83 research outputs found
Integriertes Management von Security-Frameworks
Security-Frameworks sind baukastenähnliche, zunächst abstrakte Konzepte, die aufeinander abgestimmte technische und organisatorische Maßnahmen zur Prävention, Detektion und Bearbeitung von Informationssicherheitsvorfällen bündeln. Anders als bei der Zusammenstellung eigener Sicherheitskonzepte aus einer Vielzahl punktueller Einzelmaßnahmen wird bei der Anwendung von Security-Frameworks das Ziel verfolgt, mit einem relativ geringen Aufwand auf bewährte Lösungsansätze zur Absicherung von komplexen IT-Diensten und IT-Architekturen zurückgreifen zu können. Die praktische Umsetzung eines Security-Frameworks erfordert seine szenarienspezifische Adaption und Implementierung, durch die insbesondere eine nahtlose Integration in die vorhandene Infrastruktur sichergestellt und die Basis für den nachhaltigen, effizienten Betrieb geschaffen werden müssen.
Die vorliegende Arbeit behandelt das integrierte Management von Security-Frameworks. Im Kern ihrer Betrachtungen liegen folglich nicht individuelle Frameworkkonzepte, sondern Managementmethoden, -prozesse und -werkzeuge für den parallelen Einsatz mehrerer Frameworkinstanzen in komplexen organisationsweiten und -übergreifenden Szenarien. Ihre Schwerpunkte werden zum einen durch die derzeit sehr technische Ausprägung vieler Security-Frameworks und zum anderen durch die fehlende Betrachtung ihres Lebenszyklus über die szenarienspezifische Anpassung hinaus motiviert. Beide Aspekte wirken sich bislang inhibitorisch auf den praktischen Einsatz aus, da zur Umsetzung von Security-Frameworks immer noch ein erheblicher szenarienspezifischer konzeptioneller Aufwand erbracht werden muss.
Nach der Diskussion der relevanten Grundlagen des Sicherheitsmanagements und der Einordnung von Security-Frameworks in Informationssicherheitsmanagementsysteme werden auf Basis ausgewählter konkreter Szenarien mehr als 50 Anforderungen an Security-Frameworks aus der Perspektive ihres Managements abgeleitet und begründet gewichtet. Die anschließende Anwendung dieses Anforderungskatalogs auf mehr als 75 aktuelle Security-Frameworks zeigt typische Stärken sowie Schwächen auf und motiviert neben konkreten Verbesserungsvorschlägen für Frameworkkonzepte die nachfolgend erarbeiteten, für Security-Frameworks spezifischen Managementmethoden.
Als Bezugsbasis für alle eigenen Konzepte dient eine detaillierte Analyse des gesamten Lebenszyklus von Security-Frameworks, der zur grundlegenden Spezifikation von Managementaufgaben, Verantwortlichkeiten und Schnittstellen zu anderen Managementprozessen herangezogen wird. Darauf aufbauend werden an den Einsatz von Security-Frameworks angepasste Methoden und Prozesse u. a. für das Risikomanagement und ausgewählte Disziplinen des operativen Sicherheitsmanagements spezifiziert, eine Sicherheitsmanagementarchitektur für Security-Frameworks konzipiert, die prozessualen Schnittstellen am Beispiel von ISO/IEC 27001 und ITIL v3 umfassend ausgearbeitet und der Einsatz von IT-Sicherheitskennzahlen zur Beurteilung von Security-Frameworks demonstriert.
Die praktische Anwendung dieser innovativen Methoden erfordert dedizierte Managementwerkzeuge, die im Anschluss im Detail konzipiert und in Form von Prototypen bzw. Simulationen umgesetzt, exemplifiziert und bewertet werden. Ein umfassendes Anwendungsbeispiel demonstriert die praktische, parallele Anwendung mehrerer Security-Frameworks und der spezifizierten Konzepte und Werkzeuge. Abschließend werden alle erreichten Ergebnisse kritisch beurteilt und ein Ausblick auf mögliche Weiterentwicklungen und offene Forschungsfragestellungen in verwandten Bereichen gegeben.Security frameworks at first are modular, abstract concepts that combine technical as well as organizational measures for the prevention, detection, and handling of information security incidents in a coordinated manner. Unlike the creation of scenario-specific security concepts from scratch, for which one has to choose from a plethora of individual measures, using security frameworks pursues the goal of reducing the required time and effort by applying proven solutions for securing complex IT services and IT architectures. The practical realization of a security framework requires its scenario-specific customization and implementation, which especially need to ensure its seamless integration into the existing infrastructure and provides the basis for sustained, efficient operations.
This thesis highlights the integrated management of security frameworks. Therefore, it does not focus on individual security framework concepts, but on innovative management methods, processes, and tools for operating multiple security framework instances in complex enterprise-wide and inter-organizational scenarios. Its core contributions are motivated by the very technically oriented characteristics of current security frameworks on the one hand and by the lack of a holistic view on their life cycle that reaches beyond the customization phase on the other hand. These two aspects still inhibit the wide-spread practical application of security frameworks because still significant scenario-specific conceptual efforts have to be made in order to operate and manage the framework instances.
After the discussion of the relevant fundamentals of security management and the classification of security frameworks into information security management systems, more than 50 management-specific requirements for security frameworks are derived from practical scenarios and get reasonably weighted. The application of the resulting criteria catalogue to more than 75 current security frameworks points out their typical strengths and weaknesses; besides improvement proposals for the analyzed security frameworks, it also motivates the security-framework-specific management methods that are developed afterwards.
For each of the proposed concepts, a detailed analysis of the complete security framework life cycle serves as a reference base. It is also used to specify the basic management tasks, responsibilities, and interfaces to related management processes. Based on this life cycle specification, security-framework-specific management methods and processes, e. g., for risk management and for selected security operations tasks are specified, a security management architecture for security frameworks is designed, process-related interfaces based on ISO/IEC 27001 and ITIL v3 are elaborated, and the application of security metrics to quantitatively assess security frameworks is demonstrated.
The practical application of the proposed innovative methods requires several dedicated management tools, which are devised in detail, implemented as prototypes or as simulations, exemplified, and evaluated. An extensive usage example demonstrates the practical application of multiple security frameworks in parallel based on the specified concepts and tools. Finally, all achieved results are critically assessed and an outlook to further research as well as open issues in related disciplines is given
Frei und sicher leben. Deutsche Innenpolitik in Europa
Informationsbroschüre des Bundesministeriums des Innern, die verschiedene Aufgabenbereiche des BdI in der Europäischen Union erläutert
Organisatorische Maßnahmen zur Vorbereitung ambulanter Pflegedienste auf Notfälle, Krisen und Katastrophen
Menschen, die auf häusliche Pflege und Versorgung angewiesen sind, sehen sich im Fall von Notfällen, Krisen und Katastrophen besonderen Herausforderungen ausgesetzt. Zwar wird nicht jeder von ihnen im Alltag von ambulanten Pflegediensten unterstützt – in vielen Fällen wird die Pflege allein oder überwiegend von An- und Zugehörigen geleistet. Dennoch stellen diese Dienste eine wichtige Ressource dar, um die dezentrale häusliche Versorgung von Menschen mit unterschiedlichsten Zugangs- und Funktionsbeeinträchtigungen im Ereignisfall auch unter widrigen Umständen möglichst lange aufrechterhalten zu können. Auch eine ggf. erforderliche Weiterversorgung in Übergangseinrichtungen oder Betreuungsplätzen können sie mit ihrer Expertise begleiten. Voraussetzung dafür ist, dass die ambulanten Dienste, sich den wachsenden Gefahren aus Notfällen, Krisen und Katastrophen stellen, vorausschauend organisatorische Anpassungsmaßnahmen ergreifen und sich auf diese Weise insgesamt widerstandsfähiger gegenüber derartigen Ereignissen aufzustellen.
Basierend auf literaturgestützten und empirischen Vorarbeiten und einem partizipativen Zielfindungsprozess wurden im Rahmen des Projekts zur Aufrechterhaltung ambulanter Pflegeinfrastrukturen in Krisensituationen (AUPIK) – insbesondere in Teilprojekt 3 „Sicherheit und Pflege“ – einige organisatorische Maßnahmen zur Förderung der Widerstandsfähigkeit ambulanter Pflegedienste gegenüber Notfällen, Krisen und Katastrophen erarbeitet. Sie werden in diesem Working Paper vorgestellt. Ein besonderer Schwerpunkt liegt dabei einerseits auf der Erstellung eines Katastro-phenschutzplans für ambulante Pflegedienste (Teil I), andererseits auf Bildungsmaterialien für die unterschiedlichen Mitarbeitenden dieser Dienste (Teil II).
Die Arbeitsergebnisse sind allgemein gehalten und bedürfen einer Anpassung an die Gegebenheiten des jeweiligen ambulanten Dienstes. Sie sollen binnenorganisatorische Diskurse und Entwicklungen zu den darin aufgeworfenen Fragen anstoßen. Zudem tragen die Arbeitsergebnisse an vielen Stellen vorläufigen Charakter – auch aufgrund fehlender Erkenntnisse und Evidenz in Detailfragen. Tatsächlich lassen sich viele Fragen einer angemessenen Vorbereitung auf Notfälle, Krisen und Katastrophen – insbesondere für häuslich versorgte Menschen mit Zugangs- und Funktionsbeeinträchtigungen – derzeit nicht zufriedenstellend beantworten. Auch zu den Möglichkeiten und Grenzen ambulanter Pflegedienste bei der Gewährleistung der Versorgung und Sicherheit vulnerabler Bevölkerungsgruppen während und nach einem Ereignisfall, fehlt es an tragfähigen wis-senschaftlichen Erkenntnissen.
Die Veröffentlichung dieser Anregungen zur Erstellung eines Katastrophenschutzplans und von Bildungsmaterialien für Mitarbeitende ambulanter Pflegedienste erfolgt demnach in der Erwartung, dass sie von den ambulanten Diensten, deren Trägern, Verbänden im Bereich der Langzeitpflege und anderen interessierten Personen und Organisationen aufgegriffen, mit praktischen Erfahrungen angereichert, kontinuierlich weiterentwickelt und neuen Erkenntnissen angepasst werden. Auf diese Weise soll die Veröffentlichung mit dazu beitragen, dass ambulante Pflegedienste künftigen Notfällen, Krisen und Katastrophen vorbereiteter und widerstandsfähiger begegnen können
Case Kritis - Fallstudien zur IT-Sicherheit in Kritischen Infrastrukturen
Kritische Infrastrukturen bilden das Rückgrat unserer Gesellschaft. Fallen sie aus, kaskadieren die Auswirkungen schnell und können katastrophale Folgen haben.
Wie andere Unternehmen sind auch Kritische Infrastrukturen weitgehend von Informationstechnik durchdrungen und nicht selten von deren fehlerfreier Funktion abhängig. Es wundert somit nicht, dass auch der Gesetzgeber angemessene Maßnahmen verlangt. Aber welchen speziellen Herausforderungen stehen Kritische Infrastrukturen dabei gegenüber? Und wie kann diesen wirksam und effizient begegnet werden?
Dieses Buch bündelt neun Lösungen aus der Praxis, die Good Practices von Betreibern Kritischer Infrastrukturen, beispielgebende Projekte und Technologien aufzeigen und deren Erfolgsfaktoren mögliche Antworten auf diese Fragen geben.
Der Band enthält Fachbeiträge zu folgenden Themen:
- Gesetzliche Anforderungen an die IT-Sicherheit in Deutschland und Europa
- Stand der Technik im Bereich der IT-Sicherheit Kritischer Infrastrukturen
- Umsetzung im Unternehmen: Von der IT-Sicherheit zu Innovatio
Eine Fallstudie zur Evaluation und Weiterentwicklung des Produktportfolios eines KMU Cloud Service Providers
Kleinere und mittlere Cloud Service Provider (CSP) stehen im Schweizer Cloud Computing Markt aufgrund des Markteintritts von Grossanbietern in der Schweiz stark unter Konkurrenzdruck. Die Grossanbieter profitieren von Ressourcenstärke sowie diversen Skalen-Effekten, was sich insbesondere durch tiefe Preise und hoch standardisierte Cloud-Services bemerkbar macht. Die Wettbewerbsfähigkeit von KMU CSP wird in dieser Forschungsarbeit deshalb in Frage gestellt, indem die zugrundeliegenden Problemstellungen von KMU CSP im Schweizer Cloud Computing Markt explorativ erforscht werden. Darin begründet sich auch das Ziel dieser Forschungsarbeit: Die Erforschung aktueller Problemstellungen von KMU CSP in den Servicemodellen Software as a Service (SaaS), Platform as a Service (PaaS) und Infrastructure as a Service (IaaS) im Bereich Computing, Speicher, und Software sowie die Entwicklung entsprechender Lösungsansätze. Dafür wird im Rahmen einer Fallstudie das Cloud-Produktportfolio eines KMU CSP analysiert und ein Soll-Cloud-Produktportfolio entwickelt. Um die Markteinflüsse im Schweizer Cloud Computing Markt zu identifizieren, wurde eine Literaturrecherche, sechs Experteninterviews sowie ein Benchmarking von ausgewählten Angeboten von Grossanbietern durchgeführt.
Die Ergebnisse zeigen, dass KMU CSP insbesondere im Bereich von Commodities in den Servicemodellen PaaS und IaaS stark unter Druck stehen, insofern es sich nicht um stark spezialisierte Angebote in Nischenmärkten handelt. Aufgrund der von den Experten prognostizierten Zukunftsaussichten drängt sich daher eine strategische Neuorientierung von KMU CSP in diesen Bereichen auf. Als Lösungsansätze werden Partnermodelle, eine Verschiebung ins SaaS-Geschäft, die Erschliessung von Nischenmärkten, der Aufbau von Hybrid- und Multi Cloud-Lösungen sowie ein Ausbau im Bereich von Cloud-Beratungs-dienstleistungen diskutiert. Die Experten vermuten insbesondere im Bereich von neuen Geschäftsmodellen auf Basis von virtuellen Data Center (VDC) Lösungen zwischen Grossanbietern und KMU CSP grosse Potenziale. Dem Praxispartner wir deshalb der Aufbau einer hybriden Cloud-Strategie empfohlen, wobei in einem ersten Schritt die Commodities im Bereich PaaS und IaaS ebenfalls mittels einer virtuellen Data Center-Lösung über einen Grossanbieter angeboten werden sollen.
Zukünftig gilt es die Ergebnisse dieser Forschungsarbeit zu validieren, da diese explorativ sind und deshalb nur als Richtwerte interpretiert werden dürfen. Abschliessend werden Problemstellungen und Ansatzpunkte für weitere Forschungsarbeiten identifiziert
Polizeiliche Kooperation in der Europäischen Union
Die Arbeit beschäftigt sich mit der polizeilichen Kooperation und bestehender Kooperationsstrukturen in Europa mit besonderer Berücksichtigung auf die Auswirkungen des europäischen Polizeiamts Europol auf die Polizeiarbeit in Österreich. Anhand integrationstheoretischer Ansätze werden die Entwicklungsphasen von den Anfängen polizeilicher Kooperation bis hin zur Einrichtung des europäischen Polizeiamts „Europol“ erklärt. Angesichts des hohen Grades an grenzüberschreitender Mobilität, die es kriminellen Organisationen erheblich erleichtert, sich über die Länder hinweg zu vernetzen, gilt es gezielte, kompensatorische Maßnahmen zu treffen, um einer Ausdehnung krimineller Strukturen präventiv entgegen zu wirken. Eine verstärkte polizeiliche Kooperation in quantitativer und qualitativer Hinsicht wurde notwendig, um die Anforderungen eines sicheren Europas zu gewährleisten. Die Umsetzung des grundlegenden Ziels der Europäischen Union –der Gewährleistung eines Raumes der Freiheit, der Sicherheit und des Rechts – wird durch das Beharren auf nationalstaatliche Vorbehalte der Mitgliedstaaten im Bereich des sensiblen Politikfelds der inneren Sicherheit erheblich erschwert. Nicht zuletzt durch die Terroranschläge in den USA kann eine in den letzten Jahren deutlich zunehmende Vergemeinschaftung im Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen wahrgenommen werden, die weitreichende Konsequenzen auf die teilnehmenden Akteure der europäischen Sicherheitspolitik hat. Die fortschreitende europäische Integration, die sich einmal mehr durch den Vertrag von Lissabon verdeutlicht, trägt dazu bei, dass bisher intergouvernementale Grundsätze der polizeilichen Kooperation zwischen den Mitgliedstaaten mehr und mehr gemeinschaftsrechtliche Züge annehmen. Die Einrichtung eines europäischen Polizeiamts ist die logische Konsequenz der Notwendigkeit polizeilicher Kooperation zur Bekämpfung grenzüberschreitender Kriminalität in Europa, da nationalstaatliche Ressourcen und Kapazitäten dafür nicht ausreichend und effektiv genug sind. In den letzten Jahren hat Europol durch die schrittweise Ausweitung seines Kompetenzbereichs mehr und mehr an Bedeutung erlangt. Insbesondere der Vertrag von Lissabon sieht erhebliche Neuerungen vor. Mit der Überführung der ehemals dritten Säule der EU auf die Gemeinschaftsebene erhält die polizeiliche und justizielle Zusammenarbeit in Strafsachen einen supranationalen Charakter. Europol ist von nun an eine EU-Agentur und erhält bedeutend mehr Möglichkeiten im operativen Bereich. Mit der Schaffung einer polizeilichen Zentralstelle, die als Informationsdienstleister fungiert, hat die polizeiliche Zusammenarbeit auf europäischer Ebene, vor allem durch einen verbesserten und erleichterten Informationsaustausch, an Qualität gewonnen. Europol kann durch seine analytischen Fähigkeiten und die Bereitstellung von Informationen für die Mitgliedstaaten, einen erheblichen Beitrag für die Abwicklung polizeilicher Kooperation leisten. Im globalen Kontext betrachtet, hat sich das Polizeiamt neben der routinierten, internationalen Polizeiorganisation Interpol noch nicht durchsetzen können. Österreich hat die Möglichkeit, die „tools“ von Europol für die Bekämpfung länder- bzw. grenzüberschreitender Kriminalität zu nutzen. Die klassische, innerstaatliche Polizeiarbeit bleibt unberührt und findet weiterhin auf lokaler Ebene statt.This thesis deals with police co-operation and existing co-operation structures in Europe. Giving particular attention to the impact of the European police office Europol to police work in Austria. In an integration-theoretical approach the development from the beginnings of police co-operation to the establishment of the European Police Office - Europol will be explained. Reflecting the high degree of cross-border mobility, it has been shown that it is significantly easier for criminal organizations to link up across countries. Therefore the necessity to take specific, preventative compensatory measures against an expansion of criminal structures arise. Strengthened police co-operation in quantitative and qualitative terms, became necessary in order to ensure the requirements of a secure Europe. The implementation of the basic objective of the European Union - to ensure an area of freedom, security and justice - is severely hampered by the insistence of national reservations concerning the management of the sensitive political area of internal security. Not only because of the terrorist attacks in the United States in recent years, a significant growth in cross-border authority for police and judicial co-operation in criminal matters are perceived. Thus bringing far-reaching consequences for the participating players in European security policy. The progress in European integration, demonstrated by the Treaty of Lisbon, is helping to gain acceptance of intergovernmental principles of police cooperation between Member States as common law. In this thesis, developments and trends of police cooperation will be analyzed in reference to Austrian police work
Internetsicherheit in Europa
The question of how the law can deal with the problem of internet security is addressed in this volume. Starting with the fact that the internet is structurally insecure, the author finds that the uncertainty this causes must be countered with legal means, particularly when it comes to controlling information about weak spots. Hannfried Leisterer’s study examines whether and to what extent information management law can contribute to ensuring internet security
Die Corona-Pandemie als Chance für die Digitalisierung der Gemeinderatsarbeit? Erfahrungen mit digitalen Gemeinderatssitzungen
Rahmenbedingungen und Umsetzung digitaler Gemeinderatsarbeit in Sachsen-Anhalt während der COVID19-Pandemi
Informationskonsistenz im föderativen Identitätsmanagement: Modellierung und Mechanismen
Ziel der Arbeit ist es, den föderativen Ansatz und die hiermit verbundenen Konzepte, Standards und Softwaresysteme hinsichtlich der Informationskonsistenz zu analysieren und zu bewerten, sowie Lösungsansätze zur Vermeidung inkonsistenter Identitätsdaten darzulegen
Informationskonsistenz im föderativen Identitätsmanagement: Modellierung und Mechanismen
Ziel der Arbeit ist es, den föderativen Ansatz und die hiermit verbundenen Konzepte, Standards und Softwaresysteme hinsichtlich der Informationskonsistenz zu analysieren und zu bewerten, sowie Lösungsansätze zur Vermeidung inkonsistenter Identitätsdaten darzulegen
- …