IT-Sicherheit: Sicherheitsmechanismen für ERP-Systeme

Größe: px

Ab Seite anzeigen:

Download "IT-Sicherheit: Sicherheitsmechanismen für ERP-Systeme"

Calvin Vogel
vor 8 Jahren
Abrufe

1 Marlene Knigge IT-Sicherheit: Sicherheitsmechanismen für ERP-Systeme Fallstudie: Konzeption einer Zugriffskontrolle für ein ERP-System VDM Verlag Dr. Müller

2 Inhaltsverzeichnis Inhaltsverzeichnis I Abkürzungsverzeichnis V Symbolverzeichnis VII Abbildungsverzeichnis VIII Tabellenverzeichnis IX 1 Einführung Aufbau 2 2 Sicherheit von ERP-Systemen Definition ERP-System" IT-System" ERP-System" Definition IT-Sicherheit" Anforderungen an die Sicherheit von IT-Systemen Bedrohungen für die Sicherheit von IT-Systemen Maßnahmen zur Erhöhung der Sicherheit von IT-Systemen Kosten von IT-Sicherheit Kosten-/Nutzenabwägung bei der Investition in IT-Sicherheit Sicherheitsanforderungen an ERP-Systeme Konkrete Bedrohungen für die Sicherheit von IT-Systemen Beabsichtigte und unbeabsichtigte Angriffe von außen und innen Diebstahl und Spionage Unterbrechung des Datenverkehrs Beschädigung und Zerstörung von Daten und Systemkomponenten Unberechtigte Nutzung von Ressourcen Manipulation und Fälschungen von Daten und Systemkomponenten Höhere Gewalt Fehler Mechanismen zur Prävention von Schäden Zugriffs- bzw. Benutzerkontrollen auf Softwareebene Passwörter und Benutzerkonten Benutzergruppen Zugriffsrechte auf Dateiebene Zugriffsrechte auf Datenbankebene 40!

2.3 Maßnahmen zur Erhöhung der Sicherheit von IT-Systemen 13 2.2.4 Kosten von IT-Sicherheit 16 2.2.5 Kosten-/Nutzenabwägung bei der Investition in IT-Sicherheit 17 2.

3 2.5.2 Verschlüsselung Schulungen und Sensibilisierung von Mitarbeitern Mechanismen zur Entdeckung von Angriffen Übersicht Bedrohungen - Abwehrmechanismen Mechanismen zur Begrenzung und Beseitigung von Schäden 43 3 Fallstudie: IST-Analyse Der Einsatzkontext im Unternehmen Das ERP-System infoncom Umfang des eingesetzten Systems Grundsätzlicher Aufbau des eingesetzten Systems Der IST-Zustand der infor-benutzerkontrolle Die vorhandene Benutzerverwaltung in infoncom Vergabe von Zugriffsbeschränkungen über angepasste Desktops Benutzerkonten und -Gruppen anlegen Die Erstellung von Zugriffsregeln Technische Aspekte der vorhandenen Benutzerkontrolle Kritik an der vorhandenen Benutzerkontrolle Unübersichtliche Zuordnung von Rechten zu Benutzern und Gruppen Das problematische Paradigma des Rechteentzugs Die Rechtevergabe orientiert sich an GUI-Objekten Die vergebenen Rechte greifen nicht auf Datenbank Hintertüren Kein ausreichendes Kennwort-Management Unzureichende Protokollierung Keine ausreichenden Übersichten über User, Gruppen und Rechte Abschließende Bewertung der Schwachstellen der Zugriffskontrolle 74 4 Fallstudie: Anforderungsspezifikation an die neue Zugriffskontrolle Erwünschte Funktionalitätsprinzipien Rechtevergabe für Benutzer, Gruppen und Rollen Rechtevergabe statt Rechteentzug Differenzierung der Rechte Rechtevergabe für logisch zusammenhängende Objekte Zugriffskontrolle auf Applikation-, Datenbank- und Dateiebene Protokollierung Übersichten 78 и

2.2 Grundsätzlicher Aufbau des eingesetzten Systems 48 3.3 Der IST-Zustand der infor-benutzerkontrolle 51 3.3.1 Die vorhandene Benutzerverwaltung in infoncom 51 3.3.1.1 Vergabe von Zugriffsbeschränkungen über angepasste Desktops 54 3.

4 4.2 Skalierbarkeit und Bedienbarkeit Graphische Benutzeroberfläche Ausgabe graphischer und/oder tabellarischer Übersichten Bewertung der Anforderungen Prioritätenliste Suche nach geeigneten existierenden Lösungen Abschätzung der Umsetzbarkeit Rechtevergabe für Benutzer, Gruppen und Rollen Rechtevergabe statt Rechteentzug Differenzierung der Rechte Rechtevergabe für logisch zusammenhängende Objekte Erweiterung der Zugriffskontrolle auf die Datenbank- und Dateiebene Protokollierung Übersichten Graphische Benutzeroberfläche Konkrete Anforderungsbeschreibung Rechtevergabe für Benutzer, Gruppen und Rollen Rechtevergabe statt Rechteentzug Differenzierung der Rechte Rechtevergabe für logisch zusammenhängende Objekte Erweiterung der Zugriffskontrolle auf die Datenbank- und Dateiebene Protokollierung Übersichten Graphische Benutzeroberfläche Zusammenfassung der Anforderungsbeschreibung 94 5 Fallstudie: Konzeptionen für eine neue Zugriffskontrolle Die Rechtevergabe Die Rechtevergabe auf der Dateiebene Die Rechtevergabe auf Applikations- und DB-Ebene Verwendung der Oracle-Zugriffskontrolle Verwendung einer neu erstellten Zugriffskontrolle Protokollierung Übersichten Tabellarisch Graphisch 105 III

3.3.4 Rechtevergabe für logisch zusammenhängende Objekte 86 4.3.3.5 Erweiterung der Zugriffskontrolle auf die Datenbank- und Dateiebene 88 4.3.3.6 Protokollierung 89 4.3.3.7 Übersichten 90 4.3.3.8 Graphische Benutzeroberfläche 90 4.

5 5.4 Benutzeroberfläche Umsetzung Rechtevergabe auf der Dateiebene Neustrukturierung der alten Benutzerkontrolle auf Applikationsebene Neue Übersichtsmöglichkeiten Beurteilung und Fazit Ergebnis dieser Arbeit Ausblick Fazit 118 Literaturverzeichnis 119 IV

1 Ergebnis dieser Arbeit 117 6.2 Ausblick 117 6.

Ähnliche Dokumente

Michael Trübestein. Real Estate Asset Management für institutionelle Investoren

Michael Trübestein. Real Estate Asset Management für institutionelle Investoren 770 Michael Trübestein Real Estate Asset Management für institutionelle Investoren Eine theoretische Konzeption und empirische Untersuchung aus Sicht institutioneller Investoren in Deutschland A261444