will SAP AG/ Otto-von-Güricke-Universität Magdeburg 6.5.2010 Anforderungen an services in SOA-basierten Lösungen Liane Will SAP AG/ Otto-von-Güricke-Universität Magdeburg 6.5.2010 Diplom-Mathematikerin Seit 1997 bei SAP AG Berlin im Active Global Support Best Practices

Mehr

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism INSTITUT FÜR SYSTEM- MANAGEMENT Compliance Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism ism GmbH 2010 Definition: Compliance Compliance die Bedeutung allgemein:

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

www.wmc.ch e-life der elektronische Lebenszyklus eines Mitarbeiters

www.wmc.ch e-life der elektronische Lebenszyklus eines Mitarbeiters e-life der elektronische Lebenszyklus eines Mitarbeiters Agenda Idee Konzeption Beispiel Module Fazit 2 Unternehmen aus IT-Sicht Idee Konzeption Beispiel Module Fazit ERP Groupware FileServer Directory

Mehr

Dokumentation zur Verwendung eines SOAP-Webservices in SAP PI

Dokumentation zur Verwendung eines SOAP-Webservices in SAP PI Betriebswirtschaftliche Anwendungen 2: Serviceorientierte Anwendungsintegration Dokumentation zur Verwendung eines SOAP-Webservices in SAP PI Umrechnung von Währungen Steffen Dorn, Sebastian Peilicke,

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Die Möglichkeiten im konkreten Geschäftsalltag sind vielfältig und oft branchenspezifisch ausgeprägt.

Die Möglichkeiten im konkreten Geschäftsalltag sind vielfältig und oft branchenspezifisch ausgeprägt. Die Bedeutung des Einsatzes mobiler Endgeräte im Geschäftsalltag wächst zunehmend. Verstärkt wird dieser Trend nicht zuletzt auch durch die Tatsache, dass viele Mitarbeiter und Führungskräfte im alltäglichen

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

4... SAP Solution Manager als Plattform für den End-to-End-Anwendungsbetrieb... 63

4... SAP Solution Manager als Plattform für den End-to-End-Anwendungsbetrieb... 63 ... Geleitwort... 15... Vorwort... 17... Einführung... 23 1... Was ist Run SAP?... 25 1.1... Motivation der Run SAP-Methodik... 27 1.2... Roadmap... 29 1.3... Run SAP-Phasen... 32 1.3.1... Assessment &

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang IT Security Audit Beschreibung Die Informatik ist immer stärker verantwortlich für das Erstellen und die Abwicklung von geschäftskritischen Abläufen und wird dadurch zum unmittelbaren Erfolgsfaktor eines

Mehr

Compliant Identity Management bei Daimler

Compliant Identity Management bei Daimler ITM/TSS 14.04.2015 Andreas Dietrich Julian Harfmann Überblick 1. Vorstellung Daimler TSS 2. SAP Identity Management bei Daimler 3. Service Level Stufen 4. Compliant Identity Management 5. Zahlen & Fakten

Mehr

KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie

KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie P R E S S E M I T T E I L U N G KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie KWG und MaRisk sind die mit

Mehr

Security Services and Solutions. Sicherheit von der Planung über die Realisierung bis zum Betrieb.

Security Services and Solutions. Sicherheit von der Planung über die Realisierung bis zum Betrieb. Security Services and Solutions. Sicherheit von der Planung über die Realisierung bis zum Betrieb. Security Services and Solutions. Seamless End-to-End Service Provision. T-Systems unterstützt seine Kunden

Mehr

Corporate Security Reporting System

Corporate Security Reporting System Corporate Security Reporting System Softwarelösungen für die unternehmensweite Berichterstattung des Sicherheitsmanagements Corporate Security Reporting der Konzernsicherheit hat viele organisatorische

Mehr

Connectivity@SNAP 2013 08.11.2013 SNAP

Connectivity@SNAP 2013 08.11.2013 SNAP Connectivity@SNAP 2013 08.11.2013 SNAP Agenda 09.00 Herzlich willkommen + Angaben zum Inhalt 09.10 SAP NetWeaver PI 7.31 und SAP NetWeaver PI-AEX 7.31 Neuerungen und Migrationsberichte 10.00 Nespresso

Mehr

Business Performance Management Next Generation Business Intelligence?

Business Performance Management Next Generation Business Intelligence? Business Performance Management Next Generation Business Intelligence? München, 23. Juni 2004 Jörg Narr Business Application Research Center Untersuchung von Business-Intelligence-Software am Lehrstuhl

Mehr

Datenschutzleitfaden SAP

Datenschutzleitfaden SAP Georg Siebert forba Partnerschaft der Ingenieure und beratenden Betriebswirte Dominicusstr.3, 10823 Berlin www.forba.de 21. SAP-/ Neue Technologie-Konferenz, 21.- 23.10.2008 Datenschutzleitfaden SAP ERP

Mehr

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Das Zusammenspiel von Security & Compliance Dr. Michael Teschner, RSA Deutschland Oktober 2012 1 Trust in der digitalen Welt 2 Herausforderungen

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

GRC-Suite i RIS Eine intelligente Lösung

GRC-Suite i RIS Eine intelligente Lösung GRC-Suite i RIS GRC-Suite i RIS Eine intelligente Lösung Die Software GRC-Suite i RIS (intelligent Reports, Informations and Solutions) unterstützt Sie effektiv und effizient in Ihrem Governance-, Risk-

Mehr

GRC Governance Risk & Compliance

GRC Governance Risk & Compliance GRC Governance Risk & Compliance Ansätze zur Unternehmenssteuerung aus Sicht der Wirtschaftsprüfung 27. März 2012 WP StB Heinz-Georg Kämpchen RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen Inhalt.

Mehr

Moderne Benutzeroberflächen für SAP Anwendungen

Moderne Benutzeroberflächen für SAP Anwendungen Seite 1 objective partner für SAP Erfahrungen mit dem UI-Development Kit für HTML5 (SAPUI5) - 19.06.2012 Seite 2 Quick Facts objective partner AG Die objective partner AG 1995 gegründet mit Hauptsitz in

Mehr

PRODATIS CONSULTING AG. Folie 1

PRODATIS CONSULTING AG. Folie 1 Folie 1 Führend im Gartner Magic Quadranten für verteilte, interagierende SOA Projekte Oracle ist weltweit auf Rang 1 auf dem Markt der Enterprise Service Bus Suiten (ESB) für SOA Software 2010 26,3 %

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme

Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme DSQM Datenschutzmanagement Qualitätsmanagement Datenschutzmanagement Der Basis-Schritt zum

Mehr

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen

Verteilte Systeme. 10.1 Unsicherheit in Verteilten Systemen Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

Das Plus an Unternehmenssicherheit

Das Plus an Unternehmenssicherheit Out-of-The-Box Client Security Das Plus an Unternehmenssicherheit ic Compas TrustedDesk Logon+ Rundum geschützt mit sicheren Lösungen für PC-Zugang, Dateiverschlüsselung, Datenkommunikation und Single

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Verteilte Systeme. Übung 10. Jens Müller-Iden

Verteilte Systeme. Übung 10. Jens Müller-Iden Verteilte Systeme Übung 10 Jens Müller-Iden Gruppe PVS (Parallele und Verteilte Systeme) Institut für Informatik Westfälische Wilhelms-Universität Münster Sommersemester 2007 10.1 Unsicherheit in Verteilten

Mehr

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR.

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. Hans Joachim von Zieten DATEN DAS WICHTIGSTE GUT Daten und Informationen sind ein wichtiges, ja sogar

Mehr

P R E S S E M I T T E I L U N G

P R E S S E M I T T E I L U N G PRESSEMITTEILUNG KuppingerCole und Beta Systems ermitteln in gemeinsamer Studie die technische Reife von Identity Access Management und Governance in der Finanzindustrie Identity Provisioning als Basistechnologie

Mehr

ISSS Security Lunch - Cloud Computing

ISSS Security Lunch - Cloud Computing ISSS Security Lunch - Cloud Computing Technische Lösungsansätze Insert Andreas Your Kröhnert Name Insert Technical Your Account Title Manager Insert 6. Dezember Date 2010 The Cloud Unternehmensgrenzen

Mehr

Richtige und schnelle Entscheidungen trotz sich änderner Anforderungen mit Microsoft Dynamics AX und Microsoft SQL Server Reporting Services

Richtige und schnelle Entscheidungen trotz sich änderner Anforderungen mit Microsoft Dynamics AX und Microsoft SQL Server Reporting Services Launch Microsoft Dynamics AX 4.0 Richtige und schnelle Entscheidungen trotz sich änderner Anforderungen mit Microsoft Dynamics AX und Microsoft SQL Server Reporting Services Sonia Al-Kass Partner Technical

Mehr

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Erfahrung aus SOA (SOX) Projekten CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Inhaltsverzeichnis Schwachstellen des IKS in der finanziellen Berichterstattung Der Sarbanes Oxley Act (SOA) Die

Mehr

PROZESSE INTEGRIEREN leicht gemacht EFFIZIENTE PROZESSE

PROZESSE INTEGRIEREN leicht gemacht EFFIZIENTE PROZESSE PROZESSE INTEGRIEREN leicht gemacht DURCH TransConnect Geschäftsprozesse ableiten mit der Universal Worklist (UWL) Integrationsszenarien effektiver verwalten und transportieren Optimierte Personalverwaltung

Mehr

... Einleitung... 15. 3... Prozessintegration und Integrationsszenarien... 127 3.1... Integrationsszenariomodelle... 128

... Einleitung... 15. 3... Prozessintegration und Integrationsszenarien... 127 3.1... Integrationsszenariomodelle... 128 ... Einleitung... 15 1... Grundlagen der Modellierung von Enterprise Services... 23 1.1... Serviceorientierte Architekturen... 26 1.1.1... Merkmale serviceorientierter Architekturen... 27 1.1.2... SOA

Mehr

Identity und Access Management im Kontext der Cloud. Horst Bratfisch Raiffeisen Informatik GmbH

Identity und Access Management im Kontext der Cloud. Horst Bratfisch Raiffeisen Informatik GmbH Identity und Access Management im Kontext der Cloud Horst Bratfisch Raiffeisen Informatik GmbH Raiffeisen Informatik Konzern Länder: 29 Standorte: 100 Mitarbeiter: 2.800 Umsatz 2011: 1,4 Mrd. Raiffeisen

Mehr

Microsoft Dynamics NAV Technische Details

Microsoft Dynamics NAV Technische Details Microsoft Dynamics NAV Technische Details INHALT Microsoft Dynamics NAV Technische Details........................................ [3] Infrastruktur.............................................. [3] Systemanforderungen.....................................

Mehr

Ihr Partner für das Management der IT. von der Strategie bis zur Lösung

Ihr Partner für das Management der IT. von der Strategie bis zur Lösung Ihr Partner für das der IT von der Strategie bis zur Lösung Agenda In aller Kürze 1. Tätigkeitsfelder 2. Leistungen 3. Referenzen 4. Unternehmen 2015 2 Lieferanten 1. Tätigkeitsfelder Gestalten Sie die

Mehr

eg e s c h ä f t s p r o z e s s MEHR ZEIT FÜR IHR GESCHÄFT SHD managed Ihre IT-Services

eg e s c h ä f t s p r o z e s s MEHR ZEIT FÜR IHR GESCHÄFT SHD managed Ihre IT-Services eg e s c h ä f t s p r o z e s s erfahrung service kompetenz it-gestützte MEHR ZEIT FÜR IHR GESCHÄFT SHD managed Ihre IT-Services erfolgssicherung durch laufende optimierung Als langjährig erfahrenes IT-Unternehmen

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Informationssicherheit richtlinienkonform umgesetzt - wie Identity Management die Geschäftsprozesse unterstützt

Informationssicherheit richtlinienkonform umgesetzt - wie Identity Management die Geschäftsprozesse unterstützt it-sa 2012 Identity und Access Management Area Informationssicherheit richtlinienkonform umgesetzt - wie Identity Management die Geschäftsprozesse unterstützt Ga-Lam Chang Leiter ISM Solutions g.chang@peak-solution.de

Mehr

Objektkultur Software GmbH. Identity Management Lösungen

Objektkultur Software GmbH. Identity Management Lösungen Objektkultur Software GmbH Identity Management Lösungen Übersicht Lösungsangebot Identity Management Collaboration Process Management Integration Einführung Identity Management Identity Lifecycle Management

Mehr

Packaged Solution CTI PI ConfirmMessage Adapter

Packaged Solution CTI PI ConfirmMessage Adapter LEISTUNGEN LÖSUNGEN SERVICES Packaged Solution Adapter SAP Consulting: Enterprise Application Integration LÖSUNGEN Adapter Ausgangslage Die CTI CONSULTING bietet diverse funktionale Erweiterungen (Add-Ons)

Mehr

Inhaltsverzeichnis. Einleitung 15

Inhaltsverzeichnis. Einleitung 15 Inhaltsverzeichnis Einleitung 15 1 Umfang und Aufgabe des IT-Security Managements 19 1.1 Kapitelzusammenfassung 19 1.2 Einführung 19 1.3 Informationen und Daten 20 1.4 IT-Security Management ist wichtig

Mehr

1 Einleitung. Betriebswirtschaftlich administrative Systeme

1 Einleitung. Betriebswirtschaftlich administrative Systeme 1 1 Einleitung Data Warehousing hat sich in den letzten Jahren zu einem der zentralen Themen der Informationstechnologie entwickelt. Es wird als strategisches Werkzeug zur Bereitstellung von Informationen

Mehr

BI Konsolidierung: Anspruch & Wirklichkeit. Jacqueline Bloemen. in Kooperation mit

BI Konsolidierung: Anspruch & Wirklichkeit. Jacqueline Bloemen. in Kooperation mit BI Konsolidierung: Anspruch & Wirklichkeit Jacqueline Bloemen in Kooperation mit Agenda: Anspruch BI Konsolidierung Treiber Was sind die aktuellen Treiber für ein Konsolidierungsvorhaben? Kimball vs. Inmon

Mehr

Cloud Computing Wohin geht die Reise?

Cloud Computing Wohin geht die Reise? Cloud Computing Wohin geht die Reise? Isabel Münch Bundesamt für Sicherheit in der Informationstechnik 14. ComIn Talk Essen 17.10.2011 Agenda Einleitung Chancen und Risiken von Cloud Computing Aktivitäten

Mehr

Der Java Server beinhaltet Container für EJB, Servlet und JSP, darüber hinaus unterstützt er diejee 1.3 Version.

Der Java Server beinhaltet Container für EJB, Servlet und JSP, darüber hinaus unterstützt er diejee 1.3 Version. hehuvlfkw Oracle 9iApplication Server (9iAS) fasst in einem einzigen integrierten Produkt alle Middleware-Funktionen zusammen, die bisher nur mit mehreren Produkten unterschiedlicher Anbieter erreicht

Mehr

Sicherheit im gesamten Unternehmen von Web to Host

Sicherheit im gesamten Unternehmen von Web to Host Sicherheit im gesamten Unternehmen von Web to Host GDD-Erfa-Kreis Bayern München, 25.06.99 Referent: Alfred Doll (Business Development Manager, NorCom) Problemstellung: Web to Host Situation Früher: Host

Mehr