Cybersicherheit und Cyber-Resilienz in den Finanzmärkten

Angesichts der zunehmenden Zahl von Cybervorfällen steigt für die in den Finanzmärkten tätigen Unternehmen der Bedarf, Vorkehren zum Schutz der Cybersicherheit und der Cyber-Resilienz zu treffen. Die regulatorischen Vorgaben in der Schweiz sind nicht sehr spezifisch, weshalb von Branchenorganisationen entwickelte Standards und Compliance-Massnahmen (z.B. mit Blick auf das Risikomanagement und auf die Kontinuität der Geschäftsprozesse) an Bedeutung gewinnen. Das Buch erläutert rechtsvergleichend das regulatorische Umfeld der Cybersicherheit und entwickelt Handlungsempfehlungen für Unternehmen in den Finanzmärkten

Kurzreview: Identifikation offener Forschungsfragen zur Integration ethischer Anforderungen in Softwareentwicklungsprozesse

Die gesamtgesellschaftliche Bedeutung von Software nimmt seit etwa zwei Jahrzehnten beständig zu. Auch wenn Anwenderinnen und Anwender dies nicht immer reflektieren, wirkt Software sich an vielen Stellen längst nicht mehr nur auf unternehmerische, sondern auch auf individuelle und teils höchstpersönliche Entscheidungs- und Meinungsbildungsprozesse aus, wobei es neben von den Softwareherstellern beabsichtigten auch zu zahlreichen unbeabsichtigten Effekten kommt. Vor diesem Hintergrund stellt sich die Frage, inwieweit menschliche Ethik – und menschliche Werte – bei der Entwicklung von Algorithmen etwa zur Bewerberauswahl in Unternehmen oder zur Verbreitung politischer Inhalte in Sozialen Netzen Berücksichtigung finden. Das hier vorgelegte kursorische Kurzreview soll einen ersten Überblick des Themenfeldes liefern sowie die Identifikation derzeit offener Fragestellungen von zentraler Bedeutung sowie wesentlicher laufender Projekte im betrachteten Forschungsfeld unterstützen

Bakteriendichtigkeit von Wurzelkanalfüllungen nach Einsatz verschiedener Obturationstechniken – Eine In-vitro-Studie

Bei der Pathogenese endodontischer Beschwerdebilder stellen Bakterien und ihre Toxine die häufigste Ursache dar. Ein langfristig endodontischer Behandlungserfolg ist daher nur gewährleistet, wenn dauerhaft eine bakteriendichte Obturation des endodontisch behandelten Wurzelkanals erfolgt. Ziel dieser In-vitro-Studie war es, die apikale Dichtigkeit einer Wurzelkanalfüllung aus AH Plus und Guttapercha unter Verwendung verschiedener Obturationstechniken anhand eines Bakterien-penetrationstests zu überprüfen. Es wurden 44 humane Front- und Seitenzähne mit einem Wurzelkanal und einem runden Wurzelkanalquerschnitt ausgewählt. Die Einteilung der Probenzähne erfolgte randomisiert in 4 Gruppen zu je 10 Zähnen, sowie in eine positive und negative Kontrollgruppe mit jeweils 2 Zähnen. Die Gruppeneinteilung beruhte auf den 4 gewählten Obturationstechniken: Single-cone-Technik (SCT), Lateral-compaction-Technik (LCT), Non-compaction-Technik (NCT) und Thermafil-Technik (TT). Die Probenzähne wurden auf eine einheitliche Länge von 10 mm gekürzt und mit Hilfe von FlexMaster und ProFile-Instrumenten bis .04/#45 maschinell aufbereitet. Neben einer intermittierenden Spülung mit Natriumhypochlorit (5 %) wurde eine abschließ-ende Spülsequenz bestehend aus Natriumhypochlorit (5 %), Zitronensäure (40 %) und Ethanol (70 %) gewählt. Nach Trocknung der Wurzelkanäle, wurde der Sealer AH Plus in den Gruppen der Kaltfülltechniken mit der EZ-Fill Bi-directional Spiral, in der Thermafil-Gruppe mittels Papierspitzen, eingebracht. Je nach Obturationstechnik wurden die Probenzähne weiterhin mit einem Masterpoint, einem Masterpoint und mehreren Satellitenstiften oder mit Hilfe eines Thermafil-Stiftes gefüllt. Nach einer Aushärtungszeit von 28 Tagen erfolgte die Versiegelung der Wurzeloberfläche aller Probenzähne mit Cyanoacrylat, mit Ausnahme der apikalen 1-2 mm und der koronalen Schnittstelle. Anschließend wurden die versiegelten Probezähne in ein Doppelkammersystem eingebaut. Nachdem die untere Kammer mit einer klaren Nährlösung befüllt war, konnte der komplette Versuchsaufbau sterilisiert werden. Der Versuchsaufbau wurde komplettiert durch die Inkubation der oberen Kammer mit einer geeigneten konnte Lactobacillus-Kultur. Ab diesem Zeitpunkt wurde ein tägliches Ableseprotokoll über die Bakteriendurchlässigkeit der einzelnen Proben geführt. Zeigte eine der unteren Kammern eine Trübung des Nährmediums, konnte auf ein Bakterienwachstum und folglich auf eine bakterielle Penetration geschlossen werden. Der Beobachtungszeitraum wurde auf 180 Tage festgelegt. Die statistische Datenanalyse der Penetrationszeiten erfolgte mit dem Auswertungsprogramm SPSS Statistics 22.0. In dem Beobachtungszeitraum der vorliegenden In-vitro-Studie konnte gezeigt werden, dass ein statistisch signifikanter Zusammenhang zwischen der jeweiligen Obturationstechnik und der Dichtigkeit einer Wurzelkanalfüllung besteht. Zum Ende des Beobachtungszeitraums waren 31 der 40 Proben bakteriell penetriert. Die ersten Eintrübungen konnten bei den Proben Single-cone-Technik festgestellt werden. Ähnlich schlechte Werte zeigte die Non-compaction-Technik. Deutlich und zum Großteil statistisch signifikant besser war die Dichtigkeit der Proben, die mit der lateralen Kompaktionstechnik und der Thermafil-Technik gefüllt worden waren. Wird der Verlust der Dichtigkeit zwischen den Gruppen betrachtet, konnte gezeigt werden, dass die Kombination von AH Plus und Guttapercha unter Verwendung der lateralen Kompaktion die geringste bakterielle Durchlässigkeit besitzt und somit für die klinische Anwendung empfohlen werden kann. Thermafil als moderne Warmfülltechnik zeigt sich in den Testergebnissen als potenzielle Alternative. Weder die Non-compaction-Technik noch die Einstifttechnik können auf Grundlage der vorliegenden Untersuchungsergebnisse zum praktischen Einsatz empfohlen werden

Revision und Controlling der IT-Security

Die Arbeit hat zum Ziel, ein Modell für die Sicherheit von Informationssystemen unter spezifischer Berücksichtigung der IT-Risiken, deren Management und der Möglichkeiten ihrer Beherrschung zu entwickeln. Im Mittelpunkt steht der strategische Umgang mit Risiken der Informationsverarbeitung resultierend aus der Ungewissheit der zukünftigen Entwicklung im Umfeld des Unternehmens. Diese Ungewissheit wird auf Basis des entwickelten Modells auf den Planungsebenen für eine geschäftsübergreifende Unternehmensstrategie untersucht. Diese Untersuchungsebenen sind gleichzeitig die Bewertungsdimensionen für die ex-ante Bewertung der IT-Security. Risiken der IT-Sicherheit können den Regelbetrieb massiv gefährden. Der Lösungsansatz der IT-Abteilung basiert darauf, bei der Entwicklung und Optimierung ihrer Systeme den störungsfreien Betrieb sicherzustellen. Neben den technisch-organisatorischen Maßnahmen zur Gewährleistung des störungsfreien Betriebs sind auch die Konzepte zum Umgang mit ITRisiken zwecks Gewährleistung des Regelbetriebs mit größtmöglicher Wertschöpfung bei akzeptablem Risiko von Bedeutung. Entsprechend gehört die Beherrschung von Risiken zu den strategischen Feldern eines Unternehmens und sichert den mittel- und langfristigen Geschäftserfolg. Die Forderung an das IT-Management (zunächst den störungsfreien Betrieb sicherzustellen) st zu erweitern um Potenziale für eine positive Auswirkung auf den Ertrag/Erfolg des Unternehmens. Ein zentraler interner Erfolgsfaktor ist die organisatorische Abwicklung der Geschäftsprozesse, sie bezieht sich auf die mittels geeigneter IT-Projekte umzusetzenden und zu optimierenden Geschäftsprozesse und Geschäftsmodelle des Unternehmens. Die Absicherung der strategischen Nutzenpotenziale soll durch ein adäquates IT-Security-Management erfolgen. Diese wird daran ausgerichtet, worauf geeignete Eskalations- und Risikobewältigungsstrategien sowie ein geeignetes Business Continuity Planning (Notfallplanung/Incident Management) abzielt: auf die Unterstützung/Herstellung der Handlungsbefähigung. Diese Überlegungen führen zu der IT-Security-Sicht auf die Sicherheit eines Systems: Unterstützung der Strategie konformen und IT-Nutzenpotenzial absichernden Gestaltung der organisatorischen Abwicklung der Geschäftsprozesse mit dem Ziel der Unterstützung strategisch-operativer Handlungsspielräume. Um die strategische Sicht zusammen mit der technisch-organisatorischen Sicht in einem Modell zu verknüpfen, werden Konzepte vor allem des Controllings im Zusammenhang mit der IT-Security als Projekt begleitende Aufgabe bei der Risiko-orientierten Analyse, Bewertung und Ausgestaltung der Sicherheit von Informationssystemen untersucht. Die im Kontext der Gestaltung der organisatorischen Abwicklung der Geschäftsprozesse mit dem Ziel der Unterstützung strategischer Handlungsspielräume relevanten Risiken werden gemanagt, indem das strategische Performance Management auf die strategische Planungs- und Lenkungsaufgabe bezüglich des IT-Securityprozesses übertragen wird. Die im technischorganisatorischen Kontext für die IT-Sicherheit von Systemen relevanten Risiken werden gemanagt, indem das operative Performance Management auf die operative Planungs- und Lenkungsaufgabe bezüglich des IT-Securityprozesses (abgeleitet aus der Abstimmung der Unternehmensziele und des IT-Securityprozesses aufeinander) übertragen wird. Das entwickelte Risiko-Controlling wird in dieser Arbeit als "strategisch-operatives" Risiko-Controlling bezeichnet; dadurch soll zum Ausdruck gebracht werden, dass die strategische und die operative Sicht eng miteinander verknüpft werden. Bei dem im Weiteren dargestellten strategisch-operativen IT-Security-Management, welches auf dem strategischoperativen Risiko-Controlling aufsetzt, knüpft der operative Teil an die Phase "Do" des vom strategischen Teil des IT-Security-Managements gesteuerten strategischen IT-Security-Prozesses an, repräsentiert quasi das Operative im Strategischen

Die unsicheren Kanäle

Zeitgenössische IT-Sicherheit operiert in einer Überbietungslogik zwischen Sicherheitsvorkehrungen und Angriffsszenarien. Diese paranoid strukturierte Form negativer Sicherheit lässt sich vom Ursprung der IT-Sicherheit in der modernen Kryptografie über Computerviren und -würmer, Ransomware und Backdoors bis hin zum AIDS-Diskurs der 1980er Jahre nachzeichnen. Doch Sicherheit in und mit digital vernetzten Medien lässt sich auch anders denken: Marie-Luise Shnayien schlägt die Verwendung eines reparativen, queeren Sicherheitsbegriffs vor, dessen Praktiken zwar nicht auf der Ebene des Technischen angesiedelt sind, aber dennoch nicht ohne ein genaues Wissen desselben auskommen

Die unsicheren Kanäle: Negative und queere Sicherheit in Kryptologie und Informatik

Zeitgenössische IT-Sicherheit operiert in einer Überbietungslogik zwischen Sicherheitsvorkehrungen und Angriffsszenarien. Diese paranoid strukturierte Form negativer Sicherheit lässt sich vom Ursprung der IT-Sicherheit in der modernen Kryptografie über Computerviren und -würmer, Ransomware und Backdoors bis hin zum AIDS-Diskurs der 1980er Jahre nachzeichnen. Doch Sicherheit in und mit digital vernetzten Medien lässt sich auch anders denken: die Autorin schlägt die Verwendung eines reparativen, queeren Sicherheitsbegriffs vor, dessen Praktiken zwar nicht auf der Ebene des Technischen angesiedelt sind, aber dennoch nicht ohne ein genaues Wissen desselben auskommen

Integriertes Management von Security-Frameworks

Security-Frameworks sind baukastenähnliche, zunächst abstrakte Konzepte, die aufeinander abgestimmte technische und organisatorische Maßnahmen zur Prävention, Detektion und Bearbeitung von Informationssicherheitsvorfällen bündeln. Anders als bei der Zusammenstellung eigener Sicherheitskonzepte aus einer Vielzahl punktueller Einzelmaßnahmen wird bei der Anwendung von Security-Frameworks das Ziel verfolgt, mit einem relativ geringen Aufwand auf bewährte Lösungsansätze zur Absicherung von komplexen IT-Diensten und IT-Architekturen zurückgreifen zu können. Die praktische Umsetzung eines Security-Frameworks erfordert seine szenarienspezifische Adaption und Implementierung, durch die insbesondere eine nahtlose Integration in die vorhandene Infrastruktur sichergestellt und die Basis für den nachhaltigen, effizienten Betrieb geschaffen werden müssen. Die vorliegende Arbeit behandelt das integrierte Management von Security-Frameworks. Im Kern ihrer Betrachtungen liegen folglich nicht individuelle Frameworkkonzepte, sondern Managementmethoden, -prozesse und -werkzeuge für den parallelen Einsatz mehrerer Frameworkinstanzen in komplexen organisationsweiten und -übergreifenden Szenarien. Ihre Schwerpunkte werden zum einen durch die derzeit sehr technische Ausprägung vieler Security-Frameworks und zum anderen durch die fehlende Betrachtung ihres Lebenszyklus über die szenarienspezifische Anpassung hinaus motiviert. Beide Aspekte wirken sich bislang inhibitorisch auf den praktischen Einsatz aus, da zur Umsetzung von Security-Frameworks immer noch ein erheblicher szenarienspezifischer konzeptioneller Aufwand erbracht werden muss. Nach der Diskussion der relevanten Grundlagen des Sicherheitsmanagements und der Einordnung von Security-Frameworks in Informationssicherheitsmanagementsysteme werden auf Basis ausgewählter konkreter Szenarien mehr als 50 Anforderungen an Security-Frameworks aus der Perspektive ihres Managements abgeleitet und begründet gewichtet. Die anschließende Anwendung dieses Anforderungskatalogs auf mehr als 75 aktuelle Security-Frameworks zeigt typische Stärken sowie Schwächen auf und motiviert neben konkreten Verbesserungsvorschlägen für Frameworkkonzepte die nachfolgend erarbeiteten, für Security-Frameworks spezifischen Managementmethoden. Als Bezugsbasis für alle eigenen Konzepte dient eine detaillierte Analyse des gesamten Lebenszyklus von Security-Frameworks, der zur grundlegenden Spezifikation von Managementaufgaben, Verantwortlichkeiten und Schnittstellen zu anderen Managementprozessen herangezogen wird. Darauf aufbauend werden an den Einsatz von Security-Frameworks angepasste Methoden und Prozesse u. a. für das Risikomanagement und ausgewählte Disziplinen des operativen Sicherheitsmanagements spezifiziert, eine Sicherheitsmanagementarchitektur für Security-Frameworks konzipiert, die prozessualen Schnittstellen am Beispiel von ISO/IEC 27001 und ITIL v3 umfassend ausgearbeitet und der Einsatz von IT-Sicherheitskennzahlen zur Beurteilung von Security-Frameworks demonstriert. Die praktische Anwendung dieser innovativen Methoden erfordert dedizierte Managementwerkzeuge, die im Anschluss im Detail konzipiert und in Form von Prototypen bzw. Simulationen umgesetzt, exemplifiziert und bewertet werden. Ein umfassendes Anwendungsbeispiel demonstriert die praktische, parallele Anwendung mehrerer Security-Frameworks und der spezifizierten Konzepte und Werkzeuge. Abschließend werden alle erreichten Ergebnisse kritisch beurteilt und ein Ausblick auf mögliche Weiterentwicklungen und offene Forschungsfragestellungen in verwandten Bereichen gegeben.Security frameworks at first are modular, abstract concepts that combine technical as well as organizational measures for the prevention, detection, and handling of information security incidents in a coordinated manner. Unlike the creation of scenario-specific security concepts from scratch, for which one has to choose from a plethora of individual measures, using security frameworks pursues the goal of reducing the required time and effort by applying proven solutions for securing complex IT services and IT architectures. The practical realization of a security framework requires its scenario-specific customization and implementation, which especially need to ensure its seamless integration into the existing infrastructure and provides the basis for sustained, efficient operations. This thesis highlights the integrated management of security frameworks. Therefore, it does not focus on individual security framework concepts, but on innovative management methods, processes, and tools for operating multiple security framework instances in complex enterprise-wide and inter-organizational scenarios. Its core contributions are motivated by the very technically oriented characteristics of current security frameworks on the one hand and by the lack of a holistic view on their life cycle that reaches beyond the customization phase on the other hand. These two aspects still inhibit the wide-spread practical application of security frameworks because still significant scenario-specific conceptual efforts have to be made in order to operate and manage the framework instances. After the discussion of the relevant fundamentals of security management and the classification of security frameworks into information security management systems, more than 50 management-specific requirements for security frameworks are derived from practical scenarios and get reasonably weighted. The application of the resulting criteria catalogue to more than 75 current security frameworks points out their typical strengths and weaknesses; besides improvement proposals for the analyzed security frameworks, it also motivates the security-framework-specific management methods that are developed afterwards. For each of the proposed concepts, a detailed analysis of the complete security framework life cycle serves as a reference base. It is also used to specify the basic management tasks, responsibilities, and interfaces to related management processes. Based on this life cycle specification, security-framework-specific management methods and processes, e. g., for risk management and for selected security operations tasks are specified, a security management architecture for security frameworks is designed, process-related interfaces based on ISO/IEC 27001 and ITIL v3 are elaborated, and the application of security metrics to quantitatively assess security frameworks is demonstrated. The practical application of the proposed innovative methods requires several dedicated management tools, which are devised in detail, implemented as prototypes or as simulations, exemplified, and evaluated. An extensive usage example demonstrates the practical application of multiple security frameworks in parallel based on the specified concepts and tools. Finally, all achieved results are critically assessed and an outlook to further research as well as open issues in related disciplines is given

Chancen und Risiken der Digitalisierung kritischer kommunaler Infrastrukturen an den Beispielen der Wasser- und Abfallwirtschaft. Endbericht zum TA-Projekt

Im Mittelpunkt des TAB-Arbeitsberichts Nr. 205 steht der Einsatz digitaler Lösungen für zentrale Aufgaben der kommunalen Abfall- und Wasserwirtschaft. Der Bericht informiert für beide Bereiche über den aktuellen Stand der Technik und die Perspektiven der Digitalisierung. Für die Wasserwirtschaft wird der mögliche Nutzen digitaler Lösungen zur Bewältigung von Ausnahmesituationen untersucht. Darüber hinaus werden die Anfälligkeiten der Versorgungsinfrastrukturen der Wasserwirtschaft gegenüber Cyberangriffen und anderen IT-bedingten Störungen diskutiert sowie der aktuelle Stand der Informationssicherheit und der diesbezügliche Handlungsbedarf identifiziert. Abschließend werden Gestaltungsoptionen skizziert und ein möglicher Orientierungsrahmen speziell für politisches Handeln aufgezeigt, um den digitalen Fortschritt nachhaltig zu gestalten. Dem Bericht ist eine 20-seitige Zusammenfassung vorangestellt. Zentrale Ergebnisse sind auf vier Seiten im zugehörigen TAB-Fokus (s.u. Relation in KITopen) zusammengestellt

Case Kritis - Fallstudien zur IT-Sicherheit in Kritischen Infrastrukturen

Kritische Infrastrukturen bilden das Rückgrat unserer Gesellschaft. Fallen sie aus, kaskadieren die Auswirkungen schnell und können katastrophale Folgen haben. Wie andere Unternehmen sind auch Kritische Infrastrukturen weitgehend von Informationstechnik durchdrungen und nicht selten von deren fehlerfreier Funktion abhängig. Es wundert somit nicht, dass auch der Gesetzgeber angemessene Maßnahmen verlangt. Aber welchen speziellen Herausforderungen stehen Kritische Infrastrukturen dabei gegenüber? Und wie kann diesen wirksam und effizient begegnet werden? Dieses Buch bündelt neun Lösungen aus der Praxis, die Good Practices von Betreibern Kritischer Infrastrukturen, beispielgebende Projekte und Technologien aufzeigen und deren Erfolgsfaktoren mögliche Antworten auf diese Fragen geben. Der Band enthält Fachbeiträge zu folgenden Themen: - Gesetzliche Anforderungen an die IT-Sicherheit in Deutschland und Europa - Stand der Technik im Bereich der IT-Sicherheit Kritischer Infrastrukturen - Umsetzung im Unternehmen: Von der IT-Sicherheit zu Innovatio