Martin Kähmer

ExPDT : A Policy-based Approach for Automating Compliance

ZusammenfassungUnternehmen sehen sich steigenden Anforderungen aus neuen Gesetzen, regulatorischen Vorschriften, Standards, Governance und auch Verträgen gegenüber. Durch den Einsatz von Informationstechnologie kann die Validierung der Einhaltung solcher Regeln (Compliance) automatisiert und effizienter erreicht werden. Aktuelle Ansätze basieren im Wesentlichen auf Zugangskontrolle und der Dokumentation der tatsächlichen Nutzung von Daten sowie Durchführung von Prozessen. Damit können zwar einzelne Compliance-Anforderungen adressiert werden, ein effizienter IT-Einsatz erfordert jedoch einen allgemeinen Ansatz. Hierfür wird ein Rahmenwerk zur Automatisierung von Compliance vorgestellt. „Policies“, wie sie aus der IT-Sicherheit bekannt sind, werden als Schlüssel zur Automatisierung von Compliance identifiziert, da sie eine Brücke zwischen nicht-technischen Compliance-Anforderungen und deren Umsetzung in IT-Systemen bieten. Es wird die Policy-Sprache ExPDT präsentiert und gezeigt, inwieweit diese zur automatisierten Einhaltung von Compliance-Anforderungen eingesetzt werden kann, ohne die situationsspezifisch erforderliche Adaptivität von Geschäftsprozessen zu gefährden.AbstractRemaining in compliance with growing requirements from new laws, regulations, standards, or contracts demands increasing IT support beyond simple reporting tools or archiving solutions. However, an efficient IT support of compliance management requires a more general approach. In this contribution, a framework for automating compliance is introduced. Policies are seen as the key to aligning non-technical compliance requirements to a technical IT system. The policy language ExPDT is presented and evaluated with regard to maintaining flexibility of business processes and validating compliance.

Automating Privacy Compliance with ExPDT

Today, personalized services are lucrative for service providers and their customers. With their increasing pervasiveness and interconnection, however, customers show concerns about their privacy. If customers were to refuse the processing of their personal data in general, the economic potential of personalized services could not be realized. We claim that such scepticism is a direct consequence of incomplete control mechanisms. To be in line with laws and to help users to control the usage of their personal data, we propose the Extended Privacy Definition Tool (ExPDT) that not only provides customers as well as service providers with a formal language to specify and to compare different policies, but also providers with a monitor tool to enforce the policies within their services.

ExPDT: Ein Policy-basierter Ansatz zur Automatisierung von Compliance

ZusammenfassungUnternehmen sehen sich steigenden Anforderungen aus neuen Gesetzen, regulatorischen Vorschriften, Standards, Governance und auch Verträgen gegenüber. Durch den Einsatz von Informationstechnologie kann die Validierung der Einhaltung solcher Regeln (Compliance) automatisiert und effizienter erreicht werden. Aktuelle Ansätze basieren im Wesentlichen auf Zugangskontrolle und der Dokumentation der tatsächlichen Nutzung von Daten sowie Durchführung von Prozessen. Damit können zwar einzelne Compliance-Anforderungen adressiert werden, ein effizienter IT-Einsatz erfordert jedoch einen allgemeinen Ansatz. Hierfür wird ein Rahmenwerk zur Automatisierung von Compliance vorgestellt. „Policies“, wie sie aus der IT-Sicherheit bekannt sind, werden als Schlüssel zur Automatisierung von Compliance identifiziert, da sie eine Brücke zwischen nicht-technischen Compliance-Anforderungen und deren Umsetzung in IT-Systemen bieten. Es wird die Policy-Sprache ExPDT präsentiert und gezeigt, inwieweit diese zur automatisierten Einhaltung von Compliance-Anforderungen eingesetzt werden kann, ohne die situationsspezifisch erforderliche Adaptivität von Geschäftsprozessen zu gefährden.AbstractRemaining in compliance with growing requirements from new laws, regulations, standards, or contracts demands increasing IT support beyond simple reporting tools or archiving solutions. However, an efficient IT support of compliance management requires a more general approach. In this contribution, a framework for automating compliance is introduced. Policies are seen as the key to aligning non-technical compliance requirements to a technical IT system. The policy language ExPDT is presented and evaluated with regard to maintaining flexibility of business processes and validating compliance.

Pre-authentication using infrared

Using complex authentication and verification methods is not always feasible in application fields with time and resource restrictions. However, fast and configuration-less authentication methods are required in many pervasive computing applications using wireless connectivity. In this paper we present an authentication mechanism which uses context information for its first phase, the so called pre-authentication phase. During this phase a connection between two devices is established to generate a common secret as a prerequisite for the subsequent authentication. We present an implementation of a special device called “magic wand”, using optical communication for the pre-authentication phase. With the help of this device it is also possible to quickly authenticate devices for subsequent use in service discovery.

Sicherheit im Ubiquitous Computing: Schutz durch Gebote?

Solange man unter Sicherheit vor allem Zugriffskontrolle versteht, bestehen wenig Chancen, ein angemessenes Sicherheitsniveau fur Systeme des Ubiquitous Computing zu erreichen. Solche Systeme sind vor allem durch die spontane Interaktion mobiler und kontextsensitiver Komponenten gepragt. Durch ihre Einfuhrung werden sich die Angriffe auf Computersysteme verandern, denn es ist offensichtlich, dass Fehler und damit eine der wichtigsten Quellen fur Schwachstellen in IT-Systemen bereits heute rasant zunehmen. Der Austausch von ausfuhrbarem Code wird die Fehlerrate weiter steigern. In diesem Beitrag wird ar-gumentiert, dass gegenwartige Sicherheitsmechanismen auf Zugriffskontrolle und Nutzeridentitaten basieren und dass damit keine ausreichende Modellbasis besteht, um Angriffen in Systemen des Ubiquitous Computing zu begegnen.

Ubiquitous computing technology in infrastructureless environments

The ARDOR project introduces ubiquitous computing technology into infrastructureless environments such as mobile hospitals. The project is supported by the German Red Cross (DRK), which requires technology to faster establish mobile and temporary hospitals in areas where, for example, natural disasters hare occurred. ARDORs focus lies on middleware for mobile multi-hop ad hoc networks. A new algorithm called HYDRA has been proposed, which is a scalable and self-organizing distribution algorithm for service discovery components.

ExPDT: Ein Policy-basierter Ansatz zur Automatisierung von Compliance@@@ExPDT: A Policy-based Approach for Automating Compliance

ZusammenfassungUnternehmen sehen sich steigenden Anforderungen aus neuen Gesetzen, regulatorischen Vorschriften, Standards, Governance und auch Verträgen gegenüber. Durch den Einsatz von Informationstechnologie kann die Validierung der Einhaltung solcher Regeln (Compliance) automatisiert und effizienter erreicht werden. Aktuelle Ansätze basieren im Wesentlichen auf Zugangskontrolle und der Dokumentation der tatsächlichen Nutzung von Daten sowie Durchführung von Prozessen. Damit können zwar einzelne Compliance-Anforderungen adressiert werden, ein effizienter IT-Einsatz erfordert jedoch einen allgemeinen Ansatz. Hierfür wird ein Rahmenwerk zur Automatisierung von Compliance vorgestellt. „Policies“, wie sie aus der IT-Sicherheit bekannt sind, werden als Schlüssel zur Automatisierung von Compliance identifiziert, da sie eine Brücke zwischen nicht-technischen Compliance-Anforderungen und deren Umsetzung in IT-Systemen bieten. Es wird die Policy-Sprache ExPDT präsentiert und gezeigt, inwieweit diese zur automatisierten Einhaltung von Compliance-Anforderungen eingesetzt werden kann, ohne die situationsspezifisch erforderliche Adaptivität von Geschäftsprozessen zu gefährden.AbstractRemaining in compliance with growing requirements from new laws, regulations, standards, or contracts demands increasing IT support beyond simple reporting tools or archiving solutions. However, an efficient IT support of compliance management requires a more general approach. In this contribution, a framework for automating compliance is introduced. Policies are seen as the key to aligning non-technical compliance requirements to a technical IT system. The policy language ExPDT is presented and evaluated with regard to maintaining flexibility of business processes and validating compliance.

Selbstheilende dienslfindung für IT-netze in mobilen feldkrankenhäusern

The organizational workflows of mobile field hospitals can be accelerated by IT networks and ITapplications. In most operational areas of these hospitals it lacks (still working) electric power supply and communication networks. The special requirements for the design of the IT networks to establish include quick deployment, configurationless operation, robustness and scalability. From the user’s point of view it is crucial to deploy mobile computers so as to be able to notify and search staff members and resources. In this article we propose mobile ad hoc networks in conjunction with self-healing service discovery. We developed a service discovery algorithm as a prototype for the use in field hospitals which accomplishes the special requirements of the software side.