Harmonisierung des Risikomanagements für Einsatz und Outsourcing von Informationstechnologie

Die vorliegende Arbeit stellt ein Integrationsmodell zur Harmonisierung des Risikomanagements für den Einsatz und das Outsourcing von Informationstechnologie vor. Nach der einführenden Darlegung von Kontext, Motivation und Forschungsfrage werden wesentliche Begriffsdefinitionen vorgenommen sowie die Arbeit von bestehenden Werken abgegrenzt. In einem ersten Schritt erfolgt eine umfassende Darstellung der verwendeten Ansätze, die im Rahmen einer objektorientierten Analyse auf inhaltlicher und struktureller Ebene betrachtet werden. In der anschließenden Design-Phase werden die zuvor ermittelten Konzepte gegenübergestellt und bewertet, sowie im finalen Schritt ein Integrationsmodell erarbeitet, welches Begriffs- und Prozessgruppen als UML-Klassen- und Aktivitätsdiagramme definiert. Es findet eine Validierung des Integrationsmodells durch einen Falsifikationsversuch im Sinne des kritischen Rationalismus statt. Eine Zusammenfassung, Schlussfolgerungen und weiterführende Fragestellungen runden die Arbeit ab.This paper presents an integration model to harmonize heterogenous risk management approaches used in IT operations and outsourcing. Having defined the working context, motivation and research question, this paper introduces necessary terms and concepts and distinguishes its core topic from related work. As a first step, the relevant risk management approaches are being described in detail, and their contents and structure are being explored using an object-oriented data-modeling approach. During the design phase, the identified concepts are being compared, evaluated and finally transformed into an integrated UML-based class and activity model containing the necessary groups of terms, definitions and processes. The integration model is validated using an attempt to falsify it in terms of critical rationalism. The paper is concluded by a summary and the deduction of implications as well as questions for further research

Betriebliche Anwendungssysteme : Tagungsband zur AKWI-Fachtagung vom 11. bis 14.09.2011 an der Fachhochschule Worms

In heutigen Unternehmen werden im Kern alle Aufgaben durch Anwendungssysteme direkt oder durch diese unterstützt erledigt. Folglich beschreiben betriebliche Anwendungssysteme heute im Grunde, welche Aufgaben in Unternehmen überhaupt zu lösen sind und welche davon automatisiert und somit durch Software erledigt bzw. unterstützt werden können. Die Arbeit an und mit Betrieblichen Anwendungssystemen ist gekennzeichnet durch eine große thematische Breite und demonstriert die für die Wirtschaftsinformatik charakteristische Nutzung von Ansätzen der Betriebswirtschaftslehre sowie der Informatik. Deswegen erwarteten die Herausgeber sehr heterogene Themenvorschläge und sie wurden nicht enttäuscht. Die letztlich ausgewählten Themen stellen aktuelle Entwicklungs- und anwendungsorientierte Forschungsprojekte zu Geschäftsprozessen, Standardsoftware, Softwareentwicklung und Betrieb von Anwendungssystemen vor. Dadurch beschreiben sie das heute existierende Berufsbild von Wirtschaftsinformatikern und -innen in der industriellen Praxis

Integriertes Management von Security-Frameworks

Security-Frameworks sind baukastenähnliche, zunächst abstrakte Konzepte, die aufeinander abgestimmte technische und organisatorische Maßnahmen zur Prävention, Detektion und Bearbeitung von Informationssicherheitsvorfällen bündeln. Anders als bei der Zusammenstellung eigener Sicherheitskonzepte aus einer Vielzahl punktueller Einzelmaßnahmen wird bei der Anwendung von Security-Frameworks das Ziel verfolgt, mit einem relativ geringen Aufwand auf bewährte Lösungsansätze zur Absicherung von komplexen IT-Diensten und IT-Architekturen zurückgreifen zu können. Die praktische Umsetzung eines Security-Frameworks erfordert seine szenarienspezifische Adaption und Implementierung, durch die insbesondere eine nahtlose Integration in die vorhandene Infrastruktur sichergestellt und die Basis für den nachhaltigen, effizienten Betrieb geschaffen werden müssen. Die vorliegende Arbeit behandelt das integrierte Management von Security-Frameworks. Im Kern ihrer Betrachtungen liegen folglich nicht individuelle Frameworkkonzepte, sondern Managementmethoden, -prozesse und -werkzeuge für den parallelen Einsatz mehrerer Frameworkinstanzen in komplexen organisationsweiten und -übergreifenden Szenarien. Ihre Schwerpunkte werden zum einen durch die derzeit sehr technische Ausprägung vieler Security-Frameworks und zum anderen durch die fehlende Betrachtung ihres Lebenszyklus über die szenarienspezifische Anpassung hinaus motiviert. Beide Aspekte wirken sich bislang inhibitorisch auf den praktischen Einsatz aus, da zur Umsetzung von Security-Frameworks immer noch ein erheblicher szenarienspezifischer konzeptioneller Aufwand erbracht werden muss. Nach der Diskussion der relevanten Grundlagen des Sicherheitsmanagements und der Einordnung von Security-Frameworks in Informationssicherheitsmanagementsysteme werden auf Basis ausgewählter konkreter Szenarien mehr als 50 Anforderungen an Security-Frameworks aus der Perspektive ihres Managements abgeleitet und begründet gewichtet. Die anschließende Anwendung dieses Anforderungskatalogs auf mehr als 75 aktuelle Security-Frameworks zeigt typische Stärken sowie Schwächen auf und motiviert neben konkreten Verbesserungsvorschlägen für Frameworkkonzepte die nachfolgend erarbeiteten, für Security-Frameworks spezifischen Managementmethoden. Als Bezugsbasis für alle eigenen Konzepte dient eine detaillierte Analyse des gesamten Lebenszyklus von Security-Frameworks, der zur grundlegenden Spezifikation von Managementaufgaben, Verantwortlichkeiten und Schnittstellen zu anderen Managementprozessen herangezogen wird. Darauf aufbauend werden an den Einsatz von Security-Frameworks angepasste Methoden und Prozesse u. a. für das Risikomanagement und ausgewählte Disziplinen des operativen Sicherheitsmanagements spezifiziert, eine Sicherheitsmanagementarchitektur für Security-Frameworks konzipiert, die prozessualen Schnittstellen am Beispiel von ISO/IEC 27001 und ITIL v3 umfassend ausgearbeitet und der Einsatz von IT-Sicherheitskennzahlen zur Beurteilung von Security-Frameworks demonstriert. Die praktische Anwendung dieser innovativen Methoden erfordert dedizierte Managementwerkzeuge, die im Anschluss im Detail konzipiert und in Form von Prototypen bzw. Simulationen umgesetzt, exemplifiziert und bewertet werden. Ein umfassendes Anwendungsbeispiel demonstriert die praktische, parallele Anwendung mehrerer Security-Frameworks und der spezifizierten Konzepte und Werkzeuge. Abschließend werden alle erreichten Ergebnisse kritisch beurteilt und ein Ausblick auf mögliche Weiterentwicklungen und offene Forschungsfragestellungen in verwandten Bereichen gegeben.Security frameworks at first are modular, abstract concepts that combine technical as well as organizational measures for the prevention, detection, and handling of information security incidents in a coordinated manner. Unlike the creation of scenario-specific security concepts from scratch, for which one has to choose from a plethora of individual measures, using security frameworks pursues the goal of reducing the required time and effort by applying proven solutions for securing complex IT services and IT architectures. The practical realization of a security framework requires its scenario-specific customization and implementation, which especially need to ensure its seamless integration into the existing infrastructure and provides the basis for sustained, efficient operations. This thesis highlights the integrated management of security frameworks. Therefore, it does not focus on individual security framework concepts, but on innovative management methods, processes, and tools for operating multiple security framework instances in complex enterprise-wide and inter-organizational scenarios. Its core contributions are motivated by the very technically oriented characteristics of current security frameworks on the one hand and by the lack of a holistic view on their life cycle that reaches beyond the customization phase on the other hand. These two aspects still inhibit the wide-spread practical application of security frameworks because still significant scenario-specific conceptual efforts have to be made in order to operate and manage the framework instances. After the discussion of the relevant fundamentals of security management and the classification of security frameworks into information security management systems, more than 50 management-specific requirements for security frameworks are derived from practical scenarios and get reasonably weighted. The application of the resulting criteria catalogue to more than 75 current security frameworks points out their typical strengths and weaknesses; besides improvement proposals for the analyzed security frameworks, it also motivates the security-framework-specific management methods that are developed afterwards. For each of the proposed concepts, a detailed analysis of the complete security framework life cycle serves as a reference base. It is also used to specify the basic management tasks, responsibilities, and interfaces to related management processes. Based on this life cycle specification, security-framework-specific management methods and processes, e. g., for risk management and for selected security operations tasks are specified, a security management architecture for security frameworks is designed, process-related interfaces based on ISO/IEC 27001 and ITIL v3 are elaborated, and the application of security metrics to quantitatively assess security frameworks is demonstrated. The practical application of the proposed innovative methods requires several dedicated management tools, which are devised in detail, implemented as prototypes or as simulations, exemplified, and evaluated. An extensive usage example demonstrates the practical application of multiple security frameworks in parallel based on the specified concepts and tools. Finally, all achieved results are critically assessed and an outlook to further research as well as open issues in related disciplines is given

Sichere Werkzeugketten und werkzeugunterstütztes Assessment - Verwendung komplexer Werkzeugketten für die Entwicklung und Bewertung sicherheitsrelevanter Software

Eine stark wachsende Zahl eingebetteter elektronischer Systeme implementiert sicherheitsrelevante Funktionen. Diese Funktionen werden zunehmend in Software implementiert. Die einschlägigen Normen zur Funktionalen Sicherheit erfordern den Einsatz von „vertrauenswürdigen“ Softwareentwicklungswerkzeugen und Werkzeugketten. Diese Arbeit leitet einen generischen, projektunabhängigen Ansatz für die Qualifizie-rung von Softwarewerkzeugen her, die bei der Entwicklung sicherheitsrelevanter Systeme eingesetzt werden. Auf Basis dieser Methodik wird in einem zweiten Schritt ein Vorgehen entwickelt, dass es ermöglicht, die Bewertung der Funktionalen Sicherheit (Safety Assessment) werkzeugunterstützt durchzuführen. Dies führt zu einer signifikanten Effizienzsteigerung bei der Begutachtung sicherheitstechnischer Systeme

Kritische Betrachtung von BPM auf Basis von Cloud Computing

Die vorliegende Master Arbeit betrachtet die beiden Hype Stichworte der letzten Jahre in der Informationstechnologie. Cloud Computing ist nicht nur aus wirtschaftlichen Aspekten ein interessantes Thema. Business Process Management auf der anderen Seite trägt viel zum geschäftlichen Erfolg von Unternehmen bei. Die Kombination dieser zwei Technologie-Richtungen hat zu einem stark wachsenden Interesse geführt. Da Cloud Computing wie auch Business Process Management nicht perfekt sind, ist eine Kombination kritisch zu betrachten. Diese Arbeit soll die Schwachstellen einer Cloud-basierten BPM Lösung erläutern und wichtige Entwicklungsschritte darstellen

Semantisches Informationsmodell für die Betriebsunterstützung dienstorientierter Systeme

Bei der Umsetzung von Geschäftsmodellen wird verstärkt auf das Architekturkonzept der serviceorientierten Architektur (SOA) zurückgegriffen. Vor dem Hintergrund der wachsenden Komplexität der resultierenden dienstorientierten Systeme stellt die vorliegende Arbeit einen systematischen Ansatz zur effektiven Zusammenführung von Informationen, Werkzeugen und Methodiken in ein übergreifendes und konsistent anwendbares Modell zur Verwaltung und Überwachung dienstorientierter Systemlandschaften vor