Cloud Computing in the Financial Industry – A Road Paved with Security Pitfalls?

In the financial industry, Information Technology (IT) is an essential production factor, but also a major expense post. Because cloud computing promises to deliver IT services more flexibly and cost-efficiently, it potentially constitutes a “perfect match” for the financial sector. However, given the high degree of regulation, concerns regarding security and compliance requirements arise. In this work, we provide a detailed theoretical analysis of potential security problems in the context of cloud computing. This analysis is complemented by the initial results of an ongoing case study concerning the practical relevance of these problems in the financial industry. The analysis confirms that security issues pose notable obstacles for the adoption of cloud computing in practice, but also points to appropriate countermeasures

On the Relevance of Security Risks for Cloud Adoption in the Financial Industry

For financial institutions as “heavy users” of Information Technology (IT), the promises of cloud computing – most notably, increased flexibility and reduced provisioning cost – are tempting. However, moving data and applications from a confined internal IT infrastructure to an external, shared cloud poses multiple new security issues. This paper provides an assessment of the relevance of selected issues, based on interviews with 12 representatives of financial institutions. Our results indicate that despite technical advancement and legal arrangements, certain security issues are likely to remain important inhibitors for the adoption of cloud computing by financial institutions

Secure Delete Object Store - sicheres Löschen auf nicht vertrauenswürdigen Speichersystemen

Durch neue Technologien wie Solid State Drives und Cloud Computing hat die Datenhaltung in den letzten Jahren einen Paradigmenwechsel erlebt. Beide Technologien führen dazu, dass der Benutzer sich im Unklaren über die Lokalität und die Anzahl von Kopien seiner ist. Herkömmliche Verfahren zur sicheren Datenlöschung wie das Überschreiben der Daten funktionieren daher nicht mehr. Dennoch muss weiterhin garantiert werden können, dass die Daten des Benutzers bei Bedarf sicher gelöscht werden können. Diese Arbeit präsentiert einen Secure Delete Object Store,welcher das sichere Löschen auf nicht vertrauenswürdigen Speichersystemen mittels Verschlüsselung garantiert. Jede Datei des Benutzers wird mit einem exklusiven Schlüssel verschlüsselt, sodass bei einem Löschvorgang nur der entsprechende Schlüssel gelöscht werden muss. Es wird Wert darauf gelegt, eine Datenstruktur zu schaffen, die erweiterbar ist auch bei großen Datenmengen eine effiziente Lösung für die Verwaltung der Schlüssel darstellt

Eine Fallstudie zur Evaluation und Weiterentwicklung des Produktportfolios eines KMU Cloud Service Providers

Kleinere und mittlere Cloud Service Provider (CSP) stehen im Schweizer Cloud Computing Markt aufgrund des Markteintritts von Grossanbietern in der Schweiz stark unter Konkurrenzdruck. Die Grossanbieter profitieren von Ressourcenstärke sowie diversen Skalen-Effekten, was sich insbesondere durch tiefe Preise und hoch standardisierte Cloud-Services bemerkbar macht. Die Wettbewerbsfähigkeit von KMU CSP wird in dieser Forschungsarbeit deshalb in Frage gestellt, indem die zugrundeliegenden Problemstellungen von KMU CSP im Schweizer Cloud Computing Markt explorativ erforscht werden. Darin begründet sich auch das Ziel dieser Forschungsarbeit: Die Erforschung aktueller Problemstellungen von KMU CSP in den Servicemodellen Software as a Service (SaaS), Platform as a Service (PaaS) und Infrastructure as a Service (IaaS) im Bereich Computing, Speicher, und Software sowie die Entwicklung entsprechender Lösungsansätze. Dafür wird im Rahmen einer Fallstudie das Cloud-Produktportfolio eines KMU CSP analysiert und ein Soll-Cloud-Produktportfolio entwickelt. Um die Markteinflüsse im Schweizer Cloud Computing Markt zu identifizieren, wurde eine Literaturrecherche, sechs Experteninterviews sowie ein Benchmarking von ausgewählten Angeboten von Grossanbietern durchgeführt. Die Ergebnisse zeigen, dass KMU CSP insbesondere im Bereich von Commodities in den Servicemodellen PaaS und IaaS stark unter Druck stehen, insofern es sich nicht um stark spezialisierte Angebote in Nischenmärkten handelt. Aufgrund der von den Experten prognostizierten Zukunftsaussichten drängt sich daher eine strategische Neuorientierung von KMU CSP in diesen Bereichen auf. Als Lösungsansätze werden Partnermodelle, eine Verschiebung ins SaaS-Geschäft, die Erschliessung von Nischenmärkten, der Aufbau von Hybrid- und Multi Cloud-Lösungen sowie ein Ausbau im Bereich von Cloud-Beratungs-dienstleistungen diskutiert. Die Experten vermuten insbesondere im Bereich von neuen Geschäftsmodellen auf Basis von virtuellen Data Center (VDC) Lösungen zwischen Grossanbietern und KMU CSP grosse Potenziale. Dem Praxispartner wir deshalb der Aufbau einer hybriden Cloud-Strategie empfohlen, wobei in einem ersten Schritt die Commodities im Bereich PaaS und IaaS ebenfalls mittels einer virtuellen Data Center-Lösung über einen Grossanbieter angeboten werden sollen. Zukünftig gilt es die Ergebnisse dieser Forschungsarbeit zu validieren, da diese explorativ sind und deshalb nur als Richtwerte interpretiert werden dürfen. Abschliessend werden Problemstellungen und Ansatzpunkte für weitere Forschungsarbeiten identifiziert

Management und IT: Tagungsband zur AKWI-Fachtagung vom 16. bis 18.09.2012 an der Hochschule Pforzheim

Wirtschaftsinformatik befasst sich mit allen Themen, die an der Schnittstelle zwischen Informatik und Betriebswirtschaft anzutreffen sind. So geht es in der Wirtschaftsinformatik – basierend auf dem Wissen und dem Verstehen der betriebswirtschaftlichen Konzepte und Anwendungen – insbesondere darum, IT-Systeme für die betriebliche Praxis zu entwickeln, einzuführen und zu betreiben. Eine wissenschaftliche Fachtagung, die den Titel „Management und IT“ trägt, setzt an einer solchen Beschreibung der Wirtschaftsinformatik an

Schaffung eines nachhaltigen IT-Security Managementkonzepts für kleine und mittlere Unternehmen

In den letzten Jahren entwickelte sich das Thema IT-Security zu einem immer essentielleren Bereich in Unternehmen weltweit. Ursprünglich als eine Sparte, die als nettes Add-On dient, angesehen, rückt IT-Security bei der Planung und Einrichtung von IT-Infrastrukturen innerhalb von Konzernen in das Zentrum. Diverse Umfragen in Medien zeigen, dass das Thema Sicherheit zu einer der Hauptprioritäten im Informations- und Kommunikationstechnologiebereich wird. Speziell Begriffe wie „Security Management“ und „Information Security“ rücken in den Mittelpunkt von IT-Experten in heutigen Unternehmen. Eine wesentliche Aufgabe besteht darin, adäquate IT-Architekturen, koordinierte Technologieführung und die Definition von Rollen und Verantwortungsbereichen über das ganze Unternehmen hinweg zu schaffen. Dies alles sollte unter Berücksichtigung von etablierten Security Richtlinien, Standards und Methoden ermöglicht werden. Stärken und Schwächen bestehender Systeme müssen analysiert werden, um notwendige Korrekturen durchzuführen und eine kontinuierliche Verbesserung sowohl der IT-Landschaft als auch des Sicherheitsbewusstseins innerhalb der Unternehmen zu gewährleisten. Zielsetzung dieser Masterarbeit ist die Schaffung eines nachhaltigen IT-Security Managementkonzepts für kleine und mittlere Unternehmen (KMU). Dies erfolgt unter Berücksichtigung der im deutschsprachigen Raum meistverbreiteten existierenden Planungsansätze der IT-Security. Zu diesen zählen die ISO-2700x Normreihe, der IT-Grundschutzkatalog bzw. die IT-Grundschutzvorgehensweise des Bundesamt für Sicherheit in der Informationstechnik (BSI), in Österreich das österreichische Informationssicherheitshandbuch, sowie der Common Criteria for Information Technology Security Evaluation Standard (CC) zur Bewertung der Sicherheit von Informationstechnologie. Aufbauend auf die existierenden Planungsansätze sowie die in der Arbeit identifizierten bestehenden und zukünftigen Herausforderungen für den Entwurf eines IT-Security Managementkonzepts für KMUs werden Anforderungen dafür abgeleitet. Diese werden in weiterer Folge in ein Konzept eingearbeitet, welches sicherstellt, dass mit vertretbarem Aufwand ein umfassender und nachhaltiger Beitrag zur Verbesserung der IT-Security in KMUs gewährleistet werden kann. Der nachhaltige Beitrag wird unter anderem dadurch garantiert, dass neben der Berücksichtigung existierender Planungsansätze und Best Practices, Trends hinsichtlich der IT-Security, die in den nächsten 3-4 Jahren immer mehr an Bedeutung gewinnen werden, ebenfalls berücksichtigt sind. Es wird kleinen und mittleren Unternehmen ein einfaches Vorgehenskonzept zur Verfügung gestellt, das ihnen ermöglicht, schnell effiziente Maßnahmen zur Einrichtung eines nachhaltigen IT-Security Managements auszuwählen und durchzuführen. Die Überprüfung auf Praxistauglichkeit des entwickelten Konzepts erfolgt anschließend in Kooperation mit der ViaDonau - Österreichische Wasserstraßen-Gesellschaft mbH.In recent years the subject of IT security has developed into an essential topic in companies worldwide. Originally viewed as a nice add-on, nowadays the field of IT security is in the center of planning- and establishment activities for IT-infrastructures of any organisation. Various surveys in the media indicate that the issue of security is increasingly growing to one of the main priorities in the information and communication technology sector. Especially terms like "Security Management" and "Information Security" are moving into the focus of IT professionals in today's businesses. An essential task is to create adequate IT architectures, coordinated technology management and the definition of roles and responsibilities throughout the enterprises. This has to be done under consideration of established security policies, standards and methods. Strengths and weaknesses of existing systems must be analyzed in order to carry out necessary adjustments and to ensure a continuous improvement of the IT environment, as well as security awareness within the companies. The objective of this thesis is to create a sustainable IT-Security Management Concept for small and medium enterprises (SMEs). It takes into account the most common existing planning approaches for IT security. These include the ISO 2700x standards, the IT-Baseline Protection Catalog (IT-Grundschutzkatalog des BSI), the IT-Baseline Protection Approach of the Federal Office for Information Security in Germany (IT-Grundschutzvorgehensweise des BSI), the Austrian Information Security Manual (Österreichisches Sicherheitshandbuch) and the Common Criteria for Information Technology Security Evaluation Standard (CC) for the security evaluation of information technology. Based on the established planning approaches mentioned before and the identified existing and future challenges concerning the design of an IT-Security Management Concept for SMEs, the requirements are derived. Subsequently they are incorporated into a concept, which will guarantee that, with justifiable effort, a comprehensive and lasting contribution for the improvement of SMEs IT security is ensured. Moreover the lasting contribution of this work should be guaranteed considering the trends of IT security, which will get more and more influence in the next 3-4 years. For small and medium-sized businesses a simple process concept is provided that allows them to quickly carry out effective measures for establishing a sustainable IT-Security Management. The verification of the concept on suitability for daily use is carried out in cooperation with the ViaDonau - Österreichische Wasserstraßen-Gesellschaft mbH

Gefährdungslage deutscher Arztpraxen (als Teil des Gesundheitswesens und der KMU) durch Cybercrime

Begünstigt durch den rapiden Technisierungsanstieg in der Gesellschaft stehen Erpressung und Datendiebstahl zunehmend im Fokus der gut organisierten Cyberkriminellen. Besonders deutlich wird dies in der Bedrohung durch Ransomware. Patientendaten haben sich als sehr begehrt für Kriminelle herausgestellt. In dieser Arbeit galt es herauszufinden, ob deutsche Arztpraxen in besonderem Maße durch Cybercrime bedroht sind. Eine Publikationenanalyse ergab, dass Einrichtungen des Gesundheitswesens tendenziell eher gefährdet sind als diejenigen anderer Bereiche. Gründe sind meist ein zu geringes Risikobewusstsein sowie eine Mitarbeiterüberforderung aufgrund der einhergehenden Komplexitätserhöhung. Geringe Investitionen und menschliches Fehlverhalten sind die Folge. Verstärkt wird dies durch einen wirtschaftlichen Handlungsdruck. Folgen von Cybercrime können vor allem IT- und Rechtskosten sowie Reputations- oder Approbationsverlust sein. Die Gefahr kompromittierter Praxis-WLANs wurde bisher nur unzureichend wissenschaftlich untersucht. Von daher erfolgte in dieser Arbeit eine mittels Wardriving durchgeführte Datenerhebung als Langzeitstudie in der Stadt Jena sowie eine Querschnittsstudie für die dortigen Psychotherapeuten und Ärzte mit neurologischem oder psychiatrischem Fachgebiet. In Jena konnte ein positiver Trend bezüglich der Verschlüsselung festgestellt werden (Anstieg von WPA2). Dieser wurde durch eine nicht optimale Konfiguration und eine wachsende Zahl von aktiviertem WPS ( vor allem bei WPA2) wieder relativiert. Somit sind WLANs durch Brute-Force-Angriffe bedroht. Die Zielgruppe organisierte sich in 58 Praxen (19 konnten ihrem WLAN zugeordnet werden). Diese WLANs wiesen eine sehr sichere Verschlüsselung auf (über dem Niveau des Stadtgebiets). Dem entgegen stand die hohe Zahl von aktivem WPS, auch wenn oftmals hochwertige Router zum Einsatz kamen. Zusammenfassend lässt sich feststellen, dass der beste Schutz der Praxis-WLANs die Nichtidentifizierbarkeit darstellt

Ein Nearshoring-Modell für die Erstellung von IT-Dienstleistungen unter besonderer Berücksichtigung rechtlicher Rahmenbedingungen

Das Outsourcing-Phänomen ist in der heutigen Wirtschaftswelt sehr verbreitet und gleichzeitig sehr kompliziert. IT-Offshoring- und Nearshoring-Projekte bringen zusätzliche Komplexität mit sich. Besonderen Stellenwert hat die Problematik der Rechtsfragen, denn das Recht unterliegt ständigem Wandel. Der technische Fortschritt und die sich ständig ändernden Gesetze fordern die Anpassung der organisatorischen Aspekte des Projektes und des Unternehmens. Benötigt werden aktuelle Modelle, welche das Unternehmen von Anfang an bei den wichtigsten Entscheidungen unterstützen. Diese Masterarbeit befaßt sich mit der Problematik der rechtlichen und organisatorischen Rahmenbedingungen bei der Durchführung von IT-Nearshoring-Projekten und gibt Antworten, welche das Unternehmen bei diesem Prozess unterstützen sollen. Dabei werden die klassischen Rechtsgebiete des Arbeits-, Steuer-, Exportrecht behandelt und es wird näher auf die Problematik des Datenschutzgesetzes innerhalb und außerhalb der Europäischen Union eingegangen. Die organisatorischen Aspekte werden entsprechend dargestellt. Diese unterstützen das Unternehmen bei der Auswahl der Organisationsform, Planung des Projektmanagements und Gestaltung von Verträgen. Die existierenden Ansätze, die die IT-Outsourcing-Projekte unterstützen, werden dargestellt. Näher werden sowohl die Referenzmodelle ITIL V3 und CoBIT, als auch die Standards ISO 27001 und ISO 1900 beschrieben. Der Vergleich der Ansätze ermöglicht dessen Vorteile in einem neuen Modell einzubauen, das genau auf die Bedürfnisse der IT-Nearshoring-Projekte eingeht. Somit wird ein neues IT-Nearshoring Modell entwickelt. Das Ziel des Modells ist die Unternehmen bei der Planung eines IT-Nearshoring-Projektes zu unterstützen und dadurch einen Beitrag an das Projektmanagement zu leisten. Die frühzeitige Erkennung von Einflussfaktoren soll die Risiken minimieren und die Erfolgschancen des Projektes steigern.The phenomenon of outsourcing in today's business world is spread very widely and at the same time it is a very complicated topic. Offshoring and nearshoring in IT projects bring additional complexity to the companies. Special attention must be given to all related legal aspects, because this domain is subject to constant change. Due to the rapid technological progress and changing laws, frequent adaptation of the organizational is required for the aspects of the project management and the organizational structure within the company. There is a strong need for current state-of-the-art models which support the company from the beginning of the project with the most important decisions. This thesis addresses the challenges of legal and organizational frameworks for the implementation of IT nearshoring projects, proves answers and provides guidance to companies, even with regard to the traditional areas of employment law, tax law, export law and other legal aspects. Within this thesis, we will take a deeper look into the issue of data protection law within and outside the European Union. The organizational aspects are represented respectively. These assist the company in choosing the form of the required organizational structure, project planning, project management and negotiation of contracts. The following frameworks and standards are presented within this thesis: ITIL V3, CoBIT, ISO 27001 and ISO 1900. The last part of the thesis is about a newly developed IT nearshoring model. The aim of the model is to support a company in planning a nearshoring IT project and to contribute to the project management. Early detection of factors minimizes risks and maximizes the chances of success of the project

Proceedings der 11. Internationalen Tagung Wirtschaftsinformatik (WI2013) - Band 1

The two volumes represent the proceedings of the 11th International Conference on Wirtschaftsinformatik WI2013 (Business Information Systems). They include 118 papers from ten research tracks, a general track and the Student Consortium. The selection of all submissions was subject to a double blind procedure with three reviews for each paper and an overall acceptance rate of 25 percent. The WI2013 was organized at the University of Leipzig between February 27th and March 1st, 2013 and followed the main themes Innovation, Integration and Individualization.:Track 1: Individualization and Consumerization Track 2: Integrated Systems in Manufacturing Industries Track 3: Integrated Systems in Service Industries Track 4: Innovations and Business Models Track 5: Information and Knowledge ManagementDie zweibändigen Tagungsbände zur 11. Internationalen Tagung Wirtschaftsinformatik (WI2013) enthalten 118 Forschungsbeiträge aus zehn thematischen Tracks der Wirtschaftsinformatik, einem General Track sowie einem Student Consortium. Die Selektion der Artikel erfolgte nach einem Double-Blind-Verfahren mit jeweils drei Gutachten und führte zu einer Annahmequote von 25%. Die WI2013 hat vom 27.02. - 01.03.2013 unter den Leitthemen Innovation, Integration und Individualisierung an der Universität Leipzig stattgefunden.:Track 1: Individualization and Consumerization Track 2: Integrated Systems in Manufacturing Industries Track 3: Integrated Systems in Service Industries Track 4: Innovations and Business Models Track 5: Information and Knowledge Managemen