Sicherheit in Geschäftsprozessen (BPSec)
Projekt: AMBOSS: Automated Business Process Certification Mechanisms
Projektbeschreibung
Zur Garantie von zuverlässiger Sicherheit in verteilten Geschäftsprozessen ist die Bereitstellung von Nachweisen über die Einhaltung gesetzlicher und regulatorischer Vorgaben notwendig. Insbesondere in Cloud-Infrastrukturen muss seitens der Dienstanbieter garantiert werden, dass Prozesse verschiedener Parteien, die auf derselben „Service-Cloud“ ausgeführt werden, isoliert voneinander ablaufen. Eine allein auf Zugriffskontrollen basierende Isolation, wie sie derzeit auf Prozessebene eingesetzt wird, ist unzureichend, da sie keine Ende-zu-Ende-Garantien geben kann und verdeckte Informationskanäle daher unberücksichtigt bleiben.
Um zuverlässigere Garantien bereitzustellen, wendet AMBOSS Techniken der Informationsflusskontrolle für die Prüfung von Geschäftsprozessmodellen an. Das Ziel sind Mechanismen, die beide gängigen Formen zur Prozessprüfung berücksichtigen: Zum Einen die apriorische Zertifizierung, die die Einhaltung von Isolationsanforderungen durch ein Prozessmodell vor der Ausführung bescheinigt bzw. widerlegt (Gegenstand dieses Antrags); zum Anderen das nachträgliche Audit, das Anforderungsverletzungen auf der Basis von Logdaten identifiziert und zurechenbar macht (Gegenstand des Folgeantrags).
Die Kerntechnologie stellt der von den Antragsstellern entwickelte IFnet-Formalismus dar. IFnet-Modelle werden in AMBOSS entweder aus den industriellen Beschreibungssprachen BPEL bzw. BPMN erzeugt oder forensisch aus authentischen Log-Aufzeichnungen rekonstruiert. Die praktische Anwendbarkeit wird in einer mit der Commerzbank AG vereinbarten Kooperation zur Verbesserung der Sicherheit ihres verteilten Informationsmanagements evaluiert.
Um zuverlässigere Garantien bereitzustellen, wendet AMBOSS Techniken der Informationsflusskontrolle für die Prüfung von Geschäftsprozessmodellen an. Das Ziel sind Mechanismen, die beide gängigen Formen zur Prozessprüfung berücksichtigen: Zum Einen die apriorische Zertifizierung, die die Einhaltung von Isolationsanforderungen durch ein Prozessmodell vor der Ausführung bescheinigt bzw. widerlegt (Gegenstand dieses Antrags); zum Anderen das nachträgliche Audit, das Anforderungsverletzungen auf der Basis von Logdaten identifiziert und zurechenbar macht (Gegenstand des Folgeantrags).
Die Kerntechnologie stellt der von den Antragsstellern entwickelte IFnet-Formalismus dar. IFnet-Modelle werden in AMBOSS entweder aus den industriellen Beschreibungssprachen BPEL bzw. BPMN erzeugt oder forensisch aus authentischen Log-Aufzeichnungen rekonstruiert. Die praktische Anwendbarkeit wird in einer mit der Commerzbank AG vereinbarten Kooperation zur Verbesserung der Sicherheit ihres verteilten Informationsmanagements evaluiert.
Laufzeit
1. Januar 2009 bis 1. Januar 2011
Projektleitung
Mitarbeiter
Kooperationspartner
FlexSecure, Lohmann & Birkner, Sirrix, University of Passau
Finanzierung
- Bundesministerium für Bildung und Forschung (BMBF)
Neues Buch: Müller, G.:„Protektion 4.0: Das Digitalisierungsdilemma“
