Embed Size (px)
Citation preview
Frauen in der Security Forschung
Women in Security Research
1
Nur jede sechste Person, die in einem österreichi-
schen Unternehmen forscht, ist eine Frau.
In Wien ist es jede fünfte.
Diese bittere Tatsache hat mehrere Gründe – einer
davon ist der Teufelskreis der Vorbildwirkung: Gibt
es wenige Frauen in der Forschung, so ist auch das
Bild der Forschung in der Öffentlichkeit männlich.
Fehlen geeignete Rollenvorbilder, fühlen sich
weniger Mädchen angesprochen, Forschungsberufe
zu ergreifen – was sich in den Studierendenzahlen
naturwissenschaftlicher und technischer Studien-
richtungen widerspiegelt.
Umso erfreulicher ist das vorliegende Werk von
SBA Research, das Forscherinnen in diesem Kompe-
tenzzentrum porträtiert.
Denn ebenso wichtig wie frauenspezifische Förder-
maßnahmen der ZIT ist es, das Bild des weißhaarigen
Forschers im weißen Laborkittel in den Medien
zu verdrängen – und mit Bildern zu ersetzen, die
tatsächlich abbilden, wer heute in Unternehmen
forscht.
Gemeinsam mit vielen anderen Maßnahmen –
Förderungen, Bewusstseinsbildung, Berufsorien-
tierung abseits von Rollenklischees etc. – bewirkt die
Sichtbarmachung, dass in hoffentlich naher Zukunft
gleich viele Frauen wie Männer forschen.
In Austrian enterprises, only one in six researchers
is a woman.
In Vienna, it is one in five.
There are many reasons behind this bitter truth.
One of them is the vicious circle of social patterns:
the low number of female researchers leads to
a generally masculine image of research in our
society. A lack of adequate role models may keep
girls from pursuing a research career – a circum-
stance that is also reflected by the small number of
female students enrolling in science and engineer-
ing programs.
Against this backdrop, this folder by SBA Research
is a positive signal, as it portrays the competence
center’s female researchers.
Changing the image of research is just as important
as ZIT’s funding programs for women. There needs
to be a change in the way media portray science,
away from greybeards in lab coats towards a more
truthful view of the real-life situation.
Visualizing the current status, together with other
measures, such as funding, awareness raising and
impartial career counseling, will hopefully soon
result in a well-balanced ratio of female and male
researchers.
Bühne frei für FrauenNow it’s time for womenEva Czernohorszky
2
Ich habe mich für eine Karriere in der Forschung
entschieden und dies noch nie bereut. Sich für
Forschung zu interessieren, bedeutet für mich,
neugierig zu sein und zu bleiben, nie aufzuhören,
Fragen zu stellen sowie bisher unentdeckte Pfade zu
beschreiten und Neues zu entdecken. Forschen heißt
für mich dagegen nicht, in einem Elfenbeinturm
isoliert von der Außenwelt zu sitzen und Gedanken-
konstrukte zu schmieden, sondern vielmehr in
kreativen Umgebungen mit inspirierten Teams zu
arbeiten und sich auszutauschen. Dies ist heutzu-
tage umso wichtiger, da Forschung zunehmend die
Grenzen verschiedener Disziplinen überschreitet
und sie miteinander verbindet.
Dies gilt insbesondere auch für die Forschung im
Bereich Security. Security ist ein facettenreiches und
interdisziplinäres Forschungsfeld. So können zum
Beispiel mathematische, wirtschaftliche oder auch
technische Fragestellungen untersucht werden.
Diese Vielfalt spiegelt sich auch in den folgenden
Beiträgen und Forschungsschwerpunkten der in
diesem Bereich tätigen Wissenschaftlerinnen wider.
Ich wünsche viel Vergnügen bei der Lektüre der
Broschüre „Frauen in der Security Forschung“ und
eine mögliche Inspiration für den eigenen Karriere-
weg.
I chose a career in research and have never
regretted it. To me, an interest in research means
never losing your curiosity, never stopping asking
questions, constantly trying new approaches,
and making discoveries. Research, to me, is not
sitting in an ivory tower far removed from the
outside world, building thought constructs. Rather,
it means working in creative environments with
inspired teams, exchanging ideas and knowledge.
This is particularly important today, as research
increasingly crosses the boundaries of disciplines,
bringing them closer together.
This also holds true for security research. Security
is a diverse and interdisciplinary field of research,
addressing, among others, mathematical, economic
and technical research questions. This diversity is
reflected in the contributions and research interests
of the female researchers in this publication.
I hope you enjoy reading this publication on
“Women in Security Research” – perhaps it will
even inspire you in your career.
Security ist ein facettenreiches und interdisziplinäres Forschungsfeld
Frauen in Security | Women in Security
Stefanie Rinderle-Ma Security is a diverse
and interdisciplinary
field of research
3
I am a PhD student at the Workflow Systems and
Technology Group at the Faculty of Computer
Science, University of Vienna. In cooperation with
SBA Research, my research focus lies on security
mechanisms in adaptive process-aware informa-
tion systems. Literature research provides evidence
that a holistic approach is often missing in process-
aware information systems, because research
focuses mostly on specific security functions such
as access control. The examination of functional
changes in process-aware information systems
showed that control flow or data flow changes are
insufficiently secured. Hence, we enabled the
controlled application of changes with access
control to improve security.
Maria LeitnerPhD Student
Ich bin Doktorandin in der Workflow Systems and
Technology Gruppe an der Fakultät für Informatik,
Universität Wien. Im Rahmen der Kooperation mit
SBA Research beschäftige ich mich mit Sicher-
heitskonzepten in adaptiven Geschäftsprozess-
systemen. Oft wird in Geschäftsprozesssystemen
nur auf eine spezielle Komponente zur Sicherung,
wie zum Beispiel die Zugriffskontrolle, geachtet.
Hingegen wird ein Gesamtkonzept für Sicherheit in
diesen Systemen häufig vernachlässigt. Die Analyse
der funktionalen Änderungen in Geschäftsprozess-
systemen zeigte, dass die Systeme zum Beispiel
bei Änderungen von Kontroll- und Datenfluss nicht
ausreichend gesichert sind. Jedoch kann durch die
kontrollierte Anwendung von Änderungen mittels
Zugriffskontrolle die Sicherheit erhöht werden.
1. M. Leitner, J. Mangler, S. Rinderle-Ma: SPRINT –
Responsibilities: Design and development of security
policies in process-aware information systems,
Journal of Wireless Mobile Networks, Ubiquitous Com-
puting, and Dependable Applications (JoWUA) Vol. 2(4)
2011, pp. 4–26. ISYOU
2. M. Leitner, S. Rinderle-Ma, J. Mangler: AW-RBAC:
access control in adaptive workflow systems, In: 6th
International Conference on Availability, Reliability
and Security (ARES), Vienna, Austria, August 2011,
pp. 27–34. IEEE
3. S. Rinderle-Ma, M. Leitner: On evolving organiza-
tional models without losing control on authorization
constraints in web service orchestrations, In: IEEE 12th
Conference on Commerce and Enterprise Computing
(CEC), Shanghai, China, November 2011, pp. 128–135.
IEEE
Sichere adaptive
Workflows
Secure adaptive
workflows
4
Frauen in Security | Women in Security
I am currently working on my PhD focusing on the
analysis of malware. Especially, I am researching
the evolution of malware by investigating how
malware samples change and update their
behavior over time. To this end I employ static
analysis techniques to detect changes in the
malware binaries and dynamic analysis techniques
to map these code changes to behavioral patterns.
Furthermore, my research interests also include
anti-analysis behavior in malware that is targeted
at circumventing the analysis in dynamic analysis
sandboxes.
Martina LindorferPhD Student
1. M. Lindorfer, C. Kolbitsch, P. Milani Comparetti:
Detecting Environment-Sensitive Malware,
In: International Symposium on Recent Advances in
Intrusion Detection (RAID), Menlo Park, California,
September 2011, pp. 338–357. Springer LNCS Vol. 6961
Ich arbeite an meiner Doktorarbeit mit Schwer-
punkt auf der Analyse von Malware. Insbesondere
erforsche ich, wie Malware ihr Verhalten im Laufe
der Zeit verändert und sich weiterentwickelt. Dabei
setze ich statische Analysemethoden ein, um
Veränderungen im Code der Malware zu erkennen
und nutze dynamische Analysemethoden, um
diese Änderungen Verhaltensmustern zuzuordnen.
Darüber hinaus beschäftige ich mich auch mit
Anti-Analyse-Verhalten von Malware, das dazu dient
die Analyse in einer dynamischen Analyse-Sandbox
zu umgehen.
Analyse von Malware
Analysis of malware
5
Ich arbeite seit 2009 als Projektleiterin bei SBA
Research und bin unter anderem an der Entwicklung
eines Programms zur Verarbeitung von Sicherheits-
meldungen beteiligt. Dieses wird in Zusammenarbeit
mit der CERT-Abteilung eines Wirtschaftspartners
erarbeitet und dient der Sammlung, Verwaltung
und Verteilung von Sicherheitsmeldungen.
Die Analyse der Sicherheitsmeldungen unterschied-
licher Quellen und die Erstellung einer einheitlichen
Struktur stellten dabei eine wichtige Aufgabe dar.
Des Weiteren musste ein Algorithmus zur Erken-
nung redundanter Sicherheitsmeldungen erarbeitet
werden.
I have been working as a project manager at
SBA Research since 2009 and I am currently working
on a tool for managing security vulnerabilities in
cooperation with the CERT team of one of our
partner companies. The prototype collects, sorts,
manages and distributes vulnerability advisories.
A major task of this project was collecting and
analyzing security messages from various sources
and developing a standardized format. Furthermore
we had to develop an algorithm for finding dupli-
cate messages.
Stephanie JakoubiProject Manager
Sicherheitsmeldungen
Vulnerability advisories
6
Frauen in Security | Women in Security
Stefanie Rinderle-MaFull Professor
Geschäftsprozesse bilden betriebliche Abläufe ab,
z. B. Behandlungspfade im Krankenhaus oder
die Abwicklung von Schadensfällen in einem
Versicherungsunternehmen. Geschäftsprozesse
sind dabei komplexe Gebilde aus möglicherweise
vielen Arbeitsschritten, die manuell oder automa-
tisiert ausgeführt werden und mehr oder weniger
sensible Daten lesen, weitergeben und verarbeiten.
Daher muss sichergestellt werden, dass nur
berechtigte Personen auf Daten im Prozess zugrei-
fen dürfen, beispielsweise nur der behandelnde Arzt
Blutwerte einer Patientin einsehen darf. Die Frage,
wie man geeignete Berechtigungen für Geschäfts-
prozesse mit dem Computer modellieren, umsetzen
und prüfen kann, insbesondere auch, wenn sich der
Prozess oder die Berechtigungen im Unternehmen
einmal ändern, bildet einen Schwerpunkt unserer
Zusammenarbeit mit SBA Research.
Business processes are present in almost every
enterprise, e. g. patient treatment processes in
hospitals or handling claims by insurance
companies. In many cases several people are
working on the processes dealing with potentially
sensitive data. Hence it is crucial that only
authorized personnel can read and update data.
For example, only the physician should be allowed
to access the blood test results of a certain patient.
The main focus of our work with SBA Research lies
on the examination of how such authorizations can
be modeled, implemented, and checked by using
computers, particularly when processes or organiza-
tional structures undergo changes.
1. S. Rinderle-Ma, M. Leitner: On evolving organiza-
tional models without losing control on authorization
constraints in web service orchestrations, In: IEEE 12th
Conference on Commerce and Enterprise Computing
(CEC), Shanghai, China, November 2011, pp. 128–135.
IEEE
2. M. Leitner, S. Rinderle-Ma, J. Mangler: AW-RBAC:
access control in adaptive workflow systems, In: 6th
International Conference on Availability, Reliability and
Security (ARES), Vienna, Austria, August 2011,
pp. 27–34. IEEE
3. M. Leitner, S. Rinderle-Ma, J. Mangler: SPRINT –
Responsibilities: Design and development of security
policies in process-aware information systems,
Journal of Wireless Mobile Networks, Ubiquitous
Computing, and Dependable Applications (JoWUA),
Vol. 2(4) 2011, pp. 4–26. ISYOU
Sichere
Geschäftsprozesse
Secure business
processes
7
Katharina KrombholzMaster Student
I am currently writing my thesis about social net-
works and associated risks regarding privacy and
data security. Social media sites such as Facebook,
Google+ or Twitter have become very popular in
recent years. Many people, especially adolescents,
spend a lot of time on such platforms. The goal of
my joint research with SBA Research is to utilize
qualitative and quantitative methods, such as
surveys, interviews and observations, to determine
how young people manage their data in social
networks. I also want to provide an overview of the
risks and technical issues concerning security and
data privacy in social networks as well as strategies
for better handling.
Ich schreibe derzeit meine Diplomarbeit über soziale
Netzwerke und damit zusammenhängende Gefahren
bezüglich Privatsphäre und Datenschutz. Ich habe
mich für dieses sehr aktuelle Thema entschieden, da
die meisten Leute, vor allem Jugendliche, sehr viel
Zeit auf Facebook, Google+ oder Twitter verbringen.
Ziel meiner Forschungsarbeit gemeinsam mit SBA
Research ist es, mittels qualitativer und quantitativer
Methoden, wie Beobachtungen und Befragungen,
zu ermitteln, wie vor allem junge Menschen mit
ihren persönlichen Daten und publizierten Inhalten
in sozialen Netzwerken umgehen. Weiters sollen
ein Überblick über technische Sicherheitslücken in
Hinblick auf die Datenschutzproblematik gegeben
sowie Strategien für einen besseren Umgang damit
aufgezeigt werden.
Soziale Netzwerke
und Privatsphäre
Privacy in social
networks
8
Der Fokus meiner Forschungstätigkeit bei
SBA Research liegt auf der Modellierung und
Simulation von komplexen Strukturen als Grundlage
für die Umsetzung von Sicherheitskonzepten und
als Basis für Tests möglicher Angriffsmodelle. Solch
simulierte Strukturen können verschiedenster Natur
sein, z. B. ein Unternehmen mit unterschiedlichen
Geschäftsprozessen oder ein soziales Netzwerk
wie Facebook. Informationssicherheitsbezogene
Geschäftsprozessmodellierung stellt eine neuartige
Herausforderung dar. Die gesonderte Behandlung
der Thematiken, also entweder Geschäftsprozess-
oder Sicherheitsmodellierung, kann zwar als gut
erforscht bezeichnet werden, die Verbindung der
beiden Ansätze ist aber noch relativ unerforscht,
obwohl in der heutigen Zeit aus der Wirtschaftswelt
nicht wegzudenken.
The main focus of my research at SBA Research lies
on modeling and simulating complex structures to
be used as foundation for the implementation of
security concepts as well as the basis for abstract
testing of security threats. Those structures can be
of different nature, e. g. a business with different
underlying business processes or even a social
network like Facebook. Business process modeling
and simulation are used to enable desired business
process optimizations. Current approaches mainly
focus on economic aspects while security aspects
are dealt with in separate initiatives. To establish an
interconnection between these crucially important
parts for maintaining a business process is a rather
new but very important approach.
Sigrun GoluchPhD Student
1. S. Tjoa, S. Jakoubi, S. Goluch, G. Kitzler, G. Goluch,
G. Quirchmayr: A formal approach enabling risk-aware
business process modeling and simulation, Journal
IEEE Transactions on Services Computing, 2010,
pp. 4:153–166. IEEE
2. S. Jakoubi, S. Tjoa, S. Goluch, G. Kitzler: Risk-Aware
Business Process Management: Establishing the Link
Between Business and Security, Journal Optimization
and Its Applications, Vol. 41 2010, pp. 109–135. Springer
New York
3. M. Huber, M. Mulazzani, S. Goluch, G. Kitzler:
Friend-in-the-middle attacks: Exploiting social
net-working sites for spam, IEEE Internet Computing:
Special Issue on Security and Privacy in Social Networks,
Vol. 15(3) 2011, pp. 28–34. IEEE
Simulation von
Geschäftsprozessen
Simulating business
processes
Frauen in Security | Women in Security
9
Simone KriglsteinPostdoc
Im Rahmen meiner Dissertation kombinierte
ich Ansätze aus dem Bereich Human Computer
Interaction, Ontologie und Visualisierung, um einen
benutzergerechten Visualisierungsansatz für
Ontologien zu entwickeln. In meiner aktuellen
Forschungsarbeit für SBA Research nutze ich meine
gewonnenen Kenntnisse, um sicherheitsrelevante
Aspekte (z. B. Zugriffskontrollen) in Geschäfts-
prozesssystemen benutzergerecht aufzubereiten.
Dabei können Visualisierungen maßgeblich helfen,
um Konzepte sowie deren Beziehungen zu
erkennen.
In my doctoral thesis I described an approach
for the development process of ontology visuali-
zations through the help of the human centered
design approach. In my work for the SBA Research
I am using my gained knowledge to express
security-relevant aspects (e. g. access control) of
business processes in a user friendly way. Especially
visualization can help to convey concepts and their
relationships.
1. S. Kriglstein, S. Rinderle-Ma: Change Visualization
in Business Processes – Requirements Analysis,
In: International Joint Conference on Computer Vision,
Imaging and Computer Graphics Theory and Applica-
tions (VISIGRAPP/IVAPP), Rome, Italy, February 2012,
pp. 584–593. SciTePress
2. S. Kabicher, S. Kriglstein, S. Rinderle-Ma: Visual
Change Tracking for Business Process Models, In: 30th
International Conference on Conceptual Modeling
(ER), Brussels, Belgium, November 2011, pp. 504–513.
Springer LNCS Vol. 6998
3. S. Kriglstein, G. Wallner: Development Process and
Evaluation of the Ontology Visualization Tool Knoocks –
A Case Study, In: International Joint Conference on
Computer Vision, Imaging and Computer Graphics
Theory and Applications (VISIGRAPP/IVAPP), Vilamoura,
Algarve, Portugal, March 2011, pp. 187–198. SciTePress
Visualisierung & Sicherheit
Visualization & security
10
Sicherheitsthemen sind Inhalt meiner Arbeiten
seit Beginn meiner wissenschaftlichen Karriere.
So habe ich mich in meiner Diplomarbeit an der
Universität Wien mit Sicherheitsstandards
beschäftigt. Thema meiner Dissertation an der
Universität Zürich war Sicherheitsmanagement;
im Speziellen die Fragestellung, Investitionen in
Sicherheitsmaßnahmen mit den Prinzipien eines
Unternehmens in Einklang zu bringen. Mit zuneh-
mender Verbreitung von Electronic Business sind
Sicherheitsfragen für nahezu alle Unternehmen
und Volkswirtschaften ein zentrales, komplexes
Thema geworden, das Know-How aus etlichen
Wissenschaftsdisziplinen braucht (z. B. Wirtschafts-
recht, Privatrecht, Betriebswirtschaft, Volkswirt-
schaft, Psychologie, Soziologie etc.). In meinem
aktuellen Projekt bei SBA Research wird der Frage
nachgegangen, wie konkrete Bedrohungen für
Unternehmen aussehen können, welche Profile
Angreifer haben können, welche Gegenmaßnahmen
ergriffen werden können, und wie wirtschaftlich
gerechtfertigte Maßnahmen gesetzt werden können.
Security has been the focus of my research from the
very beginning of my scientific career. I wrote my
thesis at the University of Vienna on security stan-
dards. The topic of my dissertation at the University
of Zurich was security management, focusing on the
question how investments in security measures can
be aligned with a company’s principles. Due to an
increase in eBusiness, security related issues have
become more and more important for almost all
kinds of enterprises and economics, proving the
matters’ very relevance and the necessity to combine
know-how from various scientific disciplines, e. g.
commercial law, civil law, business administration,
economy, psychology or sociology. In a current project
with SBA Research we focus on the simulation of
real-life threats and attacker profiles and, consequently,
the development of countermeasures under the
aspects of efficiency as well as profitability.
Christine StraussAssociate Professor
1. N. Kryvinska, C. Strauss, B. Collini-Nocker,
P. Zinterhof: Enterprise Network Maintaining Mobility –
Architectural Model of Services Delivery, International
Journal of Pervasive Computing and Communications
(IJPCC), Vol. 7(2) 2011, pp. 114–131.
2. C. Strauss, C. Stummer: Multiobjective Decision
Support in IT-Risk Management, International Journal of
Information Technology and Decision Making (IJTDM),
Vol. 1(2) 2002, pp. 251–268.
3. C. Strauss: Quantitatives Risk-Management zur
Bewältigung informationstechnischer Sicherheitsprob-
leme, Zeitschrift für betriebswirtschaftliche Forschung,
Vol. 47(7/8) 1995, pp. 691–707.
Ganzheitliches
Sicherheitsmanagement
Integrated security
management
Frauen in Security | Women in Security
11
Meine Forschungstätigkeit an der Wirtschafts-
universität Wien in Kooperation mit SBA Research
richtet sich auf die Entwicklung automatisierter
Ansätze zur Unterstützung des Role Engineering.
Role Engineering befasst sich mit der Definition
sogenannter rollenbasierter Zugriffskontrollmodelle
(RBAC). Diese legen fest, über welche Berechti-
gungen die Mitarbeiter einer Organisation zur
Durchführung bestimmter Aufgaben verfügen,
etwa zur Bearbeitung eines Dokuments oder zur
Benutzung eines spezifischen Informationssystems.
Unser Ansatz zur automatisierten Entwicklung
derartiger RBAC Modelle baut auf Daten auf, die in
einer Organisation bereits existieren, wie beispiels-
weise Prozessbeschrei-bungen. Dadurch lassen sich
zahlreiche monotone, zeitraubende Aufgaben des
Role Engineering ersetzen.
Role-based access control (RBAC) is a de facto
standard to specify permissions required for
legitimating users to perform their respective tasks
within an organization. However, the definition of
RBAC models is a costly task. Several steps are
monotonous, time-consuming and can get tedious
if conducted manually. In my current research at
the Vienna University of Economics and Business
in cooperation with SBA Research I am developing
approaches to automatically derive RBAC artifacts
using existing data in corporate systems, e. g. data
from descriptions or execution histories of processes
in information systems. In our research projects we
demonstrate that such automation helps to reduce
time-consuming and monotonous tasks significantly
without loss of reliability.
Anne BaumgrassPhD Student
1. A. Baumgrass, M. Strembeck, S. Rinderle-Ma:
Deriving Role Engineering Artifacts from Business
Processes and Scenario Models, In: 16th ACM
Symposium on Access Control Models and Technologies
(SACMAT), Innsbruck, Austria, June 2011, pp. 11–20. ACM
2. A. Baumgrass: Deriving current state RBAC models
from event logs, In: 6th International Conference on
Availability, Reliability and Security (ARES), Vienna,
Austria, August 2011, pp. 667–672. IEEE
3. A. Baumgrass, T. Baier, J. Mendling, M. Strembeck:
Conformance Checking of RBAC Policies in Process-
Aware Information Systems, In: BPM Workshop on
Workflow Security Audit and Certification (WfSAC),
Clermont-Ferrand, France, August 2011, pp. 435–446.
Springer LNBIP Vol. 100
Rollenbasierte
Zugriffskontrolle
Role-based
access control
12
Im Rahmen meiner Forschungstätigkeit an der
Wirtschaftsuniversität Wien und bei SBA Research
beschäftige ich mich mit sicherheitsrelevanten
Aspekten in Geschäftsprozessen, mit dem Ziel sie
modellieren und prüfen zu können. Geschäftspro-
zessmodelle bilden Abläufe in Organisationen ab.
Die visuelle Darstellung von Geschäftsprozessen ist
beispielsweise ein wichtiges Hilfsmittel zur Kommu-
nikation zwischen unterschiedlichen Interessens-
vertretern einer Organisation. Sicherheitsaspekte
werden bei der Geschäftsprozessmodellierung
jedoch häufig vernachlässigt. Dies kann zu Intrans-
parenzen, Inkonsistenzen oder zu fehlender bzw.
falscher Durchsetzung von Sicherheitsrichtlinien
führen. In unserem Forschungsprojekt erarbeiten
wir wissenschaftlich fundierte und praxistaugliche
Ansätze für die integrierte Modellierung von
Geschäftsprozessen und Sicherheitsaspekten.
At the Vienna University of Economics and Business
and together with SBA Research I am dealing with
security-related aspects in business processes with
the objective of modeling and checking them. Busi-
ness process models show the sequences of actions
performed in an organization. The visual represen-
tation of business processes facilitates communica-
tion between different organizational stakeholders.
However, modeling support for security aspects in
business processes is largely missing today. This
causes intransparencies, inconsistencies or errors
when enforcing security policies. In our research
project we develop scientific and practical approaches
for the integrated modeling of business processes
and security aspects.
Sigrid Schefer-WenzlPhD Student
1. S. Schefer, M. Strembeck, J. Mendling, A. Baumgrass:
Detecting and Resolving Conflicts of Mutual-Exclusion
and Binding Constraints in a Business Process Context,
In: 19th International Conference on Cooperative
Information Systems (CoopIS), Crete, Greece, October
2011, pp. 329–346. Springer LNCS Vol. 7044
2. S. Schefer, M. Strembeck, J. Mendling: Checking
Satisfiability Aspects of Binding Constraints in a
Business Process Context, In: BPM Workshop on
Workflow Security Audit and Certification (WfSAC),
Clermont-Ferrand, France, August 2011, pp. 465–470.
Springer LNBIP Vol. 100
3. S. Schefer, M. Strembeck: Modeling Process-Related
Duties with Extended UML Activity and Interaction
Diagrams, In: International Workshop on Flexible Work-
flows in Distributed Systems, Workshops der wissen-
schaftlichen Konferenz: Kommunikation in verteilten
Systemen (WowKiVS), Electronic Communications of the
EASST, Kiel, Germany, March 2011, Vol. 37
Sicherheitsbedingungen
für Geschäftsprozesse
Security constraints
in business processes
Frauen in Security | Women in Security
13
As researcher in the TIMBUS project, a partially
EU-funded cooperation project in the area of digital
preservation, of whose consortium SBA Research is
a member, I am concerned with preserving business
services over long-term periods. My research focus
lies on software escrow, which is a third party
service for software purchasers and software
providers that ensures that the purchaser gets the
source code should the provider no longer be
available, e. g., because of bankruptcy. For this
service, it is important to identify which parts of
the software have to be preserved to guarantee
data integrity and, therefore, information security.
Elisabeth Weigl Researcher
Als wissenschaftliche Mitarbeiterin im TIMBUS
Projekt, einem teilweise von der EU geförderten
Kooperationsprojekt im Bereich Digital Preservation
in dessen Konsortium sich SBA Research befindet,
beschäftige ich mich mit der Langzeitarchivierung
von Geschäftsprozessen. Mein Forschungsschwer-
punkt liegt bei Software Escrow, einem Treuhand-
Service zwischen Softwarekäufer und Software-
hersteller, der sicherstellt, dass der Sourcecode des
gelieferten Produkts im Falle eines geschäftlichen
Wegfalls des Produzenten (z. B. Insolvenz) dem
Käufer übergeben wird. Dafür ist es wichtig, die
zu archivierenden Teile eines Softwareprojekts zu
identifizieren um Datenintegrität and daher Infor-
mationssicherheit zu gewährleisten.
Digitale Archivierung
von Geschäftsprozessen
Digital preservation
of business processes
14
Bereits seit den späten Neunzigerjahren befasse ich
mich in meinen Forschungsarbeiten mit der Verläss-
lichkeit konvergierender Netzwerkarchitekturen
sowie der Verfügbarkeit von Diensten in hetero-
genen Umgebungen. Meine Forschungsergebnisse
finden sich nicht nur in meiner Dissertation, sondern
führten in weiterer Folge zu einer Vielzahl von
Vorträgen auf internationalen wissenschaftlichen
Konferenzen und Publikationen in anerkannten
Fachjournalen. Aufbauend auf diesen Forschungs-
ergebnissen führe ich derzeit meine Studien im
Bereich Electronic Business fort und beschäftige
mich hier mit der höchstmöglichen Verfügbarkeit
von eServices und der Verlässlichkeit der diesen
zugrunde liegenden Netzwerkinfrastrukturen. Somit
befinden sich zwei wesentliche Erfolgsfaktoren von
eBusiness im Fokus meiner Untersuchungen.
I have been conducting research on the reliability of
converged network architectures and the availa-
bility of services in heterogeneous environments
since the late 1990s. The results of my research can
be found not only in my dissertation; they have also
been presented at a considerable number of scientific
conferences and published in refereed journals.
Based on the results of my previous studies, my
current work focuses on the area of electronic
business. My research interests are the highest
possible availability of eServices and the reliability
of the network infrastructure behind them, making
two fundamental success factors of eBusiness the
focus of my work.
Natalia KryvinskaPostdoc
1. N. Kryvinska, C. Strauss, P. Zinterhof: A Method
to Increase Services Availability on Web-based Inter-
Enterprise Service Delivery Platforms, In: 5th IEEE
International Conference on P2P, Parallel, Grid, Cloud
and Internet Computing (3PGCIC), Fukuoka, Japan,
November 2010, pp. 171–178. IEEE
2. N. Kryvinska: An Analytical Approach for the
Modeling of Real-time Services over IP Network,
Journal “Mathematics and Computers in Simulation”,
Elsevier Transactions of IMACS, Vol. 79 2008,
pp. 980–990.
3. N. Kryvinska: Intelligent Network Analysis by
Closed Queueing Models, Journal Telecommunication
Systems, Vol. 27(1) 2004, pp. 85–98. Kluwer/Springer
Verlässlichkeit und
Verfügbarkeit
Availability and
reliability
Frauen in Security | Women in Security
15
I am a student of business informatics at the Vienna
University of Technology. Alongside my studies,
I have been working on various projects as
researcher and software developer at SBA Research
since 2008. Currently, I am working on as
researcher and developer on a SharePoint-based
solution to support the ISO 27001 as well as the
ISO 9001 certification. Among the features provided
are ISO-compliant document management and
workflows to support processes (document
approval, document review, document publishing)
based on best practices, and a reporting system
that supports a live overview of essential ISMS key
performance indicators.
Melanie BreierResearcher
Ich studiere Wirtschaftsinformatik an der
Technischen Universität Wien und arbeite seit
2008 auch im Team der SBA Research an verschie-
densten Projekten mit. Dabei bin ich sowohl als
Forscherin als auch als Softwareentwicklerin tätig.
Aktuell arbeite ich an einer auf Microsoft Share-
Point Technologie basierenden Applikation, welche
es Unternehmen ermöglicht, wesentliche Prozesse
eines Informationssicherheitsmanagementsystems
(ISMS) abzubilden und zu kontrollieren. Dabei wird
die von ISO 27001 und ISO 9001 geforderte nach-
vollziehbare Dokumentenlenkung ermöglicht und
workflowgestütztes Anstoßen des Review- und
Genehmigungszyklus gewährleistet.
Workflow gestütztes ISMS
Workflow based ISMS
SBA Research gGmbH
Favoritenstraße 16, 2. Stock
1040 Wien
Telefon: +43 1 505 36 88
www.sba-research.org
Das Kompetenzzentrum SBA Research wird im Rahmen von COMET – Competence Centers for Excellent Technologies durch BMVIT, BMWFJ, das Land Wien gefördert. Das Programm COMET wird durch die FFG abgewickelt.
