Konzeption einer elektronischen Studienplattform zur Durchführung umfangreicher internetbasierter Studien in der Psychosomatik am Beispiel SURE

Die vorgestellte Arbeit beschreibt die Konzeption einer elektronischen Studienplattform zur Durchführung umfangreicher internetbasierter Studien in der psychosomatischen Medizin. Als Anwendungsfall dient die SURE-Studie, in der die Schlüsselmethode, eine schneller zu erlernende Alternative zu etablierten Entspannungstechniken, untersucht werden soll. Zu diesem Zweck sollen mehrere tausend Teilnehmer aus Berufsgruppen mit hoher berufsbedingter, psychischer Belastung ausgewählt werden. Studienteilnehmer sollen zunächst über eine Onlineplattform die neue Entspannungstechnik per Videoanleitung erlernen. Anschließend soll über einen Beobachtungszeitraum von etwa einem Jahr der präventive Charakter der Entspannungsmethode zur Vermeidung stressbedingter Folgeerkrankungen untersucht werden. Im Wesentlichen setzt sich die Arbeit mit organisatorischen, rechtlichen, technischen und ökonomischen Problemen auseinander, die es zu lösen gilt, wenn sozialwissenschaftliche Studien auf elektronischem Weg durchgeführt werden. Analysiert wurden Hürden bei der Teilnehmerrekrutierung, der elektronischen Bereitstellung der Studienunterlagen sowie Erhebung der Daten unter Einhaltung gesetzlicher Rahmenbedingungen und nach Maßgaben der Good Clinical Practice. Es wurden häufig verwendete kostenfreie und kommerzielle Softwarewerkzeuge unter dem Aspekt des benötigten Funktionsumfangs, des Datenschutzes, von Ergonomie und nicht zuletzt ökonomischen Einschränkungen untersucht. Hierbei wurden auch in einschlägiger Literatur erwähnte Panels genauer betrachtet. Nachdem sich die großen, kommerziellen Panel-Lösungen aus Komplexitäts- und Kostengründen und die kostengünstigeren Cloud-basierten Varianten aus fehlender Skalierbarkeit, unzureichendem Funktionsumfang oder aus Datenschutzgründen für den geplanten Einsatz als untauglich erwiesen haben, erfolgte die Planung einer eigenen Onlineplattform. In der Konzeption wurden die Schwach- stellen bestehender Systeme berücksichtigt und eine Infrastruktur gemäß den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und den Anforderungen an das Bundesdatenschutzgesetz (BSDG) geplant. Die vielfältigen, sich hieraus ergebenden Teilprobleme wurden im Detail beleuchtet und technische Lösungsstrategien entwickelt. Für die praktische Umsetzung eines Prototypen der Onlineplattform wurde als Grundlage hierzu das quelloffene Lernmanagementsystem Moodle herangezogen und um die benötigten Funktionen erweitert. Durch die entwickelten Erweiterungen ist die Plattform in der Lage, Teilnehmer über individualisierte Startseiten (Landing-Pages) automatisch in Studiengruppen zu erfassen, zu pseudonymisieren, Studienunterlagen und Medien für konventionelle und mobile Endgeräte bereitzuhalten und Onlinebefragungen durchzuführen. Studien und Fragebögen können über eine Weboberfläche aus Vorlagen oder neu erstellt und verwaltet werden. Ein Exportieren der gewonnenen Daten erlaubt die Auswertung mit gewohnter Software. Als technischer Unterbau der Studienplattform wurde im Sinne einer Best Practice eine hochverfügbare technische Infrastruktur (HA-Cluster) aufgebaut, die in Punkto Sicherheit dem neusten Stand der Technik entspricht. Das Gesamtkonzept sieht vor, dass auch in Zukunft teilnehmerstarke Studien mit etlichen tausend Teilnehmern und ressourcenintensiven Anwendungen (z.B. dem Abspielen von Videoclips) möglich sind. Um die Tauglichkeit der Studienplattform für den geplanten Einsatz (SURE) zu überprüfen wurden Bedrohungsanalysen gemäß IT-Grundschutz, sowie Tests zur Messung der Leistungsfähigkeit des Systems (Benchmarks) durchgeführt. Die Testergebnisse zeigten, dass die erstellte Plattform auch mit einer Vielzahl gleichzeitiger Nutzer zurechtkommt und den meisten kommerziellen Angeboten insbesondere in Punkto Sicherheit überlegen ist. Letztlich bleibt das entworfene System die Praxiserfahrungen noch schuldig. Vor dem Einsatz in einer großangelegten Studie wie SURE, sollte die Plattform zunächst im Rahmen einer Teststudie in kleinerem Umfang erprobt und ihre Alltagstauglichkeit evaluiert, Wünsche von Anwendern aufgenommen, sowie umgesetzt und mögliche Fehler eradiziert werden. Nach erfolgreichem Test steht einer Umsetzung des Prototypen in ein Produktivsystem, gegebenenfalls mit Unterstützung von Fördermitteln, nichts mehr im Wege

Automatisierte, minimalinvasive Sicherheitsanalyse und Vorfallreaktion für industrielle Systeme

Automated defense and prevention measures designed to protect industrial automation and control systems often compromise their real-time processing, resilience and redundancy. Therefore, they need to be performed as non-invasively as possible. Nevertheless, particularly minimally invasive security analysis and incident response are still poorly researched. This work presents solutions based on new semantic- and SDN-based approaches to some of the most important problems in these areas

Automatisierte, minimalinvasive Sicherheitsanalyse und Vorfallreaktion für industrielle Systeme

Automated defense and prevention measures designed to protect industrial automation and control systems often compromise their real-time processing, resilience and redundancy. Therefore, they need to be performed as non-invasively as possible. Nevertheless, particularly minimally invasive security analysis and incident response are still poorly researched. This work presents solutions based on new semantic- and SDN-based approaches to some of the most important problems in these areas

Automatisierte, minimalinvasive Sicherheitsanalyse und Vorfallreaktion für industrielle Systeme

Industrielle Steuerungs- und Automatisierungssysteme erleben in den letzten Jahren eine zunehmende Vernetzung und bestehen mehr und mehr aus Komponenten, bei denen Off-the-Shelf-Software und offene Standards zum Einsatz kommen. Neben den unbestreitbaren Vorteilen, die diese Entwicklungen mit sich bringen, vergrößert sich damit jedoch auch die Angriffsfläche solcher Systeme. Gleichzeitig führt die, durch diese Evolution entstehende, zusätzliche Flexibilität zu zusätzlicher Komplexität in der Konfiguration und einer Zunahme von ausnutzbaren Schwachstellen. Die Homogenität der Soft- und Hardware macht die Ausnutzung dieser Schwachstellen für Angreifer zudem attraktiver, da weniger Aufwand in Individualangriffe fließen muss. Es ist so nicht verwunderlich, dass die Anzahl von Angriffen betroffener industrieller Systeme in den letzten fünfzehn Jahren einen deutlichen Zuwachs erfahren hat. Dies ist besonders bedenklich, weil erfolgreiche Angriffe auf diese Systeme, anders als in der Büro-IT, oft gefährliche Auswirkungen auf ihre Umwelt haben. Wie auch in anderen Domänen mit hoher technologischer Komplexität, haben sich computergestützte Verfahren zu einem wichtigen Bestandteil industrieller Systeme entwickelt. Sie werden dabei u.a. zur Sicherstellung korrekter Konfiguration, Identifikation von Schwachstellen, Bedrohungen und Gegenmaßnahmen, sowie Angriffsdetektion und -reaktion eingesetzt. Allerdings bestehen aufgrund der Garantien industrieller Systeme und ihrer Netzwerke bezüglich Aspekten wie Echtzeitverarbeitung, Ausfallsicherheit und Redundanz, Einschränkungen im Einsatz von Werkzeugen und Maßnahmen. Um also möglichst wenig in das System einzugreifen, müssen beispielsweise Sicherheitsanalysen und Vorfallreaktionen so wenig invasiv wie möglich (minimalinvasiv) durchgeführt werden. Für automatisierte Sicherheitsanalysen hat es sich daher zur guten Praxis entwickelt, Modelle der Systeme zu erstellen und diese computergestützt zu analysieren. Als besonders geeignet haben sich in der Forschung dabei wissensbasierte, bzw. ontologiebasierte, Ansätze erwiesen. Existierende Lösungen leiden jedoch unter Problemen wie der fehlenden Konfigurierbarkeit für unterschiedliche Umgebungen, der fehlenden Optimierbarkeit (da in der Regel nur bestimmte Inferenzmechanismen anwendbar sind), der fehlenden Wiederverwendbarkeit und Austauschbarkeit von Modellerweiterungsschritten und Analysen, der fehlenden Unterstützung verschiedener Akteure und mehrerer Analysearten wie Bedrohungs-, Schwachstellen-, Konfigurations- und Konformitätsanalysen, sowie der mangelnden technischen Detailtiefe und Komponentenabdeckung, um bestimmte Analysen überhaupt durchführen zu können. Bei der Vorfallreaktion sind die genannten Garantien sogar der Grund für den Mangel an Lösungen, die in industriellen Systemen eingesetzt werden können. Denn der Großteil der automatisierbaren Reaktionen liegt im Gebiet der Abschottung und greift somit garantiegefährdend in das entsprechende System ein. In dieser Dissertation werden die eben aufgezählten Probleme der Sicherheitsanalyse und Vorfallreaktion adressiert. Für die Sicherheitsanalyse wurden Konzepte und Methoden entwickelt, die jedes der aufgezählten Probleme mindern oder lösen. Dafür wird unter anderem eine auf den offenen Standards AutomationML und OPC UA basierende Methode zur Modellierung und Extraktion von Netzwerkinformationen aus Engineering-Werkzeugen, Untersuchungsergebnisse verschiedener Abbildungsstrategien zur Erstellung ontologiebasierter Digitaler Zwillinge, ein Konzept zur Sprachenunabhängigen Modellerzeugung für Netzwerkzugriffskontrollinstanzen und Konzepte und Methoden zur wiederverwendbaren, austauschbaren, automatisierten Modellverarbeitung und Sicherheitsanalyse für mehrere Analysearten vorgestellt. Für diese und damit verbundene Konzepte und Methoden wurde zudem ein konsistentes, auf Separation-of-Concerns basierendes Rahmenwerk für wissensbasierte Sicherheitsanalyselösungen entworfen, prototypisch implementiert und evaluiert. Das Rahmenwerk, die Implementierung und die Ergebnisse der Evaluationen werden ebenfalls in dieser Arbeit vorgestellt. Damit wird die erste Lösung für die zuvor genannten Probleme präsentiert und eine Basis für eine neue Art von kollaborativ verwalt- und optimierbaren Sicherheitsanalysen geschaffen. Des Weiteren wird ein Konzept zur automatisierten Vorfallreaktion auf Basis des Netzwerkparadigmas Software-Defined-Networking (SDN) vorgestellt. Dabei wird ein Ansatz gewählt, der auf vordefinierten Reaktionen auf sicherheitsrelevante Ereignisse basiert und diese über Restriktionen individuell und automatisiert einschränkt. Wobei sich die Restriktionen auf explizit modelliertes Wissen über zu schützende Endgeräte, Netzwerkkomponenten und Verbindungen stützen. Das Konzept nutzt außerdem aus, dass die Netzwerksteuerung durch den SDN-Controller auf detaillierten Daten über die aktuelle Netzwerktopologie verfügt und verwendet die optimierten Algorithmen des SDN-Controllers zur Neukonfiguration. Mit dem Konzept wird ein Ansatz präsentiert, der es erstmals ermöglicht, auch in industriellen Systemen die Vorteile automatisierter Vorfallreaktion, wie die kurze Reaktionszeit und verfügbare Topologiekenntnis, zu nutzen

Methode zur Taxierung des IT-Sicherheitsniveaus: Im Rahmen Kleinstunternehmen, speziell Handwerker

Kleinstunternehmen stellen einen wesentlichen Teil einer jeden Volkswirtschaft dar. Dabei können Kleinstunternehmen, insbesondere Handwerksbetriebe aufgrund ihrer begrenzten finanziellen und infrastrukturellen Bedingungen zumeist komplexe und kostenintensive industrielle Lösungen für mittlere und größere Unternehmen nicht verwenden. Zudem ist die IT-Sicherheit auch kein Bestandteil der Meisterausbildung bei Handwerkern. Privatlösungen hingegen sind nicht umfangreich genug, um alle geschäftlichen Anforderungen zu genügen. Dennoch müssen sie ihre IT-Komponenten vor internen und externen Angriffen und Ausfällen schützen, um ihre Existenz aufgrund eines IT-Sicherheitsvorfalls nicht zu gefährden. Das primäre Ziel dieser Arbeit ist die Konzeption einer mehrdimensionalen halbautomatischen IT-Sicherheitsmessmethode, welche den Stand der IT-Sicherheit feststellt, taxiert und in der Auswertungsableitung eine Steigerung ermöglicht. Eine Anforderung dieser Arbeit ist der Entwicklungsrahmen, welcher von deutschen industriellen Anforderungen und IT-Sicherheitsrahmenbedingungen flankiert wird. Schwerpunktmäßig liegt der Fokus auf der Beschreibung und Ausgestaltung des Vorgehensmodells. Diese Methode wird anwendungsorientiert in ein IT-Tool, samt zielgruppenorientierter textlicher Gestaltung prototypisch umgesetzt. Dabei werden die Ergebnisse der Datenerhebungen im Rahmen von definierten IT-Sicherheitsniveaus eingestuft. Dem Anwender wird als Ergebnis die festgestellte interne gegenüber der externen Perspektive, sowie die Resultate einer automatischen Messung der IT-Sicherheit dargestellt. Zudem resultieren als Ableitung konkrete Maßnahmen, um eine höhere IT-Sicherheitsstufe zu erhalten. Im Rahmen der abschließenden Evaluation konnte über eine Studie gezeigt werden, dass das entwickelte Artefakt, beispielsweise eine Steigerung der IT-Sicherheit, das initiale Ziel dieser Arbeit, erreicht wurde. Darüber hinaus stellten sich, neben den Gesamtmessdaten wie etwa die Software- und die IT-Ausstattung der Studienteilnehmer, auch Aspekte der IT-Sicherheit heraus, welche besonders oft eine hohe bzw. niedrige Bewertung innerhalb der Studie erhielten. Das entwickelte Artefakt wurde innerhalb von Handwerkern als Kleinstunternehmer evaluiert und kann auf weitere Bereiche angewendet werden.:Bibliographische Beschreibung II Vorwort III Inhaltsverzeichnis IV Abbildungsverzeichnis VI Tabellenverzeichnis IX Abkürzungsverzeichnis XI 1 Einleitung und thematische Grundlagen 1 1.1 Arbeitsdefinitionen 1 1.2 Erläuterung der Ausgangssituation 4 1.3 Definieren von Forschungsmethoden 11 1.4 Aufbau und Forschungsfragen 12 1.5 Stand der Forschung 14 1.5.1 Definition des Untersuchungsumfangs 14 1.5.2 Konzeption des Themas 15 1.5.3 Literatursuche 21 1.5.4 Literaturanalyse und -synthese 24 1.5.5 Forschungsagenda 28 2 Entwicklung der Methode 29 2.1 Grundlagen des Methoden Engineering 29 2.2 Definition des Referenzunternehmen, Organisatorisch 30 2.3 Konzeption der Methode 31 3 Modell Realisierung 40 3.1 Das IT-Tool 40 3.2 Definition des Referenzunternehmen, Technisch 45 3.3 Fragebogen und Checkliste 46 3.3.1 Datenbasis und Fragenraumstrukturierung 46 3.3.2 Methodik der Konzeption 48 3.4 Das Software-Tool 50 3.4.1 Softwareauswahl 51 3.4.2 Test der Aktualitätsprüfungssoftware 53 3.4.3 Weitere Ansätze 56 3.5 Ausgabe des IT-Tools 57 3.5.1 Skalierung 57 3.5.2 Gegenüberstellung 58 3.5.3 Ableitung von Maßnahmen 59 3.5.4 Beispiel Bereich in der Auswertung 59 4 Evaluation 60 4.1 Studienaufbau 60 4.2 Datenaufbereitung und Datenbereinigung 63 5 Ergebnisse 70 5.1 Datenanalyse 70 5.1.1 Fragebogen 71 5.1.2 Checkliste 76 5.1.3 PC-Messung 82 5.1.4 Erweiterte Messung 84 5.1.5 Gesamtkennzahl 84 5.2 Probandenbetrachtung 85 5.2.1 Gesamtkennzahl 86 5.2.2 Mitarbeiterkaskadenklassen. 88 5.2.3 Gewerkskohorten 88 5.3 Weitere Datenbetrachtung 89 5.3.1 Software- und Treiber Aktualität 89 5.3.2 Vorzeichentest 90 5.3.3 Multidimensionale Skalierung mit k-Means 91 6 Diskussion 96 6.1 Die Messdaten 96 6.2 Forschungshypothesen und Forschungsfrage 3 99 6.3 Explorativen Datenauswertung 103 6.4 Durchschnittsprofil 104 6.5 Prüfung des Referenzunternehmen zu den Messdaten 107 7 Zusammenfassung 109 Literaturverzeichnis XII 8 Anhang XXV Selbständigkeitserklärung LI

Kontextbasierte Sicherheitsmaßnahmen für mobile Geräte in nicht vertrauenswürdigen Netzwerken

[no abstract

Konstruktion eines Kriterienkatalogs zur Bewertung nativer mobiler Enterprise Applikationen

Unternehmen setzen täglich eine Vielzahl von, im Enterprise Sektor etablierten, Systemen ein. Sie müssen zum Beispiel Fertigungsprozesse steuern, Informationen analysieren sowie ein sicheres Kundenmanagement, eine sichere Datenhaltung und Kommunikation realisieren. Sie greifen dabei auf Systeme zum Enterprise Resource Planning (ERP), Customer Relationship Management (CRM), Product Lifecycle Management (PLM) und Supply Chain Management (SCM) zurück. Ein Aspekt, der bis vor wenigen Jahren vernachlässigt wurde und nun von den Unternehmen entdeckt wird, ist die Mobilität. Sie stellt neue Herausforderungen an die IT-Infrastruktur und zwingt die großen Software-Hersteller wie IBM, Oracle, SAP und HP, neue skalierbare Ansätze für mobile Endgeräte zu integrieren. Die Mobilität wird in diesem Dokument als Sektor innerhalb der Informationstechnik verstanden, geprägt durch das Management von mobilen Geräten, Anwendungen und Inhalten mit Hilfe dedizierter Systeme, auch bezeichnet als mobile Systeme oder Plattformen

Arbeitsbericht Nr. 2011-03, September 2011

Ilmenauer Beiträge zur Wirtschaftsinformatik Nr. 2011-03 / Technische Universität Ilmenau, Fakultät für Wirtschaftswissenschaften, Institut für Wirtschaftsinformatik ISSN 1861-9223 ISBN 978-3-938940-35-

Schwerpunkt-Report über das Jahr ... / Wirtschaftsinformatik und Informationswirtschaft / Fachbereich Wirtschaftswissenschaften

Im Zentrum des Schwerpunktes stehen die Beschreibung, Erklärung und Gestaltung von Informationserstellungs- und -verarbeitungsprozessen, insbesondere soweit sie durch moderne Informations- und Kommunikationstechniken unterstützt werden. Diese Prozesse dienen zum einen der unmittelbaren Bedürfnisbefriedigung durch Information sowie zum anderen der Koordination physischer Wertschöpfung. Die schnelle Fortentwicklung der IuK-Systeme sowie die rasante Verbreitung ihrer Nutzung führen vielfach zu tief greifenden Veränderungen der Geschäftsabläufe und darüber hinaus des gesellschaftlichen Lebens. Aufgabe des Schwerpunktes ist hierbei, die Nutzenpotenziale neuer Informations- und Kommunikationstechniken sowie deren Anwendung insbesondere in Wirtschaft und Verwaltung zu analysieren und eigene Gestaltungsvorschläge zu unterbreiten. Dies gilt auch für die Gestaltung und Auswahl der institutionellen Rahmenbedingungen von Informationserstellungs- und - verarbeitungsprozessen