Konzeption und Entwicklung eines sicheren Cloud- …Konzeption und Entwicklung eines sicheren...

36
Projektgruppe LS14 1 Projektgruppe Projektgruppe Sose 2011 Sose 2011 WS 2011/12 WS 2011/12 Konzeption und Entwicklung eines sicheren Cloud- basierten Internetbanking-Systems mit anschließender Sicherheitsanalyse auf Basis von Business Process Mining im SoSe 2011 & WS 2011/12 Prof. Jan Jürjens, Dr. Holger Schmidt, Stephan Fassbender TU Dortmund, Fakultät Informatik, Lehrstuhl XIV

Transcript of Konzeption und Entwicklung eines sicheren Cloud- …Konzeption und Entwicklung eines sicheren...

Page 1: Konzeption und Entwicklung eines sicheren Cloud- …Konzeption und Entwicklung eines sicheren Cloud-basierten Internetbanking-Systems mit anschließender Sicherheitsanalyse auf Basis

Projektgruppe LS14

1

ProjektgruppeProjektgruppeSose 2011Sose 2011

WS 2011/12WS 2011/12

Konzeption und Entwicklung eines sicheren Cloud-basierten Internetbanking-Systems mit

anschließender Sicherheitsanalyse auf Basis von Business Process Mining

im SoSe 2011 & WS 2011/12

Prof. Jan Jürjens, Dr. Holger Schmidt, Stephan Fassbender

TU Dortmund, Fakultät Informatik, Lehrstuhl XIV

Page 2: Konzeption und Entwicklung eines sicheren Cloud- …Konzeption und Entwicklung eines sicheren Cloud-basierten Internetbanking-Systems mit anschließender Sicherheitsanalyse auf Basis

Projektgruppe LS14

2

ProjektgruppeProjektgruppeSose 2011Sose 2011

WS 2011/12WS 2011/12Agenda

1 Das Thema

2 Das Vorgehen

3 Die Schwerpunkte

4 Die Werkzeuge

5 Das Organisatorische

Page 3: Konzeption und Entwicklung eines sicheren Cloud- …Konzeption und Entwicklung eines sicheren Cloud-basierten Internetbanking-Systems mit anschließender Sicherheitsanalyse auf Basis

Projektgruppe LS14

3

ProjektgruppeProjektgruppeSose 2011Sose 2011

WS 2011/12WS 2011/12Worum geht es?

1 Das Thema

2 Das Vorgehen

3 Die Schwerpunkte

4 Die Werkzeuge

5 Das Organisatorische

Page 4: Konzeption und Entwicklung eines sicheren Cloud- …Konzeption und Entwicklung eines sicheren Cloud-basierten Internetbanking-Systems mit anschließender Sicherheitsanalyse auf Basis

Projektgruppe LS14

4

ProjektgruppeProjektgruppeSose 2011Sose 2011

WS 2011/12WS 2011/12Worum geht es?

Prozessmigration in die Cloud

Page 5: Konzeption und Entwicklung eines sicheren Cloud- …Konzeption und Entwicklung eines sicheren Cloud-basierten Internetbanking-Systems mit anschließender Sicherheitsanalyse auf Basis

Projektgruppe LS14

5

ProjektgruppeProjektgruppeSose 2011Sose 2011

WS 2011/12WS 2011/12Worum geht es?

Herausforderungen: Security & Compliance

Page 6: Konzeption und Entwicklung eines sicheren Cloud- …Konzeption und Entwicklung eines sicheren Cloud-basierten Internetbanking-Systems mit anschließender Sicherheitsanalyse auf Basis

ProjektgruppeProjektgruppeSose 2011Sose 2011

WS 2011/12WS 2011/12Worum geht es?

Show Stopper: Security & Compliance

Page 7: Konzeption und Entwicklung eines sicheren Cloud- …Konzeption und Entwicklung eines sicheren Cloud-basierten Internetbanking-Systems mit anschließender Sicherheitsanalyse auf Basis

Projektgruppe LS14

7

ProjektgruppeProjektgruppeSose 2011Sose 2011

WS 2011/12WS 2011/12Wie soll Vorgegangen werden?

1 Das Thema

2 Das Vorgehen

3 Die Schwerpunkte

4 Die Werkzeuge

5 Das Organisatorische

Page 8: Konzeption und Entwicklung eines sicheren Cloud- …Konzeption und Entwicklung eines sicheren Cloud-basierten Internetbanking-Systems mit anschließender Sicherheitsanalyse auf Basis

Projektgruppe LS14

8

ProjektgruppeProjektgruppeSose 2011Sose 2011

WS 2011/12WS 2011/12Wie soll Vorgegangen werden?

Vorgehensmodell

Page 9: Konzeption und Entwicklung eines sicheren Cloud- …Konzeption und Entwicklung eines sicheren Cloud-basierten Internetbanking-Systems mit anschließender Sicherheitsanalyse auf Basis

Projektgruppe LS14

9

ProjektgruppeProjektgruppeSose 2011Sose 2011

WS 2011/12WS 2011/12Wie soll Vorgegangen werden?

Projektplan SoSe

Aufgabe Anfang Ende Wochen

Einarbeitungsphase- Vorbereitung u. Seminar- Projektplan erstellen

KW15KW17

KW16KW17

21

Voruntersuchung- Anforderungserhebung und -analyse- Spezifikation

KW18KW21

KW20KW22

32

Fachentwurf- Prozessmodellierung- Grafische Benutzeroberfläche

KW23KW26

KW25KW26

31

Systementwurf- Auswahl von Technologien- Architekturentwurf

KW27KW28

KW27KW29

12

Dokumentation- Zwischenbericht KW15 KW29 15

Page 10: Konzeption und Entwicklung eines sicheren Cloud- …Konzeption und Entwicklung eines sicheren Cloud-basierten Internetbanking-Systems mit anschließender Sicherheitsanalyse auf Basis

Projektgruppe LS14

10

ProjektgruppeProjektgruppeSose 2011Sose 2011

WS 2011/12WS 2011/12Wie soll Vorgegangen werden?

Projektplan WS

Aufgabe Anfang Ende Wochen

Implementierung KW41 KW51 11

Konfigurierung KW2 KW2 1

Stabilisierung- Unit-Testen- Anwendungsbeispiele- Seminar zu Softwaresicherheit- Penetrationstesten

KW3 KW6 4

Dokumentation- Endbericht

KW41 KW6 16

Page 11: Konzeption und Entwicklung eines sicheren Cloud- …Konzeption und Entwicklung eines sicheren Cloud-basierten Internetbanking-Systems mit anschließender Sicherheitsanalyse auf Basis

Projektgruppe LS14

11

ProjektgruppeProjektgruppeSose 2011Sose 2011

WS 2011/12WS 2011/12Wie soll Vorgegangen werden?

Seminarphase

● Teammitglieder vermitteln Wissen untereinander

● Jeder ● bekommt ein PG relevantes Thema● recherchiert Quellen● wird Fachmann● vermittelt Wissen mittels Vortrag● steuert Kurzzusammenfassung zum PG Handbuch bei

Page 12: Konzeption und Entwicklung eines sicheren Cloud- …Konzeption und Entwicklung eines sicheren Cloud-basierten Internetbanking-Systems mit anschließender Sicherheitsanalyse auf Basis

Projektgruppe LS14

12

ProjektgruppeProjektgruppeSose 2011Sose 2011

WS 2011/12WS 2011/12Wie soll Vorgegangen werden?

Mögliche Themen

● IT Projektmanagement

● Compliance

● Qualitätssicherung & Dokumentation

● Cloud Infrastruktur & Programming & SOA

● Requirements Engineering

● IDE & Team Developing Tools

● Modeling & Code Generation

● Testing

● Security & Testing

Page 13: Konzeption und Entwicklung eines sicheren Cloud- …Konzeption und Entwicklung eines sicheren Cloud-basierten Internetbanking-Systems mit anschließender Sicherheitsanalyse auf Basis

Projektgruppe LS14

13

ProjektgruppeProjektgruppeSose 2011Sose 2011

WS 2011/12WS 2011/12Wie soll Vorgegangen werden?

Rollen während der PG

● Jeder muss in jeder Phase arbeiten!!

● Aber:● Pro Phase gibt es min. einen Fachmann● Es gibt Phasenübergreifende Rollen

● Bsp.:● Projektmanager● Qualitätsmanager● Requirements Analyst● Softwarearchitekt● Testing Planner

Page 14: Konzeption und Entwicklung eines sicheren Cloud- …Konzeption und Entwicklung eines sicheren Cloud-basierten Internetbanking-Systems mit anschließender Sicherheitsanalyse auf Basis

Projektgruppe LS14

14

ProjektgruppeProjektgruppeSose 2011Sose 2011

WS 2011/12WS 2011/12Wie soll Vorgegangen werden?

Modellbasiert

Page 15: Konzeption und Entwicklung eines sicheren Cloud- …Konzeption und Entwicklung eines sicheren Cloud-basierten Internetbanking-Systems mit anschließender Sicherheitsanalyse auf Basis

Projektgruppe LS14

15

ProjektgruppeProjektgruppeSose 2011Sose 2011

WS 2011/12WS 2011/12Wie soll Vorgegangen werden?

Voruntersuchung

Page 16: Konzeption und Entwicklung eines sicheren Cloud- …Konzeption und Entwicklung eines sicheren Cloud-basierten Internetbanking-Systems mit anschließender Sicherheitsanalyse auf Basis

Projektgruppe LS14

16

ProjektgruppeProjektgruppeSose 2011Sose 2011

WS 2011/12WS 2011/12Wie soll Vorgegangen werden?

V1: Requirements Engineering

Page 17: Konzeption und Entwicklung eines sicheren Cloud- …Konzeption und Entwicklung eines sicheren Cloud-basierten Internetbanking-Systems mit anschließender Sicherheitsanalyse auf Basis

Projektgruppe LS14

17

ProjektgruppeProjektgruppeSose 2011Sose 2011

WS 2011/12WS 2011/12Wie soll Vorgegangen werden?

Fachentwurf

Page 18: Konzeption und Entwicklung eines sicheren Cloud- …Konzeption und Entwicklung eines sicheren Cloud-basierten Internetbanking-Systems mit anschließender Sicherheitsanalyse auf Basis

Projektgruppe LS14

18

ProjektgruppeProjektgruppeSose 2011Sose 2011

WS 2011/12WS 2011/12Wie soll Vorgegangen werden?V2: Fachliche Lösungsbeschreibung

● Modelle: ● Z.B. UML

Aktivitätsdiagramm

Page 19: Konzeption und Entwicklung eines sicheren Cloud- …Konzeption und Entwicklung eines sicheren Cloud-basierten Internetbanking-Systems mit anschließender Sicherheitsanalyse auf Basis

Projektgruppe LS14

19

ProjektgruppeProjektgruppeSose 2011Sose 2011

WS 2011/12WS 2011/12Wie soll Vorgegangen werden?V2: Fachliche Lösungsbeschreibung

● Modelle: ● Z.B. UML Aktivitätsdiagramm● Z.B. BPMN 2.0

Page 20: Konzeption und Entwicklung eines sicheren Cloud- …Konzeption und Entwicklung eines sicheren Cloud-basierten Internetbanking-Systems mit anschließender Sicherheitsanalyse auf Basis

Projektgruppe LS14

20

ProjektgruppeProjektgruppeSose 2011Sose 2011

WS 2011/12WS 2011/12Wie soll Vorgegangen werden?V2: Fachliche Lösungsbeschreibung

● Modelle: ● Z.B. UML

Aktivitätsdiagramm● Z.B. BPMN 2.0

● Mensch – Maschinen

Schnittstellen● Z.B. GUI Prototypen

Page 21: Konzeption und Entwicklung eines sicheren Cloud- …Konzeption und Entwicklung eines sicheren Cloud-basierten Internetbanking-Systems mit anschließender Sicherheitsanalyse auf Basis

Projektgruppe LS14

21

ProjektgruppeProjektgruppeSose 2011Sose 2011

WS 2011/12WS 2011/12Wie soll Vorgegangen werden?

Systementwurf

Page 22: Konzeption und Entwicklung eines sicheren Cloud- …Konzeption und Entwicklung eines sicheren Cloud-basierten Internetbanking-Systems mit anschließender Sicherheitsanalyse auf Basis

Projektgruppe LS14

22

ProjektgruppeProjektgruppeSose 2011Sose 2011

WS 2011/12WS 2011/12Wie soll Vorgegangen werden?

V3: Systemarchitektur & Technologiewahl

● Architekturwahl & Design● Z.B. SOA

Page 23: Konzeption und Entwicklung eines sicheren Cloud- …Konzeption und Entwicklung eines sicheren Cloud-basierten Internetbanking-Systems mit anschließender Sicherheitsanalyse auf Basis

Projektgruppe LS14

23

ProjektgruppeProjektgruppeSose 2011Sose 2011

WS 2011/12WS 2011/12Wie soll Vorgegangen werden?

V3: Systemarchitektur & Technologiewahl

● Architekturwahl & Design● Z.B. SOA

● Funktions- & API-Beschreibung● Z.B Object-oriented

Page 24: Konzeption und Entwicklung eines sicheren Cloud- …Konzeption und Entwicklung eines sicheren Cloud-basierten Internetbanking-Systems mit anschließender Sicherheitsanalyse auf Basis

Projektgruppe LS14

24

ProjektgruppeProjektgruppeSose 2011Sose 2011

WS 2011/12WS 2011/12Wie soll Vorgegangen werden?

V3: Systemarchitektur & Technologiewahl

● Architekturwahl & Design● Z.B. SOA

● Funktions- & API-Beschreibung● Z.B Objectoriented

● Protokollwahl● Z.B. SOAP oder REST

● Datenrepository & Repräsentation

● Programmiersprache & Frameworks

Page 25: Konzeption und Entwicklung eines sicheren Cloud- …Konzeption und Entwicklung eines sicheren Cloud-basierten Internetbanking-Systems mit anschließender Sicherheitsanalyse auf Basis

Projektgruppe LS14

25

ProjektgruppeProjektgruppeSose 2011Sose 2011

WS 2011/12WS 2011/12Wie soll Vorgegangen werden?

Implementierung

Page 26: Konzeption und Entwicklung eines sicheren Cloud- …Konzeption und Entwicklung eines sicheren Cloud-basierten Internetbanking-Systems mit anschließender Sicherheitsanalyse auf Basis

Projektgruppe LS14

26

ProjektgruppeProjektgruppeSose 2011Sose 2011

WS 2011/12WS 2011/12Wie soll Vorgegangen werden?

Implementierung

● Automatische Generierung● von Code (z.B. UML Klassenmodellen)● von Protokollabläufen (z.B. aus Sequenzdiagrammen)

● Protokollspezifikation● zum verbinden der Architekturteile

● Programmieren unter Nutzung● der gewählten Cloud API● der gewählten Datenrepräsentation● der gewählten Frameworks

Page 27: Konzeption und Entwicklung eines sicheren Cloud- …Konzeption und Entwicklung eines sicheren Cloud-basierten Internetbanking-Systems mit anschließender Sicherheitsanalyse auf Basis

Projektgruppe LS14

27

ProjektgruppeProjektgruppeSose 2011Sose 2011

WS 2011/12WS 2011/12Wo liegt der Fokus?

1 Das Thema

2 Das Vorgehen

3 Die Schwerpunkte

4 Die Werkzeuge

5 Das Organisatorische

Page 28: Konzeption und Entwicklung eines sicheren Cloud- …Konzeption und Entwicklung eines sicheren Cloud-basierten Internetbanking-Systems mit anschließender Sicherheitsanalyse auf Basis

Projektgruppe LS14

28

ProjektgruppeProjektgruppeSose 2011Sose 2011

WS 2011/12WS 2011/12Wo liegt der Fokus?

Implementierung

Page 29: Konzeption und Entwicklung eines sicheren Cloud- …Konzeption und Entwicklung eines sicheren Cloud-basierten Internetbanking-Systems mit anschließender Sicherheitsanalyse auf Basis

Projektgruppe LS14

29

ProjektgruppeProjektgruppeSose 2011Sose 2011

WS 2011/12WS 2011/12Wo liegt der Fokus?

Processmining

Log-Repository

Prozess ID Aktivitäts ID Bearbeiter Zeitstempel

1 A John 9-3-10:15.01

2 A Mike 9-3-10:15.12

1 B Mike 9-3-10:16.07

2 C Carol 9-3-10:18.25

A

B

C

X

Page 30: Konzeption und Entwicklung eines sicheren Cloud- …Konzeption und Entwicklung eines sicheren Cloud-basierten Internetbanking-Systems mit anschließender Sicherheitsanalyse auf Basis

Projektgruppe LS14

30

ProjektgruppeProjektgruppeSose 2011Sose 2011

WS 2011/12WS 2011/12Wo liegt der Fokus?

Testing & Security

● Testen während der Erstellung● WhiteBox z.B. Code Verification, ModelChecking● Greybox z.B. JUnit● BlackBox z.B. Code Fuzzer

● Test zur Laufzeit● BlackBox z.B. API / GUI Fuzzer

● Fokus auf Security● Penetration Testing

● Insider / Outsider Attack● Protokollanalyse

Page 31: Konzeption und Entwicklung eines sicheren Cloud- …Konzeption und Entwicklung eines sicheren Cloud-basierten Internetbanking-Systems mit anschließender Sicherheitsanalyse auf Basis

Projektgruppe LS14

31

ProjektgruppeProjektgruppeSose 2011Sose 2011

WS 2011/12WS 2011/12Was soll genutzt werden?

1 Das Thema

2 Das Vorgehen

3 Die Schwerpunkte

4 Die Werkzeuge

5 Das Organisatorische

Page 32: Konzeption und Entwicklung eines sicheren Cloud- …Konzeption und Entwicklung eines sicheren Cloud-basierten Internetbanking-Systems mit anschließender Sicherheitsanalyse auf Basis

Projektgruppe LS14

32

ProjektgruppeProjektgruppeSose 2011Sose 2011

WS 2011/12WS 2011/12Was soll genutzt werden?

● Professionelle Cloudumgebung(Beteiligung an der neuen Cloud-Infrastruktur der Fak. Informatik)

● z.B. Google App Engine oder Amazon EC2● Cloud APIs und Frameworks

● z.B. Google Web Toolkit● State of the Art Modellierungswerkzeuge

● EMF basiert z.B Papyrus oder Fujaba● Standard Programmierwerkzeuge

● IDE: Eclipse● + Plugins (FindBugs, MyLyn, CheckStyle...)

● Versionskontrolle: z.B. SVN

Page 33: Konzeption und Entwicklung eines sicheren Cloud- …Konzeption und Entwicklung eines sicheren Cloud-basierten Internetbanking-Systems mit anschließender Sicherheitsanalyse auf Basis

Projektgruppe LS14

33

ProjektgruppeProjektgruppeSose 2011Sose 2011

WS 2011/12WS 2011/12Sonst noch was?

1 Das Thema

2 Das Vorgehen

3 Die Schwerpunkte

4 Die Werkzeuge

5 Das Organisatorische

Page 34: Konzeption und Entwicklung eines sicheren Cloud- …Konzeption und Entwicklung eines sicheren Cloud-basierten Internetbanking-Systems mit anschließender Sicherheitsanalyse auf Basis

Projektgruppe LS14

34

ProjektgruppeProjektgruppeSose 2011Sose 2011

WS 2011/12WS 2011/12Sonst noch was?

Voraussetzungen

● Vgl. PG-Infoheft.

● Softwaretechnik (V)

● Kenntnisse in objektorientierter Programmierung (V)

● Mensch-Maschine-Interaktion , Modellgestützte Analyse und Optimierung , Formale Methoden des Systementwurfs (M)

● Kenntnisse in UML (W)

● Kenntnisse in UMLsec (W)

● Kenntnisse in Cloud-Entwicklung (W)

● Kenntnisse in Sicherheitstesten von Software (W)

Page 35: Konzeption und Entwicklung eines sicheren Cloud- …Konzeption und Entwicklung eines sicheren Cloud-basierten Internetbanking-Systems mit anschließender Sicherheitsanalyse auf Basis

Projektgruppe LS14

35

ProjektgruppeProjektgruppeSose 2011Sose 2011

WS 2011/12WS 2011/12Sonst noch was?

Minimalziel

● Konzeption einer Cloud-basierten Internetbanking-Anwendung

● Prototypische Realisierung der Konzepte

● Sicherheitsevaluation der implementierten Systeme

● Soll- und Ist-Vergleich der ausgeführten Prozesse mittels Business Process Mining

● Erstellung eines Endberichts

● Fachgespräch

Page 36: Konzeption und Entwicklung eines sicheren Cloud- …Konzeption und Entwicklung eines sicheren Cloud-basierten Internetbanking-Systems mit anschließender Sicherheitsanalyse auf Basis

Projektgruppe LS14

36

ProjektgruppeProjektgruppeSose 2011Sose 2011

WS 2011/12WS 2011/12Sonst noch was?

Wann und wo geht es weiter?

● Anmeldung bis 1.12.2010

● Erstes PG Meeting im Januar

● Betreuer:

● Prof. Jan Jürjens● Dr. Holger Schmidt● Stephan Faßbender

● In Zusammenarbeit mit dem Fraunhofer ISST Projekt APEX

● Weitere Informationen● http://inky.cs.tu-dortmund.de/main2/jj/teaching/pg/securecloudbanking