Das Hasso-Plattner-Institut bietet seinen Studierenden ein gebührenfreies und praxisnahes Informatikstudium an einem international renommierten Institut. Zum Studienangebot zählen der deutschlandweit einzigartige Bachelorstudiengang IT-Systems Engineering und die fünf Masterstudiengänge Cybersecurity, Data Engineering, Digital Health, IT-Systems Engineering und Software Systems Engineering.

schließen

Unsere Forschenden am HPI profitieren von einem inspirierenden wissenschaftlichen Umfeld sowie einer kollaborativen und inklusiven Arbeitsatmosphäre. So entstehen Erkenntnisse auf hohem wissenschaftlichen Niveau, die zum Wohl der Gesellschaft beitragen. Unsere wissenschaftliche Arbeit ist in Research Cluster strukturiert. Zudem kooperieren wir in zahlreichen Forschungsprogrammen mit wissenschaftlichen Institutionen, Unternehmen und öffentlichen Einrichtungen auf nationaler und internationaler Ebene.

schließen

Das Hasso-Plattner-Institut in Potsdam ist einzigartig in der deutschen Universitätslandschaft. Unterstützt durch Stifter Hasso Plattner und durch internationale Kooperationen bis hin zum Silicon Valley wächst das Angebot des Instituts stetig weiter. Erfahrt mehr über den Stifter, die Veranstaltungen und das Studium am HPI.

schließen

Auch für Schüler und Berufstätige bietet das Hasso-Plattner-Institut attraktive Bildungsangebote. Mit openHPI betreibt es eine eigene IT-Bildungsplattform mit kostenlosen Online-Kursen. Die Schülerakademie organisiert Informatik-Camps und Veranstaltungen für Schüler. Die HPI Academy bietet Berufstätigen Bildungsangebote im Design Thinking.

Kurse

schließen

Der Pressebereich des Hasso-Plattner-Instituts versorgt Sie regelmäßig mit allen aktuellen Neuigkeiten, Infos zu unseren Social-Media-Kanälen, Kontaktdaten und ausführlichem Pressematerial.

schließen

Home

schließen

Application Security: Tools

schließen

Christian Wolter

A Methodology for Model-Driven Process Security

Monolithische Informationssysteme haben sich durch technologischen Fortschritt in heterogene Systemlandschaften gewandelt. Mit dem Einzug neuer Technologien sehen sich Unternehmen heute einer weit größeren Anzahl von Sicherheitsrisiken und Informationsdiebstahl konfrontiert.

Viele dieser Risiken rühren nicht allein aus technologischen Unzulänglichkeiten, sondern auch aus dem Zusammenspiel von Technologie und unzureichenden organisatorischen Strukturen, internen Kontrollen und Wertschöpfungsketten her.

Besonders interne Kontrollen verlangen eine tiefgreifende und erschöpfende Kenntnis über die unternehmerischen Abläufe und deren Zusammenspiel mit Informationssystemen. Zusätzlich erschweren dezentralisierte, diversifizierte und heterogene Systemlandschaften diese ganzheitliche Betrachtung.

Im Rahmen dieser Dissertation wird eine modelgetriebene Methodik vorgestellt, die eine Zusammenarbeit von Sicherheits- und Prozessexperten während des Entwicklungsprozesses und der Spezifikation von unternehmerischen Abläufen und Prozessen ermöglicht. Sicherheitsanforderungen werden im Kontext von Geschäftsprozessen definiert und analysiert. Durch einen modelgetriebenen Ansatz werden detaillierte Prozessinformationen auf Informationssysteme abgebildet und definierte Sicherheits- und Berechtigungsanforderungen in interne Kontrollen im Sinne von Berechtigungsregeln überführt.

Die zugrunde liegende Modellierungsnotation ist im Rahmen dieser Arbeit formal definiert und ermöglicht eine formale Analyse und Verifikation der Prozessmodelle bereits während des Entwurfes. Auf diese Weise können fehlerhafte Berechtigungskonzepte und Widersprüche identifiziert werden, die ein Sicherheitsrisiko bergen oder die Prozessausführung behindern.

Für die formale Analyse wird das Prozessmodel in ein abstraktes Promelamodel überführt, welches dem Model-Checker SPIN übergeben wird. Die zu überprüfenden Modeleigenschaften werden mit Hilfe von linearer und temporaler Logik spezifiziert und auf das Promelamodel angewandt. Die Ergebnisse der formalen Analyse werden für eine Interpretation durch Sicherheits- und Prozessexperten im Kontext des Prozessmodels visualisiert.

Der betrachtete ganzheitlich methodische Ansatz umfasst daher die Spezifikation von Zugriffsberechtigungen im Rahmen von Geschäftsprozessen, deren formale Analyse und die Erzeugung von entsprechenden Berechtigungsrichtlinien. Unterstützt durch die spezielle Modellierungsnotation seBPMN, die auf einem erweiterten Industriestandard beruht, wird ein Prototyp entwickelt, der die einzelnen Schritte softwaretechnisch unterstützt und XACMLBerechtigungsregeln generiert.

Es wird ein pragmatischer Beweis der Anwendbarkeit des modelgetriebenen Ansatzes für Prozesssicherheit geliefert, der auf potentiell endliche und geeignet abstrahierte Prozessmodelleinstanzen angewendet werden kann.

Ombudsperson

Ombudspersonen beraten als neutrale und qualifizierte Ansprechpersonen in Fragen guter wissenschaftlicher Praxis und in Verdachtsfällen wissenschaftlichen Fehlverhaltens.

Sie tragen, soweit möglich, zur lösungsorientierten Konfliktvermittlung bei.

Bei Fragen wenden Sie sich bitte an:

Prof. Dr. Tilmann Rabl

Tel.: +49 (0)331 5509-280
E-Mail: tilmann.rabl(at)hpi.de

Future SOC Lab

Das Future SOC Lab des Hasso-Plattner-Instituts bietet externen Wissenschaftlern neueste Hard- und Software-Infrastrukturen kostenfrei zu Forschungszwecken.

Informationen zum Future SOC Lab

Research Schools

Die HPI Research Schools für "Service-Oriented Systems Engineering" und "Data Science and Engineering" sind die Graduiertenschule des Hasso-Plattner-Instituts. Sie unterhalten Außenstellen in Südafrika, Israel, China und den USA.

Informationen zu den Research Schools

Digital Health Cluster

Das Digital Health Cluster (DHC) ist ein offenes Netzwerk für Wissenschaftler und Forschungseinrichtungen, die gemeinsam das Gesundheitssystem mit neuen Digital-Health-Anwendungen voranbringen und den Patienten stärken möchten.

Informationen zum Digital Health Cluster