1.1 Binary file Papers/Opensecurity - DACH Paper.pdf has changed

     2.1 --- a/Papers/Opensecurity - DACH Paper.tex	Tue Apr 08 10:34:13 2014 +0100
     2.2 +++ b/Papers/Opensecurity - DACH Paper.tex	Tue Apr 08 13:03:35 2014 +0200
     2.3 @@ -1,26 +1,60 @@
     2.4 +\documentclass[a4paper,10pt]{article}
     2.5 +\usepackage[utf8x]{inputenc}
     2.6 +\usepackage{a4wide}
     2.7 +\usepackage{graphicx}
     2.8 +\usepackage{eurosym}
     2.9 +\usepackage{latexsym}
    2.10 +\usepackage{textcomp}
    2.11 +\usepackage{fancybox}
    2.12 +\usepackage{microtype}
    2.13 +\usepackage{listings}
    2.14 +\usepackage{setspace}
    2.15  
    2.16 -Motivation:
    2.17 +\linespread{1.1}
    2.18 +\parskip=4pt
    2.19 +
    2.20 +\begin{document}
    2.21 +
    2.22 +\title{Security by Isolation Prinzipien in der öffentlichen Verwaltung \\[1em]
    2.23 +\large{Sanfte Migration zu virtualisierten Anwendungen bei bestehenden Betrieb im Rahmen des Open Security Projekts}
    2.24 +}
    2.25 +\author{Mihai Bartha, Oliver Maurhart\\
    2.26 +AIT Austrian Institute of Technology
    2.27 +}
    2.28 +
    2.29 +\maketitle
    2.30 +
    2.31 +\section{Motivation}
    2.32  
    2.33  Outgoing scenario
    2.34 -	Protect sensible data
    2.35 -	Secure interaction with the internet with removable storage devices
    2.36 +        Protect sensible data
    2.37 +        Secure interaction with the internet with removable storage devices
    2.38  
    2.39  
    2.40 +Jede Organisation muss ihre IT-Infrastruktur vor internen und externen Gefahren schützen. Besonders davon betroffen sind auch öffentliche Institutionen, welche private Bürgerdaten wie Strafregister, Krankengeschichte und Meldedaten oder für die Staatssicherheit relevante Informationen verwalten. 
    2.41  
    2.42 -Jede organisation muss ihre IT-Infrastruktur vor interne und externe Gefahren schützen. Ins besondere öffentliche Institutionen die private Bürgerdaten verwalten (z.b. Strafregister, Krankengeschichte, Meldedaten) oder Staatssicherheit relevante Informationen verwalten. 
    2.43 -Wie Einzelfälle und Statistiken belegen, kommt es aber immer wieder und zunehmend häufiger zu Vorfällen, bei denen private Daten in falsche Hände geraten. Solche Daten können in kürzester Zeit weltweit über das Internet verteilt werden, was relativ schnell zu Worst-Case-Szenarien führen kann. So können zum Beispiel private Adressen von Polizeibeamten ihren Weg zu kriminellen Organisationen finden oder private Gesundheitsdaten in die Hände potenzieller zukünftiger Arbeitgeber.
    2.44 +Wie Einzelfälle und Statistiken belegen\footnote{WELCHE?}, kommt es aber immer wieder und zunehmend häufiger zu Vorfällen, bei denen private Daten in falsche Hände geraten. Solche Daten können in kürzester Zeit weltweit über das Internet verteilt werden, was schnell zu Worst-Case-Szenarien führen kann. So können beispielsweise private Adressen von Polizeibeamten ihren Weg zu kriminellen Organisationen finden oder private Gesundheitsdaten in die Hände potenzieller zukünftiger Arbeitgeber.
    2.45  
    2.46 -Durch die empfindliche Art der Informationen, die Nutzer solcher Einrichtungen sind zu einer geschlossenen und sicheren lokalen Netzwerk ohne Zugang zum Internet (WWW) oder tragbare  Speichermedien (TSM) beschränkt.
    2.47 +Durch die sensible Natur dieser Informationen, sind die Nutzer solcher öffentlichen Einrichtungen oft zu geschlossenen und sicheren lokalen Netzwerk gedrängt. Diese Systeme verfügen oft über keinen Zugang zum Internet (WWW) oder über Anschlüsse für tragbare  Speichermedien (TSM) um den sorgfältigen Umgang mit diesen Daten zu gewährleisten.
    2.48  
    2.49 -Der von FFG geförderte Open Security Projekt bietet eine Lösung, die ihre Angestellten davor schützt, kritische oder sensible Daten ungewollt, z.B. durch den Verlust oder den Diebstahl von Datenträgern (z.b. USB-Sticks), den Befall des Rechners bzw. Notebooks von Viren, Trojanern etc., preiszugeben. Dabei soll jeder Computer/Terminal einer Organisation so ausgestattet werden, dass unkontrollierter Datenaustausch verhindert wird. 
    2.50 +Das von der FFG\footnote{Österreichische Forschungsförderungsgesellschaft} geförderte Open Security\footnote{http://www.opensecurity.at} Projekt bietet eine Lösung, die Angestellten davor schützt, kritische oder sensible Daten ungewollt preiszugeben. Dieser Schutz beläuft sich auf den Verlust oder den Diebstahl von Datenträgern (z.B. USB-Sticks) und den Befall des Rechners oder Notebooks von Viren, Trojanern und dergleichen. Dabei soll jeder Computer oder Terminal einer Organisation so ausgestattet werden, dass unkontrollierter Datenaustausch verhindert wird. 
    2.51  
    2.52 -Unser Lösungsansatz ist eine Client Architektur, die sicherstellt, dass alle auf tragbare Geräten gespeicherten Daten basierend auf einem Digital Rights Management automatisch verschlüsselt werden. Persönliche Daten von BürgerInnen können ausschließlich verschlüsselt auf Festplatten, optischen oder USB-Speichern sowie externe Netzlaufwerken gespeichert werden. Durch Open Security soll jeder Computer/Terminal einer Organisation unabhängig von seinem Betriebssystem davor geschützt werden, unkontrollierten Datenaustausch zuzulassen. Das Einbringen bzw. das Mitnehmen von elektronischen Daten durch die Benutzer soll, im Sinne des Unternehmens und des Benutzers selbst, so erfolgen, dass es zu keinem Schaden bzw. Missbrauch kommen kann. Der gestohlene Laptop, der verlorengegangene USB-Speicher oder das verlegte Mobile Device (Tablet-PC, Smartphone etc.) sollen zukünftig außer dem materiellen keinen weiteren Schaden verursachen.
    2.53 -Im Fall, dass Hardware (z.B. ein Notebook) oder Speichermedien (z.B. ein USB-Stick) verloren gehen oder gestohlen werden, werden keine sensiblen Daten gefährdet. Wurden doch sensible Daten preisgegeben, kann die Kontrollkette aus den aufgezeichneten Datenströmen rekonstruiert werden. Anhand der Informationen aus dem zentralisierten Logging kann nachvollzogen werden, welche Daten die Organisation verlassen haben und auf welchem Weg (z.B. durch welchen Benutzer).
    2.54 +Bei diesem Projekt kommt erschwerend zur Aufgabenstellung hinzu, dass die Zielumgebung ein heterogenes Anwendungs- und Systemspektrum aufweist, keines der betroffenen Systeme völlig neu aufgesetzt werden darf und ein Rollout zentral gesteuert auf mehreren Rechnern, möglicherweise entfernt in parallel, stattfindet.
    2.55  
    2.56 -Die Innovation von Open Security besteht in der Verbindung des DLP-Ansatzes mit einer zentralen Management-Lösung und einer ‚Sicherheit durch Isolation‘ Architektur.
    2.57 +Unser Lösungsansatz im Open Security Projekt ist eine Client Architektur, die sicherstellt, dass alle auf tragbare Geräten gespeicherten Daten basierend auf einem Digital Rights Management automatisch verschlüsselt werden. Persönliche Daten von BürgerInnen können ausschließlich verschlüsselt auf Festplatten, optischen oder USB-Speichern sowie externe Netzlaufwerken gespeichert werden. Durch Open Security soll jeder Computer oder Terminal einer Organisation unabhängig von seinem Betriebssystem davor geschützt werden, unkontrollierten Datenaustausch zuzulassen. Das Einbringen oder das Mitnehmen von elektronischen Daten durch die Benutzer soll, im Sinne des Institution und des Benutzers selbst so erfolgen, dass es zu keinem Schaden oder Missbrauch kommen kann. Der gestohlene Laptop, der verlorengegangene USB-Speicher oder das verlegte Mobile Device (wie Tablet-PC oder Smartphone) sollen zukünftig außer dem materiellen keinen weiteren Schaden verursachen.
    2.58  
    2.59 -Das Internet, als dicht vernetztes Gefüge untereinander verbundener Geräte, bietet eine ideale Angriffsfläche für sich selbst replizierenden Schadcode. Aus diesem Grund ist Anti-Virensoftware ein zentraler Bestandteil jeder Sicherheitsstrategie. Eine solche Lösung ist stark abhängig von Signatur-Updates und schützt nur vor bekannten Malware. Nicht entdecktes Malware wird in der Regel als erstes den Update-Mechanismus des Antivirus deaktivieren um später nicht entdeckt zu werden.
    2.60 +Im Fall, dass Hardware (z.B. ein Notebook) oder Speichermedien (z.B. ein USB-Stick) verloren gehen oder gestohlen werden, sind keine sensiblen unverschlüsselten Daten gefährdet. Wurden dennoch sensible Daten preisgegeben, was aufgrund von Richtlinien genehmigt werden kann, dann rekonstruiert die Kontrollkette aus den aufgezeichneten Datenströmen den Ereignispfad. Anhand der Informationen aus einem zentralisierten Logging kann nachvollzogen werden, welche Daten die Organisation verlassen haben und auf welchem Weg (z.B. durch welchen Benutzer, Medium).
    2.61  
    2.62 -In Open Security werden die „Security by isolation“ Konzepte angewendet um mögliche durch Malware verursachten schaden gegenzuwirken, und die eine zentralisierte bzw. lokale Anti-Virus Architektur mittels virtualisierung implementiert. 
    2.63 +Die Innovation von Open Security besteht in der Verbindung des DLP\footnote{ERKLÄRUNG}-Ansatzes mit einer zentralen Management-Lösung und einer ``Sicherheit durch Isolation'' Architektur.
    2.64  
    2.65 +Das Internet, als dicht vernetztes Gefüge untereinander verbundener Geräte, bietet eine ideale Angriffsfläche für sich selbst replizierenden Schadcode. Aus diesem Grund ist Anti-Virensoftware ein zentraler Bestandteil jeder Sicherheitsstrategie. Eine solche Lösung ist stark abhängig von Signatur-Updates und schützt nur vor bekannten Malware. Nicht entdecktes Malware kann als erstes den Update-Mechanismus des Antivirus deaktivieren um später nicht entdeckt zu werden.
    2.66  
    2.67 +Im Open Security Projekt werden die ``Security by Isolation'' Konzepte angewendet um mögliche durch Malware verursachten Schaden entgegenzuwirken und die eine zentralisierte oder lokale Anti-Virus Architektur mittels Virtualisierung implementiert. 
    2.68 +
    2.69 +
    2.70 +\section{Architektur}
    2.71 +
    2.72 +
    2.73 +
    2.74 +
    2.75 +\end{document}