O'Reilly logo

Stay ahead with the world's most comprehensive technology and business learning platform.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, tutorials, and more.

Start Free Trial

No credit card required

Security für Data-Warehouse- und Business-Intelligence-Systeme

Book Description

Mit der steigenden Bedeutung der systematischen Datenanalyse – Stichwörter sind hier Big Data, Cloud-basierte Analysen, Mobile BI und Data Science – steigen auch die Sicherheitsanforderungen für BI-Systeme kontinuierlich.Der Autor beschreibt in seinem Buch praxisorientiert und systematisch die Grundlagen der Security und deren spezifischen Ausprägungen in DWH- und BI-Systemen. Der Leser erfährt, welche Schutzziele verfolgt werden müssen, auf welchen Ebenen Security berücksichtigt werden muss, welche Typen von Maßnahmen es gegen interne und externe Bedrohungen gibt und welche Datenschutz- bzw. regulatorischen Anforderungen zu berücksichtigen sind. Auch auf die organisatorische Einbettung wird eingegangen, welche Einheiten im Unternehmen in die Security-Strategie einzubeziehen sind, und wie sich die Security-Prozesse in gegebene IT- und BI-Serviceprozesse einordnen. Dabei verdeutlichen Fallbeispiele die Theorie und direkt anwendbare Checklisten ermöglichen einen schnellen Transfer in die eigene berufliche Praxis.

Table of Contents

  1. Cover
  2. Über den Autor
  3. Titel
  4. Impressum
  5. Vorwort
  6. Inhaltsübersicht
  7. Inhaltsverzeichnis
  8. 1 Einleitung
    1. 1.1 Aufbau des Buches
    2. 1.2 Grundkonzept
    3. 1.3 Ganzheitliche Betrachtung von Security
    4. 1.3.1 Ordnungsmäßigkeit des Betriebs
    5. 1.3.2 Schutz vor kriminellen Aktivitäten
    6. 1.3.3 Angemessene Verfügbarkeit der Services
    7. 1.3.4 Standards, Methoden und Zertifikate
    8. 1.4 Klassen von potenziellen Schäden
    9. 1.5 Unterschiede zu transaktionalen Systemen
  9. 2 Anforderungen an die Schutzwürdigkeit von Systemen
    1. 2.1 Rechtliche Anforderungen an Daten
    2. 2.2 Branchenspezifische regulatorische Anforderungen
    3. 2.3 Betriebliche Anforderungen
  10. Teil I Behandlung von externen Bedrohungen
    1. 3 Vorgehensmodell zur Behandlung und Eliminierung von Bedrohungen
    2. 3.1 Anstoß
    3. 3.2 Sicherheitsprozess
    4. 3.3 Hilfsmittel
    5. 4 Schutzobjekte einer BI-Architektur und Aspekte der Bedrohungsmodellierung
    6. 4.1 Perspektiven der Bedrohungsmodellierung
    7. 4.2 Strukturorientierte Bedrohungsmodellierung
    8. 4.3 Angreiferorientierte Bedrohungsmodellierung
    9. 4.4 Wertorientierte Bedrohungsmodellierung
    10. 4.5 Vorgehensweise
    11. 5 Risikobeurteilung (Gewichtung)
    12. 5.1 Wahrscheinlichkeit des Eintretens
    13. 5.1.1 Bedrohungsfaktoren
    14. 5.1.2 Verwundbarkeiten/Schwächen
    15. 5.2 Auswirkung
    16. 5.2.1 Technische Auswirkungen
    17. 5.2.2 Betriebswirtschaftliche Auswirkungen
    18. 6 Risikobehandlung
    19. 6.1 Verschiedene Arten der Risikobehandlung
    20. 6.2 Langfristige Sicherstellung und Weiterentwicklung der Maßnahmen
  11. Teil II Berechtigungsstrukturen, Prozesse und Systeme
    1. 7 Unterschiedliche Berechtigungen in einer BI-Architektur
    2. 7.1 Unterschiedliche Zugriffsregelung je Data Warehouse Layer
    3. 7.2 Funktionale Berechtigungen (Toolrechte)
    4. 7.3 Fachliche Berechtigungen (Datenrechte)
    5. 7.4 Besondere Berechtigungsobjekte
    6. 7.4.1 Reports, Cockpits und Dashboards
    7. 7.4.2 Semantischer Layer
    8. 7.4.3 Mobile Endgeräte
    9. 7.4.4 Data Dictionaries
    10. 8 Applikatorische Berechtigungen in BI-Systemen
    11. 8.1 Skill- und Rollenmodelle
    12. 8.2 Einordnung der Rollen
    13. 8.3 Implementierungsarten für applikatorische Berechtigungen
    14. 8.3.1 Matrixmodell
    15. 8.3.2 Einzelrechtemodell
    16. 8.3.3 Vergleich Einzelrechte- zu Matrixmodell
    17. 8.3.4 Möglichkeiten zum späteren Wechsel des Modells
    18. 8.4 Datenzugriff mit technischen oder persönlichen Usern
    19. 8.5 Herausforderung 1: multiple Rollen
    20. 8.5.1 Additive Rechtevergabe am Beispiel eines Datenwürfels
    21. 8.5.2 Restriktive Rechtevergabe am Beispiel eines Datenwürfels
    22. 8.5.3 Multiple technische Rollen bei funktionalen Rechten
    23. 8.6 Herausforderung 2: unterschiedliche Rechte in hierarchischen Daten
    24. 8.7 Alternatives Konzept: Überwachen statt Verhindern
    25. 9 Autorisierung und Authentifizierung
    26. 9.1 Zuständigkeit für Freigabe von Berechtigungsanträgen
    27. 9.2 Weitere Rollen
    28. 9.3 Drei Komponenten bei der Berechtigungsvergabe
    29. 9.4 Autorisierungsprozesse
    30. 9.4.1 Rechte und Rollen
    31. 9.4.2 Rollen und Anwender
    32. 9.5 Einsatz von Autorisierungstools
    33. 9.6 Arten der Authentifizierung (Login)
    34. 9.7 Segregation of Duties (SoD)
    35. 9.8 Systemübergreifende Rechteverwaltung
    36. 9.8.1 Rollenimport aus operativen Systemen in ein Data Warehouse
    37. 9.8.2 Vergabe von Rollen für mehrere Systeme
    38. 9.8.3 Beibehalten oder Wechsel der Data Ownership im Data Warehouse
    39. 9.9 Protokollierung von Datenzugriff und -verwendung
  12. Teil III Sicherstellen des operativen Betriebs
    1. 10 Operativer Betrieb (Verfügbarkeit)
    2. 10.1 Ermitteln der Businesskritikalität
    3. 10.1.1 Anforderungen an IT-Services
    4. 10.1.2 Strukturierung eines IT-Serviceportfolios
    5. 10.1.3 Herleiten von Business-Intelligence-Services
    6. 10.1.4 Wert eines Business-Intelligence-Service
    7. 10.1.5 Bestimmen des Service Level
    8. 10.2 Backup und Restore
    9. 10.3 Disaster Recovery und Notfallkonzepte
    10. 10.3.1 Prävention
    11. 10.3.2 Inhalt und Struktur von Notfallplänen
    12. 10.3.3 Disaster Recovery einüben
    13. 10.4 Spezifische Technologien
    14. 10.4.1 Mobile Plattformen
    15. 10.4.2 Cloud-Anwendungen und Rechenzentrum-Outsourcing
    16. 10.4.3 Hadoop-Plattformen und Data Lakes
    17. 10.4.4 Sandboxes
    18. 10.4.5 Data Science Labs
    19. 10.4.6 NoSQL-Datenbanken
    20. 10.5 Räumliche Sicherheit
  13. Teil IV Standards, Methoden und Normen
    1. 11 Normen, Standards und Organisationen
    2. 11.1 ISO 15408 – Common Criteria for IT Security Evaluation
    3. 11.2 ISO 27000 ff
    4. 11.2.1 Struktur von ISO 27000 ff
    5. 11.2.2 Beurteilung
    6. 11.3 Bundesamt für Sicherheit in der Informationstechnik (BSI)
    7. 11.3.1 BSI-Standards
    8. 11.3.2 IT-Grundschutz-Kataloge
    9. 11.3.3 Weitere Hilfsmittel
    10. 11.3.4 Kritikpunkte am BSI-Framework
    11. 11.4 ISIS12
    12. 11.4.1 Das ISIS12-Vorgehensmodell
    13. 11.4.2 Tools und Hilfsmittel
    14. 11.4.3 Zertifizierung
    15. 11.4.4 Schwächen von ISIS12
    16. 11.5 OWASP
    17. 11.5.1 Hilfsmittel
    18. 11.5.2 Beurteilung
    19. 11.6 ITIL 2011
    20. 11.6.1 Security-Aspekte in den ITIL-Phasen
    21. 11.6.2 Beurteilung
    22. 11.7 STRIDE
    23. 11.8 OSSTMM 3
    24. 11.9 MELANI
    25. 11.10 Data Center Tier Standard
  14. Teil V Hilfsmittel und Checklisten
    1. 12 Checklisten und Handlungsfelder
    2. 12.1 Rollenbezeichnungen in einem zentralen Autorisierungssystem
    3. 12.2 Berücksichtigung von Sicherheitsaspekten beim Aufbau eines neuen Systems
    4. 12.2.1 Datenschutz-Checkliste zu VDSG Art. 9
    5. 12.2.2 Initiale Prüfungen
    6. 12.2.3 Datenbearbeitung
    7. 12.2.4 Aufbewahrung und Löschung
    8. 12.3 Security-Prüfungen für Data Warehousing und Business Intelligence
    9. 12.3.1 Sourcing (ETL-/ELT-Prozesse)
    10. 12.3.2 Persistente Datenspeicherung und -abfragen
    11. 12.3.3 Frontend und User-Zugriff (Autorisierung)
    12. 12.3.4 Repository und Administration
    13. 12.3.5 Generelle Infrastruktur und Komponenten sowie Organisation
    14. 12.3.6 Mobile Geräte und Plattformen
    15. 12.3.7 Mobile Datenträger
    16. 12.3.8 Elektronische Datenübertragung
    17. 12.4 Interne Risiken/Bedrohungen und Schutzmöglichkeiten
    18. 12.4.1 Interne Risiken/Bedrohungen
    19. 12.4.2 Behandlung von internen Risiken/Bedrohungen
    20. 12.5 Umgang mit IT- und Admin-Usern
    21. 13 Security Penetration Testing
    22. 13.1 Fünf Schritte des Penetration Testing
    23. 13.1.1 Schritt 1: Klärung der Ziele und des Rahmens
    24. 13.1.2 Schritt 2: Vorbereitung
    25. 13.1.3 Schritt 3: Erste Phase des Angriffs (Auffinden von Sicherheitslücken)
    26. 13.1.4 Schritt 4: Zweite Phase des Angriffs (Eindringen in das System)
    27. 13.1.5 Schritt 5: Auswertung und Maßnahmenplan
    28. 13.2 Grenzen von Penetrationstests
    29. 13.3 Personenbezogener Angriff
    30. 13.3.1 Social Engineering
    31. 13.3.2 IGEL-Prinzip
    32. 13.4 Technischer Angriff
    33. 13.5 Physischer Angriff
    34. 14 Ausblick und Trends
  15. Anhang
    1. A Security-Tools
    2. A.1 Tools für Sicherheitskonzepte
    3. A.2 Security-Penetration-Test-Suiten
    4. A.3 User Activity Tracking
    5. A.4 Spezifische Tools für einzelne Aufgaben in Penetrationstest
    6. A.4.1 Portscanner
    7. A.4.2 Vulnerability-Scanner
    8. A.4.3 Sniffer
    9. A.4.4 Paketgeneratoren
    10. A.4.5 Passwortcracker
    11. A.5 Passwortmanager
    12. A.6 Passwortgeneratoren
    13. A.7 Verzeichnisdienste
    14. B Privacy versus Security
    15. C Lizenzmanagement
    16. D Glossar
    17. E Quellenverzeichnis
    18. E.1 Literatur
    19. E.2 Weblinks
  16. Fußnoten
  17. Index