Entwurf einer Methodik zum Testen der Sicherheit von Web-Service-basierten Systemen

Nicht zuletzt auch wegen ihrer maschinenlesbaren Definition sind Web Services ein verbreitetes Mittel, um die Kommunikation zwischen einem Client und einem Server oder zwischen zwei Servern zu definieren. Gerne werden Clients auch für Mobiltelefone implementiert, wobei oftmals die Mächtigkeit des WS-Stack außer Acht gelassen wird. Dieser Umstand muss nicht zwingend problematisch sein, kann jedoch unter gewissen Umständen schwerwiegende sicherheitsrelevante Schwachstellen in sonst unproblematische Systeme integrieren. Um zu evaluieren, ob Probleme solcher Art gegeben sind, bietet sich ein methodisches Vorgehen an; ebenso ist ein reproduzierbares Vorgehen von großem Vorteil, wenn ein Vergleich von Systemen erfolgen soll. Speziell, wenn solch eine Sicherheitsüberprüfung als Dienstleistung angeboten wird, kann eine leicht anzuwende Methodik die Qualität der Leistung garantieren. Deshalb wird hier der Entwurf einer Methodik zum Testen der Sicherheit von Web-Service-basierten Systemen konzipiert, vorgestellt und deren Anwendung an Hand einiger Web Service Tests dargestellt und evaluiert

Kritische Betrachtung der Sicherheitsaspekte von BPM in der Cloud

Das Thema Cloud Computing hat in den letzten Jahren immer mehr an Bedeutung gewonnen, insbesondere Klein- und mittelständische Firmen können von der Cloud profitieren, da z.B. weniger in den Aufbau einer eigenen IT investiert werden muss. Die Kombination von BPM und Cloud Computing steht allerdings noch am Anfang ihrer Entwicklung. Zwar bieten schon einige Unternehmen BPM in der Cloud an (BPMaaS) und der Markt wächst stetig aber das Angebot ist momentan noch überschaubar, in Bezug auf Benutzung und Entwicklung. Der Vorteil Geschäftsprozesse in der Cloud zu bearbeiten geht Hand in Hand mit den Vorteilen des Cloud Computing im Allgemeinen. Allerdings muss auch, ungeachtet der Vorteile, die die Cloud mit sich bringt, genau bedacht werden, welche Daten in die Cloud übermittelt werden und welcher Cloudanbieter ausgewählt wird. Insbesondere der Datenschutz und die Datensicherheit spielen hier eine große Rolle. Denn wenn in Deutschland personenbezogene Daten in die Cloud ausgelagert werden, müssen diese gemäß den Regelungen des Bundesdatenschutzgesetzes behandelt werden. Da der Cloudnutzer für den Schutz dieser Daten verantwortlich bleibt, auch wenn diese auf den Servern des Cloud Service Provider liegen, besteht hierbei große Vorsicht bei der Auswahl des Cloudanbieters. Vor allem wenn die Server desjenigen außerhalb des Europäischen Wirtschaftsraumes (EWR) liegen, wie z.B. in den USA, da dort ein weitaus geringeres Datenschutzniveau besteht als in Deutschland. Das Ziel dieser Diplomarbeit ist es, diese Schwierigkeiten in Bezug auf Datenschutz und Datensicherheit offenzulegen. Mittels eines Kriterienkataloges werden die wichtigsten Anforderungen und Sicherheitskriterien an die Cloud aufgelistet und mit denen der Cloudanbieter verglichen und eingeordnet. Vor diesem Hintergrund werden auch Möglichkeiten betrachtet, inwiefern und mit welchen Mitteln sensible Daten anonymisiert werden können, um eine rechtskonforme Speicherung der Daten, gemäß dem Bundesdatenschutzgesetzes, gewährleisten zu können.The topic of cloud computing became more important in the last few years, especially in relation to small enterprises, because they can benefit from the advantages of the Cloud, such as less investment in the own IT infrastructure. But the combination of BPM and Cloud Computing is only just beginning to develop. Although some companies offer Business Process Management in the Cloud and the market continues to grow, but the offer is relatively modest. The benefits of moving business processes into the cloud (such as BPMaaS) are the same as those which offers cloud computing in general. What need to be considered, however, is which data is to be outsourced in the cloud and which provider needs to be selected. In particular, data protection and data security play an important role in this topic. If german personal data are transferred into the cloud, the data must be treated in accordance with the German Federal Data Protection Act. The cloud computing user stays responsible for all content and data, even if this data will be stored on the provider’s server, so caution is also recommended in this case. Especially when these servers are outside of the European Economic Area, such as USA, because there consist a much lower level of data privacy protection than in Germany. The purpose of this diploma thesis is to explore these difficulties in relation to data protection and data security. By means of a catalog of criteria, the most important requirements and security criteria will be listed and compared with those of the provider. Against this background a number of possible opportunities for a concept of "anonymization" of data are considered, to secure that the data storage complies with legal requirements, such as the German Federal Data Protection Act

Intrauterine Insemination : Prognosefaktoren für eine Schwangerschaft

Ziel dieser Arbeit war die Evaluierung der intrauterinen Insemination (IUI). Es wurden retrospektiv 734 IUI-Zyklen von 392 Patientinnen der reproduktionsmedizinischen Abteilung der Klinik für Frauenheilkunde und Geburtshilfe der Universitätskliniken Bonn ausgewertet, um den Prozentsatz an Lebendgeburten nach intrauteriner Insemination zu bestimmen und Prognosefaktoren festzulegen, die bereits im Vorfeld der Behandlung Rückschlüsse auf eine erfolgreiche Therapie zulassen. Ferner ging es auch darum eine Beratungsgrundlage für betroffene Paare zu schaffen und es zu ermöglichen anhand statistisch evaluierter Daten möglicherweise früher als bisher zu einer invasiveren Methode zu raten. Ergebnis der Studie ist, dass der erste Versuch einer Insemination bei weitem der erfolgreichste ist. Paare mit günstigen Voraussetzungen können auch einen zweiten und dritten Versuch unternehmen, bevor eine weiterführende Methode gewählt wird, sollten aber darüber aufgeklärt werden, dass die Chancen auf eine Lebendgeburt statistisch gesehen nach einem gescheiterten ersten Versuch rapide abnehmen. Was die Prognosefaktoren angeht, sind das Alter der Patientin, das Alter des Partners, die Konzentration der Spermien und die WHO-Klasse, der die Spermien zugeordnet werden, von entscheidender Bedeutung. Die Verbindung von Frauen im Alter ≤35 Jahren, Männern ≤ 40 Jahren, einer Spermienkonzentration von >18 Millionen/ml und einem Anteil von Spermien der WHO-Klasse A, der über 10% liegt, hat statistisch gesehen die besten Chancen auf eine erfolgreiche Schwangerschaft. Treffen diese Voraussetzungen nicht zu, kann nichtsdestotrotz eine intrauterine Insemination vorgenommen werden, da sie eine minimal-invasive, erste Behandlungsmethode des unerfüllten Kinderwunsches darstellt und von den betroffenen Patientinnen als am wenigsten belastend eingestuft wird

Testen von Datensicherheit in vernetzten und automatisierten Fahrzeugen durch virtuelle Steuergeräte

In der Automobilindustrie sind in den vergangenen Jahren die zwei Trends Automatisierung und Vernetzung entstanden. Diese Trends sorgen für eine steigende Anzahl an Funktionen im Fahrzeug. Neben einer Erhöhung des Komforts nehmen jedoch auch die Risiken durch den unerlaubten Zugriff von außen zu. Das IT-Manipulationen bei Fahrzeugen keine Ausnahme bilden, zeigen bereits erste Beispiele. Besonders durch die langen Lebenszyklen in der Automobilindustrie und der Tatsache, dass 44% aller Angriffe auf IT-Systeme durch bekannte Schwachstellen geschehen, müssen Fahrzeuge bereits in der Entwicklung abgesichert werden. Bezogen auf die funktionale Sicherheit (engl. Safety) existieren in der Automobilentwicklung bereits eine Vielzahl an Testprozessen und -methoden. Eine Übertragbarkeit dieser auf die Datensicherheit (engl. Security) ist jedoch nicht gegeben, wodurch neue Methoden am Entstehen sind. Daher wird eine Testmethode mittels virtuellen Steuergeräten vorstellt. Hierfür wird aufgezeigt, welche Beobachtungspunkte und Überwachungsfunktionen für die Tests der Datensicherheit gegeben sein müssen, wie sich daraus eine Testmethodik ableiten lässt und wie diese Testmethodik anschließend in die Automobilentwicklung eingebunden werden kann. Für die Testmethodik wurden die Bereiche Speicher-, Numerische-, Systematische-, Funktionale- und Anwendungsfehler identifiziert. Der Fokus wird dabei auf die ersten beiden Fehlerarten gelegt und daraus Kriterien für einen Test der Datensicherheit abgeleitet. Anhand der Kriterien werden Beobachtungspunkte in bestehenden Testsystemen analysiert und basierend auf einem virtuellen Steuergerät neue Beobachtungspunkte ergänzt. Hierbei werden nicht nur Schnittstellen des Steuergeräts berücksichtigt, sondern ebenfalls interne Zustände des steuernden Artefakts (ausgeführte Instruktionen, Variablen und Speicherbereiche) und des ausführenden Artefakts (Register, lokaler Busse und Recheneinheit). Eine Berücksichtigung der internen Zustände ist wichtig, da Speicherfehler und numerische Fehler nicht zwangsläufig an die Schnittstellen propagieren und dadurch in der Umwelt sichtbar sind. Anhand der Beobachtungspunkte in einem virtuellen Steuergerät wurde eine Gesamtsystemsimulation erstellt, die das Steuergerät mit Applikation, Prozessor und Peripherie simuliert. Eine Co-Simulation übernimmt die Erzeugung der Teststimuli. Durch die Beobachtungspunkte können Rückschlüsse auf das Verhalten und die Zustände innerhalb des Steuergeräts gezogen werden. Durch die zusätzlichen Beobachtungspunkte können Testmethoden wie Überwachung der Instruktionen und Register, Analyse der Eingaben, Markierung des genutzten Speichers und Analysemöglichkeiten der Codeabdeckung eingesetzt werden. Zusätzlich ergeben sich durch evolutionäre Verfahren die Möglichkeit der Maximierung des Variablen Wachstums und des Speicherzugriffs sowie die Minimierung des Abstands zwischen Heap und Stack. Um die Testmethoden in einem Entwicklungsprozess einsetzten zu können werden die Ergebnisse auf eine vernetzte Funktion (Adaptive Cruise Control) skaliert und das Echtzeitverhalten beurteilt. Für die Simulation eines einzelnen Steuergeräts können dabei bis zu 62 Steuergeräte parallel simuliert werden, bevor die Simulation auf der realen Hardware schneller als der Ablauf in der Simulation ist. Durch die Ergänzung von Überwachungsfunktionen und Co-Simulationen sinkt das Echtzeitverhältnis jedoch exponentiell. Abschließend wird die Testmethodik mit Angriffen aus der Automobilindustrie bewertet und aufgezeigt, welche Fehler erkannt worden wären. Die Testmethodik ist dabei jedoch nur so genau, wie die zugrundeliegenden Modelle. Eine Erhöhung der Genauigkeit bedeutet dabei höhere Kosten in der Entwicklung. Zudem muss der Quellcode für die Applikation als Source- oder Maschinencode bekannt sein. Wird die Testmethode als Ergänzung zu bereits bekannten Testverfahren eingesetzt, können jedoch Probleme in der Datensicherheit bereits der Entwicklung erkannt werden

Integration neuer Technologien der Bitumenkalthandhabung in die Versorgungskette

Bitumen wird dank neuer Technologien wieder zunehmend bei Umgebungstemperatur transportiert, gelagert und dann wiederverflüssigt. In der Arbeit werden die Kosten der Handhabungstechnologien in ein lineares Optimierungsmodell zur Technologie-, Standort- und Kapazitätsbestimmung eingefügt. Mit dem Modell wird das Produktionsnetzwerk eines Referenzunternehmens optimiert und es wird möglich, das Verpacken und Verflüssigen von Bitumen in unterschiedlichen Verfahrensketten optimal einzusetzen

Testen von Kommunikationssystemen

Die vorliegende Diplomarbeit befasst sich mit dem Testen von Kommunikationssystemen. In diesem Zusammenhang werden Vorgehensmodelle zur Softwareentwicklung und Testfallentwurfsverfahren betrachtet. Der Schwerpunkt der Arbeit ist die Erstellung eines Praktikumsversuch für Studenten der Informations- und Elektrotechnik, mit dem Ziel einen Funktionaltest praktisch durchzuführen

21. Interuniversitäres Doktorandenseminar Wirtschaftsinformatik der Universitäten Chemnitz, Dresden, Freiberg, Halle-Wittenberg, Ilmenau, Jena und Leipzig: IUDS 2017

Das lnteruniversitäre Doktorandenseminar Wirtschaftsinformatik ist eine gemeinschaftliche Veranstaltung der Universitäten Chemnitz, Dresden, Freiberg, Halle, Ilmenau, Jena und Leipzig. Anlässlich des regelmäßig stattfindenden Seminars präsentieren Doktorandinnen und Doktoranden ihre Dissertationsvorhaben und stellen sich einer kritischen Diskussion der teilnehmenden Professorinnen und Professoren sowie der Doktorandinnen und Doktoranden. Auf diese Weise erhalten die Promovierenden wertvolle Anregungen und Hinweise zu vorgehen, Methodik und inhaltlichen Aspekten ihrer Arbeit, welches sie für die weitere Arbeit an ihrer Promotion und darüber hinaus nutzen können. Außerdem bietet das lnteruniversitäre Doktorandenseminar Wirtschaftsinformatik eine Gelegenheit zur fachlichen Auseinandersetzung mit aktuellen Themen und sich ankündigenden Trends in der Forschung der Wirtschaftsinformatik. Zudem wird ein akademischer Diskurs über die Grenzen der jeweils eigenen Schwerpunkte der Professur hinaus ermöglicht. Das nunmehr 21. Doktorandenseminar fand in Leipzig statt. Der hieraus entstandene vorliegende Tagungsband enthält sieben Beiträge aus den Bereichen Vorgehensweisen (Prozessharmonisierung fusionierter Dienstleistungsunternehmen, Gestaltung digitaler Transformation, Datenschutzmodell für E-Commerce), Anwendung (intelligente Tutoringsysteme, Social CRM) und Technik (dezentrales Cloud-Netzwerk, Referenzarchitektur für Cloud Computing) sowie einen Gastbeitrag (systematische Widerverwendung) und vermittelt dadurch interessante Einblicke in ausgewählte Themen der aktuellen Forschung der Wirtschaftsinformatik.:1. Prozessharmonisierung von fusionierten Dienstleistungsunternehmen im Zeitalter Quality 4 .0 - DSR Ansatz zur Entw'icklung einer Methode 2. Dezentrales Cloud-Netzwerk: Forschungsergebnisse und Evaluation 3. Konzeption eines Datenschutzmodells im E-Commerce 4. Mit systematischer Wiederverwendung von der Forschung in die Wirtschaft (und ein bißchen zurück) 5. Intelligent Tutoring Systems für wenig frequentierte Lernsituationen 6. Customer Context in Social CRM - Concept and Use Cases 7. Die Digitale Transformation gestalten - Ein Reifegradmodell zur Entwicklung von Datenkompetenz im Kontext des Capability Ansatzes 8. Cloud Computing Referenzarchitektur - IT-Dienstleistungszentren der öffentlichen Verwaltung in der Ebenen-übergreifenden Verzahnung digitaler lnfrastrukture