In einigen öffentlichen Einrichtungen in europäischen Städten und Gemeinden wurden in den letzten Jahren erfolgreiche Versuche unternommen, Open Source Software zu integrieren. Bekannte Beispiele hierfür sind etwa München (LiMux mit Ubuntu Linux, KDE, OpenOffice, Gimp), Leipzig (OpenOffice), Schwäbisch Hall (SUSE Linux, KDE und OpenOffice) oder Treuchtlingen (Linux, KDE, Gimp, Scribus, Inkscape).

Für Institutionen ergeben sich mit dem Einsatz von OpenSecurity folgende Vorteile:

• Weniger Arbeitsaufwand durch die zentrale Verwaltung der Überprüfung von Geräten.
• Wenig Ressourcenaufwand am Endgerät selbst.

Secure USB
Secure Web Browsing

Zurück zur Übersicht

OpenSecurity wird von den Projektpartnern AIT Austrian Institute of Technology GmbH und X-Net Services GmbH in Form einer Kooperation weitergeführt und als Produkt in den Markt eingeführt. Dazu wird der entwickelte Prototyp als Produkt an die Erfordernisse der Bedarfsträger (v.a. öffentliche Institutionen und kommerzielle Großunternehmen) angepasst.

Die Weiterführung von OpenSecurity in einem Kooperationsmodell ist aufgrund der unterschiedlichen, sich ergänzenden, Stärken der beiden Projektpartner AIT Austrian Institute of Technology GmbH und X-Net Services GmbH als ideale Voraussetzung für den Erfolg der entwickelten Open Source basierten Lösung zu sehen.

• X-Net Services GmbH hat hohe Expertise in der Umsetzung von Großprojekten sowie vor allem in First und Second Level Support, der in solchen Projekten eine große Rolle spielt. Als direkter Ansprechpartner für Kunden sorgt X-Net Services GmbH für den reibungslosen Ablauf in der Zusammenarbeit mit den Kunden sowie für die Wartung des Systems und führt zudem Anpassungen und Adaptionen – sowie Neu-Implementierungen, die sich im Kompetenzbereich von X-Net Services GmbH befinden – der Lösung OpenSecurity nach Bedarf durch.
• AIT Austrian Institute of Technology GmbH tritt als Integrator mit guten Kontakten in die Wirtschaft sowie einer hohen Reputation auf. Durch die Vielzahl an hochqualifizierten Entwicklern kann AIT Austrian Institute of Technology GmbH große Projekte akquirieren und vorantreiben sowie OpenSecurity an die Bedürfnisse der Kunden anpassen.

Dieses Webinar wird von IT-NET Austria veranstaltet. IT-NET Austria ist ein Zusammenschluss von eigenständigen Unternehmen, die in ihren Fachbereichen Expertenstatus besitzen.
http://www.it-net-austria.at

Through the webinar (in German) you will learn about OpenSecurity’s security concept and gain an overview of current research approaches and the implemented solution.

This webinar is being organised by IT-NET Austria. IT-NET Austria is a coalition of independent companies with expert status in their fields.

http://www.it-net-austria.at

Die Präsentation zum Download:

• .odp
• .ppt
• .pdf

OPEN COMMONS_LINZ ist eine Initiative der Stadt Linz, die sich für die Förderung und Verbreitung von Open Commons (digitalen Gemeingütern) einsetzt. Sie hat zum Ziel Verständnis für Open Commons in der Bevölkerung aufzubauen und offene, freie, transparente Strukturen in der Region zu fördern. Faire Nutzung von Kulturgütern, selbstbewusster und selbstbestimmter Umgang mit Offenheit und Geschlossenheit stehen dabei im Vordergrund.

Mehr Informationen zum OPEN COMMONS_Kongress 2014

Die Integration der Schutzmaßnahmen erfolgt dabei unaufdringlich in eine bestehende IT Infrastruktur, ohne die vorhandenen und verwendeten domainspezifischen Lösungen und Einrichtungen zu gefährden.

OpenSecurity ist auf drei Anwendungsgebiete fokussiert:

• Secure USB: Die Sicherheitsschicht kontrolliert, verifiziert und verschlüsselt jegliche Kommunikation, die auf USB-Geräten stattfindet.
• Secure Web Browsing: Sicheres und isoliertes Web-Browsing wird ermöglicht.
• Zentrales Viren-Scanning und Monitoring

English

Die bisherige Arbeit resultierte in einem Set von miteinander interagierenden und isolierten Kernkomponenten zur Orchestrierung von dedizierten Virtual Machines. Die OpenSecurity Komponenten, die in diesem Prozess entwickelt wurden, basieren auf klar definierten offenen Interfaces: RESTful API, CIFS und SSH. Diese Protokolle trennen sauber die unterschiedlichen Komponenten des OpenSecurity Lösungsraumes, was ein Upgrade oder gar einen kompletten Austausch derselben Komponenten ermöglicht ohne das Konzept und Nutzen des gesamten Systems zu beeinträchtigen.

Die zentrale Komponente des OpenSecurity Designs ist der OpenSecurity Management Daemon, welcher Virtual Machines für den einmaligen Gebrauch startet und stoppt. Diese Maschinen fußen auf Templates, welche von der eigens von Debian 7.2 abgeleiteten OpenSecurity Linux Distribution erstellt werden. Andere Komponenten sind für User-Interaktion, Gerätetreiber-Overlays und Einbettung des Zugangs von und zu den Virtual Machines im Bezug zur aktuellen Benutzer-Session zuständig.

Das Team präsentierte im Dezember ein live Proof of Concept, das zum einen demonstrierte wie  unabhängige Virtual Box Machines USB Massenspeichermedien Aktionen wie Virenscan und/oder Verschlüsselung handhaben. Zum anderen demonstrierte es die feste Integration einer in einer Virtual Machine ausgeführten Internet Browsing Applikation, die jedoch nativ in einer Windows 7 User Session angezeigt wird.

Die derzeitige Implementierungsarbeit zielt darauf ab das System stabil, leistungsfähig und flexibel zu machen. Die Softwarekomponenten, die in diesem Kontext geschrieben wurden, sind zwar eher klein und die Interfaces alle weitgehend bekannt. Dennoch ergibt sich aufgrund der Tatsache, dass Mitteilungen oft Betriebssystemgrenzen überschreiten und sich dies auf niedrigster Ebene auf Systemfunktionalitäten auswirkt, eine hohe Komplexität. Sowohl diese Situation als auch die speziellen Charakteristiken und Divergenzen im Verhalten von teilweise Closed-Source Betriebssystemen – selbst dann wenn die angesprochenen Methoden und Funktionen auf einen allgemeinen Standard zurückzuführen sind – machen dies zu einem anspruchsvollen und aufwendigen Vorhaben.

Schlussendlich müssen auch Anforderungen an die Installierung umgesetzt werden. Sowohl einfache Einzeluser Ein-Klick Download Setup Dateien als auch ein von einem zentralen IT-Department auszuführendes Komplettrollout auf bis zu tausenden Maschinen müssen unterstützt werden. Da die OpenSecurity Integrierung auch auf einer Reihe gut entwickelter Open Source Software Dritter basiert, ist Version Management eine weitere komplexe Aufgabe, die demnächst angegangen werden wird.

The work so far has resulted in a set of isolated core components interacting together to orchestrate dedicated virtual machines. The OpenSecurity components created in this process share well-defined open interfaces: RESTful API, CIFS and SSH. These protocols cleanly separate the different components of the OpenSecurity solution space, thus allowing the upgrade or even the complete exchange of these components without disrupting the concept and benefit of the whole system.

The central component of the OpenSecurity design is the OpenSecurity Management daemon, which starts and stops disposable virtual machines. These machines are instantiated templates which are created from the dedicated OpenSecurity Linux distribution derived from Debian 7.2. Other components take care of user interaction, device driver overlays, and embedding access from and to the virtual machines with respect to the current user session.

The team presented a live proof-of-concept in December, which demonstrated independent Virtual Box machines handling USB mass storage device actions like virus scanning and/or encryption, as well as a tight integration of an Internet Browsing application run inside a virtual machine but shown natively on a Windows 7 user session.

The on-going implementation work is now directed towards making the system stable, performant and flexible. Though the software components written in this context are rather small and the interfaces are all widely known and understood, the complexity stems from the fact that messages often do cross operating system boundaries with impact at very low level system functionalities. This situation plus the special characteristics and divergences of partly closed-source operating systems behaviours - even if coined "standard" - makes this a demanding and sophisticated endeavour.

Finally installation challenges must also be addressed in order to support both simple single-user one-click download setup-files as well as a full blown rollout on to thousands machines directed by a central IT department. As the OpenSecurity integration also relies on a range of well-developed and open source third-party software, version management is yet another complex task of its own to be tackled next.

Das am Konsortium beteiligte Linzer Institut für qualitative Analysen (LIquA) hat zu diesem Zweck im Mai und Juni 2013 eine Online-Befragung bei einem der Bedarfsträger, dem Magistrat der Stadt Linz, durchgeführt. An eine Grundgesamtheit von 1.385 NutzerInnen wurde dabei ein Online-Fragebogen mit insgesamt 41 Fragen ausgeschickt. Dieser gliederte sich in sechs Themenbereiche: Angaben zur Person, Nutzung der IT am Magistrat Linz, Private Nutzung von IT, Stellenwert von IT-Sicherheit und IT-Sicherheitsverhalten, IT-Sicherheit versus Usability sowie Einstellung zur Einführung von neuen IT-Sicherheitsmaßnahmen. Eine erste Analyse zeigt bereits, dass IT-Sicherheit bei den befragten MitarbeiterInnen (Rücklaufquote 32 %) einen sehr hohen Stellenwert einnimmt.

Detaillierte Analysen wie der Umgang mit Passwörtern, die Nutzung der Verschlüsselung von Daten oder die Intensität der Prüfung von Daten auf Schadfreiheit lieferten weitergehende interessante Erkenntnisse. Diese liefern zusätzlichen Input um noch rechtzeitig auf das OpenSecurity Design Einfluss nehmen zu können. Um die Erkenntnisse weiter zu verdichten wurden zusätzlich qualitative Interviews mit einzelnen IT-Verantwortlichen des Magistrats der Stadt Linz, aber auch der beiden anderen öffentlichen Bedarfsträger durchgeführt.

Derzeit arbeitet das Team auf einer dritten Ebene an der Verarbeitung von zahlreichen Studien, Artikeln und Erfahrungsberichten an der Schnittstelle zu IT-Security und Usability. In einem nächsten Schritt wird das Team eine Potenzialanalyse aus sozialwissenschaftlicher Perspektive erstellen, in der die potenziellen Chancen und Risiken für die Implementierung einer OpenSecurity-Lösung bei den Bedarfsträgern herausgearbeitet werden.

For this purpose the consortium member LIquA, the Institute for Qualitative Analyses in Linz, has conducted an online survey with one of the project stakeholders, the City Administration of Linz, in May and June 2013. An online questionnaire with 41 questions was sent to a statistical population of 1.385 users. The questionnaire covered six topics: personal details, using IT within the city administration, private use of IT, importance of IT-security and IT-security behaviour, and IT-security versus usability, as well as attitude towards the introduction of new IT-security measures. An initial analysis has already shown that IT-security is very important for the surveyed employees (with a response rate of 32%).

Detailed analyses regarding password handling, usage of data encryption, or concern for data corruption delivered further interesting insights. The results have also delivered timely additional input for the design of OpenSecurity services. In order to consolidate the results, additional qualitative interviews have been conducted with individual IT managers within the City Administration of Linz and at two other public stakeholders.

Currently the team is working on a third level of analysis by going through a number of studies, papers, and experience reports from the domain of IT-Security and Usability. As a next step the team will issue a potential-analysis from a social science perspective, in which the potential opportunties and risks for the implementation of an OpenSecurity-based solution at stakeholder institutions will be elaborated.

Bild von www.perspecsys.com Lizenz: CC-BY-SA

Im Kern geht es bei IT-Sicherheit um den sicheren Umgang mit Informationen und Daten. Risiken und Bedrohungen für IT-Systeme entstehen immer in erster Linie in Bezug auf Informationen oder bei Übergängen und Schnittstellen von einer Informationsform in eine andere, etwa der Personenauthentifizierung durch Passworteingabe. Ein professionelles IT-Sicherheitsmanagement hat dafür Sorge zu tragen, dass IT-Systeme und Informationen während ihres gesamten Lebenszyklus geschützt sind, d. h. von der Entstehung über die Bearbeitung, Übertragung und Speicherung bis hin zur Entsorgung.

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) weist im Grundschutzhandbuch fünf verschiedene Kategorien für Bedrohungen aus. Allgemein liegt diesen Bedrohungen das Fehlen eines ausreichenden IT-Sicherheitskonzepts und –managements zugrunde. Hierzu zählen insbesondere IT-Infrastruktursicherheitskonzept (z.B. Server, Netzwerk, Computer, mobile Geräte), Gebäudesicherheitskonzept, Datensicherungskonzept, Computervirenschutz-Konzept, Kommunikationssicherheitskonzept (z.B. Telefon, Fax, E-Mail, Internet) und Notfallkonzept.

Um die Risiken aus Perspektive der IT-Sicherheit minimieren zu können, ist eine umfassende Analyse der in einer Organisation vorhandenen IT-Strukturen und IT-Systeme notwendig. Neben der exakten Definition der miteinzubeziehenden Gegenstände und Ressourcen (z. B. IT-Systeme, IT-Infrastruktur, Prozesse) stellt dabei eine Risiko-Analyse einen wesentlichen Bestandteil dar, um das IT-Sicherheitskonzept als Teil eines Risiko-Management-Prozesses zu etablieren. Ein derartiges IT-Sicherheitskonzept muss neben der Darstellung der Bewältigung potenzieller Risiken auch weitere Anforderungen erfüllen, insbesondere Leistungsvorgaben, Qualitätsanforderungen oder Architektur-Vorgaben.