Logo des Repositoriums

Auflistung nach Schlagwort "Sicherheitsarchitektur"

1 - 3 von 3
  • Zeitschriftenartikel
    Enterprise Key Recovery Vertrauenswürdige Server mit skalierbarer Sicherheit zur Archivierung von Konzelationsschlüsseln
    (Informatik-Spektrum: Vol. 22, No. 2, 1999) Pohl, Hartmut; Cerny, Dietrich
    Im Electronic Commerce und in der digitalen Welt der zukünftigen globalen Informationsinfrastruktur (GII), bzw. dem Internet als deren Vorläufer, sollen Daten (Nachrichten und Dokumente) zwischen Kommunikationspartnern vertraulich, integer und rechtsverbindlich ausgetauscht und aufbewahrt werden können. Zur Erreichung des Sachziels ‘Vertraulichkeit’ werden Daten bei der Speicherung in unsicherer Umgebung und bei der Übertragung über unsichere Kanäle häufig von Endanwendern verschlüsselt. Dies setzt neben den erforderlichen Verschlüsselungsmechanismen geeignete Verfahren für das Management der Schlüssel voraus, die die Verfügbarkeit der verschlüsselt gespeicherten (oder übertragenen) Daten sicherstellen – auch wenn der originäre Besitzer des Schlüssels nicht verfügbar ist. Enterprise Key Recovery Server stellen Berechtigten bei Bedarf die Konzelationsschlüssel zur Entschlüsselung von Daten zur Verfügung. Ihre Funktionen werden zusammen mit angemessenen Sicherheitsmaßnahmen dargestellt. Für unterschiedliche Anforderungen an das Sicherheitsniveau wird eine skalierbare Sicherungsinfrastruktur für Enterprise Key Recovery Server vorgeschlagen. Die Nutzung von Enterprise Key Recovery Servern für das Management von Schlüsseln für den Nachrichtenaustausch und für digitale Signaturen ist nicht Thema dieser Arbeit. Erst der konsequente Einsatz von Key Recovery Servern sichert bei der Anwendung von Verschlüsselung die Vertraulichkeit und Verfügbarkeit von Daten und die Integrität der benutzten Schlüssel durchgängig ab. Key Recovery Server schließen damit eine empfindliche – bislang nicht genügend berücksichtigte – Sicherheitslücke in der Sicherheitsarchitektur von Unternehmen.Summary In Electronic Commerce and in the digital world of the future Global Information Infrastructure (GII), respective the Internet as it´s predecessor, it is necessary that data (messages and documents) can be exchanged and stored between communicating partners confidentially, correctly and legally binding. To reach the objective of ‘confidentiality’, data will be encrypted by the enduser if they have to be stored in an insecure environment or have to be transmitted over insecure channels. In addition to the necessary cryprographic mechanisms, procedures for the management of keys are required which provide for the availability of the data which are stored (or transmitted) encrypted even if the original owner of the key is not available. On request, Enterprise Key Recovery Servers provide authorized users with the encryption key to decrypt data. The functionality of these servers is described together with adequate security measures. In order to support different security requirements a scalable security infrastructure for Enterprise Key Recovery Servers is proposed. The employment of Enterprise Key Recovery Servers for managing communication keys or keys for Digital Signatures is not part of this work. Only the systematic establishment of Key Recovery Servers provides for thourough confidentiality and availability of data and integrity of keys if encryption is used. Key Recovery Servers therefore close a severe security gap in the security architecture of enterprises, which has not been adequately addressed up to now.
  • Zeitschriftenartikel
    Das Internet of Things – zwischen Usability und Verlust der Datensouveränität
    (HMD Praxis der Wirtschaftsinformatik: Vol. 57, No. 3, 2020) Knittl, Silvia; Neuberger, Valentina; Dieterle, Simon
    Immer mehr Dinge werden „smart“, d. h. sie haben eingebaute Rechen- und Netzkomponenten. Aufgrund der Vernetzung dieser smarten Dinge wird vom Internet der Dinge (Internet of Things, IoT) gesprochen. IoT-Geräte haben erweiterte Fähigkeiten. Emergente Effekte, bei denen die Gesamtfähigkeiten diejenigen der einzelnen Dinge übersteigen, führen zu einem breiteren Dienstspektrum für die Anwender, bringen jedoch auch neue Herausforderungen mit. Anwendern von IoT-Lösungen ist mitunter nicht bewusst, welcher Art von Datenverarbeitung sie zustimmen und welche Daten überhaupt erhoben werden. Die möglichen Bedrohungen und Angriffsvektoren sowie Datenschutzaspekte in IoT-Umgebungen werden nach der allgemeinen Einführung der IoT-Architektur dargelegt. Die Herausforderungen hinsichtlich Sicherheit und Datensouveränität werden strukturiert nach verschiedenen Ebenen der Vernetzung als sogenannte Emergenzebenen. Existierende Maßnahmen werden thematisiert, wie etwa die Einführung von technischen Richtlinien und Normen oder Zertifizierungsmöglichkeiten. Diese zielen darauf ab, verschiedene Ebenen der IoT-Architektur hinsichtlich Sicherheit und Datenschutz zu verbessern, vernachlässigen jedoch meist die Berücksichtigung von Emergenzeffekten. Dies sollen künftige Lösungsansätze, wie die Einführung von Datensouveränitätsklassen oder Musteranalyse mittels künstlicher Intelligenz, berücksichtigen. More and more things are becoming “smart”, having built-in computing and network components. The networking capabilities of smart things are the basis of what we call the Internet of Things (IoT). IoT devices have advanced capabilities. Emergent effects, in which the overall capabilities exceed those of the individual things, lead to a broader service spectrum for the users, but also to new challenges. Users using IoT solutions are sometimes not aware of what kind of data processing they agree to and what data is collected at all. The possible threats and attack vectors as well as privacy aspects in IoT environments will be presented after the general introduction of the IoT architecture. The challenges regarding security and data sovereignty are structured according to different levels of networking as so-called emergent levels. Existing measures will be discussed, such as the introduction of technical guidelines and standards or certification means. These measures aim to improve various levels of the IoT architecture regarding security and data protection, but usually neglect the consideration of emergent effects. This should be considered in future research, such as the introduction of data sovereignty classes or pattern analysis using artificial intelligence.
  • Zeitschriftenartikel
    Unternehmensarchitekturen aus Sicht von IT-Risikomanagement und IT-Revision
    (HMD Praxis der Wirtschaftsinformatik: Vol. 55, No. 5, 2018) Knoll, Matthias
    Die Wahl der „richtigen“ Architektur im Kontext des Einsatzes von Informationssystemen in Unternehmen aller Branchen und Größen wird vor dem Hintergrund der fortschreitenden Digitalisierung und damit der zunehmenden IT-Durchdringung der Geschäftsmodelle und -prozesse immer wichtiger. Häufig gerät dabei eine systematische Beschäftigung mit Risiken, die sich aus der Entscheidung für (oder gegen) ein bestimmtes Architekturkonzept ergeben, in den Hintergrund. Weil jedoch Architektur-Entscheidungen einen strategischen Charakter besitzen und ihre Folgen lange nachwirken, erscheint eine risikoorientierte Betrachtung auch unter dem Gesichtspunkt einer prüferischen Begleitung entsprechender Vorhaben immer wichtiger. Der Beitrag zeigt am Three-Lines-of-Defence-Modell auf, welche Herausforderungen auf die einzelnen „Verteidigungslinien“ zukommen, wo welche Verantwortung angesiedelt sein sollte und welche Aufgaben zu übernehmen sind. In the age of digital transformation and disruptive business models the choice of a suitable architecture will play an increasingly important role when employing information technology within businesses of all sizes and industry sectors. Unfortunately a systematic consideration of risks related to a specific decision for or against a certain architectural concept often is of minor importance. However, because architecture decisions are always strategic and bear long-term effects, a risk based approach seems advisable, for example when IT-auditors provide independent (project) assurance. Based on the Three-Lines-of-Defense-Model this article demonstrates which challenges each line of defense has to meet, where responsibilities should be assumed, and which tasks each line of defense has to take over.