Wirtschaftlichkeit von Zertifizierungsstellen in Deutschland

In der Arbeit soll die Wirtschaftlichkeit von Zertifizierungsstellen in Deutschland untersucht werden. Es erfolgt eine kurze Einführung in die technischen Grundlagen von Zertifizierungsstellen und Zertifikaten, die neben kryptographischen Verfahren der Verschlüsselung und Signatur die im Internet eingesetzten Protokolle untersucht. Die gesetzlichen Vorgaben für signaturgesetzkonforme Zertifizierungsstellen werden in den rechtlichen Grundlagen beschrieben, insbesondere die Voraussetzungen zum Aufbau einer Zertifizierungsstelle und die daraus resultierenden notwendigen Investitionen. Des weiteren erfolgt eine Analyse alternativer Rahmenbedingungen, beispielsweise bezüglich des Einsatzes von Vertrauensverfahren oder der Klassifizierung von Zertifikaten. Es werden verschiedene Typen von Zertifizierungsstellen untersucht, die sich hinsichtlich des erreichten Sicherheitsstandards und der entsprechenden Kosten unterscheiden. Neben den Ergebnissen der Wirtschaftlichkeitsbetrachtung werden Empfehlungen zum Einsatz alternativer Rahmenbedingungen, zur Bewertung von Sicherheitsniveaus und zur Vorgehensweise bei der Einführung von Zertifikaten gegeben.Rentability, Certification, Authorities, Trust, Costs, Security, Signature Law, Cryptography

Modellbasierte Entscheidungsunterstützung für Vertraulichkeit und Datenschutz in Geschäftsprozessen

Informationsvertraulichkeits- und Datenschutz-Netze (ICPN) unterstützen Prozessmodellierer und -verantwortliche dabei, Datenschutz und Vertraulichkeit nicht nur rein technisch zu betrachten, sondern in Organisationen bereits frühzeitig beim Entwurf von Geschäftsprozessen zu berücksichtigen. Die in dem Buch veröffentlichte Petri-Netz-Erweiterung ICN ermöglicht es, Vertraulichkeit und Aspekte des Datenschutzes innerhalb von Geschäftsprozessmodellen systematisch zu betrachten

Quantifizierung operationeller Technologierisiken bei Kreditinstituten – Eine Ontologie-zentrierte Vorgehensweise im Spannungsfeld bankinterner und aufsichtsrechtlicher Sichtweise

Das Management von Technologierisiken stellt eines der zentralen Elemente einer IT-Governance dar. Die Bedeutung der Informationstechnologie ist insbesondere für Kreditinstitute in den letzten Jahren beständig gestiegen, womit auch der Einfluss von Technologierisiken auf deren Geschäftserfolg kontinuierlich zunimmt. Gleichzeitig sind jedoch die operationellen Risiken aus dem Einsatz von Informationstechnologie seit der Einführung von Basel II auch verstärkt aufsichtsrechtlich relevant. Die Entwicklung geeigneter Ansätze bewegt sich daher im Spannungsfeld bankinterner und aufsichtsrechtlicher Sichtweise. Besonders im Hinblick auf die Quantifizierung der Technologierisiken steckt die Entwicklung geeigneter Methoden – nicht zuletzt aufgrund des unscharfen Verständnisses dieser Risikokategorie – jedoch noch in der Anfangsphase. Diese Arbeit schlägt daher eine Ontologie-zentrierte Simulation zur Quantifizierung operationeller Technologierisiken vor, die sowohl dem bankinternen als auch dem aufsichtsrechtlichen Verständnis gerecht wird

Entwicklung einer Diagnose-Shell zur Unterstützung von Informationssystemsicherheit

Im Rahmen der Arbeit wurde ein Expertisemodell des Managements der Informationssystemsicherheit (IS-Sicherheit) entwickelt und durch eine Diagnose-Shell operationalisiert. Es stand die Wissensrepräsentation und nutzung des IS-Sicherheitswissens zur Unterstützung des IS-Sicherheitsmanagements im Mittelpunkt. Hierfür wurden Methoden des Knowledge Engineering verwendet, um die IS-Sicherheitsstrategien durch diagnostische Problemlösungsmethoden zu beschreiben. Das benötigte IS-Sicherheitswissen wird durch IS-Sicherheitskonzepte repräsentiert. Die Modelle sind auf unterschiedlichen Abstraktionsstufen entwickelt worden, die zu einem epistemologischen Expertisemodell zusammengefasst worden sind. Es werden die drei Ebenen (Aufgaben-, Inferenz- und Domänen-Ebene) des Expertisemodells beschrieben und abgegrenzt. Die Aufgaben- und Inferenzebene beschreiben die Problemlösungsmethoden. Hierfür spezifiziert die Aufgabenebene das Ziel der Diagnose und deren Teilaufgaben. Es werden auf dieser Ebene generische Kontrollstrukturen bzw. Basis-Inferenzen (z.B. eines diagnostischen Problemlösungsprozesses) beschrieben. Eine Verfeinerung der Aufgabenebene bildet die Inferenzebene, die die Abhängigkeit zwischen Inferenzen und Wissens-Rollen darstellt. In der Domänenebene wird das domänenspezifische Wissen (z.B. das Sicherheitswissen) beschrieben, das zur konkreten Problemlösung (z.B. Schwachstellenanalyse oder Risikoanalyse) benötigt wird. Für die Problemlösung werden die Konzepte der Domänenebene, wie z.B. Schwachstellen oder Gefahren, auf die Wissens-Rollen der Problemlösungsmethoden überführt. Es wurde ein Entwurfsmodell für einen wissensbasierten Fragenkatalog entwickelt, das das Expertisemodell operationalisiert und die Grundlage für die spätere Implementierung darstellt. Hierfür werden die konventionellen, computergestützten Fragenkataloge durch eine wissensbasierte Regel-Komponente erweitert, die eine explizite Repräsentation von Abhängigkeitskonzepten ermöglicht. Darauf basierend wurde ein wissensbasierter Diagnose-Prototyp implementiert, der eine direkte Wissenseingabe und nutzung durch einen IS-Sicherheitsexperten unterstützt. Das wissensbasierte System kann auf Basis der Erhebung eine spezifische Problemlösung durchführen und automatisiert ein IS-Sicherheitskonzept erstellen