IT-Architekturen für auditierbare Geschäftsprozessanwendungen · Systems Modeling, 2011 Kunde stellt Anfrage zu Cloud-Service Dienstleister erhält Serviceanfrage Eingabe personenbezogener

© Fraunhofer ISST

IT-Architekturen für auditierbare Geschäftsprozessanwendungen

Prof. Dr. Jan Jürjens

Fraunhofer Institut für Software- und Systemtechnik ISST, Dortmund

http://www.isst.fraunhofer.de

http://jan.jurjens.de

Fraunhofer-Attract-Projekt APEX (1.10.2009-30.9.2014):

Prof. Dr. Jan Jürjens

Dr. Sven Wenzel

Thorsten Humberg

Daniel Poggenpohl

Andreas Schmitz

© Fraunhofer ISST

2

Herausforderung Compliance

Steigende Anzahl von Regulierungen

(z.B. Finanzen: Solvency II, Basel III; Gesundheit: Medizinproduktegesetz (MPG); Pharma: Arzneimittelmarktneuordnungsgesetz (AMNOG))

Steigende Komplexität des Compliance-Nachweises:

Viele Facetten: Anforderungen an Geschäftsprozesse (Design + Ausführung), IT-Infrastruktur (+ deren Prozesse), deren Abhängigkeiten…

Wechselseitige Abhängigkeiten von Vorgaben

Aggregation von Vorgaben bei komplexen IT-Systemen

Verteilung über verschiedene Standorte

Anbindung von Lieferanten bzw. Partnern

Cloud-Computing besondere Anforderungen

Audits wiederholen Analyse der Änderungen

Jan Jürjens: Compliance - Vorgehen - Werkzeuge - Resultate - Schluss

© Fraunhofer ISST

Notwendig: Werkzeuge für Compliance-Management

Manueller Nachweis aufwendig und kostenintensiv.

Erforderliche Daten schwer manuell erfassbar.

Prüfung einzelner Eigenschaften bereits komplex und umfangreich.

Großer Bedarf an Compliance-Werkzeugen (1,3 Mrd.$ (Forrester 2011))

Werkzeuge: bislang i.W. Unterstützung der manuellen Dokumentation.

Schwachpunkte:

Automatisierte Erfassung / Analyse von Complianceanforderungen.

Überwachung der Compliancevorgaben.

Derzeitige Risiko-Bewertungsmethoden generell nicht ausreichend.1

3

1 S. Taubenberger, J. Jürjens: Durchführung von IT-Risikobewertungen und die Nutzung von

Sicherheitsanforderungen in der Praxis. Studie, Fraunhofer ISST 2011 und DACH security 2011


© Fraunhofer ISST

Vision: Automatisierte Compliance-Analysen

Ziele:

Bewältigung der Komplexität und Kostenersparnis durch automatische Compliance-Analysen.

Bessere Überprüfbarkeit der Ergebnisse.

Idee:

Entwicklung automatischer Werkzeuge: Management und Analyse von Compliance-Anforderungen mit vorhandenen Artefakten:

Textdokumente, Software-/Geschäftsprozessmodelle, Logdaten…

Expertensystem für Compliance

4

Compliance-Report Compliant: NEIN Verstöße: - MaRISK VA 7.2: Einhaltung von BSI G3.1 nicht erfüllt Maßnahmen: - BSI Maßnahmen-katalog M 2.62


© Fraunhofer ISST

Vorgehen (1): Automatische Risiko-Identifikation

5

[Kunde stellt Anfrage zu Cloud-Service (233)] 4 Relevante Worte: [Information(200.0), Meldung(200.0), Nachricht(200.0), Internet(100.0)] 22 relevante Pattern: B_5.10 : Internet Information Server (300.0) G_2.96 : Veraltete oder falsche Informationen in einem Webangebot (200.0) G_3.13 : Weitergabe falscher oder interner Informationen (200.0) G_3.44 : Sorglosigkeit im Umgang mit Informationen (200.0) …

Aktivität

Identifizierte Ausdrücke

Gefundene Pattern

Jürjens et al., Journal of Software and Systems Modeling, 2011

Kunde stellt Anfrage zu Cloud-Service

Dienstleister erhält Serviceanfrage

Eingabe personenbezogener Daten

Verschlüsselung und Authentifikation

Prüfung der Daten


© Fraunhofer ISST

Vorgehen (2): Von Compliance zu Geschäftsprozessen

J. Jürjens et al.. J. Inform. Management & Computer Security, 2013

6

Jürjens et al., Int. Journal on Intelligent Systems 25(8): 813-840 (2010)


© Fraunhofer ISST

Business Process Mining: Prozesse aus Logdaten rekonstru- ieren

Ereignis-daten

7

ERP SCM WfMS CRM ...

A

B

C

X

Jürjens et al., Journal on Computers & Security 29(3): 315-330 (2010)

Alternativ: Compliance- Monitoring auf Logdaten.

Beispiel: 4-Augen-Prinzip

Vorgehen (3): Compliance vs. IT-Daten


© Fraunhofer ISST

Analyse nur auf Basis der Systemänderungen

Effizienzgewinn.

8

Jürjens, Wenzel et al. ServiceWave 2011

Jürjens et al., The Computer Journal, 2011

Vorgehen (4): Re-Zertifizierung nach Systemänderungen


© Fraunhofer ISST

Werkzeugunterstützung: Überblick

9

CARiSMA Unterneh-

mens-

Daten

http://carisma.umlsec.de

Wenzel, Humberg, Wessel, Poggenpohl, Ruhroth, Jürjens. 3rd Int. Conf. Cloud Computing and Services Science, 2013


© Fraunhofer ISST

10

Werkzeug-unterstützung: Textprozessor


© Fraunhofer ISST

Herausforderung: Komplexität der Analyse

Beispiel: MaRisk (VA)

(Mindestanforderungen an das Risikomanagement im Versicherungswesen)

Querverweise

ausgehend von §10 (Ausschnitt)

11


© Fraunhofer ISST

Textbasiertes Compliance-Mining: Experimentelle Resultate

Anforderungsdokumente

Common Electronic Purse Specifications (ePurse)

Customer Premises Network specification (CPN)

Global Platform Specification (GPS)

12

Jürjens et al. Requirements Engineering Journal (REJ) , 2010

Metriken für Information Retrieval:

Recall: Trefferquote

Precision: Genauigkeit

F-Measure: Kombination P&R

Baseline: Alle Anforderungen als security relevant klassifiziert


© Fraunhofer ISST

Spin-Off-Projekte

SecureClouds (BMBF): Compliance-Analyse bei

Auslagerung in Cloud. [Kooperationsmöglichkeiten: vgl. Vortrag Oliver Strauß]

SECONOMICS (EU): Werkzeuge für ökonomische Bewertung von

Sicherheitsmaßnahmen (insb. cyber-physikalische Systeme). [Kooperationsmöglichkeiten: vgl. Vortrag Prof. Riedel, Dr. Kohlhammer]

Fhg-ZV-Studie: Anwendbarkeit eines Informationssicherheits-

Risikomanagements nach ISO 2700x in FhG

WBMP: Industrieauftrag Text-Processing-Werkzeug

ClouDAT (IKT.NRW, via TUDo): Sicherheitszertifizierung von Clouds.

Secure Change (EU, via TUDo): Rezertifizierung von Compliance nach

Änderungen der Software, insbes. Sicherheitstesten

[Kooperationsmöglichkeiten: vgl. Vortrag Prof. Schieferdecker]

SecVolution (DFG, via TUDo): Rezertifizierung von Compliance nach

Änderungen der Systemumgebung 13


© Fraunhofer ISST

In Arbeit: Integrierte Compliance Management Plattform

14


© Fraunhofer ISST

Zusammenfassung

Problem: Compliance zunehmend komplexe Herausforderung.

Lösung: Automatische Werkzeuge für Compliance-Management und -Analyse mit relevanten Artefakten (z.B. Textdokumente, Software-/Geschäftsprozessmodelle, Logdaten).

Erfolgreicher Einsatz in Pilotprojekten.

Aktuelle Arbeiten:

Integrierte Compliance Management Plattform (ICMP)

Spin-off Projekte z.B. SECONOMICS, ClouDAT

Kontakt: http://www.isst.fraunhofer.de http://jan.jurjens.de

15


© Fraunhofer ISST

Backup-Folien

16

Jan Jürjens: IT-Architekturen für auditierbare Geschäftsprozessanwendungen

© Fraunhofer ISST

Veröffentlichungen

Impakt:

»10 years most influential paper« für UML’02-Veröffentlichung

Mehr als 3000 Zitierungen, h-index 29

Einige aktuelle Veröffentlichungen (ab 2011):

17


Vorträge zu Sicherheit und Compliance (z.B. in Clouds) auf: iqnite 2012, Anw.

Informationstechnik und Telekommunikation (AKIT) 2012, CloudConf 2011,

CloudDays 2011, Object-Oriented Programming (OOP 2011), iqnite 2011

Compliance-Management:

• S. Islam, H. Mouratidis, J. Jürjens. A Framework to Support Alignment of Secure

Software Engineering with Legal Regulations. Journal of Software and Systems

Modeling (SoSyM) 2011

Sichere Software Migration in die Cloud:

• S. Wenzel, T. Humberg, C. Wessel, D. Poggenpohl, T. Ruhroth, J. Jürjens. Ontology-

Based Analysis of Compliance and Regulatory Requirements of Business Processes.

In: 3rd Int. Conference on Cloud Computing and Services Science (Closer 2013)

• S. Wenzel, C. Wessel, T. Humberg, J. Jürjens. Securing Processes for Outsourcing

into the Cloud. In 2nd Int. Conf. on Cloud Computing and Services Science 2012.

Text-basiertes Risk-Mining:

• K. Schneider, E. Knauss, S. Houmb, S. Islam, J. Jürjens. Enhancing Security

Requirements Engineering by Organisational Learning. Requirements Engineering

Journal (REJ), 2012.

ModellbasiertesSicherheits-Testen:

• E. Fourneret, M. Ochoa, F. Bouquet, J. Botella, J. Jürjens, P. Yousefi. Model-Based

Security Verification and Testing for Smart-cards. In ARES 2011

Werkzeugunterstützung:

• M. Ochoa, J. Jürjens, J. Cuellar. Non-interference on UML State-charts. In 50th Int.

Conference on Objects, Models, Components, Patterns (TOOLS Europe 2012)

• M. Ochoa, J. Jürjens, D. Warzecha. A Sound Decision Procedure for the

Compositionality of Secrecy. In 4th Int. Symp. on Engin. Secure Software and

Systems 2012

Rezertifizierung bei Softwareevolution:

• A. Bauer, J. Jürjens, Yijun Yu. Runtime Security Traceability for Evolving

Systems. The Computer Journal, Oxford Univ. Press, vol. 54, no. 1, 2011,

pp. 58–87.

• J. Jürjens, K. Schneider. On modelling non-functional requirements evolution

with UML (invited contribution). In Festschrift for Martin Glinz 2012

• T. Ruhroth, J. Jürjens. Supporting Security Assurance in the Context of

Evolution: Modular Modeling and Analysis with UMLsec. In 16th IEEE Intern.

Symp. on High Assurance Systems Engineering (HASE 2012), IEEE, 2012

• F. Massacci, F. Bouquet, E. Fourneret, J. Jürjens, M.S. Lund, S. Madelenat,

J.T. Mühlberg, F. Paci, S. Paul, B. Solhaug, S. Wenzel, F. Piessens.

Orchestrating Security and System Engineering for Evolving Systems

(Invited paper). In 4th European Conf. ServiceWave 2011, LNCS 6994,

Springer 2011, pp. 134–143

Studien zu IT-Sicherheits-Risikobewertung in der Praxis:

• S. Taubenberger, J. Jürjens, Y. Yu, B. Nuseibeh. Resolving Vulnerability

Identification Errors using Security Requirements on Business Process

Models. J. Inform. Management & Computer Security, 2013

• S. Taubenberger, J. Jürjens. Studie zu IT-Risikobewertungen in der Praxis.

In D-A-CH Security 2011.

• S. Taubenberger, J. Jürjens, B. Nuseibeh, Yijun Yu. Problem Analysis of

Traditional IT-Security Risk Assessment Methods – An Experience Report

from the Insurance and Auditing Domain. In 26th IFIP International

Information Security Conference (IFIP SEC 2011), Lucerne, 7-9 June 2011

• J. Jürjens, K. Schneider: The SecReq approach: From Security

Requirements to Secure Design, Software Engineering 2014

© Fraunhofer ISST

Compliance-Methodik: Überblick

18


Abstrakte Gesetze und Regularien

Konkrete Sicherheits- Bestimmungen

AktG SOX

MARisk

Basel II Solvency II

ISO 2700x

BSI-Grundschutzhandbuch

Risk Finder Compliance

pattern analyzer

KWG VAG

Apex Werkzeuge

© Fraunhofer ISST

Automatische Compliance-Analyse auf Geschäftsprozessen

Strukturanalyse von Geschäftsprozess auf Compliance-Muster

Beispiel: 4-Augen-Prinzip bei Vertragsabschluss (Formalisierung in temporaler Logik).

19


formula four\_eyes\_principle ( a1:activity, a2:activity ) :=

forall [ p:person | ( !(execute(p, a1)) \/ !(execute(p, a2)) ) ];

© Fraunhofer ISST

Automatische Risiko-Annotation

20


© Fraunhofer ISST

Von IT-Daten zu Geschäftsprozessen: Business Process Mining

Analyse von Prozessen, die aus Log-Daten rekonstruiert wurden

Ereignis-Daten

21


ERP SCM WfMS CRM ...

A

B

C

X

Process ID Activity ID Consultant Time Stampe

1 A John 9-3-10:15.01

2 A Mike 9-3-10:15.12

3 B Mike 9-3-10:16.07

4 C Carol 9-3-10:18.25

© Fraunhofer ISST

Log-Daten-basierte Compliance-Analyse

Beispiel: Überprüfung des 4-Augen-Prinzips anhand Log-Daten

22


Jürjens et al., Journal on Computers & Security 29(3): 315-330 (2010)

© Fraunhofer ISST

Evolution auf Design-Ebene: Differenz-basierte Verifikation

Differenz-basierte Verifikation – Idee:

Erstmalige Verifikation: Registrieren, welche Modellelemente bei Verifikation gegebener Eigenschaft referenziert.

Im verifizierten Modell gespeichert, inkl. Teil-Resultate (»proof-carrying models«).

Mit Heuristiken Bedingungen an Änderungen definiert, die Verifikationsergebnis bewahren.

Evolutions-Differenz zwischen altem und neuem Modell berechnen (z.B. mit SiDiff [Kelter]).

Nur die Modell-Teile re-verifizieren, die 1) sich geändert haben und 2) in der Verifikation referenziert wurden und 3) deren Änderung die Bedingungen nicht erfüllt.

Erheblicher Performanzgewinn gegenüber einfacher Re-Verifikation.

23


...

© Fraunhofer ISST

Einige technologische Assets

Werkzeug CARiSMA: Sicherheits-, Risiko- / Compliance- analysen auf Geschäftsprozess-/Software-Modellen:

BPMN-/UML-Modellanalyse Anbindung von Process-Mining Differenzberechnung nach Modelländerungen Re-Verifikation auf Sicherheit nach Modelländerungen

Ontologie zur systematischen Herleitung, Formalisierung, Verwaltung von Sicherheits/Compliance-Anforderungen

Taxonomie für Sicherheitsstandards (z.B. BSI Grundschutz) Modell für Cloud-Umgebungen über Extraktion sicherheits- relevanter Daten über Cloud-Interfaces. Werkzeugunterstützung zur Erfassung von Quelltexten (z.B. Gesetzestexte, BSI-Grundschutzkataloge), deren Verarbeitung und automatisierte Erkennung und Erfassung der Querbeziehungen.

»RiskFinder«: Findet Sicherheits-/Compliance-Risiken in Prozessbeschreibungen. Werkzeug zur textbasierten Analyse von Compliance-Anforderungen.

Analysewerkzeug für Rentabilität von Sicherheitsmaßnahmen (in Entwicklung).

Analysewerkzeug für Clouds auf Sicherheitsanforderungen (in Entwicklung). 24


CARiSMA Unterneh-

mens-

Daten

© Fraunhofer ISST

Wissenschaftliche Grundlage: Modellbasiertes Compliancemanagement

25


Modelle

Anforderungen

Implementierung

Einfügen

Code- / Testgen.

Reverse Engin.

Analysieren

Konfiguration Generieren

Verifizieren

Laufzeitsystem

Konfigurieren

Ausführen

Evolution

[Jan Jürjens: Secure systems development with UML. Springer 2005. Chines. Übers. 2009]

© Fraunhofer ISST

Wissenschaftliche Herausforderung: Automatische Analyse der Compliance

Beispiel »sicherer Informationsfluss«:

Kein Informationsfluss von vertraulichem zu öffentlichem Wert.

Analyse: Wenn zwei Systemzustände statecurrent, state‘current sich nur in den

Werten der vertraulichen Attribute unterscheiden, darf ihr öffentlich

beobachtbares Verhalten sich nicht unterscheiden:

(wobei statecurrent ≈pub state‘current falls statecurrent und state‘current sich in ihrem

öffentlich beobachtbaren Verhalten nicht unterscheiden).

Beispiel: Unsicher, weil vertrauliches Attribut money den

Rückgabe-Wert der öffentlichen Methode rx() beeinflusst.

26


Jürjens et al., TOOLS Europe 2012

statecurrent ≈pub state‘current statecurrent.t(m) ≈pub state‘current.t(m)

ExtraService ≈pub NoExtraService

aber nicht:

ExtraService.rx() ≈pub

NoExtraService.rx()

Documents

IT-Architekturen für auditierbare Geschäftsprozessanwendungen · Systems Modeling, 2011 Kunde stellt Anfrage zu Cloud-Service Dienstleister erhält Serviceanfrage Eingabe personenbezogener