Beschreibung, Verarbeitung und Überprüfung clientseitiger Policies für vertrauenswürdige Cloud-Anwendungen

Für Geschäftsbereiche mit hohen Anforderungen an Vertraulichkeit und Datenschutz zur Verarbeitung ihrer sensitiven Informationen kann für die Nutzung von Public-Cloud-Technologien keine Benutzerakzeptanz ausgewiesen werden. Die Ursachen dafür erwachsen aus dem inhärenten Strukturkonzept verteilter, begrenzter Verantwortlichkeiten und einem fehlenden Cloud-Anwender-Vertrauen. Die vorliegende Arbeit verfolgt ein Cloud-Anwender orientiertes Vorgehen zur Durchsetzung regelnder Policy-Konzepte, kombiniert mit einem holistischen Ansatz zur Herstellung einer durchgehenden Vertrauensbasis. Der Aspekt Vertrauen erhält eine eigenständige Konzeptualisierung und wird zu einem Cloud-Anwender-Instrument für die Gestaltung vertrauenswürdiger infrastruktureller Eigenschaften entwickelt. Jede weitere Form einer Policy entwickelt ihren verbindlichen regulierenden Wert erst durch eine unlösliche Verbindung mit den hier vorgelegten Konzepten vertrauenswürdiger Entitäten. Ein ontologisch formalisierter Beschreibungsansatz vollzieht die für eine Regulierung notwendige Konzeptualisierung einer domänenspezifischen IT-Architektur und qualifizierender Sicherheitseigenschaften. Eigenständige Konzeptklassen für die Regulierung liefern den Beschreibungsrahmen zur Ableitung integrierter Trust-Policies. Darauf aufbauende Domänenmodelle repräsentieren eine vom Cloud-Anwender definierte Erwartung in Bezug auf ein reguliertes Cloud-Architektur-Design und reflektieren die reale Welt auf Grundlage vertrauenswürdiger Fakten. Vertrauen quantifiziert sich im Ergebnis logischer Schlussfolgerungen und ist Ausdruck zugesicherter Cloud-Sicherheitseigenschaften und geregelter Verhaltensformen.:1 Einleitung 1.1 Motivation 1.2 Forschungsfragen 1.3 Zielstellung 1.4 Vorgehensweise 2 Problembeschreibung 2.1 Public Cloud, Strukturerweiterung einer Organisation 2.1.1 Kopplung im sozialen Kontext 2.1.2 Strukturelle Kopplung im Cloud-Kontext 2.2 Regelungen: strukturbildende Elemente von Organisationen 2.2.1 Regelungen im sozialenKontext 2.2.1.1 Rechtliche Regelungen 2.2.1.2 Nichtrechtliche Regelungen 2.2.1.3 Regelungen in Organisationen 2.2.2 Regelungen im Cloud-Kontext 2.3 Erwartungen und Unbestimmtheit von Handlungen 2.3.1 Erwartungen im sozialenKontext 2.3.2 Erwartungen im Cloud-Kontext 2.4 Konformität, Abbildung von Regelungen 2.4.1 Konformität im sozialenKontext 2.4.2 Konformität im Cloud-Kontext 2.5 Thesen 3 Analyse 3.1 Anforderungen 3.1.1 Infrastrukturschicht 3.1.1.1 Hardwarebasierte Geo-Lokalisierung 3.1.1.2 Virtual Machine Monitor 3.1.1.3 Netzwerksicherheit 3.1.2 Plattform-/Laufzeitschicht 3.1.2.1 Virtualisierungstechnologie 3.1.2.2 OS-Sicherheitsmodell 3.1.2.3 Datensicherheit der Laufzeitschicht 3.1.3 Anwendungs-/Serviceschicht 3.1.3.1 Anwendungssicherheit 3.1.3.2 Prozesssicherheit 3.1.3.3 Datensicherheit der Anwendungsschicht 3.1.4 Verwaltung/Betrieb 3.1.5 Compliance 3.1.5.1 Governance 3.1.5.2 Klassifizierte Informationen 3.1.5.3 Datenschutz 3.1.6 Zusammenfassung der Regulierungsziele 3.2 Anwendungsfälle einer Multi-User-Cloud-Umgebung 3.2.1 TCG-Konzepte und Definitionen 3.2.2 UC-Aufbau einer Vertrauensbasis 3.2.3 UC-Aufbau einer vertrauenswürdigen Kooperationsbasis 3.2.4 UC-kooperative Provisionierung 3.2.5 UC-Änderungen von Regeln innerhalb einer kooperativen Domäne 3.2.6 Abgeleitete Anwendungsfälle aus TCG-Richtlinien 3.3 State-of-the-Art-Betrachtung 3.3.1 Thema:Regulierungsziele 3.3.1.1 Pattern-based Runtime Management of Composite Cloud Applications 3.3.1.2 Unifying Compliance Requirements across Business and IT 3.3.2 Thema:Digitale Regelkonzepte 3.3.2.1 Policy-Aware Provisioning of Cloud Applications 3.3.2.2 Policy-Aware Provisioning and Management of Cloud Applications 3.3.3 Thema:Vertrauenskonzepte 3.3.3.1 Secure Enclaves for REactive Cloud Applications 3.3.3.2 Enforcing-Security-and-Assurance-Properties-in-Cloud-Environment 3.3.4 Thema:Technische Standards 3.3.4.1 WebServicesPolicy1.5 – Framework-Current 3.3.4.2 WS-SecurityPolicy1.3 3.3.4.3 WS-Trust 3.3.4.4 Web Services Security: SOAP Message Security 1.1 3.3.5 Thema:Sprachkonzepte 3.3.5.1 Using Ontologies to Analyze Compliance Requirements of Cloud-BasedProcesses 3.3.5.2 Policy Language for a Pervasive Computing Environment 3.4 Zusammenfassung und Abgrenzungsbeschreibung 4 Konzeption 4.1 Ontologie-Konzept 4.1.1 Strukturentwurf Ontologie 4.1.2 Ziele der ontologischen Konzeptualisierung 4.1.3 Ontologie Regulierung 4.1.3.1 Haupthierachie Regulation-Ontology 4.1.3.2 Konzeptklasse Action 4.1.3.3 Konzeptklasse Constraint 4.1.3.4 Konzeptklasse Rule 4.1.3.5 Konzeptklasse Policy 4.1.3.6 Konzeptklasse State 4.1.3.7 Konzeptklasse Transformation 4.1.4 Ontologie Cloud-Domain 4.1.4.1 Konzeptklasse CloudDomain 4.1.4.2 Konzeptklasse Entity 4.1.4.3 Konzeptklasse Subject 4.1.4.4 Konzeptklasse ArchitecturalLayer 4.1.4.5 Konzeptklasse Object 4.1.4.6 Konzeptklasse Part 4.1.4.7 Konzeptklasse Connection 4.1.4.8 Konzeptklasse CloudService 4.1.5 Ontologie Security 4.1.5.1 Konzept einer vertrauensbildenden Sicherheitsstrategie 4.1.5.2 Konzeptklasse Asset 4.1.5.3 Konzeptklasse PropertySecurity 4.1.5.4 Konzeptklasse SecurityFunction 4.1.5.5 Konzeptklasse SecurityRequirement 4.1.5.6 Konzeptklasse Identity 4.1.5.7 Konzeptklasse Credential 4.1.5.8 Konzeptklasse SecurityModel (Sicherheitsmodell) 4.2 Konzept zur Herausbildung von Vertrauen (Trust) 4.2.1 Konzept einer vertrauenswürdigen Entität 4.2.2 Konzept einer Authority 4.2.2.1 Zusicherung von Entity-Eigenschaften 4.2.2.2 Entitäten innerhalb einer Authority-Hierarchie 4.2.2.3 Entitäten und externe Authority 4.2.3 Konzept einer Policy zur Entwicklung von Vertrauen 4.2.3.1 Spezialisierung der Trust-Policy 4.2.3.2 QualityProperty – Gegenstand der Vertrauenspolitik 4.3 Trust-Establishment-Protokoll 4.3.1 Datenmodell 4.3.1.1 Verhaltensorientierte Artefakte 4.3.1.2 Kryptographische Artefakte 4.3.1.3 Protokollspezifische Artefakte 4.3.2 Horizontale Etablierung von Vertrauen (Establishment of Trust) 4.3.2.1 Phase1: Auswahl einer Cloud-Plattform 4.3.2.2 Phase2: Erweiterung der Vertrauensgrundlage auf Cloud-Anbieter-Seite 4.3.3 Vertikale Etablierung von Vertrauen (Delegation of Trust) 4.3.3.1 Registrierung von Policy-Entitäten 4.3.3.2 Registrierung von Domänen-Entitäten 4.3.3.3 Ableitung vertrauenswürdiger Entitäten 4.3.3.4 Ableitung vertrauenswürdiger Eigenschaften und Aktivitäten 4.4 Zusammenfassung 5 Validierung 5.1 Referenzarchitektur – TrustedCloud 5.1.1 Komponentenbeschreibung – IT-Plattform 5.1.2 Komponentenbeschreibung – Laufzeitumgebung 5.1.3 Komponentenbeschreibung – Integrierte Systeme 5.1.4 ExterneSysteme – Key & CA Service 5.1.4.1 Bezeichnungen und Namespaces 5.1.4.2 TE-Zustandsmodell 5.1.4.3 Policy-Zonen und Policy-Anwendungsraum 5.2 Trust-Policies und Transformation 5.2.1 Szenario (1) – Bereitstellung Virtual Machine Monitor KVM 5.2.1.1 Domain-Spezifikation–KVM-Komponente 5.2.1.2 Regulation-Spezifikation – KVM-Deployment-Policy 5.2.1.3 Prüfung der KVM-Authentizität 5.2.1.4 Zusicherung von KVM-Identitätseigenschaften 5.2.1.5 Transformation – KVM-Trust-Rule 5.2.1.6 Transformation – KVM-Deployment-Rule 5.2.2 Szenario (2) – Bereitstellung Virtualisiertes Betriebssystem 5.2.2.1 Domain-Spezifikation–Virtual-OS 5.2.2.2 Regulation-Spezifikation – Virtual-OS-Deployment-Policy 5.2.2.3 Prüfung der TE-Authentizität 5.2.2.4 Policy-Zone einrichten – Z_RUNTIME.DB 5.2.2.5 Vertrauenskette prüfen – ChainofTrust 5.2.3 Szenario (3) – Bereitstellung Datenbanksystem (DBS) 5.2.3.1 Domain-Spezifikation – Datenbanksystem 5.2.3.2 Regulation-Spezifikation – DBS-Deployment-Policy 5.2.3.3 Prüfung der DBS-Authentizität 5.2.3.4 Transformation – DBS-Trust-Rule 5.2.3.5 Transformation – DBS-Deployment-Rule 5.2.4 Szenario(4) – ExterneDBS-Zugangssteuerung 5.2.4.1 Domain-Spezifikation – User-to-DB Connection 5.2.4.2 Regulation-Spezifikation – DBS-Connection-Policy 5.2.4.3 Prüfung der DBS-Endpunkt-Authentizität 5.2.4.4 Absicherung der DBS-Verbindung – Verschlüsselung 5.2.4.5 Transformation 5.3 Attestierung – Vertrauenswürdigkeit 5.3.1 Dynamische Methoden der Konzeptklasse State 5.3.2 Kategorien für Niveaubestimmung von Vertrauenswürdigkeit 5.3.3 Semantische Rules für Niveaubestimmung 5.3.3.1 Ableitungsregel – Vertrauenswürdigkeit HOCH 5.3.3.2 Ableitungsregel – Vertrauenswürdigkeit MITTEL 5.3.3.3 Ableitungsregel – Vertrauenswürdigkeit GERING 5.3.3.4 Ableitungsregel – Vertrauenswürdigkeit UNBESTIMMT 5.4 Gegenüberstellung der Szenarien mit den Zielstellungen 5.5 Gegenüberstellung der Ergebnisse mit den Kernfragen 5.6 Zusammenfassung der Validieren 6 Zusammenfassung – Ausblick 6.1 Zusammenfassung der Arbeit 6.2 Ausblick und abgeleitete Themen Abkürzungsverzeichnis I State-of-the-Art – Kategorien II Hardwareunterstützte Sicherheit für eine IT-Plattform II.1 TrustedPlatformModule II.2 TechnologiefürIT-Plattformsicherheit II.3 Konzept einer hardwarebasierten Vertrauenspolitik II.3.1 Sichere Mikroarchitektur II.3.2 Messung statischer Systemeigenschaften II.4 Kontrollierter Systemstart II.4.1 Identifizierbarer Plattform-Eigentümer II.4.2 Versiegeln von Systemwerten(Sealing) II.5 Konzept der Attestierung II.5.1 Attestierungs-Schlüssel II.5.2 Zertifizierung des Attestierungs-Identifikationsschlüssels II.5.3 Attestierungs-Modul II.5.4 Attestierungs-Service II.5.5 HardwarebasierteGeo-Lokalisierung III Übersicht der Anforderungen III.1 Anforderungen an die Cloud-Infrastruktur-Plattform-Ebene III.2 Anforderungen an die Cloud-Laufzeitebene III.3 Anforderungen an die Cloud-Service-Ebene III.4 Anforderungen an operatives Management III.5 Anforderungen an Cloud-Anwender-Nutzungsebene IV Spezifikation Ontologi

Automatisierte, minimalinvasive Sicherheitsanalyse und Vorfallreaktion für industrielle Systeme

Industrielle Steuerungs- und Automatisierungssysteme erleben in den letzten Jahren eine zunehmende Vernetzung und bestehen mehr und mehr aus Komponenten, bei denen Off-the-Shelf-Software und offene Standards zum Einsatz kommen. Neben den unbestreitbaren Vorteilen, die diese Entwicklungen mit sich bringen, vergrößert sich damit jedoch auch die Angriffsfläche solcher Systeme. Gleichzeitig führt die, durch diese Evolution entstehende, zusätzliche Flexibilität zu zusätzlicher Komplexität in der Konfiguration und einer Zunahme von ausnutzbaren Schwachstellen. Die Homogenität der Soft- und Hardware macht die Ausnutzung dieser Schwachstellen für Angreifer zudem attraktiver, da weniger Aufwand in Individualangriffe fließen muss. Es ist so nicht verwunderlich, dass die Anzahl von Angriffen betroffener industrieller Systeme in den letzten fünfzehn Jahren einen deutlichen Zuwachs erfahren hat. Dies ist besonders bedenklich, weil erfolgreiche Angriffe auf diese Systeme, anders als in der Büro-IT, oft gefährliche Auswirkungen auf ihre Umwelt haben. Wie auch in anderen Domänen mit hoher technologischer Komplexität, haben sich computergestützte Verfahren zu einem wichtigen Bestandteil industrieller Systeme entwickelt. Sie werden dabei u.a. zur Sicherstellung korrekter Konfiguration, Identifikation von Schwachstellen, Bedrohungen und Gegenmaßnahmen, sowie Angriffsdetektion und -reaktion eingesetzt. Allerdings bestehen aufgrund der Garantien industrieller Systeme und ihrer Netzwerke bezüglich Aspekten wie Echtzeitverarbeitung, Ausfallsicherheit und Redundanz, Einschränkungen im Einsatz von Werkzeugen und Maßnahmen. Um also möglichst wenig in das System einzugreifen, müssen beispielsweise Sicherheitsanalysen und Vorfallreaktionen so wenig invasiv wie möglich (minimalinvasiv) durchgeführt werden. Für automatisierte Sicherheitsanalysen hat es sich daher zur guten Praxis entwickelt, Modelle der Systeme zu erstellen und diese computergestützt zu analysieren. Als besonders geeignet haben sich in der Forschung dabei wissensbasierte, bzw. ontologiebasierte, Ansätze erwiesen. Existierende Lösungen leiden jedoch unter Problemen wie der fehlenden Konfigurierbarkeit für unterschiedliche Umgebungen, der fehlenden Optimierbarkeit (da in der Regel nur bestimmte Inferenzmechanismen anwendbar sind), der fehlenden Wiederverwendbarkeit und Austauschbarkeit von Modellerweiterungsschritten und Analysen, der fehlenden Unterstützung verschiedener Akteure und mehrerer Analysearten wie Bedrohungs-, Schwachstellen-, Konfigurations- und Konformitätsanalysen, sowie der mangelnden technischen Detailtiefe und Komponentenabdeckung, um bestimmte Analysen überhaupt durchführen zu können. Bei der Vorfallreaktion sind die genannten Garantien sogar der Grund für den Mangel an Lösungen, die in industriellen Systemen eingesetzt werden können. Denn der Großteil der automatisierbaren Reaktionen liegt im Gebiet der Abschottung und greift somit garantiegefährdend in das entsprechende System ein. In dieser Dissertation werden die eben aufgezählten Probleme der Sicherheitsanalyse und Vorfallreaktion adressiert. Für die Sicherheitsanalyse wurden Konzepte und Methoden entwickelt, die jedes der aufgezählten Probleme mindern oder lösen. Dafür wird unter anderem eine auf den offenen Standards AutomationML und OPC UA basierende Methode zur Modellierung und Extraktion von Netzwerkinformationen aus Engineering-Werkzeugen, Untersuchungsergebnisse verschiedener Abbildungsstrategien zur Erstellung ontologiebasierter Digitaler Zwillinge, ein Konzept zur Sprachenunabhängigen Modellerzeugung für Netzwerkzugriffskontrollinstanzen und Konzepte und Methoden zur wiederverwendbaren, austauschbaren, automatisierten Modellverarbeitung und Sicherheitsanalyse für mehrere Analysearten vorgestellt. Für diese und damit verbundene Konzepte und Methoden wurde zudem ein konsistentes, auf Separation-of-Concerns basierendes Rahmenwerk für wissensbasierte Sicherheitsanalyselösungen entworfen, prototypisch implementiert und evaluiert. Das Rahmenwerk, die Implementierung und die Ergebnisse der Evaluationen werden ebenfalls in dieser Arbeit vorgestellt. Damit wird die erste Lösung für die zuvor genannten Probleme präsentiert und eine Basis für eine neue Art von kollaborativ verwalt- und optimierbaren Sicherheitsanalysen geschaffen. Des Weiteren wird ein Konzept zur automatisierten Vorfallreaktion auf Basis des Netzwerkparadigmas Software-Defined-Networking (SDN) vorgestellt. Dabei wird ein Ansatz gewählt, der auf vordefinierten Reaktionen auf sicherheitsrelevante Ereignisse basiert und diese über Restriktionen individuell und automatisiert einschränkt. Wobei sich die Restriktionen auf explizit modelliertes Wissen über zu schützende Endgeräte, Netzwerkkomponenten und Verbindungen stützen. Das Konzept nutzt außerdem aus, dass die Netzwerksteuerung durch den SDN-Controller auf detaillierten Daten über die aktuelle Netzwerktopologie verfügt und verwendet die optimierten Algorithmen des SDN-Controllers zur Neukonfiguration. Mit dem Konzept wird ein Ansatz präsentiert, der es erstmals ermöglicht, auch in industriellen Systemen die Vorteile automatisierter Vorfallreaktion, wie die kurze Reaktionszeit und verfügbare Topologiekenntnis, zu nutzen

Automatisierte, minimalinvasive Sicherheitsanalyse und Vorfallreaktion für industrielle Systeme

Automated defense and prevention measures designed to protect industrial automation and control systems often compromise their real-time processing, resilience and redundancy. Therefore, they need to be performed as non-invasively as possible. Nevertheless, particularly minimally invasive security analysis and incident response are still poorly researched. This work presents solutions based on new semantic- and SDN-based approaches to some of the most important problems in these areas

Automatisierte, minimalinvasive Sicherheitsanalyse und Vorfallreaktion für industrielle Systeme

Automated defense and prevention measures designed to protect industrial automation and control systems often compromise their real-time processing, resilience and redundancy. Therefore, they need to be performed as non-invasively as possible. Nevertheless, particularly minimally invasive security analysis and incident response are still poorly researched. This work presents solutions based on new semantic- and SDN-based approaches to some of the most important problems in these areas

Integration und Konnexion : Tagungsband zur 26. AKWI-Jahrestagung vom 15. bis 18.09.2013 an der Technischen Hochschule Mittelhessen

Das aufgerufene Thema „Herausforderungen an die Wirtschaftsinformatik: Integration und Konnexion“ provozierte Beiträge, die thematisch ein sehr breites Spektrum abdecken. Neben theoretischen Betrachtungen und Definitionen des sicher noch nicht final geprägten Begriffs der Konnexion gab es auch sehr praktische Beiträge wie die Darstellung von konkreten prototypischen Entwicklungsvorhaben. Auch das ist ein Indiz für die lebendige Landschaft der Wirtschaftsinformatik an den deutschsprachigen Hochschulen für Angewandte Wissenschaften

Informationskonsistenz im föderativen Identitätsmanagement: Modellierung und Mechanismen

Ziel der Arbeit ist es, den föderativen Ansatz und die hiermit verbundenen Konzepte, Standards und Softwaresysteme hinsichtlich der Informationskonsistenz zu analysieren und zu bewerten, sowie Lösungsansätze zur Vermeidung inkonsistenter Identitätsdaten darzulegen

Informationskonsistenz im föderativen Identitätsmanagement: Modellierung und Mechanismen

Ziel der Arbeit ist es, den föderativen Ansatz und die hiermit verbundenen Konzepte, Standards und Softwaresysteme hinsichtlich der Informationskonsistenz zu analysieren und zu bewerten, sowie Lösungsansätze zur Vermeidung inkonsistenter Identitätsdaten darzulegen

Multikonferenz Wirtschaftsinformatik (MKWI) 2016: Technische Universität Ilmenau, 09. - 11. März 2016; Band II

Übersicht der Teilkonferenzen Band II • eHealth as a Service – Innovationen für Prävention, Versorgung und Forschung • Einsatz von Unternehmenssoftware in der Lehre • Energieinformatik, Erneuerbare Energien und Neue Mobilität • Hedonische Informationssysteme • IKT-gestütztes betriebliches Umwelt- und Nachhaltigkeitsmanagement • Informationssysteme in der Finanzwirtschaft • IT- und Software-Produktmanagement in Internet-of-Things-basierten Infrastrukturen • IT-Beratung im Kontext digitaler Transformation • IT-Sicherheit für Kritische Infrastrukturen • Modellierung betrieblicher Informationssysteme – Konzeptuelle Modelle im Zeitalter der digitalisierten Wirtschaft (d!conomy) • Prescriptive Analytics in I