Autor: GGrosse

Netzwerkpartner

Willkommen @ Virtual Forge

Wir freuen uns über einen neuen Partner mit Expertise in SAP ABAP Code. Durch den Netzwerkbeitritt von Virtual Forge und den damit einhergehenden Kompetenzzuwachs können wir unser Portfolio im Bereich Qualitätssicherung noch besser aufstellen.

Virtual Forge ist ein unabhängiger Anbieter von Sicherheits-, Compliance- und Qualitätslösungen für SAP®-Systeme und Anwendungen. Die Produkte ermöglichen es Kunden, automatisch Risiken zu identifizieren und Fehler und Schwachstellen innerhalb ihrer Systeme zu beseitigen – und sorgen dadurch für einen besseren Schutz vor Cyber-Angriffen, Betrug und Systemausfällen.

Weitere Informationen zu Virtual Forge finden Sie auf: www.virtualforge.com

Netzwerkpartner

Willkommen @ Softplant

Ein weiteres innovatives Unternehmen ist unserem Netzwerk beigetreten: Wir begrüßen seit dieser Woche die Softplant GmbH aus München! Insbesondere die von Softplant entwickelte Technologie ‚Living EAM Platform‘ wird unser Portfolio im Bereich IT-Governance ergänzen – und zwar in gewohnt exzellenter Qualität.

Softplant ermöglicht ihren Kunden, Zusammenhänge und Abläufe im Unternehmen systematisch zu analysieren und zielgerichtet Handlungsbedarfe abzuleiten. Die aufgrund der Digitalisierung stetig zunehmende Komplexität wird so beherrschbar. Wesentliche Schwerpunkte der Arbeit von Softplant liegen auf dem Zusammenspiel von Business und IT sowie der Flexibilisierung von Prozessen und Anwendungslandschaften. Innovationen sind daher ein gelebter Bestandteil des Unternehmens und eine Triebfeder für eine laufende Verbesserung der Angebote und Leistungen.

Weitere Informationen zu Softplant finden Sie auf softplant.de

Forschung und Entwicklung

Datenpflege ist kritischer Erfolgsfaktor für Unternehmen

ZIM-Kooperationsprojekt will Machine Learning Verfahren zur fehlertoleranten automatischen Dublettenerken­nung (Identity Resolution) entwickeln

Die Pflege von Kunden- und Interessentendatenbanken für Unternehmen und Institutionen künftig zu vereinfachen ist das Ziel eines gemeinsamen Forschungs- und Entwicklungsprojekts des Instituts für Angewandte Informatik (InfAI) e.V., Leipzig und der Uniserv GmbH, Pforzheim. Beide Partner sind Mitglied in dem bundesweiten GFFT-Kooperationsnetzwerk „Erfolgreiche IT-Großprojekte: Mit System zum Erfolg“.

Fehlertolerante automatische Dublettenerkennung ist Voraussetzung, damit Unternehmen zum Beispiel eine komplette 360°-Sicht auf Kunden und Interessenten herstellen oder personalisierte Kundeninteraktion auslösen können. Dies gilt auch für Analysen auf Haushaltsebene oder um einen Abgleich gegen Sperrlisten zur Betrugserkennung und Risikoabschätzung durchzuführen.

Im Bereich der Verwaltung großer Datenbestände von Kunden und Interessenten ist die Erstellung von Geschäftsregeln für die Erkennung von Duplikaten eine hoch komplexe Aufgabe. Denn es geht dabei nicht nur um doppelte oder mehrfach vorhandene Stammdaten, sondern oft auch um zugehörige Transaktionsdaten, die nicht über eindeutige Kundennummern, sondern über so genannte „weiche“ Identifikationskriterien wie Namen und Adressen, Telefonnummer, E-Mailadresse oder Social Login zugeordnet werden müssen. Diese Zuordnungen maschinell sicher durch zu führen, wird im Zeitalter der Digitalisierung immer wichtiger.

Dabei sind diese Geschäftsregeln nicht nur je Unternehmen und Institution unterschiedlich. Sie hängen auch erheblich von der jeweiligen Aufgabenstellung (wie beispielsweise Konsolidierung aller Finanz- und Versicherungsverträge in einem Haushalt oder Datenanreicherung für Marketing-Kampagnen) ab sowie auch von der Datenqualität, die je nach Erfassungsart (Webformular, Call-Center etc.) sehr unterschiedlich ist. Da sich Aufgaben und Anforderungen oft sehr kurzfristig ergeben bzw. ändern, muss die Erstellung eines neuen aufgabenspezifischen Regelwerks sehr schnell und möglichst durch die Fachabteilung direkt erfolgen können.

Mit Hilfe des Projekts KOBRA (Konfiguration von Business-Regeln für Anwender von Duplikaterken­nungssystemen) soll nun eine Lösung geschaffen werden, die die aufgaben- und unternehmensspeziellen Regeln durch Hinzufügen von positiven und negativen Beispielen der Nutzer immer besser an die spezifische Problemstellung anpasst. Dies geschieht durch eine neuartige Kombination unter­schiedlicher Verfahren des maschinellen Lernens mit einer Trainingsdatenselektion, Historisierung und Simulationsumgebung. Mittels dieser automatisierten Identitäts- und damit Duplikaterkennung kann die Datenqualität signifikant gesteigert werden.

„Das Projekt ermöglicht es uns, Knowhow aus langjähriger Forschungsarbeit in die Praxis übertragen zu können und gemeinsam weiter zu vertiefen. Wir freuen uns sehr auf die Zusammenarbeit mit Uniserv“, erläutert Professor Erhard Rahm, Leiter der Abteilung Datenbanken am InfAI.

Hervorgegangen ist das Projekt KOBRA aus dem ZIM-geförderten Kooperationsnetzwerk „Erfolgrei­che IT-Großprojekte: Mit System zum Erfolg“, welches von der GFFT Innovationsförderung GmbH be­trieben wird. Ziel des Netzwerks ist es, bestehende Methoden, Techniken und Werkzeuge, die für kleine und mittlere Projekte gut geeignet sind, systematisch auf ihre Eignung für IT-Großprojekte zu untersuchen, um dann die dort erkannten methodischen und technologischen Lücken zu schließen. So soll ein durchgehendes Gesamtkonzept zur erfolgreichen Durchführung großer IT-Projekte ge­schaffen werden.

„Wir freuen uns sehr auf die künftige Zusammenarbeit mit der GFFT und dem InfAI im Rahmen des Forschungsprojekts KOBRA. Das Projekt soll zeigen, wie Künstliche Intelligenz dabei helfen kann, die Ansprache von Unternehmen an ihre Kunden zu verbessern – und die Qualität von Kundendaten zu erhöhen. Die Ergebnisse des Projekts wollen wir nach Abschluss auch in unsere Lösung Uniserv Identity einfließen lassen“, erklärt Dr. Simone Braun, Business Development, Uniserv.

Das Projekt KOBRA wird für zwei Jahre im Rahmen des Zentralen Innovationsprogramms Mittelstand (ZIM) durch das Bundesministerium für Wirtschaft und Energie gefördert.


Die GFFT Innovationsförderung GmbH

Die GFFT Innovationsförderung GmbH mit Sitz in Bad Vilbel initiiert und betreibt Netzwerke und Innovationszen­tren, deren Ziel die Ent­wicklung und Bündelung innovativer Lösungen im Bereich der Informationstechnologie ist. Diese Initiativen führen kompetente Partner aus Forschung und Praxis zusammen und richten ihre Kräfte auf ein gemeinsames Ziel aus. Die GFFT Innovationsförderung GmbH unterstützt ihre Partner durch das Management, die Fortschrittskontrolle und den sukzessiven Ausbau der Netzwerke sowie durch die Vermarktung der Lösungen.

Mehr Informationen unter www.gfft-ev.de.


Uniserv GmbH

Uniserv ist Experte für erfolgreiches Kundendatenmanagement. In seinen Customer-Data-Management- und Data-Quality-Lösungen für Kundenstamm- und Bewegungsdaten vereint Uniserv Datenqualitätssicherung und Datenintegration zu einem ganzheitlichen Ansatz. Kundendaten stehen im Mittelpunkt von Initiativen für Master Data Management, Datenqualität, Datenmigration und Data Warehousing, beispielsweise im Umfeld von CRM-Anwendungen, eBusiness, Direct- und Database-Marketing, CDI/MDM-Anwendungen und Business Intelligence. Mit mehreren Tausend Installationen weltweit bedient Uniserv die Erwartungshaltung einer ganzheitlichen Lösung für alle Geschäfts- und Kundendaten über den gesamten Datenlebenszyklus hinweg. Am Stammsitz in Pforzheim sowie in den Niederlassungen in Paris, Frankreich, und Amsterdam, Niederlande, beschäftigt das Unternehmen über 130 Mitarbeiter und zählt branchenübergreifend und international zahlreiche renommierte Unternehmen wie beispielsweise Allianz, Deutsche Bank, eBay, EDEKA, E.ON, France Telecom, Lufthansa, Otto, Siemens, Time Warner sowie TUI und VOLKSWAGEN zu seinen Kunden. Der Landesdatenschutzbeauftragte für Baden-Würt­temberg hat kürzlich bestätigt, dass Uniserv seine Geschäftsprozesse datenschutzgerecht gestaltet. Zudem hat das Unternehmen kürzlich erneut das Qualitätssiegel Datenverarbeitung des Deutschen Dialogmarketing Verban­des e.V. für das Jahr 2017 erhalten.

Mehr Informationen unter www.uniserv.com.

Institut für Angewandte Informatik (InfAI) e.V.

Das InfAI bzw. die am InfAI beteiligte Arbeitsgruppe von Prof. Dr. Erhard Rahm an der Universität Leipzig ist eine der weltweit führenden Forschungsgruppen im Bereich der Datenintegration, Datenmigration und insbesondere der Duplikaterkennung und kann umfangreiche wissenschaftliche Erfahrungen auf diesem Gebiet vorweisen. Er­hard Rahm ist außerdem einer der wissenschaftlichen Koordinatoren des nationalen Big Data Kompetenzzen­trums ScaDS Dresden/Leipzig, welches das Projekt ebenfalls inhaltlich unterstützen wird.

Mehr Informationen unter www.infai.org.

Ansprechpartner für Rückfragen:

GFFT Innovationsförderung GmbH

Dr. Thorsten Arendt

Mail: thorsten.arendt@gfft-ev.de

Tel: +49 6101/ 95 49 8 98

 

Uniserv GmbH

Dr. Simone Braun

Mail: simone.braun@uniserv.com

Tel.: +49 7231 936 1081

 

Institut für Angewandte Informatik (InfAI) e.V.

Dr. Erik Peukert

Mail: peukert@infai.org

Tel.: +49 341 97 39524

Netzwerkpartner

Willkommen @ ProArchCon

Unser Netzwerk konnte mit ProArchCon einen innovativen Partner gewinnen. Das Unternehmen bietet ein Werkzeug, welches sich der Herausforderung der Aufwandsschätzung bei großen Projekten stellt. ProArchCon ergänzt mit dieser Technologie unser Portfolio im Bereich Projekt- und Multiprojektmanagement.

Die ProArchCon GmbH ist professioneller Partner für IT-Lösungen in Wirtschaftsunternehmen jeder Größe sowie in öffentlichen Verwaltungen und gesellschaftlichen Institutionen. Das Dienstleistungsportfolio umfasst die Kompetenzzentren IT-Beratung, IT-Architektur und IT-Projekte. Das von ProArchCon entwickelte Werkzeug stellt eine detaillierte Schätzmethodologie zur Verfügung, mit der IT-Experten die Design-, Development- und Test-Artefakte bis auf 15 Minuten genau schätzen können. Sogar Risiko- und Uplift können mit der Methodik und Werkzeugunterstützung artefaktengenau geschätzt werden.

Gesellschaft, IT-Security, Meinung

Meinung: Passworte verstehen Menschen nicht

Die Erfindung des Passworts (für Computer) war die Sternstunde der IT-Sicherheit. Niemals wieder sollte jeder Nutzer unbedarft alles lesen oder sehen können. Wir waren an einem Punkt angelangt, wo Computer so leistungsfähig waren, dass viele Nutzer von einem System profitieren konnten. Doch wie ist die Situation in der Gegenwart? Es hat uns eine regelrechte Flut an Passworten erreicht – ebenso wie eine Flut an Systemen die von einer unvorstellbar großen Zahl an Nutzern zugleich genutzt werden. Immer wieder wird verkündet: ein Passwort muss dies können, ein Passwort muss das können… Sicher soll es sein, einzigartig und natürlich unheimlich schwer zu raten, denn das ist theoretisch der einzige Knackpunkt. Wenn ich zufällig das richtige Passwort eingebe, komme ich schon beim ersten Versuch rein und all die Mühe war für die Katz!

Dies hat die Situation geschaffen, dass jedes selten benutzte Passwort ein Hindernis werden kann, wenn der Dienst doch mal gebraucht wird. Abhilfe schafft das berühmte Passwort 123456! Dies steht im Gegensatz zu Empfehlungen des BSI. Zwölf Zeichen für Onlinezugänge – mindestens und für das WLAN besser 20 oder mehr. Hinzu kommen die vielen Zwangsloginkonten und selbst bei einem Dienstleister können auch mal mehrere, komplexe Passworte angelegt werden.

Unser Appell an dieser Stelle: ein verantwortungsbewusster Umgang mit Passworten, aber auch mit Accounts. Dieser dauerhafte Zwang zur Authentifizierung (und sonst teils Verweigerung aller Dienste) und der Bindung ans Internet ist uns ein Dorn im Auge. Wir sehen Passworte als wertvolles Mittel, um einige Dienste oder Infrastruktur abzusichern, aber dauerhaft werden wir in diesem Netzwerk auch das Problem der Authentifizierung angehen müssen. Damit es am Ende nicht heißt: dieses Passwort ist geheim!

IT-Security, Meinung, Uncategorized

Broken by design

Microsoft Windows hat den unrühmlichen Status als Ursache so mancher Sicherheitsprobleme in der modernen IT-Landschaft erworben. Das dieser nicht von ungefähr kommt, zeigt auch ein neuer Artikel über eine weitere Methode namens GhostHook, mit der sich Angreifer die höchste Befehlsgewalt auf der Maschine über die Ausnutzung einer falschen Behandlung eines Debugger in Windows zu eigen machen. Microsoft selbst stuft die Lücke als nicht kritisch ein, da der Schädling ja schon im Kernel Code ausführen können muss.
Was dabei vom Softwareriesen übersehen wird, dass die ausgetrickste Softwarekomponente im Kernel namens PatchGuard genau diese Art von Angriffen hätte verhindern sollen. Interessant der Hinweis von einem deutschen Newsportal an dieser Stelle: schon 2005 haben zwei Hacker gezeigt, wie man mit etwas Fleiß und Assembler die „Sicherheitsmaßnahmen“ von Microsoft umgehen kann, da der PatchGuard kein höheres Sicherheitslevel als der Kernel selbst hat. Softwareentwickler nennen so einen Sachverhalt „broken by design“ – also ein nicht mehr zu rettendes Unterfangen, dass wahrscheinlich daran gescheitert ist, dass Microsoft Hintertüren eine Möglichkeit geben wollte oder musste, sich in Windows einzupflanzen.

Es sollte an dieser Stelle einmal mehr überlegt werden, ob die Bequemlichkeit der Infrastruktur aus einem Guss nicht immer mehr zu einem Hindernis auf dem Weg zu ernsthaft abgesicherter IT wird. Nur die Zeit wird zeigen, welche Evolution sich in der Softwareindustrie an dieser Stelle letztlich durchsetzt.

Gesellschaft, IT-Security, Meinung

Staatstrojaner: Kein gutes Pferd

Die Tage muss sich der Bürger noch mehr Luft zufächeln. Der warme Sommer hält die Republik noch fest im Griff, da pustet auch durch das Parlament ein heißer Wind. Die Rede ist vom Gesetz zum Staatstrojaner. Eine Schadsoftware, die entwickelt wurde, um Informationen von technischen Geräten unbemerkt zu beschaffen. Der Nutzer soll einfach weitermachen wie bisher und falls die Taten böse waren, wird der gutmütige Staat diesem Verbrecher das Handwerk legen. Nun ist die Beschaffung von strafrechtlich Relevanter Information in der Tat das tägliche Brot von Ermittlern. Diese gehen hin, beobachten und dürfen vielerlei nicht. Sie dürfen nicht in Wohnungen einbrechen, sie dürfen Menschen nicht zu Aussagen nötigen. Doch es gibt Ausnahmen: Wenn eine ernste Bedrohungssituation besteht (auch „Gefahr im Verzug“), die beispielsweise Menschenleben bedroht, so darf der Ermittlungsbeamte aufgrund einer berechtigten Annahme ausnahmsweise die rote Linie übertreten und handeln. So etwas wird bei der Polizei jedoch nicht leichtfertig und schon gar nicht in Massen angewandt. Hier kommt der Staatstrojaner ins Spiel. Dieser Schädling kann potentiell alle Bürger und Unternehmen angreifen und führt „Ermittlungen“ durch, deren Dauer als auch rechtlicher Ermessensspielraum schnell verschwimmen können. Das Gesetzt sieht eine Vielzahl von Delikten vor, in denen ein Staatstrojaner legal eingesetzt werden darf. Die Liste ist lang und kann hier betrachtet werden. Während Mord noch irgendwo verständlich sein könnte, ist Betrug sicherlich kein Verbrechen, welches eine solch massive Überwachung rechtfertigt.

Vom Missbrauchspotential abgesehen, gibt es einen viel größeren Aspekt zu beachten: Hat nicht erst WannaCry gezeigt, dass von staatlichen Institutionen ausgenutzte Lücken eine Bedrohung für die Sicherheit aller sein kann? Wie rechtfertigen die sogenannten Experten im Bundestag, dass alle eigenen Bürger vom Staat einer potentiellen Bedrohung und Missbrauch von, nennen wir es beim Namen, Schadsoftware ausgesetzt sind, nur um dem Staat mehr Potential zur Spionage einzuräumen? Dieses Stück Software gehört aus gutem Grund verboten und vielmehr sollten Demokratie und das Miteinander gestärkt werden. Denn viele echte Verbrechen haben auch nicht selten einen traurigen Hintergrund – keiner wollte so richtig hinsehen.

Meinung

Meinung: Sind wir noch in der „Nerd-Ecke“?

Heute hat in Münnchen der „Telekom Fachkongress Mangenta Security 2017“ begonnen und wirbt dafür bei Twitter mit folgendem Zitat vom Sicherheitschef der Telekom: „Sicherheit ist ein wichtiger Businesstreiber und muss aus der ‚Nerd-Ecke‘ raus“. Mir stellt sich sogleich die Frage: Ist IT-Security nicht schon längst der „Nerd-Ecke“ entflohen? Gibt es einen Tag, an dem nicht über IT-Security als Problem gesprochen wird? War nicht neulich der Digital Kongress 2017, welcher zu dem Ergebnis kam, dass IT-Security ein wichtiges Thema ist? Überraschend!? Hat sich nicht sogar die Bundesregierung laut den BSI-Reports mehrfach IT-Security auf die Agenda geschrieben?

Woran liegt es also, dass IT-Security noch in eine Ecke gedrängt sein soll? Und sind wirklich 90% der Bedrohungen abgegriffen, wenn Systeme aktuell gehalten werden?  Ich bin da etwas konservativer als die Redner, die sich zur Aufgabe gemacht haben, für die Wichtigkeit von IT-Security zu werben. Ich stimme zu, dass IT-Security nicht nur seine Lobby in Deutschland braucht (aber auch schon hat), sondern dass auch mehr umgesetzt werden muss. Ich bin der Meinung, dass immer mehr Unternehmen erkennen, dass die Zeiten vorbei sind, in denen eine neue Technologie sorglos übernommen werden konnte. Ich bin jedoch ebenso überzeugt, dass sich CISOs und andere Sicherheitsbeauftragte mehr Unterstützung wünschen. Was nutzt es denn, die ergiebigsten Maßnahmen zu kennen, wenn diese nicht umgesetzt werden dürfen? Oder wenn auch mal abseits der Softwareriesen sich Lösungen offenbaren, die auf lange Sicht Linderung des Leids verschaffen würden, aber am Ende alle User die angeblich leicht zu bedienenden Lösungen aus kalifornischem Hause wollen?

Wir brauchen vor allen Dingen eine neue Innovationskultur für IT-Security. Ähnlich der Biologie können wir auf lange Sicht in der IT nur überleben, wenn wir nicht nur eine homogene Masse bilden, sondern auch Mutationen und Ausbrüche erlauben können, dass die Systeme dem Angreifer nicht alle gleich daher kommen. Denn ähnlich einer Epidemie von Viren können sich WannaCry und Konsorten nur so gut verbreiten, weil das Virus eine Schnittstelle vorfindet, die bei allen Systemen gleich ist – offen und gefährlich.