Eine Entwicklungsmethodik für sicherheitsrelevante Elektroniksysteme im Automobil

Es wird eine neue Entwicklungsmethodik für sicherheitsrelevante Elektroniksysteme im Automobil vorgestellt. Die im Automobilbereich gängige Methodik wird um Inhalte bzgl. Sicherheit und Zuverlässigkeit erweitert, die an den Luftfahrt-Standard SAE ARP 4761 angelehnt an die Anforderungen im Automobilbereich angepasst wurden. Wesentliche Erweiterungen sind neben dem Einsatz einer Gefährdungsanalyse der intensive Einsatz von FTA und FMEA zum Nachweis der Sicherheitseigenschaften des Systems

Anwendung und Untersuchung einer Methode zur Analyse von IT-Sicherheitsrisiken anhand eines hochwertigen Erdfernerkundungssystems

Die vorliegende Masterarbeit gibt einen Überblick über die Anwendung und Untersuchung einer Methode zur Analyse von IT-Sicherheitsrisiken anhand eines hochwertigen Erdfernerkundungssystems. Die Threat, Vulnerability and Risk Analysis (TVRA)-Methode wurde auf das hochwertige Erdfernerkundungssystem angewendet und dabei näher betrachtet, sowie mit einer Risikoanalyse nach IT-Grundschutz verglichen. Die Methode bietet eine umfassende Möglichkeit an, um die Sicherheitsrisiken, die bekämpft werden müssen, zu identifizieren. Bei der Anwendung der Methode wird Fachwissen und eine manuelle Auswahl benötigt. Dadurch erhalten die Ergebnisse der Analyse eine subjektive Bewertung. Die TVRA-Methode ist für die Risikoanalyse eines hochwertigen Erdfernerkundungssystems systematisch anwendbar. Durch spezifische Anpassungen der Methode an den Anwendungsfall, können zusätzliche Sicherheitsprobleme des hochwertigen Erdfernerkundungssystems erkannt werden

Leitlinie zur Informationssicherheit der Landesverwaltung des Landes Berlin (Informationssicherheitsleitlinie – InfoSic-LL)

LEITLINIE ZUR INFORMATIONSSICHERHEIT DER LANDESVERWALTUNG DES LANDES BERLIN (INFORMATIONSSICHERHEITSLEITLINIE – INFOSIC-LL) Leitlinie zur Informationssicherheit der Landesverwaltung des Landes Berlin (Informationssicherheitsleitlinie – InfoSic-LL) (Rights reserved) ( -

Ein Ansatz zur Modellierung zuverlässigkeitstheoretischer Aspekte hochverfügbarer Kommunikationsnetze für kritische Infrastrukturen

Die Architekturen des 'Next Generation Networks' (NGN) zur Bereitstellung sicherheitsrelevater Anwendungen innerhalb von Verkehrsprozessen erfordert hochverfügbare paketvermittelnde Kommunikationsnetze, um den Prozess verlässlich und nachhaltig zur Verfügung zu stellen. Die Arbeit thematisiert die Modellierung der Prozesszuverlässigkeit, die durch drei Teilzuverlässigkeiten charakterisiert ist. Die analytischen Modelle werden auf der Basis der Methoden zur Netzmodellierung für die technologische Zuverlässigkeit, die Systemzuverlässigkeit und die Securityzuverlässigkeit beschrieben. Die Validierung der Modelle erfolgt an einer IP-basierten Stellwerksarchitektur.:1 Einleitung 2 Analyse des Ist-Zustandes 3 Theoretische Grundlagen 4 Modellierung der Prozesszuverlässigkeit 5 Validierung der analytischen Modelle 6 Zusammenfassung und AusblickUsing the 'Next Generation Networks' (NGN) approach to provide security demanding applications in transport processes requires high-available packed based communication networks. The paper addresses process reliability modelling, that is characterized by three partial reliabilities. The analytic models are based on network modelling methods such as technological reliability, system reliability an security reliability. Model validation is given by an IP-based signal box.:1 Einleitung 2 Analyse des Ist-Zustandes 3 Theoretische Grundlagen 4 Modellierung der Prozesszuverlässigkeit 5 Validierung der analytischen Modelle 6 Zusammenfassung und Ausblic

Wiederherstellung einer homogenen Information Security Policy aus proprietär gewachsenen Berechtigungsverwaltungen in einer großen öffentlichen Institution

Zugriffskontrolle ist ein wesentliches Sicherheitsmerkmal moderner Datenverarbeitung. Aktuelle EDV-Systeme bieten spezifische Möglichkeiten, Berechtigungen festzulegen. Die Entscheidung, welcher Benutzerkreis über welche Berechtigungen in einem System verfügt, kommt aus organisatorischer, beziehungsweise fachlicher Ebene und wird in Form von Sicherheitsrichtlinien festgehalten. Das Umsetzen und Administrieren obliegt in Folge technischem Fachpersonal. Aufgrund dieser physischen Trennung und oftmals fehlendem Fachwissen ist es den für die Berechtigungsfestlegung verantwortlichen Mitarbeitern schwer bis unmöglich, aktuell vergebene Berechtigungen zu kontrollieren. Ein einfacher Export und Weitergabe der Berechtigungsinformationen scheitert an den proprietären Zugriffskontrollmechanismen ebenso wie an den bei manchen Systemen gar nicht vorgesehenen Exportfunktionen. Nach einer umfassenden und strukturierten Beschreibung aller erforderlichen theoretischen Grundlagen werden im Zuge dieser Arbeit unterschiedliche Berechtigungsstrukturen am Beispiel einiger Geschäftsapplikationen eines Großunternehmens analysiert und Gemeinsamkeiten gefunden. Diese bilden ein Schema einer vereinheitlichten Darstellung aller in den Systemen vergebenen Berechtigungen. Somit können nach entsprechender Aufarbeitung der einzelnen Berechtigungsdaten diese in einer einheitlichen Form in einer zentralen Datenbank abgelegt werden und für weitere Analysen und Visualisierungen den für die Richtigkeit der Berechtigungen verantwortlichen Personen zur Verfügung gestellt werden.Access Control is one of the crucial security features in modern computing. Todays information systems provide specific ways to define access rights. The decision, what right is granted to which user of a system is met on organizational or functional level and is described by information security policies. The implementation and administration shall be done by technical experts. Due to this physical separation and often lack of know-how it is hardly possible for the security staff in charge to know the actual rights. Since every system implements its own proprietary export or no export at all, comparison of access right information is very difficult. This also becomes an obstacle when rights are to be consolidated. After a broad, structured description of relevant theoretical concepts this work will analyse and compare access control structures on hand of business applications of a large enterprise. This will lead to the composition of a schema of an uniform representation of the assigned rights. Using this schema a database is constructed where the security staff in charge is able to access and analyse the aggregated information. This work provides a broad theoretical base in respect of access control