Geschäftsprozesse in die Cloud - aber sicher! (... und compliant)

Transkript

1 Geschäftsprozesse in die Cloud - aber sicher! (... und compliant) Prof. Dr. Jan Jürjens Fraunhofer Institut für Software- und Systemtechnik ISST, Dortmund 1

2 Herausforderung: Sicherheit und Compliance in der Cloud Umfrage: Größte Herausforderungen beim Einsatz von Clouds? Jan Jürjens: Geschäftsprozesse in die Cloud: Herausforderungen 2

3 Spezifische Sicherheitsprobleme bei Cloud Computing Fehler / Angriffe von Mitarbeitern des Providers Angriffe von anderen Kunden Angriffe auf Verfügbarkeit (DOS) Fehler bei Zuteilung und Management von Cloud-Ressourcen Z.B. Unzureichende Mandantentrennung Missbrauch der Verwaltungsplattform Angriffe unter Nutzung von Web-Services Probleme bei Vertragsgestaltung (Quelle: BSI, IT-Grundschutz und Cloud Computing, 2009 und Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing Anbieter, 2011) Jan Jürjens: Geschäftsprozesse in die Cloud: Herausforderungen 3

4 Herausforderung Compliance Steigende Anzahl von Regulierungen z.b. Finanzen: Solvency II, Basel III; Gesundheit: Medizinproduktegesetz (MPG); Pharma: Arzneimittelmarktneuordnungsgesetz (AMNOG) Steigende Komplexität des Compliance-Nachweises: Viele Facetten: Anforderungen an Geschäftsprozesse (Design + Ausführung), IT-Infrastruktur (+ deren Prozesse), deren Abhängigkeiten Wechselseitige Abhängigkeiten von Vorgaben Aggregation von Vorgaben bei komplexen IT-Systemen Cloud-Computing besondere Anforderungen Jan Jürjens: Geschäftsprozesse in die Cloud: Herausforderungen 4

5 Sicherheit vs. Compliance: Regularien und Standards Abstrakte Gesetze und Regelungen Konkrete Sicherheits- Bestimmungen Basel II SOX AktG KWG VAG MARisk ISO 2700x Solvency II BSI-Grundschutzhandbuch Jan Jürjens: Geschäftsprozesse in die Cloud: Herausforderungen 5

6 Herausforderung: Komplexität Beispiel: MaRisk (VA) (Mindestanforderungen an das Risikomanagement im Versicherungswesen) Querverweise ausgehend von 10 (Ausschnitt) Jan Jürjens: Geschäftsprozesse in die Cloud: Lösungen 6

7 Compliance-Szenarien in der Cloud Kunde -> Cloud: Sicherheits-Compliance: Sicherheitsprozesse der Cloud auf Compliance mit SLA Legale Compliance: Compliance vs. Auslagerung der Geschäftsprozesse Cloud -> Kunde: Sicherheits-Compliance: Überprüfung der Kundenprozesse auf Verstoß gegen Verhaltensbestimmungen Wichtig: Compliance bleibt in Verantwortung des Kunden! Jan Jürjens: Geschäftsprozesse in die Cloud: Herausforderungen 7

8 Notwendig: Werkzeuge für Compliance-Management Manueller Nachweis aufwendig und kostenintensiv. Erforderliche Daten schwer manuell erfassbar. Prüfung einzelner Eigenschaften bereits komplex und umfangreich. Großer Bedarf an Compliance-Werkzeugen (1,3 Mrd.$ [Forrester 2011]) Werkzeuge: bislang i.w. Unterstützung der manuellen Dokumentation. Schwachpunkte: Automatisierte Erfassung / Analyse von Complianceanforderungen. Überwachung der Compliancevorgaben. Derzeitige Risiko-Bewertungsmethoden generell nicht ausreichend. 1 1 S. Taubenberger, J. Jürjens: Durchführung von IT-Risikobewertungen und die Nutzung von Sicherheitsanforderungen in der Praxis. Studie, Fraunhofer ISST 2011 und DACH security 2011 Jan Jürjens: Geschäftsprozesse in die Cloud: Herausforderungen 8

9 Roadmap Herausforderungen Lösungen Auswertungsschnittstellen & Automatische Validierung Automatiserte Datenerhebung aus Drittsystemen Erfahrungen Jan Jürjens: Geschäftsprozesse in die Cloud: Automatische Validierung 9

10 Lösung: Werkzeuggestützte Compliance-Analysen Ziele: Bewältigung der Komplexität und Kostenersparnis durch werkzeuggestützte Compliance-Analysen. Bessere Überprüfbarkeit der Ergebnisse. Idee: Entwicklung Werkzeuge für: Management und Analyse von Compliance-Anforderungen mit vorhandenen Artefakten: Textdokumente, Software- / Geschäftsprozessmodelle, Logdaten Compliance- Report Compliant: NEIN Verstöße: - MaRISK VA 7.2: Einhaltung von BSI G3.1 nicht erfüllt Maßnahmen: - BSI Maßnahmenkatalog M 2.62 Expertensystem für Compliance Jan Jürjens: Geschäftsprozesse in die Cloud: Lösungen 10

11 Projekt SecureClouds Werkzeugunterstützung für: Analyse der eigenen Geschäftsprozesse auf Eignung zur Auslagerung in eine Cloud (bzgl. Sicherheit und Compliance) Analyse / Überwachung der vom Cloud-Anbieter zugesicherten Sicherheits- und Compliance-Garantien Unter Verwendung u.a.: Business process mining Untersuchung von Log-Daten Business process analysis Jan Jürjens: Geschäftsprozesse in die Cloud: Lösungen 11

12 Integrierte Compliance Management Plattform: Workflow Jan Jürjens: Geschäftsprozesse in die Cloud: Lösungen 12

13 Sicherheitsbedarfsanalyse: Unterstützte Regelwerke Import-Werkzeug: Regelwerke in Ontologie. Mögliche Eingaben z.b.: Bundesamt für Sicherheit in der Informationstechnik IT-Grundschutz-Kataloge Standards 100-1, 100-2, 100-3, Bundesgesetze ( z.b. Bundesdatenschutzgesetz Mindestanforderungen an das Risikomanagement MARisk VA (Versicherungen) ISO/IEC 2700x-Reihe ÄApprO BÄO ISO 9001 HKG KHBV BDSG GOÄ MPBetreibV HWG IfSG ISO Richtlinien- Pool Jan Jürjens: Geschäftsprozesse in die Cloud: Lösungen 13

14 Roadmap Herausforderungen Lösungen Auswertungsschnittstellen & Automatische Validierung Architekturebene Geschäftsprozesse Automatiserte Datenerhebung aus Drittsystemen Erfahrungen Jan Jürjens: Geschäftsprozesse in die Cloud: Automatische Validierung 15

15 Analysewerkzeug CARiSMA Sicherheitsanalysen auf GP-/Softwaremodellen Eclipse Plugin-Architektur Integriert etablierte Modellierungswerkzeuge, z.b. Topcased Open Source Plattformunabhängig Erweiterbarkeit Jan Jürjens: Geschäftsprozesse in die Cloud: Automatische Validierung 16

16 Compliance-Analyse-Werkzeug CARiSMA: Architektur Wenzel, Humberg, Wessel, Poggenpohl, Ruhroth, Jürjens. 3rd Int. Conf. Cloud Computing and Services Science, 2013 CARiSMA Unterneh- mens- Daten Jan Jürjens: Geschäftsprozesse in die Cloud: Automatische Validierung 17

17 Architekturebene: Cloud- / Sicherheits-Modellierung mit UMLsec [N. Astahov 2014] Jan Jürjens: Automatische Validierung: Architekturebene 18

18 Architekturebene: Exploit-Checking für Cloud-Umgebungen Mittels Exploit-Datenbanken (Common Vulnerabilities and Exposures (CVE), Common Platform Enumeration (CPE), Common Vulnerability Scoring System (CVSS v2)) [M. Nimbs 2014] Jan Jürjens: Automatische Validierung: Architekturebene 19

19 Architekturebene: Architektur-basierte Risikoanalyse [F. Coerschulte 2014] Jan Jürjens: Automatische Validierung: Architekturebene 20

20 Analyse der Geschäftsprozesse Jan Jürjens: Automatische Validierung: Geschäftsprozesse 21

21 GP-Ebene: Textbasierte Risiko-Identifikation Jürjens et al., Journal of Software and Systems Modeling, 2011 Kunde stellt Anfrage zu Cloud-Service Dienstleister erhält Serviceanfrage Eingabe personenbezogener Daten Verschlüsselung und Authentifikation Prüfung der Daten Gefundene Pattern Aktivität [Kunde stellt Anfrage zu Cloud-Service (233)] 4 Relevante Worte: [Information(200.0), Meldung(200.0), Nachricht(200.0), Internet(100.0)] 22 relevante Pattern: B_5.10 : Internet Information Server (300.0) G_2.96 : Veraltete oder falsche Informationen in einem Webangebot (200.0) G_3.13 : Weitergabe falscher oder interner Identifizierte Informationen (200.0) G_3.44 : Sorglosigkeit im Umgang mit Informationen (200.0) Ausdrücke 22 Jan Jürjens: Automatische Validierung: Geschäftsprozesse 22

22 Compare GP-Ebene: Umsetzung Textbasierte Risiko-Identifikation Schlagwörtern wird Schutzbedarf zugeordnet. Bsp. Sozialversicherungsnummer personenbezogene Daten hoher Schutzbedarf gemäß 3 Abs. 8 BDSG darf nur innerhalb der EU verarbeitet werden Linguistic database Text extraction ~~~~, ~~~, ~~~~, ~~,~~~~~~,~~, ~~~,~~~~~,~~, ~~~~,~~,~~~,~~ Extension ~~~~, ~~~, ~~~~, ~~~, ~~,~~~~~~, ~~, ~~~,~~~~~, ~~, ~~~~,~~, ~~, ~~~,~~ Text extraction ~~~~, ~~~, ~~~~, ~~,~~~~~~,~~, ~~~,~~~~~,~~, ~~~~,~~,~~~,~~ Jan Jürjens: Automatische Validierung: Geschäftsprozesse 23

23 Text-basierte Risikoidentifikation: Textprozessor Jan Jürjens: Automatische Validierung: Geschäftsprozesse 24

24 GP-Ebene: Strukturbasierte Complianceanalyse J. Jürjens et al.. J. Inform. Management & Computer Security, 2013 Jürjens et al., Int. Journal on Intelligent Systems 25(8): (2010) 25 Jan Jürjens: Automatische Validierung: Geschäftsprozesse 25

25 Roadmap Herausforderungen Lösungen Auswertungsschnittstellen & Automatische Validierung Automatiserte Datenerhebung aus Drittsystemen Erfahrungen Jan Jürjens: Geschäftsprozesse in die Cloud: Automatisierte Datenerhebung 26

26 Compliance vs. Laufzeit-Daten Jürjens et al., Journal on Computers & Security 29(3): (2010) Business Process Mining: Prozesse aus Logdaten rekonstruieren A X C B Alternativ: Compliance- Monitoring auf Logdaten. Beispiel: 4-Augen-Prinzip Ereignisdaten ERP SCM WfMS CRM... Jan Jürjens: Geschäftsprozesse in die Cloud: Automatisierte Datenerhebung 27

27 Roadmap Herausforderungen Lösungen Erfahrungen Jan Jürjens: Geschäftsprozesse in die Cloud: Erfahrungen 28

28 Leistungen / Angebote des Fraunhofer ISST Machbarkeits- und Anforderungsanalysen für technologische, organisatorische und rechtliche Vorgaben zu Compliance, Risikomanagement, IT-Sicherheit. Ökonomische Bewertung von IT-Sicherheitsmaßnahmen hinsichtlich ihres Einsatzes in konkreten IT-Systemen. Beratung zu Compliance- und Sicherheitsaspekten während Entwicklung, Pflege und Einsatz von IT-Systemen. Durchführung von Risikoanalysen und Unterstützung beim Risikomanagement. Entwicklung von Analyse- und Monitoringwerkzeugen zur Überwachung von Geschäftsprozessen und IT-Systemen auf Compliance- und Sicherheitsanforderungen (z.b. Datenschutz und Datensicherheit). Jan Jürjens: Geschäftsprozesse in die Cloud: Erfahrungen 29

29 Einige Referenz-Projekte Elektronische Gesundheitskarte Sicherheitsrichtlinien für mobile Endgeräte Digitale Dokumentenverwaltung Digitale Geldbörse CEPS Sicherheitsanalyse Dokumentenmanagement Return-on-Security Investment-Analyse Sicherheitsanalyse für digitales Unterschriften-System Einführung IT-Sicherheitsrisikobewertung Update-Plattform für Smartcard-Software Cloud-spezifisch: Zertifizierungen für Cloud-Sicherheit Sicherheitsuntersuchungen zur Cloud-Nutzung Jan Jürjens: Geschäftsprozesse in die Cloud: Erfahrungen 30

30 Zusammenfassung Sicherheit und Compliance in Cloud-basierten Umgebungen: komplexe und vielfältige Probleme. Lösungen (und Tools) zur Bewältigung der Herausforderungen: Analyse der Geschäftsprozesse zur Auslagerung in Cloud (bzgl. Sicherheit / Compliance) Analyse / Überwachung der vom Cloud-Anbieter zugesicherten Sicherheit / Compliance Kontakt: Jan Jürjens: Geschäftsprozesse in die Cloud 31

31 32

32 Backup-Folien 33 Jan Jürjens: IT-Architekturen für auditierbare Geschäftsprozessanwendungen

33 Integrierte Compliance Management Plattform: Nutzersicht 34 Jan Jürjens: Geschäftsprozesse in die Cloud: Lösungen 34

34 Transparente Richtlinien in zentralem Pool ÄApprO BÄO ISO 9001 HKG KHBV BDSG GOÄ MPBetreibV HWG IfSG ISO Richtlinien- Pool

35 Individuelle Anpassbarkeit je Organisationseinheit a b

36 Zielgruppenorientierte & Kontextbasierte Informationen Druckbares Handbuch (z.b. PDF) Individuelle Sichten Richtlinien-Pool Generator QR-Code-Scan für kontextbasierte Infos

37 Integration in bestehende Portale + Vorhandenes CMS (z.b. MS Sharepoint) Richtlinien-Pool

38 Aktive Adressierung betroffener Personenkreise + Richtlinien-Pool Benachrichtigungssystem

39 Computergestütztes Self-Audit in den Fachabteilungen

40 Dynamische Delegation von Fragen an die richtigen Ansprechpartner

41 Sicherheitsbedarfsanalyse: Ontologie-Struktur für Regeln Jan Jürjens: Geschäftsprozesse in die Cloud: Lösungen 43

42 Re-Zertifizierung nach Systemänderungen Analyse nur auf Basis der Systemänderungen Effizienzgewinn. Jürjens, Wenzel et al. ServiceWave 2011 Jürjens et al., The Computer Journal, 2011 Jan Jürjens: Geschäftsprozesse in die Cloud: Lösungen 44

43

44

45 Sicherheitsziele beim Cloud Computing Vertraulichkeit Verfügbarkeit Integrität Verarbeitete Daten in Clouds sind unverschlüsselt Verschlüsselte Speicherung in Cloud: Shared DB Verschlüsselter Datenaustausch mit Cloud: Secure Internet Link Neben klassischen IT-Problemen : Cloud nur über Internetverbindung Protection of the virtual space of the clouds from e.g. overwrites Redundanz von Rechen- und Speicherresourcen, geographisch verteilt Unerwünschte und unerkannte Veränderung von Daten in Cloud verhindern Authentizität von Cloud-Systemen gegenüber User und umgekehrt Nicht-Abstreitbarkeit Transaktionen in Clouds erfordern Signaturen Unabhängiger Check der Signaturen Datenschutz Einhaltung gesetzlicher Regelungen (Standort beachten) Erstellung von Benutzerprofilen verhindern Konflikt mit Nicht-Abstreitbarkeit

46 GRC in Clouds Governance Risk Compliance Erstellung von Verfahren/Richtlinien Klassifikationsschema für Daten und Prozesse Vertrauenskette (?) in Cloud Risiko-Strategie Business Impact Analyse Analyse von Bedrohungen und Schwachstellen Risk Analysis Remediation Umsetzung von Verfahren/Richtlinien Legale Compliance (SOX, SOLVENCY II) Implementierung von Kontrollen Die Cloud stellt dynamisch Ressourcen bereit Dieselbe Dynamik wird für GRC in Clouds benötigt

47 Voraussetzungen Systematisches Vorgehen nur bei klaren Gegebenheiten Eine Möglichkeit: Anerkannte Standards für IT-Sicherheit ISO 2700x-Normen BSI Grundschutz-Standards und Kataloge Seit 2011: BSI Eckpunktepapier Cloud Computing

48 BSI Eckpunktepapier Cloud Computing Erweitert bestehende Standards um Cloud-spezifische Aspekte Hauptsächlich aus Sicht der Anbieter Schafft systematische Grundlage zur Untersuchung von Cloud-Angeboten

49 BSI Eckpunktepapier Cloud Computing (Forts.) Betrachtet elf Eckpunkte der Cloud Computing Sicherheit Vorgestellt werden vor allem Ziele, weniger konkrete Lösungen Für (potentielle) Anwender vor allem interessant: Vertragliche Gestaltung von Cloud-Angeboten Kontrollmöglichkeiten für Nutzer Portabilität und Interoperabilität Sicherheitsprüfung und nachweis (Zertifizierung)

50 Vertragliche Gestaltung: Service Level Agreements (SLA) Transparenz schafft Vertrauen beim Kunden Genaue Beschreibung der angebotenen Leistung und deren Beschränkungen! Vergleich verschiedener SLAs mit Anforderungen. Bietet der Provider überhaupt ein SLA an? Was bedeuten die Werte? Z.B. 99.8% jährliche Verfügbarkeit: Die Cloud ist ~17,5 Stunden pro Jahr offline! Ist die Cloud in verschiedene Sicherheitszonen unterteilt? Muss ich meine Daten vor der Übertragung in die Cloud aufteilen? Sollte ich die Übertragung vertraulicher Daten in die Cloud vermeiden?

51 Vertragliche Gestaltung: Kontrollmöglichkeiten Auch hier: Transparenz schafft Vertrauen Welche Möglichkeiten sind vorgesehen? Was sind die Strafen für Verletzungen der SLA? Kann der Kunde die Leistung der Cloud überwachen? Existiert ein Frühwarnsystem?

52 Portabilität und Interoperabilität Ein Vorteil der Cloud: Flexibilität Daher: Festlegung auf bestimmten Anbieter vermeiden ( Vendor Lock- In ) Vorhandene Daten müssen übernommen werden Etablierte Austauschformate helfen Auch ein Ende der Cloud-Nutzung sollte ohne großen Aufwand möglich sein!

53 Sicherheitsprüfung und -nachweis Welche Sicherheitseigenschaften kann der Kunde selber prüfen? Welche nicht? Allgemein: Zertifikate! ISO Auch auf Basis der BSI-Standards möglich TRUSTe SAS 70 Type II

54 Einige Beispiele: Sicherheits-Zertifikate Vendor X X (Quelle: Fraunhofer SIT, Cloud Computing Sicherheit, 2009)

55 Eine einfache Checkliste für eine Cloud Ist die Sicherheit des Anbieters dokumentiert? Wie werden Sicherheitslevel eingehalten? Ist eine einfache Beendigung der Cloudnutzung möglich? Welche Garantien und Service Level Agreements (SLA) existieren? Können diese an die Bedürfnisse des Kunden angepasst werden? Welche Vertragsstrafen sind in den Standard-SLAs vorgesehen? Wie kann der Anbieter die Einhaltung der SLA überwachen und durchsetzen? Wo ist der Standort der Cloud, welche Gesetze gelten dort? Kann die Anwendung von deutschem Recht erzwungen werden ( Rechtswahl )? Insbesondere Datenschutzbestimmungen!

56 Einige Beispiele Physikalische Sicherheit des Rechenzentrums: Googles Security Operations Center Amazon: Zwei-Faktor Authentifizierung Angriffe auf Netzwerkebene, z.b. Denial-of-Service: Amazon nutzt Denial-of-Service Prevention, genaue Methode ist geheim Microsoft nutzt Load-Balancer und Intrusion Prevention Systems Backup-Lösungen: Google, Amazon sichern Daten an unterschiedlichen Standorten FlexiScale legt Backups an, aber Nutzer kann die Daten nicht (selbst) wiederherstellen Amazon speichert Daten dauerhaft nach 5 Minuten sind diese in der Cloud

57 Verwandte Standards Process Maturity Holistic Control Systems Sicherheits-Standards Transparenz Safe Harbor

58 Analytische Werkzeugumgebung Vier-Augen-Prinzip OCL: selectedtasks->forall(x,y x <> y implies x.performer->forall(z y.performer->excludes(z)))

59 Analytische Werkzeugumgebung Vier-Augen-Prinzip Beispiel f. eine Verletzung:

60 Analytische Werkzeugumgebung Realisierte Analysen Für Geschäftsprozesse Separation of Duty Binding of Duty Role Level Authorization 7 Analysen für Anforderungen der MaRisk VA Darüber hinaus stehen für UML-Modelle diverse Sicherheitsanalysen zur Verfügung

61 Geschäftsprozesse Identifikation von Anforderungen Textuelle Beschreibungen der Aktivitäten/Tasks werden aus Modellen extrahiert Identifikation von Schlagwörtern Schlagwörtern ist der Schutzbedarf zugeordnet Bsp. Sozialversicherungsnummer personenbezogene Daten hoher Schutzbedarf gemäß 3 Abs. 8 BDSG darf nur innerhalb der EU verarbeitet werden Analyse-Werkzeug RiskFinder In CARiSMA integriert

62 Artefakte der Geschäftsprozesse Informelle Beschreibung von Geschäftsprozessen Prozesse liegen oftmals informell vor Artefakte wie z.b. Word-Dokumente, Excel-Tabellen, Visio-Charts Bei technischen Systemen sind manchmal auch Log-Files vorhanden Zur detaillierten Analyse ist Überführung in formalere Modelle notwendig z.b. UML, BPMN

63 ClouDAT allgemein Zertifizierung von Cloud-Umgebungen Vorgehen orientiert an ISMS der ISO27001

64 Requirements-Pattern Instanziierung abhängig von untersuchten Systemen Abbildung der Requirements auf Maßnahmen

65 Cloud-Pattern Darstellung von cloud-spezifischen Merkmalen durch Cloud-Pattern

66 Geschäftsprozesse Risikoanalyse: Ergebnisse Für jede Aktivität werden relevante Muster erkannt Die Relevanz wird grob bewertet Aktivitätsbezeichner [Kunde benötigt Cloud-Service] Relevante Worte: [Information(200.0), Meldung(200.0), Nachricht(200.0)] Relevante Pattern: BSIGrundschutz_B_5.10 : Internet Information Server (200.0) BSIGrundschutz_G_4.32 : Nichtzustellung einer Nachricht (200.0) BSIGrundschutz_G_5.27 : Nichtanerkennung einer Nachricht (200.0) BSIGrundschutz_M_2.158 : Meldung von Schadprogramm-Infektionen (200.0) Übereinstimmung [Dienstleister erhält Serviceanfrage] Relevante Worte: [Dienstleister(500.0)] Relevante Pattern: Identifizierte BSIGrundschutz_G_2.84 : Unzulängliche vertragliche Regelungen mit einem externen Dienstleister (500.0) BSIGrundschutz_M_2.436 : Vernichtung von Datenträgern durch externe Dienstleister (500.0) Muster (bewertet) [Eingabe personenbezogener Daten] Relevante Worte: [Daten(500.0), personenbezogener(500.0), Dateien(200.0), Unterlagen(200.0)] Relevante Pattern: BSIGrundschutz_G_2.61 : Unberechtigte Sammlung personenbezogener Daten (1000.0) BSIGrundschutz_G_2.61 : Unberechtigte Sammlung personenbezogener Daten (1000.0) BSIGrundschutz_G_2.116 : Datenverlust beim Kopieren oder Verschieben von Daten unter Windows Server 2003 (500.0)

67 Geschäftsprozesse Risikoanalyse: Verfahren Eingabe 1. Prozessbeschreibungen in verschiedenen Formaten Umgewandelt in eine vereinfachte Darstellung 2. Sicherheits- und Compliance-Muster Risikoanalyse sucht nach Relationen Ausgabe Matching zwischen Komponenten und relevanten Mustern 1. Allgemeine Darstellung 2. Analyse Muster

68 Textbasiertes Compliance-Mining: Experimentelle Resultate Jürjens et al. Requirements Engineering Journal (REJ), 2010 Anforderungsdokumente Common Electronic Purse Specifications (epurse) Customer Premises Network specification (CPN) Global Platform Specification (GPS) Metriken für Information Retrieval: Recall: Trefferquote Precision: Genauigkeit F-Measure: Kombination P&R Baseline: Alle Anforderungen als security relevant klassifiziert 70 Jan Jürjens: Compliance - Vorgehen - Werkzeuge - Resultate - Schluss

69 Leistungen / Angebote des Fraunhofer ISST Erstellung von Compliance-Berichten mit Werkzeugunterstützung Data Mining auf Log-Dateien Compliance-Analysis der Prozessausführung Automatische Generierung von Prozessmodellen Sicherheits- und Compliance-Analysen von Geschäftsprozessen auf Basis der Prozessdokumentation Vorbereitung und Durchführung von Compliance-Checks Außerdem: Möglichkeit der Mitwirkung als Pilotkunden in öffentlich geförderten Forschungs- und Entwicklungsprojekten. Jan Jürjens: Geschäftsprozesse in die Cloud: Lösungen

70 Fazit Sicherheit und Compliance in Cloud-basierten Umgebungen: komplexe und vielfältige Probleme. So vielfältig wie Clouds selbst Gibt Lösungen (und Tools) zur Bewältigung der Herausforderungen. Analyse der eigenen Geschäftsprozesse auf Eignung zur Auslagerung in eine Cloud (bzgl. Sicherheit / Compliance) Analyse / Überwachung der vom Cloud-Anbieter zugesicherten Sicherheit / Compliance Kontakt: Informationen: Jan Jürjens: Geschäftsprozesse in die Cloud

71 Veröffentlichungen Impakt:»10 years most influential paper«für UML 02-Veröffentlichung Mehr als 3000 Zitierungen, h-index 29 Einige aktuelle Veröffentlichungen (ab 2011): Vorträge zu Sicherheit und Compliance (z.b. in Clouds) auf: iqnite 2012, Anw. Informationstechnik und Telekommunikation (AKIT) 2012, CloudConf 2011, CloudDays 2011, Object-Oriented Programming (OOP 2011), iqnite 2011 Compliance-Management: S. Islam, H. Mouratidis, J. Jürjens. A Framework to Support Alignment of Secure Software Engineering with Legal Regulations. Journal of Software and Systems Modeling (SoSyM) 2011 Sichere Software Migration in die Cloud: S. Wenzel, T. Humberg, C. Wessel, D. Poggenpohl, T. Ruhroth, J. Jürjens. Ontology- Based Analysis of Compliance and Regulatory Requirements of Business Processes. In: 3rd Int. Conference on Cloud Computing and Services Science (Closer 2013) S. Wenzel, C. Wessel, T. Humberg, J. Jürjens. Securing Processes for Outsourcing into the Cloud. In 2nd Int. Conf. on Cloud Computing and Services Science Text-basiertes Risk-Mining: K. Schneider, E. Knauss, S. Houmb, S. Islam, J. Jürjens. Enhancing Security Requirements Engineering by Organisational Learning. Requirements Engineering Journal (REJ), ModellbasiertesSicherheits-Testen: E. Fourneret, M. Ochoa, F. Bouquet, J. Botella, J. Jürjens, P. Yousefi. Model-Based Security Verification and Testing for Smart-cards. In ARES 2011 Werkzeugunterstützung: M. Ochoa, J. Jürjens, J. Cuellar. Non-interference on UML State-charts. In 50th Int. Conference on Objects, Models, Components, Patterns (TOOLS Europe 2012) M. Ochoa, J. Jürjens, D. Warzecha. A Sound Decision Procedure for the Compositionality of Secrecy. In 4th Int. Symp. on Engin. Secure Software and Systems 2012 Rezertifizierung bei Softwareevolution: A. Bauer, J. Jürjens, Yijun Yu. Runtime Security Traceability for Evolving Systems. The Computer Journal, Oxford Univ. Press, vol. 54, no. 1, 2011, pp J. Jürjens, K. Schneider. On modelling non-functional requirements evolution with UML (invited contribution). In Festschrift for Martin Glinz 2012 T. Ruhroth, J. Jürjens. Supporting Security Assurance in the Context of Evolution: Modular Modeling and Analysis with UMLsec. In 16th IEEE Intern. Symp. on High Assurance Systems Engineering (HASE 2012), IEEE, 2012 F. Massacci, F. Bouquet, E. Fourneret, J. Jürjens, M.S. Lund, S. Madelenat, J.T. Mühlberg, F. Paci, S. Paul, B. Solhaug, S. Wenzel, F. Piessens. Orchestrating Security and System Engineering for Evolving Systems (Invited paper). In 4th European Conf. ServiceWave 2011, LNCS 6994, Springer 2011, pp Studien zu IT-Sicherheits-Risikobewertung in der Praxis: S. Taubenberger, J. Jürjens, Y. Yu, B. Nuseibeh. Resolving Vulnerability Identification Errors using Security Requirements on Business Process Models. J. Inform. Management & Computer Security, 2013 S. Taubenberger, J. Jürjens. Studie zu IT-Risikobewertungen in der Praxis. In D-A-CH Security S. Taubenberger, J. Jürjens, B. Nuseibeh, Yijun Yu. Problem Analysis of Traditional IT-Security Risk Assessment Methods An Experience Report from the Insurance and Auditing Domain. In 26th IFIP International Information Security Conference (IFIP SEC 2011), Lucerne, 7-9 June 2011 J. Jürjens, K. Schneider: The SecReq approach: From Security Requirements to Secure Design, Software Engineering Jan Jürjens: IT-Architekturen für auditierbare Geschäftsprozessanwendungen

72 Compliance-Methodik: Überblick Abstrakte Gesetze und Regularien Konkrete Sicherheits- Bestimmungen Basel II SOX AktG KWG VAG MARisk ISO 2700x Solvency II BSI-Grundschutzhandbuch Apex Werkzeuge Risk Finder Compliance pattern analyzer 74 Jan Jürjens: IT-Architekturen für auditierbare Geschäftsprozessanwendungen

73 Automatische Compliance-Analyse auf Geschäftsprozessen Strukturanalyse von Geschäftsprozess auf Compliance-Muster Beispiel: 4-Augen-Prinzip bei Vertragsabschluss (Formalisierung in temporaler Logik). formula four\_eyes\_principle ( a1:activity, a2:activity ) := forall [ p:person (!(execute(p, a1)) \/!(execute(p, a2)) ) ]; 75 Jan Jürjens: IT-Architekturen für auditierbare Geschäftsprozessanwendungen

74 Automatische Risiko-Annotation 76 Jan Jürjens: IT-Architekturen für auditierbare Geschäftsprozessanwendungen

75 Von IT-Daten zu Geschäftsprozessen: Business Process Mining Analyse von Prozessen, die aus Log-Daten rekonstruiert wurden A X C B Process ID Activity ID Consultant Time Stampe 1 A John :15.01 Ereignis-Daten 2 A Mike : B Mike : C Carol :18.25 ERP SCM WfMS... CRM 77 Jan Jürjens: IT-Architekturen für auditierbare Geschäftsprozessanwendungen

76 Log-Daten-basierte Compliance-Analyse Beispiel: Überprüfung des 4-Augen-Prinzips anhand Log-Daten Jürjens et al., Journal on Computers & Security 29(3): (2010) 78 Jan Jürjens: IT-Architekturen für auditierbare Geschäftsprozessanwendungen

77 Evolution auf Design-Ebene: Differenz-basierte Verifikation Differenz-basierte Verifikation Idee: Erstmalige Verifikation: Registrieren, welche Modellelemente bei Verifikation gegebener Eigenschaft referenziert. Im verifizierten Modell gespeichert, inkl. Teil-Resultate (»proof-carrying models«). Mit Heuristiken Bedingungen an Änderungen definiert, die Verifikationsergebnis bewahren. Evolutions-Differenz zwischen altem und neuem Modell berechnen (z.b. mit SiDiff [Kelter]). Nur die Modell-Teile re-verifizieren, die 1) sich geändert haben und 2) in der Verifikation referenziert wurden und 3) deren Änderung die Bedingungen nicht erfüllt. Erheblicher Performanzgewinn gegenüber einfacher Re-Verifikation Jan Jürjens: IT-Architekturen für auditierbare Geschäftsprozessanwendungen

78 Einige technologische Assets Werkzeug CARiSMA: Sicherheits-, Risiko- / Complianceanalysen auf Geschäftsprozess-/Software-Modellen: BPMN-/UML-Modellanalyse Anbindung von Process-Mining Differenzberechnung nach Modelländerungen Re-Verifikation auf Sicherheit nach Modelländerungen Ontologie zur systematischen Herleitung, Formalisierung, Verwaltung von Sicherheits/Compliance-Anforderungen CARiSMA Taxonomie für Sicherheitsstandards (z.b. BSI Grundschutz) Modell für Cloud-Umgebungen über Extraktion sicherheitsrelevanter Daten über Cloud-Interfaces. Werkzeugunterstützung zur Erfassung von Quelltexten (z.b. Gesetzestexte, BSI-Grundschutzkataloge), deren Verarbeitung und automatisierte Erkennung und Erfassung der Querbeziehungen.»RiskFinder«: Findet Sicherheits-/Compliance-Risiken in Prozessbeschreibungen. Werkzeug zur textbasierten Analyse von Compliance-Anforderungen. Analysewerkzeug für Rentabilität von Sicherheitsmaßnahmen (in Entwicklung). Analysewerkzeug für Clouds auf Sicherheitsanforderungen (in Entwicklung). 80 Unterneh- mens- Daten Jan Jürjens: IT-Architekturen für auditierbare Geschäftsprozessanwendungen

79 Wissenschaftliche Grundlage: Modellbasiertes Compliancemanagement Anforderungen Einfügen Analysieren Evolution Code- / Testgen. Modelle Reverse Engin. Implementierung Generieren Verifizieren Ausführen Konfiguration Konfigurieren Laufzeitsystem 81 [Jan Jürjens: Secure systems development with UML. Springer Chines. Übers. 2009] Jan Jürjens: IT-Architekturen für auditierbare Geschäftsprozessanwendungen

80 Wissenschaftliche Herausforderung: Automatische Analyse der Compliance Jürjens et al., TOOLS Europe 2012 Beispiel»sicherer Informationsfluss«: Kein Informationsfluss von vertraulichem zu öffentlichem Wert. Analyse: Wenn zwei Systemzustände state current, state current sich nur in den Werten der vertraulichen Attribute unterscheiden, darf ihr öffentlich beobachtbares Verhalten sich nicht unterscheiden: state current pub state current state current.t(m) pub state current.t(m) (wobei state current pub state current falls state current und state current sich in ihrem öffentlich beobachtbaren Verhalten nicht unterscheiden). Beispiel: Unsicher, weil vertrauliches Attribut money den Rückgabe-Wert der öffentlichen Methode rx() beeinflusst. ExtraService pub NoExtraService aber nicht: ExtraService.rx() pub NoExtraService.rx() 82 Jan Jürjens: IT-Architekturen für auditierbare Geschäftsprozessanwendungen

81 Von Compliance zu Geschäftsprozessen MaRisk VA: J. Jürjens et al.. J. Inform. Management & Computer Security, 2013 Geschäftsprozess 7.2 (2) Materiell bedeutsame Einzelentscheidungen und Anweisungen von Führungsebenen unterhalb der Geschäftsleitung, die gegen die innerbetrieblichen Leitlinien verstoßen, sind schriftlich zu begründen, zu dokumentieren und der Geschäftsleitung zur Kenntnis vorzulegen. Unterschrift durch Sachbearbeiter Dokumentation über Begründung für eigene Unterschrift schreiben Unterschrift durch Unterschriftsberechtigten Werkzeug-Repository: formalisierte Compliance-Anforderungen Dann: Begründung für Unterschrift dokumentieren d:unterschrift d:aushändigung Wenn: Ausnahme von innerbetrieblicher Leitlinie Rechtsgültiger Vertrag liegt vor Aushändigung des Vertrags Logik-basierte Formalisierung: formula four\_eyes\_principle ( a1:activity, a2:activity ) := forall [ p:person (!(execute(p, a1)) \/!(execute(p, a2)) ) ]; 83 Jan Jürjens: IT-Architekturen für auditierbare Geschäftsprozessanwendungen

82 Spin-Off-Projekte SecureClouds (BMBF): Compliance-Analyse bei Auslagerung in Cloud. [Kooperationsmöglichkeiten: vgl. Vortrag Oliver Strauß] SECONOMICS (EU): Werkzeuge für ökonomische Bewertung von Sicherheitsmaßnahmen (insb. cyber-physikalische Systeme). [Kooperationsmöglichkeiten: vgl. Vortrag Prof. Riedel, Dr. Kohlhammer] Fhg-ZV-Studie: Anwendbarkeit eines Informationssicherheits- Risikomanagements nach ISO 2700x in FhG WBMP: Industrieauftrag Text-Processing-Werkzeug ClouDAT (IKT.NRW, via TUDo): Sicherheitszertifizierung von Clouds. Secure Change (EU, via TUDo): Rezertifizierung von Compliance nach Änderungen der Software, insbes. Sicherheitstesten [Kooperationsmöglichkeiten: vgl. Vortrag Prof. Schieferdecker] SecVolution (DFG, via TUDo): Rezertifizierung von Compliance nach Änderungen der Systemumgebung 84 Jan Jürjens: Compliance - Vorgehen - Werkzeuge - Resultate - Schluss

83 Geschäftsprozesse in die Cloud - aber sicher! (... und compliant) Prof. Dr. Jan Jürjens Fraunhofer Institut für Software- und Systemtechnik ISST, Dortmund