Altklausuren

• SDLC ist ein Framework zur Erstellung von hochwertigen qualitativen Software und zielt darauf ab, Sicherheitsapekte von Beginn bis Ende in die Entwicklung zu integrieren, um potenzielle Sicherheitslücken zu vermindern.

Pro:

• Frühe Gefahrenerkennung: Identifizierung von potenziellen Gefahren in einem frühen Stadium der Entwicklung.

• Risikobasierte Entscheidungen: Ermöglicht Entwicklern, Ressourcen auf kritische Bereiche zu konzentrieren.

Contra

• Zusätzlicher Aufwand: Erfordert zusätzlichen Zeitaufwand und Ressourcen während des Entwicklungsprozesses.

• Komplexität: In komplexen Projekten kann das Durchführen von Threat Modeling als zu kompliziert empfunden werden.

Warum Threat Modeling sinnvoll ist:

Threat Modeling ist sinnvoll, weil es frühzeitig potenzielle Gefahren identifiziert und Entwicklern ermöglicht, gezielt auf kritische Sicherheitsaspekte zu reagieren, auch wenn es zusätzlichen Aufwand und Komplexität bedeutet.

• OWSP Top 10 ist ein regelmässig aktualisierte Liste von Bedrohungen im Web. Dies kann genutzt werden, um die Sicherheit von Sytemen im Web zu gewährleisten.

• Es können Gefahren früh erkannt werden, sodass Hacker und Angreifer diese nicht ausnutzen können. Ebenfalls kann die Angriffsfläche für die Angreifer reduziert werden.

• Ein Werkzeug von OWAS Top 10 wäre zb das Penetration-Test Tool, wodurch man Angriffe simulieren kann und diesen entgegen wirken kann. Ein weiteres wäre das Code-Review Tool, welches den Quellcode analysiert

Threat Modeling: Verfahren, um potenzielle Bedrohungen, wie strukturelle Schwachstellen oder das Fehlen geeigneter Sicherheitsvorkehrungen zu ermitteln und Prioritäten für Gegenmaßnahmen festzulegen

Durch das TM können Sicherheitsanforderungen sowie entsprechende Gegenmaßnahmen ermittelt werden. Anschließend können diese entsprechend in den SDLC eingbaut bzw. berücksichtigt werden.

1. SDLC:

   Ist ein Framework zur Erstellung von hochwertigen qualitativen Software, die darauf abzielt Sicherheitsaspekte von Anfang bis Ende der Entwicklung zu integrieren, um potenzielle Sicherheitslücken zu minimieren.

   1. Training:

   Mitarbeiterschulung für Sicherheitsaspekte

   2. Requirements:

   Sicherheitsanforderungen, Bug Bars- & Quality Gates festlegen

   3. Design:

   Design-Anforderungen anhand Sicherheitsanforderungen

   4. Implemetation:

   Umsetzung von vertrauliche & unsichere Features, Werkzeuge

   5. Verification:

   Laufzeitanalyse d. Software + Fuzzing Test (System auf fehlerhafte Daten getestet)

   6. Release:

   Letzte Kontrolle + Veröffentlichung (Vorfallreaktionsplan)

   7. Response:

   Vorfallreaktionsplan kontrollieren & umsetzen

   
   

   PRO:

   1. Training: Schulungen zu Sicherheitsaspekten erhöhen das Sicherheitsbewusstsein der Mitarbeiter.

   2. Requirements: Festlegung von Sicherheitsanforderungen, Bug-Bars und Quality-Gates.

   CONTRA:

   1. Frühe Erkennung von Gefahren: Threat Modeling identifiziert potenzielle Bedrohungen frühzeitig.

   2. Gegenmaßnahmen: Ermöglicht die Festlegung wirksamer Gegenmaßnahmen.

   Meinung:

   Der Aufwand für Threat Modeling ist gerechtfertigt, besonders bei Systemen mit vertraulichen Daten, um finanzielle, vertrauensbezogene und imagebezogene Schäden zu vermeiden. Die anfänglichen Kosten führen zu einem verbesserten Sicherheitsverständnis, sicheren Systemen und langfristigen Vorteilen.

   
   

Der unklare Wertbeitrag der IT

• z.B. Anwendung von CRM System --> Auswirkung auf Erfolg des Unternehmens ist unklar (keine Verbindung zw. IT-Investitionen & geschäftliche Ergebnisse)

Konzentration auf Informatikmethoden

• Existenz von vorherrschenden Methoden (Defizit, wenn Fokus nur auf Informatikmethoden, anstatt versch. Ansätze)

Die gedankliche und führungstechnische Trennung zwischen Business und IT:

• Gedankenwelt in den beiden Bereichen sehr stark getrennt (enge Verbindung entscheidend für gegenseitige Unterstützung der Ziele)

→ Das Methoden-Engineering im Bereich der Informationssysteme ist die Disziplin, die neue Methoden aus bestehenden Methoden konstruiert. Sie konzentriert sich auf den Entwurf, die Konstruktion und die Bewertung von Methoden, Techniken und Hilfsmitteln für die Entwicklung von Informationssystemen.

→ Method Engineering ist ein Ansatz zur systematischen Entwicklung und Gestaltung von Methoden und Prozessen in Organisationen. Es befasst sich mit dem gesamten Lebenszyklus von Methoden, einschließlich der Analyse, Konstruktion, Implementierung und Evaluierung von Methoden.

→ Das Ziel von Method Engineering ist es, Prozesse effizienter und effektiver zu gestalten, um einen besseren Nutzen für die Nutzer und die Organisation zu erzielen.

→ Ansatz für die Beschreibung der IT-Strategie eines Unternehmens

→ 3 Ps = Practitioners, Practices und Praxis

→ Practitioners: Sind die Strategen, d.h. die Personen, die an der Umsetzung der Strategie beteiligt sind

→ Practices: beschreiben die Routinen, Normen und Instrumente des strategischen Handelns → Können oder sind in Strategiepraktiken gebündelt

→ Praxis: Sind die tatsächlichen Aktivitäten, wie sie in einem bestimmten Kontext durchgeführt werden → Routinen und angeeigneten Artefakte des strategischen Handelns

→ Practitioners nutzen Practices und es entstehen Praxis

• ITIL:

  • ist ein Rahmenwerk für IT-Service-Management, das best practices und Prozesse für die Bereitstellung und Verwaltung von IT-Services definiert.

  • Es umfasst Werkzeugtypen wie Prozessmanagement-Tools, Helpdesk- und Incident-Management-Tools sowie Change- und Configuration-Management Tools.

• DevOps

  • ist eine Kultur und ein Ansatz für die Zusammenarbeit von ENtwicklungs- und IT-Betriebsteams, um schnellere und effizientere Softwareentwicklung und -bereitstellung zu ermöglichen.

  • beinhaltet Werkzeugtypen wie Continious Deployment (CI/CD) Tools, Infrastructure as Code Tools sowie Monitoring und Logging Tools.

1. Defizit: Kostenmanagement → Aufschlüsselung einzelner Leistungen, auf deren Beitrag und Kosten

2. Defizit: BPM → eine Methode nicht nur auf Informatikmethoden den Fokus zu setzen

3. Defizit: IT-Architekturmanagement → geht darum, dass UN als eines als Einheit zu sehen

→ Lösung: BIM

• Business-IT-Management (BIM) behandelt alle institutionalisierten Prozesse, Aktivitäten und Rollen, welche die Planung, Entscheidung, Durchführung und Kontrolle des Einsatzes von Informationstechnologie im Kontext von Unternehmen betreffen. Dabei wird die untrennbare Verschränkung von fachlichen und technischen Gegebenheiten stets berücksichtigt

→ Die drei Faktoren hängen eng miteinander zusammen → Müssen weitgehend gemeinsam gelöst werden

→ Es müssen die Einflussfaktoren bestimmt werden, um die Defizite zu lösen -> schwer

→ Allgemein Managementfähigkeiten nötig, die nicht originär aus der Informatik stammen → Bsp. IT-Governance

DevOps ist eine Kultur und ein Set von Praktiken, die die Zusammenarbeit und Kommunikation zwischen Entwicklern und Betriebsteams fördern, um schnellere und zuverlässigere Softwarelieferungen zu ermöglichen. DevOps ist ein Ansatz, der sich auf die Automatisierung von Prozessen und die Verkürzung von Feedback-Schleifen konzentriert, um schnellere und sicherere Releases zu ermöglichen.

1. Kultur: DevOps legt einen besonderen Schwerpunkt auf die Schaffung einer Zusammenarbeitskultur, die die Zusammenarbeit und Kommunikation zwischen Entwicklern und Betriebsteams fördert.

2. Automatisierung: DevOps nutzt Automatisierung und Tools, um den Deployment-Prozess zu beschleunigen und Fehler zu reduzieren. Dies ermöglicht schnellere Releases und höhere Effizienz.

3. Feedback-Schleifen: DevOps legt Wert auf kontinuierliches Feedback, um sicherzustellen, dass Prozesse ständig verbessert und optimiert werden.

• Testautomatisierung sollte frühzeitig eingeführt werden, um sicherzustellen, dass sich Tests schnell und effizient ausführen lassen. Es wird empfohlen, zuerst Unit-Tests zu automatisieren, da sie am häufigsten ausgeführt werden. Sobald die Unit-Tests stabil sind, können Integrations- und UI-Tests automatisiert werden.

• Die Zahl von 100 % Testabdeckung bezieht sich auf die Anzahl der Codezeilen, die von Tests abgedeckt werden. Es ist jedoch unwahrscheinlich, dass 100 % Testabdeckung erreicht werden können, und es ist auch nicht immer notwendig oder sinnvoll. Es ist wichtiger, dass Tests kritische Funktionalitäten abdecken und sicherstellen, dass die Anwendung stabil und fehlerfrei funktioniert.

Gemeinsamkeiten:

• Beide Ansätze befassen sich mit der Entwicklung von Methoden und Prozessen in Organisationen.

• Sie haben beide das Ziel, eine systematische und strukturierte Vorgehensweise bei der Gestaltung von Prozessen zu gewährleisten.

• Beide Ansätze beinhalten eine gründliche Analyse und Bewertung bestehender Prozesse, um mögliche Verbesserungen zu identifizieren.

• Sie berücksichtigen beide den Nutzen für die Nutzer und die Organisation bei der Gestaltung von Prozessen.

Unterschiede:

• Schwerpunkt: Das 3P-Framework legt einen besonderen Schwerpunkt auf die Beteiligung der Prozessbeteiligten und die Verwendung von Technologien, um die Effizienz und Effektivität der Prozesse zu verbessern. Method Engineering konzentriert sich eher auf die formale Modellierung von Prozessen und die Verwendung von Werkzeugen und Techniken zur Analyse und Optimierung.

• Umfang: Das 3P-Framework ist eher ein umfassender Ansatz, der sich mit allen Aspekten der Prozessgestaltung befasst, während Method Engineering sich auf die Entwicklung und Anwendung von Methoden für die Prozessgestaltung konzentriert.

• Die Testpyramide gliedert Tests in vier Ebenen: User-Acceptance-Tests (UAT), Systemintegrationstests, Komponenten-Integrations-Tests und Unit Tests. Sie gibt an, wie viele Tests jeder Art vorhanden sein sollten und welchen Grad der Automatisierung sie anstreben sollten. Unit Tests sollten zahlreich sein, während von den komplexeren User-Acceptance-Tests weniger vorhanden sein sollten.

• Die Automatisierung stellt eine Herausforderung dar, und idealerweise sollten alle Tests automatisiert werden. Die Pyramide empfiehlt jedoch, zunächst die Unit Tests vollständig zu automatisieren, bevor die anderen Ebenen angegangen werden. Das Ziel ist eine 100 % Automatisierung, unter der Bedingung, dass alle Tests die erforderlichen Funktionalitäten prüfen und nicht nur blind auf die Automatisierung setzen.

• Da die Unit Tests ganz unten sind und die einfachste, simpelste Form von Tests beschreiben, sollten von diesen sehr viele Vorhanden sein. Je höher man in der Pyramide geht, desto komplexer und umfassender werden die Tests.

1. Methode des Kostenmanagements:

-> Finanzplanung

-> Kostencontrolling

-> Analysen

-> Benchmarking

→ Als Ziel wird häufig die „Bill of IT“ genannt, d.h. die Aufschlüsselung einzelner Leistungen, deren Beitrag und Kosten. Hier liegt eine Gemeinsamkeit zum IT-Service-Management (IT-Betrieb).

1. BPM: Business Process Management ist ein systematischer Ansatz, um sowohl automatisierte als auch nicht automatisierte Prozesse zu erfassen, zu dokumentieren, zu optimieren, auszuführen, zu messen und zu überwachen.

→ BPM eine Methode nicht nur auf Informatikmethoden den Fokus zu setzen → Kerngebiet der Winf

1. IT-Architekturmanagement: Auch bekannt als Unternehmensarchitekturmanagement oder IT-Bebauungsmanagement

→ Planung der Anwendungslandschaft, insbesondere Schnittstellen, Standards /Homogenisierung, Lebenszyklus, Fachliche Eignung und Technologie

1. BIM: Business IT Management (behandelt alle institutionalisierten Prozesse, Aktivitäten und Rollen welche die Planung, Entscheidung, Durchführung und Kontrolle des Einsatzes von Informationstechnologie im Kontext von Unternehmen betreffen Dabei wird die untrennbare Verschränkung von fachlichen und technischen Gegebenheiten stets berücksichtigt

→ Sicherstellen, dass IT immer verfügbar ist -> Bei Problemen schnelle Lösungen bereitstellen

→ Optimierung der IT-Systeme -> Geschäftsanforderungen erfüllen, effizient und kosteneffektiv

→ Insgesamt kann ein effektives Business-IT-Management dazu beitragen, die Defizite in der IT zu reduzieren und die Geschäftserfolgspotentiale zu erhöhen

→ Viele technische System sind mit Daten verbunden, welche durch das System eingesetzt werden. In vielen Fällen handelt es sich um Daten, die entweder unternehmensinterne Wichtigkeit sind oder Kundendaten. Aus diesem Grund ist ein Schutz dieser sehr wichtig. Die Kosten sind zwar ein Umstand für das Unternehmen, sollten aber eingegangen werden. Die Auswirkungen einer Sicherheitslücke würden dem Unternehmen mehr Schaden zufügen als die entstehenden Kosten. Eine Sicherheitslücke bringt neben zusätzlichen Entwicklungskosten noch weitere Faktoren, wie Image-Schäden und Vertrauensverluste gegenüber den eigenen Mitarbeitern, den Stakehouldern und wichtigen Kunden sowie Geschäftspartnern mit sich.

UNTERSCHIED:

Im Vergleich zu ITIL (IT Infrastructure Library) ist DevOps ein Ansatz, der sich auf die Verkürzung von Feedback-Schleifen und die Automatisierung von Prozessen konzentriert, während ITIL ein Rahmenwerk für IT-Service-Management ist, das ein umfassendes Set von Prozessen und Praktiken bereitstellt, um IT-Dienstleistungen effizient und effektiv zu liefern.

• Fokus: ITIL konzentriert sich auf das IT-Service-Management, während DevOps sich auf die Verbesserung der Softwareentwicklung und -verteilung konzentriert.

• Prozesse: ITIL bietet ein umfassendes Set von Prozessen für IT-Service-Management, während DevOps eine Kultur der Zusammenarbeit und Automatisierung fördert.

• Philosophie: ITIL zielt darauf ab, IT-Dienstleistungen effizient und effektiv bereitzustellen, während DevOps einen schnelleren und zuverlässigeren Ansatz für Softwareentwicklung und -verteilung verfolgt.