Projektmanagement


Ressourcenmanagement

Der Wirtschaftsinformatiker als Projektmanager legt im Einklang mit den spezifischen Anforderungen des jeweiligen Projekts und dessen Rahmenvorgaben hinsichtlich Budget und Zeitrahmen fest, welches Teammitglied in diesem Projekt welche Rolle innehat. Falls für eine Rolle intern keine Mitarbeiter mit den geforderten Kompetenzen rekrutiert werden können, so wird nach geeigneten externen Auftragnehmern gesucht. Weiterlesen

Veröffentlicht unter Wirtschaftsinformatik, Projektmanagement | Verschlagwortet mit , , , , | Kommentar hinterlassen

Industrie 4.0: Sicherheit im Internet der Dinge


 

Industrie 4.0 – Risiken und Bedrohungen

In einer konsequent umgesetzten Industrie 4.0 Implementierung könnten etwa die Smart-Tags, mit denen Komponenten oder das Endprodukt während der Produktion und in der innerbetrieblichen Logistik einer automatisierten Produktionsstätte ausgezeichnet sind, von einem Angreifer manipuliert werden und dann eventuell sogar während ihrer weiteren Reise durch die Lieferkette schädliche Inhalte von einem Unternehmen zum Anderen transportieren. Je mehr autonome Entscheidungen die in einer Smart Factory eingesetzten Maschinen treffen dürfen, desto gravierender wird dieses Risiko. Smart Factory IT Lösungen sind in der Regel auch wegen der Denkbarkeit solcher Szenarien weit komplexeren IT-Sicherheitsrisiken ausgesetzt als die Office IT von produzierenden Unternehmen oder Dienstleistern.  Da beide jedoch zunehmend interaktiv mit einander  verbunden sind, müssen sie als ein ganzheitliches System betrachtet und gesichert werden. Lesen Sie hier mehr zu IT-Sicherheit und Industrie 4.0.

Die Implementierung von End-to- End -Verschlüsselung und der Einsatz elektronischer Signaturen für sensible Kommunikation, unabhängig davon,  ob diese von einer Person, einer Steuerung oder einem Sensor ausgeht, sind wichtige Maßnahmen. Allerdings sind speziell diese eigentlich bewährten Schutzmechanismen  beispielsweise in Echtzeit-Umgebungen nicht immer einfach zu implementieren.

Veröffentlicht unter Industrie 4.0, Security Management, Wirtschaftsinformatik | Verschlagwortet mit , , , , | 1 Kommentar

OPC-Architektur


Einsatz von OPC-Architektur

OPC stellt eine Software Schnittstelle dar und ist zudem eine Service-orientierte Architektur (SOA). Sie besteht aus mehreren Schichten und orientiert sich dabei am Designparadigma der SOA, jedoch nicht ganzheitlich am klassischen Webservice Modell. Die wesentlichen Vorteile der OPC-Architektur bestehen darin, dass ein sicherer, zuverlässiger und vor allen Dingen ein plattformunabhängiger Informationsaustausch stattfindet. Die Plattformunabhängigkeit kommt dadurch zu Stande, dass OPC-UA unabhängig vom Hersteller bzw. von gewissen Systemlieferanten eine Anwendung produzieren/ liefern kann und die Kommunikation der jeweiligen Anwendung sich nicht auf eine Programmiersprache festlegen muss. OPC ist ein offener Standard ohne eine Bindung zu proprietären Technologien von Produzenten. Weitere Eigenschaften wie Skalierbarkeit, Hochverfügbarkeit und Internetfähigkeit können durch diese neue Anpassung des Standards gewährleistet werden, da auch die Bindung an DCOM nicht mehr besteht. Die Sicherheit wird durch standardisierte Kommunikation über Internet und Firewalls erreicht. Die Verwendung eines TCP-basierten, optimiertem, binärem Protokoll ermöglicht einen Datenaustausch durch einen nach IANA eingetragen Port und die integrierten Verschlüsselungsmechanismen garantieren die sichere Kommunikation über das Internet.

Weiterlesen

Veröffentlicht unter Industrie 4.0, Informationsmanagement, Systemarchitektur | Verschlagwortet mit , , , , , , , , , | 2 Kommentare

Organisationstheorie: Aufbauorganisation


Aufbauorganisation bedeutet und beinhaltet (Definition):

  • Aufgabenstruktur
  • Zusammenfassung von Teilaufgaben zu Aufgabenkomplexen,
  • Bildung von Organsationseinheiten (Stellen und Gremien)
  • Rollenstruktur
  • Übertragung von Aufgaben auf Aufgabenträger (Akteure): Stellenbesetzung
  • Zusammenfassung von Stellen und Gremien zu größeren Organisationseinheiten (Gruppen, Abteilungen, auch: Leistungseinheiten)

Definition Stelle: abstrakte Einheit von Aufgabenträgern, der ein bestimmter Aufgabenkomplex übertragen ist. Sie muss die dafür notwendigen Kompetenzen und Kommunikationsmöglichkeiten zur Verfügung gestellt bekommen.

Zu beachten ist dabei:

  • Stelle ist unabhängig vo der Person des Stelleninhabers.
  • Stelle ist nicht gleich Arbeitsplatz. (kann mehrere AP haben)

Beispiel: Sachbearbeiter(in) im Finanzamt, zuständig für Einkommenssteuererklärungen, Buchstaben W-Z

Gruppierungskriterien für Abteilungen (nach Vahs):

  • nach Verrichtungen (gleichartige Tätigkeiten
  • nach Objekten (gleichartige Produkte, Dienstleistungen)
  • nach Kundengruppen
  • nach Regionen
  • Über- und Unterordnung durch Instanzenbildung
Veröffentlicht unter Organisationstheorie, Prozessmanagement, Systemanalyse | Verschlagwortet mit , , , , | 2 Kommentare

Drive-by-Exploits sind eine Bedrohung


IT-Sicherheit: Risiken und Bedrohungen durch Drive-By Exploits

Ein Drive-by-Exploit wird in der Regel auf manipulierten Internetseiten eingesetzt. Nachdem der Angreifer die Kontrolle über einen Webserver erhalten hat, manipuliert dieser die aktiven Inhalte auf der Webseite. Das Ziel von einem Drive-By-Exploit liegt darin, die gewünschte Malware großflächig zu verbreiten.

Eine Webseite besteht grundsätzlich aus HTML-Code (=Hypertext Markup Language), der allerdings keine dynamischen Inhalte darstellen kann. Aktive Inhalte können für die Darstellung und Funktion von multidimensionalen Webseiten verwendet werden. Auch Datenbankanwendungen und Formulare können nur durch aktive Inhalte erstellt werden. Diese werden meist mithilfe von Hilfsmitteln wie JavaScript, JScript, Flash, Active-X-Controls, VBScript, Java-Applets oder AJAX erstellt. Diese Hilfsmittel können aber auch verwendet werden, um durch Schwachstellen der Internetbrowser Programmcode auf den Systemen der Benutzer auszuführen. Somit lässt sich durch ein typisches, schön anzuschauendes Werbebanner auf einer Internetseite eine Malware installieren, die bspw. den Rechner in ein Botnetz einbindet.

Maßnahmen zum Schutz gegen Drive-By-Exploits

Als Schutzmaßnahme sollten die aktiven Inhalte deaktiviert werden. Um dies zu bewerkstelligen, sind für die meisten aktuellen Browser Erweiterungen verfügbar, die die Ausführung von aktiven Inhalten blockieren. Diese werden nur nach explizierter Freigabe vom Benutzer aktiviert.

Veröffentlicht unter IT-Sicherheit, Security Management | Verschlagwortet mit , , , , , | 2 Kommentare

Bildung von Organisationseinheiten


Festlegung von Organisationseinheiten in der Aufbauorganisation

Prozessmanagement als Teil der Wirtschaftsinformatik setzt sich zum Ziel, neben der Ablauforganisation auch die Aufbauorganisation von Unternehmen und weiteren Organisationen hinsichtlich ihrer Qualität und Effizienz zu evaluieren und zu verbessern. Prozessmanagement muss dabei auch immer den Anforderungen der für die jeweilige Organisation definierten Ziele in Sachen Wissensmanagement und Informationsmanagement Rechnung tragen.

Kriterien für die Stellenbildung

Stellen können nach verschiedenen Methoden je nach zugrundeliegender Situation, Philosophie, und personellen Gegebenheiten gebildet werden:

  • ad rem: Der Stellenbildung liegen die zuzuweisenden beziehungsweise zu verteilenden Aufgaben zu Grunde.
  • ad personam: Stellen werden auf eine Person, auf einen konkreten Stelleninhaber / eine konkrete Stelleninhaberin zugeschnitten.
  • ad instrumentum: Nach der zur Verfügung stehenden fachlich-technischen Ausstattung an Anlagen und Arbeitsmitteln beziehungsweise Produktionsmitteln
  • Rechtsnorm: Bildung einer Stelle oder übergeordnete Organisationseinheit weil der Gesetzgeber dies verlangt.

Spezialisierung

  • horizontale Spezialisierung: Organisationseinheiten existieren nebeneinander,  verschiedene Aufgabenträger führen weitgehend gleichartige, und von der Sache her ähnliche Tätigkeiten aus.
  • vertikale Spezialisierung: Bezieht sich auf die Bildung von Organisationseinheiten nach sich unterscheidenden Tätigkeiten, was in der Regel mit einer Spezialisierung einhergeht.

Weiterlesen

Veröffentlicht unter Organisationstheorie, Prozessmanagement, Systemanalyse, Wirtschaftsinformatik | Verschlagwortet mit , , , , , , , , , | 1 Kommentar

Sicherheit und IT: Angriffe auf Webserver


Bedrohung: Gezielte Übernahme von Webservern

Bei dieser Angriffsart werden Webserver angegriffen, die im Vorfeld gezielt ausgewählt wurden. Dies geschieht auf unterschiedlichen Wegen, meistens mithilfe von Malware. Als Ziele werden im Allgemeinen die Platzierung von Schadsoftware, ein Angriff auf dahinterliegende Netzwerke oder die Manipulation von Datenbanken angegeben.

Webseiten enthalten oft Schwachstellen und Sicherheitslücken

Der Symantec Sicherheitsbericht von 2013 berichtet, dass 77% aller Webseiten Schwachstellen enthalten. Die Schwachstellen stehen meistens mit den Protokollen „Secure Sockets Layer“ (=SSL) und „Transport Layer Security“ (=TLS) in Verbindung. Davon waren ganze 16% als kritische Sicherheitslücken eingestuft worden, durch welche Angreifer Zugriff auf sensible Daten erhalten können. Demnach ist jede achte Seite für einen Angreifer einfach anzugreifen.

Da immer mehr Webseiten von Privatpersonen und kleineren Unternehmen online sind, sind deren Kosten für Installation und Wartung stark gesunken. Hierdurch sind auch viele Administratoren für diese Webserver zuständig, die sich kaum mit der Sicherheit ihrer Server beschäftigen. Somit ist es auch kaum verwunderlich, dass viele Webserver veraltete Software verwenden.

Eine platzierte Schadsoftware hat meistens den Zweck, sich auf den Systemen der Besucher oder der Administratoren weiterzuverbreiten. Nähere Erläuterungen finden sich in einem Beitrag „Drive-by-Exploits“, ebenfalls hier im Wirtschaftsinformatik: Wissensmanagement-Blog.

Über Sicherheitslücken im Webserver ins Unternehmensnetzwerk

Da viele Webserver innerhalb der Unternehmen gehostet werden, sind diese ein beliebtes Angriffsziel, wenn der Angreifer Zugang zum internen Firmennetzwerk erhalten möchte. Damit der Webserver seine Funktion erfüllen kann, muss dieser von außerhalb des Netzes erreichbar sein. Somit befindet man sich durch einen legalen Zugriff auf diesen Server bereits im lokalen Netzwerk. Übernimmt man nun die Kontrolle über diesen Server, können weitere Informationen gesammelt werden um auf das Netzwerk zugreifen zu können. So lässt sich beispielsweise der Netzwerkverkehr ausspionieren oder der Angreifer kann weitere Systeme angreifen.

Nicht immer werden Angriffe auf Webserver und Manipulation sofort bemerkt

Viele Internetauftritte haben ein Content-Managementsystem (CMS), einen Webshop oder eine Wissensdatenbank eingebunden. Da diese eine Datenbank benötigen und die Funktion dieser Systeme für den Unternehmenserfolg wichtig ist, hat eine Störung dieser Systeme meistens eine negative Auswirkung. Würde diese Datenbank bewusst deaktiviert werden, würde der Fehler schnell bemerkt und behoben werden. Da die Angreifer in einem solchen Fall allerdings meistens Schaden anrichten wollen, werden die Datensätze der Datenbank lediglich manipuliert.

Dies hat zur Auswirkung, dass der Angriff lange unentdeckt bleibt.
Gerade im Bereich von Onlineshops kommt es gerne vor, dass gezielt die Kundendatenbanken ausgelesen werden. Hier sind meistens, neben Name, E-Mailadresse und Postanschrift auch Informationen über die Kreditwürdigkeit und Zahlungsmethoden hinterlegt. Insbesondere die Kreditkartendaten sind hierbei für die Angreifer von großem Interesse, da diese Datensätze einen hohen Wert auf dem Schwarzmarkt haben.

Um sich als Webseitenbetreiber vor diesen Angriffen zu schützen, wird empfohlen eine SSL-Verschlüsselung von Login bis Logout zu verwenden und täglich die Website auf Malware zu überprüfen. Zudem soll, falls für die Sitzungen Cookies verwendet werden, bei diesen das Sicherheitsflag gesetzt sein, sowie der Webserver regelmäßig auf Schwachstellen überprüft werden.

Veröffentlicht unter Datensicherheit, IT-Sicherheit, Security Management, Wirtschaftsinformatik | Verschlagwortet mit , , , , , , , , , | 1 Kommentar

IT-Sicherheit: Aktuelle Bedrohungslage


Bedrohungslage laut BSI (Bundesamt für Sicherheit in der Informationstechnik)

In den nächsten Posts werden wir uns ein Stück vom zentralen Wirtschaftsinformatik-Bereich Wissensmanagement den wir hier behandeln entfernen undauf die unterschiedlichen Bedrohungen im Bereich IT-Sicherheit eingegangen. Das Bundesamt für Sicherheit in der Informationstechnik (=BSI) hat eine Liste mit den sechs stärksten Bedroh¬ungen veröffentlicht. Hierbei handelt es sich um DDoS-Angriffe (=Distributed Denial of Service), das gezielte Hacking von Webservern, Drive-by-Exploits, Social Engineering (=SE), klassische Schadsoftware und als stark gestiegene Angriffsform die sogenannten Advanced Persistent Threats (=APT). Auf diese Angriffsarten wird in den folgenden Posts genauer eingegangen.
Falls bei einer dieser Angriffsarten weitere geschildert werden, werden diese in einem eigenen WI-Beitrag detaillierter vorgestellt, ebenso wird der aktuelle Stand der klassischen Bedrohungen wie bspw. Phishing, Spam und Keyloggern vorgestellt, über die auch ein Wirtschaftsinformatiker genauestens Bescheid wissen sollte.

Veröffentlicht unter Security Management | Verschlagwortet mit , , , , , , | 1 Kommentar