IT-Nachwuchsforschung in Österreich

Weitere Magazine

Empfehlungen

Info

Informationssicherheitsaudits von Lukas König Blockchain-basierte IS- Audit-Systeme Informationssicherheitsaudits sind für Unternehmen und deren Evaluierung des Cyber-Schutzniveaus unerlässlich. Eine Gängige Methode solcher Überprüfungen beinhaltet das Heranziehen von Sicherheitsstandards- und -Frameworks, wie beispielsweise der ISO 27001 1 Sicherheitsüberprüfungen 2 ganzer Unternehmen können so strukturiert und zielgerichtet durchgeführt werden. In einer globalisierten Welt, mit komplexen Lieferketten und Firmenbeziehungen, gibt es jedoch zusätzliche Bedenken. Denn die Schwachstellen und Ausfälle 3 einer Organisation können sich auf die gesamte Lieferkette auswirken. Aus diesem Grund ist es wichtig, dass alle beteiligten Organisationen einer Lieferkette gegenseitig ihr hohes Sicherheitsniveau konkret nachweisen können, ohne dabei sensible Informationen zu Schwachstellen oder Ähnlichem zu teilen. Diese grundlegende Problematik ist einer der Motivatoren kürzlicher Forschungsarbeiten im Bereich von Blockchains und verteilten Systemen als Anwendungssystem zum Austausch von Resultaten und Informationen von Sicherheitsüberprüfungen entsprechend international anerkannter Normen und Standards. BLOCKCHAIN TECHNOLOGIE UND DOKUMENTATION Nachdem die Blockchain-Technologie schon mehrere Hype-Wellen durchlebt hat, ist eine Erklärung der technischen Struktur davon an dieser Stelle mit ziemlicher Sicherheit nicht mehr notwendig. Dennoch sollte erwähnt werden, dass Blockchains als eine Technologieimplementierung einer verteilten Datenstruktur anzusehen sind, die nicht gleichbedeutend mit Kryptowährungen und Bitcoin ist, sondern nur eine Erscheinungsform 4 von einer Vielzahl an Implementierungsmöglichkeiten verteilter Datenstrukturen ist. Blockchains im technologischen Sinne, also als verknüpfte Datenblöcke, eignen sich hervorragend 5 zur Dokumentation von Daten, die langfristig unverändert erhalten bleiben sollen. ANSATZ UND KONZEPT Das im Zuge aktueller Forschungstätigkeiten entworfene grundlegende Konzept für ein verteiltes System für Informationssicherheitsaudits beinhaltet die Möglichkeit zur Aufzeichnung von Selbstüberprüfungen, sowie die Aufzeichnung von Prüfungen unabhängiger Dritter einer Organisation. Informationen werden an dieser Stelle auf einer lokalen Blockchain gespeichert. Darauf aufbauend gibt es eine „globale“, in diesem Kontext inter-organisatorische Blockchain, die als Verifizierungsstelle zwischen Organisationen einer Lieferkette genutzt wird. Hier werden Sicherheitsnachweise und Bestätigungen zur Einhaltung internationaler Sicherheitsstandards festgehalten, ohne sensible Informationen selbst zwischen den Organisationen austauschen zu müssen. EXPERIMENTELLER PROTOTYP Um die beabsichtigte Funktionalität zu evaluieren, wurde ein experimenteller Prototyp entwickelt. In diesem Prototyp wurden Funktionen zur Erstellung und Verwaltung von Audit-Informationen realisiert. Normative Grundlage ist in erster Instanz der Maßnahmenkatalog des Sicherheitsstandard ISO 27001 und eine darauf basierende Prüfungscheckliste zum Erheben und Nachweisen von Konformitäten. Dieser Prototyp basiert auf dem Blockchain-Framework von Polkadot/Substrate und wurde modular und leicht erweiterbar entwickelt. Mit einer ersten Evaluierungsphase konnten alle implementierten Funktionalitäten erfolgreich getestet werden. In erster Linie beschränkt sich der Prototyp aufgrund von zeitlichen Limitierungen vorerst nur auf die „lokale“ Ebene des Systems. In folgenden Arbeiten wird beabsichtigt, die Anwendung auch mit der geplanten „globalen“ Komponente zu versehen. VERGANGENE PUBLIKATIONEN UND ZUKÜNFTIGE ARBEITEN Bisher wurden als Teil eines mehrjährigen Forschungsprojekts bereits mehrere Publikationen im Bereich Blockchains und Sicherheitsmanagement veröffentlicht. Diese befassen sich mit Risiken und Schwachstellen, die mit dem Einsatz von Blockchains bedacht werden müssen, einem Überblick über die Standardisierungslandschaft im Bereich der Blockchain-Technologien aus der Security-Sicht. Auch die Thematik und Problematik von sicheren Lieferketten wird zurzeit innerhalb der Forschungsgruppe thematisiert. 12 OCG Journal | 01 • 2024
Young Researchers‘ Day Grafik Globale Blockchain, Jänner 2024 (c) Lukas König Grafik Lokale Blockchain, Jänner 2024 (c) Lukas König In kommenden Publikationen wird noch stärker auf die Kombination und Vereinbarkeit von Blockchain-Technologien und internationalen Normen und Standards wie der ISO 27001 eingegangen. Darunter auch eine Analyse zur Anwendbarkeit und den technischen Besonderheiten und Notwendigkeiten von Blockchains, sowie die Konzeption und Erstellung eines Blockchain-basierten Informationssicherheitsmanagementsystems (ISMS). Lukas König 1 International Organization for Standardization (2022). Information security management systems – Requirements (ISO Standard no. 27001:2022) https://www.iso.org/standard/27001. 2 Vroom, Cheryl, and Rossouw von Solms. „Information security: Auditing the behaviour of the employee.“ Security and Privacy in the Age of Uncertainty: IFIP TC11 18th International Conference on Information Security (SEC2003) May 26–28, 2003, Athens, Greece 18. Springer US, 2003. 3 Boyens, Jon, et al. „Supply chain risk management practices for federal information systems and organizations.“ NIST Special publication 800.161 (2015): 32. 4 Panwar, Arvind, and Vishal Bhatnagar. „Distributed ledger technology (DLT): the beginning of a technological revolution for blockchain.“ 2nd International Conference on Data, Engineering and Applications (IDEA). IEEE, 2020. 5 Ahmad, Ashar, et al. „Towards blockchain-driven, secure and transparent audit logs.“ Proceedings of the 15th EAI International Conference on Mobile and Ubiquitous Systems: Computing, Networking and Services. 2018. ist Junior Researcher an der Fachhochschule St. Pölten, am Josef Ressel Zentrum für Blockchain-Technologien & Sicherheitsmanagement. Neben weiteren Forschungstätigkeiten im Bereich Sicherheitsmanagement und Awareness, unterrichtet er auch in den Gebieten IT-Service Management, (regulatorische) Grundlagen der IT-Sicherheit, sowie Produktentwicklung. 01 • 2024 | OCG Journal 13
Seite 1 und 2: OCG Journal Ausgabe 01 • 2024 | C
Seite 3 und 4: Inhalt [ 20 Young Researchers‘ Da
Seite 5 und 6: Young Researchers‘ Day AK IT-Sich
Seite 7 und 8: Young Researchers‘ Day Bluetooth
Seite 9 und 10: Young Researchers‘ Day Sicherheit
Seite 11: Young Researchers‘ Day Daten aus
Seite 15 und 16: Young Researchers‘ Day niedrigem
Seite 17 und 18: Young Researchers‘ Day die Anwend
Seite 19 und 20: Young Researchers‘ Day Julia Made
Seite 21 und 22: Ausgewählte Forschung Abbildung 1:
Seite 23 und 24: Ausgewählte Forschung der Anwendun
Seite 25 und 26: Ausgewählte Forschung Schutz der P
Seite 27 und 28: Ausgewählte Forschung mous problem
Seite 29 und 30: Ausgewählte Forschung fristigen Un
Seite 31 und 32: Ausgewählte Forschung auch für Cl
Seite 33 und 34: ausfordern und deren algorithmische
Seite 35 und 36: Wettbewerbe Screenshot Java Wiz (c)
Seite 37 und 38: Wettbewerbe OCG Förderpreis-FH 202
Seite 39 und 40: Intern Veranstaltungen und Termine

IT-Nachwuchsforschung in Österreich

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?