Deutsch 
English 
Vorträge des Stützpunkts 2011
Die Zugriffe auf Daten in Unternehmen erfordern immer größere Sorgfalt. So sollten einzelne Personen im Unternehmen nicht mit Hilfe kritischer Kombinationen von Zugriffstransaktionen das sogenannte 4-Augen Prinzip verletzen. Dies wird durch externe sowie interne Prüfer immer stärker geprüft und auch bemängelt.
Die Verwaltung dieser Anforderungen ist sehr komplex, nicht selten gilt es mehr als 1 Million Berechtigungsobjekte zu verwalten. Dies ist ohne Tools nur schwer zu bewältigen.
Der Vortrag zeigt die Anforderung an die Compliance in einer SAP-Umgebung. Mittels integriertem Tool (SiAM simplified authorization manager) werden der Aufbau von Berechtigungskonzept, und Sicherstellung der Compliance-Anforderungen vorgestellt. Der Schwerpunkt des Vortrags bezieht sich auf die Funktionsweise von SiAM.
„wolkige“ Aussichten und was das für die Sicherheit bedeutet
Cloud Computing ist eine Form der bedarfsgerechten Nutzung von Software- und IT-Leistungen. Dabei wird die erforderliche Infrastruktur nicht mehr am eigenen Rechner vorgehalten, sondern „in Echtzeit“ über das Internet als Dienstleistung bereitgestellt. Die eigentliche Anwendung, die Verarbeitung der Daten, ihre Speicherung und die Bereitstel-lung der Ergebnisse, all dies geschieht „in der Wolke“.
DATEV bietet ihren Anwendern bereits seit langem diverse Dienstleistungen an, die man heute als Cloud-Services bezeichnet. Aufgrund der Vertraulichkeit der Daten, die bei der DATEV verarbeitet werden, hat auch bei dieser neuen Form der IT-Nutzung das Thema Sicherheit höchste Priorität. In dem Vortrag wird aufgezeigt, welche grundsätzliche Security-Strategie die DATEV verfolgt. Anhand ausgewählter Beispiele wird erläutert, wie „managed security services“ in der Cloud aussehen können und welche Nutzenvorteile diese für die Anwender haben. Je „wolkiger“ die IT-Verarbeitung wird, desto wichtiger ist es, eine vertrauensvolle Beziehung zwischen den beteiligten Akteuren in der Cloud zu schaffen. Welche Rolle kann dabei der seit November 2010 von der Bundesregierung ausgegebene „neue Personalausweis“ spielen, auch hierzu erste Erfahrungen und Anwen-dungsszenarien im Vortrag.
Datenanalysen spielen heute nicht nur bei der Untersuchung von IT-Anwendungssystemen sondern auch bei der Prüfung der IT-Infrastruktur eine immer wichtigere Rolle. Auch die IT-Infrastruktur ist längst detailliert in verschiedensten Datenbeständen abgebildet. Waren früher eher kleine überschaubare Konfigurationsdateien von Bedeutung, dominieren heute umfangreiche und komplexe Massendaten auch hier das Bild. Diese Entwicklung ist sowohl der insgesamt stärkeren IT-Unterstützung der Prozesse in den Unternehmen als auch der im Verhältnis dazu überproportional anwachsenden Anzahl von Systemen (Server, Endgeräte, Router etc.) geschuldet. Die Frage der Sicherheit der IT ist untrennbar damit verbunden, die mit der Infrastruktur verbundenen Daten zielgerichtet analysieren zu können. Wir zeigen am Beispiel der Plattform WINDOWS, wie solche Analysen in wichtigen Bereichen wie Servermanagement, ADS (Active Directory Service) und NTFS (New Technology File System) aussehen können.
Auch in der IT-Sicherheit spielt die Analyse und Filterung großer Datenmengen in verschiedenen Bereichen eine wichtige Rolle. Der Vortrag zeigt exemplarisch anhand der Aufbereitung und Filterung von Schwachstelleninformationen sowie der Analyse von Event- und Logdaten, welche Methoden und Technologien eingesetzt werden, um aus den Massendaten die relevanten Informationen zu gewinnen.