Auflistung nach Schlagwort "IT Security"
1 - 6 von 6
Treffer pro Seite
Sortieroptionen
- KonferenzbeitragDeveloping a Web-based Training Platform for IT Security Education(DELFI 2021, 2021) Knöchel, Mandy; Karius, Sebastian; Wefel, SandroWith the increasing importance of IT security in society and economy, the need to train computer science students in IT security is becoming more and more important. In the process of developing a new IT security undergraduate course, it was found that the current training concepts used in existing master courses were not suitable as it was too much effort for the undergraduate students to set up their own practical exercise environments. To remedy this problem we have built a web-based exercise platform for IT security training using Docker containers. This enables the students to easily use prebuilt exercise environments specifically designed for the new course. The platform was evaluated during the winter semester 2020/21 through a small survey among the students. The feedback indicated that the platform is convenient to use and helped the students during the course and in exam preparation.
- ZeitschriftenartikelThe Integration of Multi-Color Taint-Analysis with Dynamic Symbolic Execution for Java Web Application Security Analysis(Softwaretechnik-Trends Band 44, Heft 2, 2024) Mues, MalteThe view on IT security in today’s software develop ment processes is changing. While IT security used to be seen mainly as a risk that had to be man aged during the operation of IT systems, a class of security weaknesses is seen today as measurable qual ity aspects of IT system implementations, e.g., the number of paths allowing SQL injection attacks. In consequence, we need tools that can measure and as sess the quality of an IT system regarding the pres ence of security weaknesses before shipping the final software product. Literature traditionally categorizes such tools into dynamic and static security analyzers with hybrid solutions in between that are static anal yses incorporating dynamic information or vice versa. In my thesis, I present the design of a dynamic se curity analyzer called Jaint that combines dynamic tainting as a pathwise security policy enforcing tech nique with dynamic symbolic execution as a path enu meration technique. More specifically, the thesis looks into SMT meta-solving, extending dynamic symbolic execution on Java programs with string operations, and the configuration problem of multi-color taint analysis in greater detail to enable Jaint for the anal ysis of Java web applications. The evaluation in Fig ure 1 demonstrates that the resulting framework is the best research tool on the OWASP Java Benchmark. JDart, one of the two dynamic symbolic execution engines that I worked on as part of the thesis has won gold in the Java track of SV-COMP 2022. GDart, the other dynamic symbolic execution engine, demon strates that it is possible to lift the implementation design from the research-specific Java PathFinder VM to the industry grade GraalVM, paving the way for the future scaling of Jaint.
- ZeitschriftenartikelIT-Risikomanagement von Cloud-Dienstleistungen im Kontext des IT-Sicherheitsgesetzes(HMD Praxis der Wirtschaftsinformatik: Vol. 54, No. 1, 2017) Adelmeyer, Michael; Petrick, Christopher; Teuteberg, FrankNeben den Vorteilen von Cloud-Diensten ergeben sich durch ihren Einsatz häufig Risiken für die IT-Sicherheit von Unternehmen. Durch das am 12. Juni 2015 verabschiedete Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme sollen Betreiber Kritischer Infrastrukturen dazu verpflichtet werden, ihre IT besser vor Cyber-Attacken zu schützen. In diesem Kontext gilt es zu klären, welche Anforderungen Cloud-Betreiber als Dienstleister Kritischer Infrastrukturen umzusetzen haben oder inwiefern diese per Definition des IT-Sicherheitsgesetzes als Betreiber Kritischer Infrastrukturen angesehen werden können. Im Rahmen des IT-Risiko- und Sicherheitsmanagements bei Kritischen Infrastrukturen entstehen bei der Auslagerung von (zentralen) Prozessen und Funktionen zudem Unklarheiten, wie der Einsatz von Cloud-Dienstleistungen zu bewerten ist und welcher Handlungsbedarf auf die Cloud-Betreiber zukommt, zum Beispiel durch das geforderte Mindestsicherheitsniveau der IT-Systeme. In dem Beitrag werden ein Anforderungskatalog an Cloud-Dienstleistungen zur Umsetzung des IT-Sicherheitsgesetzes auf Grundlage von Experteninterviews entwickelt sowie Implikationen für das IT-Risikomanagement von Cloud-Dienstleistungen dargestellt. Abschließend werden Handlungsempfehlungen für Cloud-Betreiber und Betreiber Kritischer Infrastrukturen gegeben.AbstractAlongside the benefits of cloud computing IT security risks arise from the use of cloud services. The German act to increase the safety of information technology systems, which was issued on June 12, 2015, requires critical infrastructures to improve the protection of their IT against cyber-attacks. In this context, the requirements cloud operators have to implement as service providers of critical infrastructures, or whether they can be viewed as operators of critical infrastructures by definition of the IT security law, have to be clarified. Furthermore, concerning the IT risk management of critical infrastructures, questions arise when outsourcing (central) processes and functions to the cloud. Regarding this, the overall use of cloud services and the actions cloud operators have to take, for example in order to meet the required minimum level of safety of IT systems, have to be assessed. In this article, a requirements catalog for cloud services and service providers to implement the requirements of the IT security law is developed on the basis of expert interviews. Furthermore, implications for the IT risk management of cloud services and recommendations for cloud providers and critical infrastructures are presented.
- ZeitschriftenartikelKontrollierte Nutzung von Schatten-IT(HMD Praxis der Wirtschaftsinformatik: Vol. 54, No. 1, 2017) Kopper, Andreas; Westner, Markus; Strahringer, SusanneBasierend auf einer systematischen und umfangreichen Analyse von Praxisbeiträgen zum Thema Schatten-IT, die zwischen September 2015 und August 2016 erschienen sind, beschreibt der vorliegende Artikel Governance-Aspekte zu diesem Phänomen. Er ergänzt damit vorhergehende akademische Studien. Es zeigt sich, dass unter Praktikern der Eindruck vorherrscht, dass IT-Abteilungen unter zunehmendem Druck stehen, schneller auf sich ändernde Anforderungen aus den Fachbereichen reagieren zu müssen. Können IT-Abteilungen diesen Erwartungen nicht entsprechen, beschaffen sich Fachbereiche und Nutzer selbst Lösungen in Form von Schatten-IT. Als mögliche Antwort darauf kann sich die IT-Abteilung agiler organisieren und die IT-Architektur im Unternehmen modernisieren. Eine weitere Möglichkeit besteht darin, sich das innovative Potenzial von Schatten-IT zunutze zu machen und deren Umsetzung aktiv durch organisatorische und technische Maßnahmen zu unterstützen. IT-Sicherheitsmanagement und technische Schutzmechanismen können helfen, die so entstandenen Lösungen abzusichern und die Risiken zu minimieren. Nach vorherrschender Ansicht entwickelt sich die IT-Abteilung als Konsequenz aus all diesen Maßnahmen zu einem nutzerorientierten, internen Service-Provider und strategischen Partner für die Fachbereiche.AbstractBased on a systematic and comprehensive analysis of practitioner articles published between September 2015 and August 2016 about the topic Shadow IT, this paper describes governance aspects to this phenomenon. By doing so, it complements previous academic studies in the field. It turns out that practitioners have the prevailing impression that IT departments are under increasing pressure to respond faster to changing demands from the business units. If IT departments are not able to meet those expectations, business units and end users obtain solutions themselves in the form of Shadow IT. In response, IT departments can transform into a more agile organization and modernize their IT architecture. Another possibility is to leverage the innovative potential of Shadow IT and support its implementation through active organizational and technical measures. IT security management and technical security mechanisms can help to secure the thus created solutions and minimize the risks. According to the prevailing view, as a consequence to these actions the IT department transforms itself to a more user-centric, internal service provider and strategic partner for the business.
- TextdokumentA Semantic Data Model for the Development of Secure and Valuable Software(Open Identity Summit 2017, 2017) Horch, Andrea; Laufs, Uwe; Sellung, RachelleIT security is a crucial non-functional software requirement. Nevertheless, there are several other aspects that a softwares’ market success depends on. Therefore, it is vital that during the development process software developers consider different disciplines needs that essentially add value when going to market such as usability and socio-economics. The project CUES addresses these aspects by developing an interdisciplinary and integrated guidance tool, called the Wizard. The Wizard is designed to support software developers with interdisciplinary knowledge during the software development processes. The core of the Wizard builds a knowledge base, which is based on a semantic data model. While the semantic data model is finished, the Wizard is still undergoing development in the CUES project and is not yet complete. This paper presents the semantic data model as a first project result and as the core element of theWizard. The proposed data model stores knowledge about software development processes, methods and tools in order to derive problems and corresponding solutions which may occur in real software development processes.
- ZeitschriftenartikelWissensaustausch in Unternehmen: Wahrnehmung von Enterprise Social Software als Tool für den Austausch von sicherheitsrelevantem Wissen(HMD Praxis der Wirtschaftsinformatik: Vol. 56, No. 1, 2019) Wilms, Konstantin; Brachten, Florian; Stieglitz, Stefan; Berthelé, DavinaDer erfolgreiche Wissensaustausch innerhalb von Unternehmen und Organisationen ist mittlerweile zu einem wichtigen Erfolgsfaktor im Wettbewerb geworden. Um den Wissensaustausch innerhalb der eigenen Grenzen zu fördern und bestehendes Wissen zu bewahren setzten immer mehr Unternehmen daher auf den Einsatz von Kommunikations- und Kollaborationssystemen wie Enterprise Social Software (ESS). Hier zeigt sich, dass MitarbeiterInnen immer noch skeptisch sind was den Einsatz dieser Systeme speziell beim Austausch von sensiblen Informationen und sicherheitsrelevantem Wissen angeht. In diesem Beitrag werden Ergebnisse einer Nutzungsstudie bei dem IT-Dienstleister einer international tätigen Versicherungsgruppe vorgestellt. Im Rahmen der Studie wurden die MitarbeiterInnen nach ihrer Meinung bezüglich Wissensmanagement, zu ihren Sicherheitsbedenken sowie zu ihren Kenntnissen über die Berechtigungen in SharePoint, befragt. Die Ergebnisse zeigen, dass auf Seiten der MitarbeiterInnen ein hohes Maß an Unsicherheit existiert, welche Daten abgelegt, geteilt und verbreitet werden dürfen. Als Folge dessen sinkt die Akzeptanz gegenüber dem Informationssystem, und die Bereitschaft Wissensmanagement zu betreiben sinkt. The successful knowledgemanagement within companies and organizations has meanwhile become an important competitive success factor. In order to increase the knowledge exchange within their own borders and to maintain existing knowledge, more and more companies started to use communication and collaboration systems like Enterprise Social Software (ESS). However, employees are still sceptical about the use of ESS, especially when it comes to the exchange of sensitive information and security-relevant knowledge. This article presents the results of a survey performed at the IT service provider of an international insurance group. Within the scope of the study, employees were asked for their opinions regarding knowledge management, their security concerns and their knowledge of SharePoint access rights. The results show that there is a high degree of uncertainty on the part of employees as to which data may be stored, shared and distributed. As a result, the acceptance of the information system decreases and the willingness to engage in knowledge management decreases.