Wiederherstellung einer homogenen Information Security Policy aus proprietär gewachsenen Berechtigungsverwaltungen in einer großen öffentlichen Institution

Zugriffskontrolle ist ein wesentliches Sicherheitsmerkmal moderner Datenverarbeitung. Aktuelle EDV-Systeme bieten spezifische Möglichkeiten, Berechtigungen festzulegen. Die Entscheidung, welcher Benutzerkreis über welche Berechtigungen in einem System verfügt, kommt aus organisatorischer, beziehungsweise fachlicher Ebene und wird in Form von Sicherheitsrichtlinien festgehalten. Das Umsetzen und Administrieren obliegt in Folge technischem Fachpersonal. Aufgrund dieser physischen Trennung und oftmals fehlendem Fachwissen ist es den für die Berechtigungsfestlegung verantwortlichen Mitarbeitern schwer bis unmöglich, aktuell vergebene Berechtigungen zu kontrollieren. Ein einfacher Export und Weitergabe der Berechtigungsinformationen scheitert an den proprietären Zugriffskontrollmechanismen ebenso wie an den bei manchen Systemen gar nicht vorgesehenen Exportfunktionen. Nach einer umfassenden und strukturierten Beschreibung aller erforderlichen theoretischen Grundlagen werden im Zuge dieser Arbeit unterschiedliche Berechtigungsstrukturen am Beispiel einiger Geschäftsapplikationen eines Großunternehmens analysiert und Gemeinsamkeiten gefunden. Diese bilden ein Schema einer vereinheitlichten Darstellung aller in den Systemen vergebenen Berechtigungen. Somit können nach entsprechender Aufarbeitung der einzelnen Berechtigungsdaten diese in einer einheitlichen Form in einer zentralen Datenbank abgelegt werden und für weitere Analysen und Visualisierungen den für die Richtigkeit der Berechtigungen verantwortlichen Personen zur Verfügung gestellt werden.Access Control is one of the crucial security features in modern computing. Todays information systems provide specific ways to define access rights. The decision, what right is granted to which user of a system is met on organizational or functional level and is described by information security policies. The implementation and administration shall be done by technical experts. Due to this physical separation and often lack of know-how it is hardly possible for the security staff in charge to know the actual rights. Since every system implements its own proprietary export or no export at all, comparison of access right information is very difficult. This also becomes an obstacle when rights are to be consolidated. After a broad, structured description of relevant theoretical concepts this work will analyse and compare access control structures on hand of business applications of a large enterprise. This will lead to the composition of a schema of an uniform representation of the assigned rights. Using this schema a database is constructed where the security staff in charge is able to access and analyse the aggregated information. This work provides a broad theoretical base in respect of access control

Informationssicherheit an der Universität Bielefeld. Ergebnisse einer Umfrage unter Bediensteten

Salentin K, Strauß S. Informationssicherheit an der Universität Bielefeld. Ergebnisse einer Umfrage unter Bediensteten. Bielefeld: Universität Bielefeld; 2020

Untersuchung von MAC-Implementationen

Benutzerbestimmte Zugriffskontrolle ist an vielen Stellen schwer zu beschränken und zu administrieren. Der Ansatz der systembestimmten Zugriffskontrolle - Mandatory Access Control - gibt die Verantwortung an das System ab und gibt Benutzern deutlich weniger Rechte. Diese Arbeit vergleicht zwei Vertreter, welche Mandatory Access Control umsetzen, einerseits das Linux Security Module Framework und andererseits das FreeBSD MAC Framework, zudem werden die wichtigsten Policy Vertreter angegeben. Auf beiden Seiten finden sich ähnliche Ansätze wie die Umsetzung als Kernelmodul und vor allem generische Fähigkeiten, allerdings sind die implementierten Funktionalitäten unter FreeBSD im Detail oft besser durchdacht oder auch ausgereifter

Richtlinien für Datensicherheit von RDBMS in Cloud-Diensten

Durch die schnelle Verbreitung von Cloud-Technologien und die fortschreitende Globalisierung stößt Cloud Computing auf wachsende Interessen und die Anzahl der Cloud-Benutzer stieg in den letzten Jahren rasant an. Während mehrere Kunden ihre Daten in die Cloud auslagern, verschärfen sich die Datensicherheitsprobleme aber auch gleichzeitig. Das Ziel der vorliegenden Diplomarbeit war die Erstellung und Beschreibung von RDBMSzentrischen Sicherheitsrichtlinien, die beim Betrieb der Cloud-Diensten eingesetzt werden, damit die Cloud-Dienste in der Zukunft im Rahmen von TOSCA mit garantierter Sicherheit und Compliance bereitgestellt werden könnten

z/VSE - Design und Implementierung einer Java Klassenbibliothek zur Abbildung von security-relevanten Parametern im z/VSE

Die vorliegende Diplomarbeit wurde im IBM Entwicklungslabor in Böblingen für die Abteilung z/VSE Development geschrieben. Ausgangspunkt ist das Fehlen einer Möglichkeit der zentralisierten und automatisierten Überwachung der Systemsicherheit von VSE. Diese Arbeit soll eine Lösung dieses Problems in Form einer Java Klassenbibliothek bereitstellen, mit deren Hilfe alle sicherheits-relevanten Parameter und Einstellungen des Systems ausgelesen werden können. Diese Daten sollen von der Java Klassenbibliothek zusammengeführt, abgeglichen und dem Programmierer strukturiert, im Sinne der Objektorientierung, zur Verfügung gestellt werden. Diesee Lösung wird z/VSE Kunden in Zukunft die Möglichkeit bieten, zu jeder Zeit die komplexen Sicherheitseinstellungen ihre Systeme automatisiert zu überwachen

Integration von bestehendem Sicherheitswissen in einen Software-Entwicklungsprozess

Die Komplexität der Sicherheitsdomäne schränkt die Wiederverwendung von existierenden Sicherheitswissen bei der Entwicklung von Software ein. In dieser Arbeit wird ein Modell für Sicherheitswissen und ein Prozess aufgezeigt, um das bereits vorhandene Sicherheitswissen effektiv in einen Software-Entwicklungsprozess einzubetten, um zielgerichtet Sicherheitsmaßnahmen für ein Software-System zu implementieren

Anwenderorientierte Betrachtungen der informationstechnologischen Ausgestaltung des medizinischen Forschungsnetzwerks Brain-Net

The Brain-Net has been funded by the German Federal Ministry of Education and Research since October 1999. Being a crossover-project within the German medical competence networks, the Brain-Net plays an important role for harmonisation of neuropathological diagosis of neurological diseases and is closely related to the German Brain-Bank, which has been established by the network. One of the superior objectives of the Brain-Net is to optimise communication between scientists, physicians, patients and the public. Suitable organisational structures, workflows and technologies have been established, which facilitate the immediate provision of specific information to the named groups. Part of this was realised by using information technology (IT). Basically two different IT-tools have been developed to optimise information flow between physicians and scientists on one hand and between the Brain-Net, patients and public on the other: a) An internet-based German Brain-Bank which is accessible via Remote-Data-Entry (RDE) by authorized users and which is protected an approved e-security system. b) An online-information system for presentation of Brain-Net activities to members and the public. The design of technical solutions minimizes the barriers typical to usage of IT, which results in a centralised system with “thin clients”, an intuitive graphical user interface and optimised maintenance services. This study describes the design of the Brain-Net in terms of information technology with a focus on the users' perspective.Das Brain-Net wird als Querschnittsprojekt in den Kompetenznetzen für die Medizin vom BMBF seit Oktober 1999 gefördert. Das Forschungsnetzwerk leistet einen wesentlichen Beitrag zur Standardisierung und Harmonisierung der neuropathologischen Diagnostik definierter neurologischer Krankheitsbilder und steht Synonym für den Aufbau einer bundesdeutschen Hirngewebebank. Eine übergeordnete Zielsetzung des Brain-Net ist dabei, die Kommunikation zwischen Wissenschaftlern, behandelnden Ärzten, Patienten und der Öffentlichkeit zu optimieren. Dazu wurden geeignete Organisationsstrukturen, Arbeitsabläufe und Technologien innerhalb des Brain-Net geschaffen, die dazu dienen, den oben genannten Gruppen benötigte Informationen spezifisch, orts-unabhängig und zeitnah zugänglich zu machen. Informationstechnologisch resultierten daraus für das Brain-Net zwei Werkzeuge, welche die Kommunikation zwischen Ärzten und Hirnforschern einerseits und den Patienten, die sich am Brain-Net durch Hirngewebespenden beteiligen andererseits, unterstützen: a) Eine gemeinsame internetbasierte deutsche Hirnbank (Brain-Bank), zur Dokumentation von verfügbarem Hirnspendergewebe für Forschungszwecke, welche geschützt von einem Sicherheitssystem, den Ärzten des Brain-Net via Remote-Data-Entry zugänglich ist. b) Ein Online-Informationssystem zur Darstellung der Brain-Net Aktivitäten nach Innen und Außen. Die technischen Lösungen wurden insgesamt so ausgelegt, dass typische Barrieren zur Nutzung des Systems, wie hohe und damit kostenintensive Strukturvorrausetzungen bei den Anwendern, Komplexität der Anwendungen, oder hoher Wartungsbedarf minimiert wurden. Die vorliegende Arbeit beschreibt diese informationstechnologische Ausgestaltung des Brain-Net aus Sicht der Anwender

Schaffung eines nachhaltigen IT-Security Managementkonzepts für kleine und mittlere Unternehmen

In den letzten Jahren entwickelte sich das Thema IT-Security zu einem immer essentielleren Bereich in Unternehmen weltweit. Ursprünglich als eine Sparte, die als nettes Add-On dient, angesehen, rückt IT-Security bei der Planung und Einrichtung von IT-Infrastrukturen innerhalb von Konzernen in das Zentrum. Diverse Umfragen in Medien zeigen, dass das Thema Sicherheit zu einer der Hauptprioritäten im Informations- und Kommunikationstechnologiebereich wird. Speziell Begriffe wie „Security Management“ und „Information Security“ rücken in den Mittelpunkt von IT-Experten in heutigen Unternehmen. Eine wesentliche Aufgabe besteht darin, adäquate IT-Architekturen, koordinierte Technologieführung und die Definition von Rollen und Verantwortungsbereichen über das ganze Unternehmen hinweg zu schaffen. Dies alles sollte unter Berücksichtigung von etablierten Security Richtlinien, Standards und Methoden ermöglicht werden. Stärken und Schwächen bestehender Systeme müssen analysiert werden, um notwendige Korrekturen durchzuführen und eine kontinuierliche Verbesserung sowohl der IT-Landschaft als auch des Sicherheitsbewusstseins innerhalb der Unternehmen zu gewährleisten. Zielsetzung dieser Masterarbeit ist die Schaffung eines nachhaltigen IT-Security Managementkonzepts für kleine und mittlere Unternehmen (KMU). Dies erfolgt unter Berücksichtigung der im deutschsprachigen Raum meistverbreiteten existierenden Planungsansätze der IT-Security. Zu diesen zählen die ISO-2700x Normreihe, der IT-Grundschutzkatalog bzw. die IT-Grundschutzvorgehensweise des Bundesamt für Sicherheit in der Informationstechnik (BSI), in Österreich das österreichische Informationssicherheitshandbuch, sowie der Common Criteria for Information Technology Security Evaluation Standard (CC) zur Bewertung der Sicherheit von Informationstechnologie. Aufbauend auf die existierenden Planungsansätze sowie die in der Arbeit identifizierten bestehenden und zukünftigen Herausforderungen für den Entwurf eines IT-Security Managementkonzepts für KMUs werden Anforderungen dafür abgeleitet. Diese werden in weiterer Folge in ein Konzept eingearbeitet, welches sicherstellt, dass mit vertretbarem Aufwand ein umfassender und nachhaltiger Beitrag zur Verbesserung der IT-Security in KMUs gewährleistet werden kann. Der nachhaltige Beitrag wird unter anderem dadurch garantiert, dass neben der Berücksichtigung existierender Planungsansätze und Best Practices, Trends hinsichtlich der IT-Security, die in den nächsten 3-4 Jahren immer mehr an Bedeutung gewinnen werden, ebenfalls berücksichtigt sind. Es wird kleinen und mittleren Unternehmen ein einfaches Vorgehenskonzept zur Verfügung gestellt, das ihnen ermöglicht, schnell effiziente Maßnahmen zur Einrichtung eines nachhaltigen IT-Security Managements auszuwählen und durchzuführen. Die Überprüfung auf Praxistauglichkeit des entwickelten Konzepts erfolgt anschließend in Kooperation mit der ViaDonau - Österreichische Wasserstraßen-Gesellschaft mbH.In recent years the subject of IT security has developed into an essential topic in companies worldwide. Originally viewed as a nice add-on, nowadays the field of IT security is in the center of planning- and establishment activities for IT-infrastructures of any organisation. Various surveys in the media indicate that the issue of security is increasingly growing to one of the main priorities in the information and communication technology sector. Especially terms like "Security Management" and "Information Security" are moving into the focus of IT professionals in today's businesses. An essential task is to create adequate IT architectures, coordinated technology management and the definition of roles and responsibilities throughout the enterprises. This has to be done under consideration of established security policies, standards and methods. Strengths and weaknesses of existing systems must be analyzed in order to carry out necessary adjustments and to ensure a continuous improvement of the IT environment, as well as security awareness within the companies. The objective of this thesis is to create a sustainable IT-Security Management Concept for small and medium enterprises (SMEs). It takes into account the most common existing planning approaches for IT security. These include the ISO 2700x standards, the IT-Baseline Protection Catalog (IT-Grundschutzkatalog des BSI), the IT-Baseline Protection Approach of the Federal Office for Information Security in Germany (IT-Grundschutzvorgehensweise des BSI), the Austrian Information Security Manual (Österreichisches Sicherheitshandbuch) and the Common Criteria for Information Technology Security Evaluation Standard (CC) for the security evaluation of information technology. Based on the established planning approaches mentioned before and the identified existing and future challenges concerning the design of an IT-Security Management Concept for SMEs, the requirements are derived. Subsequently they are incorporated into a concept, which will guarantee that, with justifiable effort, a comprehensive and lasting contribution for the improvement of SMEs IT security is ensured. Moreover the lasting contribution of this work should be guaranteed considering the trends of IT security, which will get more and more influence in the next 3-4 years. For small and medium-sized businesses a simple process concept is provided that allows them to quickly carry out effective measures for establishing a sustainable IT-Security Management. The verification of the concept on suitability for daily use is carried out in cooperation with the ViaDonau - Österreichische Wasserstraßen-Gesellschaft mbH