Fallstudien Projektarbeit Impressum

#extradirty

Kiana Khansmith
macklin celebrini has autism

Love Begins
styofa doing anything

⁂
noise dept.
Today's Document
Cosimo Galluzzi
trying on a metaphor
he wasn't even looking at me and he found me
Sweet Seals For You, Always
cherry valley forever

No title available
I'd rather be in outer space 🛸

@theartofmadeline

Kaledo Art

❣ Chile in a Photography ❣
Three Goblin Art

titsay

seen from United States
seen from United States

seen from United States
seen from United States
seen from United States
seen from United States
seen from United States
seen from United States

seen from United States

seen from United States
seen from United States

seen from United States
seen from United States
seen from United States

seen from Malaysia

seen from North Macedonia
seen from United States

seen from Belarus

seen from United States
seen from United States
@werwagtgewinnt
Fallstudien Projektarbeit Impressum
07.04.2020 – Kursbeginn
Im Sommersemester 2020 erfolgen an der Hochschule Magdeburg-Stendal wie überall in Sachsen-Anhalt keine Präsenzveranstaltungen, um eine pandemische Infektionsgefahr einzudämmen. Das gilt auch für die Seminargruppe im Masterstudiengang Risikomanagement, die sich hier im Kurs versammelt hat. Alle Veranstaltung im Fach IT-Risiken & Data Analytics werden von Prof. Dr. Michael Herzog geleitet. Die Lehrinhalte sollen den Studenten online via Zoom und der Lernplattform Moodle vermittelt werden. Ich bin guter Dinge, denn meine Kinder benutzen Moodle. So gesehen verspricht es, ein kinderleichtes Studium zu werden.
Eine Herausforderung ist es erst einmal, sich kennen zu lernen. Also tragen wir auf Googledocs zusammen, worauf wir uns freuen, wie unser Arbeitsplatz gerade für das Lernen aussieht und was sonst unserem Erfolg im Wege stehen könnte. Organisatorisches wird bekannt gegeben und erste Hilfen im Umgang mit den Folgen der Pandemie angeboten. Ich beginne die Vorzüge der online-Lehre zu genießen.
Mein heimischer “Studienplatz”
14.04.2020 – Kybernetische Sicherheitsrisiken
Heute ist die zweite Lehrveranstaltung mit dem Thema „Cyber Security Risks“. Einführend betrachten wir die verschiedenen Arten von Risiken, die für Unternehmen wesentlich sind. Marktrisiken, Finanzrisiken, rechtliche Risiken, Sachrisiken, Projektrisiken, IT-Risiken, Organisations-, Betriebsrisiken und Personalrisiken. Da ist sie wieder, die Silo-Wirtschaft im Unternehmen. Ich bin skeptisch, dass Risiken sich an funktionale Grenzen halten. Immerhin kann sehr leicht ein verantwortlicher Bereichsleiter ermittelt werden. Was aber geschieht, wenn die Ursache in dem einen und die Auswirkung im Bereich eines anderen liegt? Kommunikation liegt in der Luft.
Das ist aber nur die erste Einstimmung. Jetzt wird es bedrohlich für die IT. Cyber Threats sind angesagt. Nicht nur bei den Angreifern, die damit ihre Ziele erfüllen. Das Buch „We are Anonymous: Die Maske des Protests“ (von Ole Reissmann, Goldmann 2012) möchte ich hier empfehlen. Bedrohungsereignisse werden oft im Darknet generiert und schädigen gnadenlos Unternehmen mit Schwachstellen in ihren IT-Systemen. Wem das nicht ausreicht, auch eigene oder fremde beauftragte Mitarbeiter sind oft genug Ursache für Datendiebstahl oder Datenverlust. Mit guter Aus- und Weiterbildung kann das Unternehmen sich gegen Schäden aus Unwissenheit schützen, alles andere muss überwacht werden.
Folglich leben wir mit der Informationstechnik in einer Überwachungskultur des allseitigen Misstrauens. Milliarden rechtmäßiger Nutzer machen Sicherheitseingaben und bestätigen wieder und wieder - bitte für jedes System einzigartig - ihre Identität, während wenige Angreifer trojanische Pferde rüsten und Ahnungslose dazu animieren, davon reichlich mitzunehmen. Das nennt sich „Social Engineering“. Meine Schwiegermutter nennt sie Nepper, Schlepper, Bauernfänger. Das Vorgehen ist fast immer gleich – das ahnungslose Opfer erliegt den Verlockungen und Versprechungen, so dass es am Ende selbst zur Verbreitung der Malware beiträgt und unwissend zum Helfer und sogar Mittäter wird. Denn wer durch Unterlassung (Untätigkeit bzw. Nichterfüllung von Sorgfaltspflichten) Gefahren billigend in Kauf nimmt, der haftet für eintretende Schäden nach dem bürgerlichen Recht. Die Gnade eines Richters entscheidet hier am Ende über leichte oder grobe Fahrlässigkeit, wenn kein Vorsatz nachgewiesen werden kann. Glücklich kann sich schätzen, wer sorgfältig seine Aufgaben erledigt und Abweichungen meldet.
Eine entführte Internetseite bedeutet immer ein Reputationsschaden für das damit werbende Unternehmen bzw. staatliche Stellen. Überall lauern Gefahren. Aber was bedeutet Gefahr? Als Ingenieur bekenne ich, dass Gefahr eine Sachlage ist, bei der das Risiko größer ist als zulässig. Wie denken nun Wirtschaftswissenschafter darüber? Akzeptieren oder tolerieren sie Risiken? Ja, hier heißt das Zauberwort Angemessenheit. Begegnen wir den Gefahren von jetzt an angemessen mit sinnvollen und selbstredend wirtschaftlich zumutbaren Maßnahmen.
Einige der Verteidigungsmaßnahmen erinnern mich an mittelalterliche Festungen: starke Wände (Firewall) und ausgeklügelte Schloss- und Schlüsselkombinationen (Verschlüsselung); zum Öffnen der Tore muss du das Passwort kennen. Trojaner sind sogar nach hölzernen Pferden aus dem Altertum der Antike bekannt, wohingegen Würmer sich reckten seit Insekten die Metamorphose für sich entdeckten. Von den Viren habe ich wegen der Pandemie schon lange die Nase voll. Alle Chor- und Tanzgruppen haben faktisch seit März bis voraussichtlich September ein Tätigkeitsverbot, um eine humanoide Virengefahr einzudämmen. Bleibt mir also mehr Zeit für akademische Befleißigungen, doch der gewohnte Ausgleich fehlt. Immerhin darf Yoga wieder gruppenweise praktiziert werden. Namaste.
Die Fallstudie CA1-1, vertieft die Darstellung von Schadenspotentialen bei Unternehmen sowie dem Erstellen eines beispielhaften Risiko-Registers. Hier und am Ende dieses Blogs könnt ihr folgendem Link zum Blog für die Fallstudie folgen: www.fallstudien.tumblr.com
Cyber-, IT- oder Informationssicherheit, jetzt könnte ich ein Venn-Diagramm gut gebrauchen.
21.04.2020 – Das Internet
Und wer hat es erfunden? Natürlich – die Schweizer im CERN.
Internet bedeutet freier Datenverkehr für alle über ungesicherte Verbindungen. Wir lernen, wie es funktioniert, um die damit verbundenen IT-Risiken zu verstehen.
Wozu hat die ISO/OSI ein Sieben-Schichtenmodell zur Kommunikation herausgegeben, wenn dann doch jeder macht, was er will? Das Internet basiert jedenfalls auf den gegenüber OSI reduzierten Kommunikationsebenen Transport- und Internetschicht (TCP/IP). IP ist der Namensgeber: Internet Protocol.
Alle Rechte und Quelle: https://www.tinohempel.de/info/info/netze/osi.htm
Das US Department of Denfense hielt seine eigenen Militäreinrichtungen als sicher, als die Idee aufkam die zu übertragenden Daten nicht per Einwahl- oder Standleitung, sondern als digitale Pakete auf Reisen zu schicken. Bei jedem Hop wird so ein Paket von einem Paketzentrum zum nächsten transportiert und damit näher an den Adressaten herangebracht. Der Vorgang wird solange fortgesetzt, bis ein Paketzentrum den Adressaten im Zuständigkeitsgebiet (gelistet) hat, dann wird es ihm zugestellt.
Alle Rechte und Quelle: https://www.tinohempel.de/info/info/netze/osi.htm
Mittlerweile hat jeder Zugriff auf das Internet und das Auslesen und Verändern der Datenpakete ist Angreifern mit Anwendungsprogrammen in Echtzeit möglich. Die Anwender merken davon nicht unbedingt etwas. Sensible Daten müssen unbedingt geschützt werden.
Systeme, die Internetdienste bereitstellen, müssen von allen Schwachstellen befreit werden. Angreifer dürfen keine Möglichkeit haben, diese Systeme auszuspionieren oder dort einzudringen. Zumindest sollten bekannte Schwachstellen beseitigt werden.
Die zweite Fallstudie CA2-1 betrachtet beispielhafte IT-Risikobehandlungen. Hier und am Ende des Lerntagebuches gelangt ihr zum Blog für die Fallstudien.
28.04.2020 – IT-Risikobehandlung und CMS
Zur IT-Risikobehandlung gehören Risikomodifikation (Häufigkeit oder Ausmaß des Risikos verkleinern), Risikoübernahme (die Unternehmensentscheidung, das Risiko zu tragen), Risikovermeidung (Unterlassen der risikobehafteten Aktivität), Teilen von Risiken (Dritte Versichern oder Auslagern). Durch die Maßnahmen zu Behandlung können neue unerwünschte Risiken entstehen. Schließlich terminieren wir Wirksamkeitskontrollen für die jeweiligen Maßnahmen. Voila! Fertig ist der erste Durchlauf im IT-Risikomanagement.
Mir gefällt hier das Bild vom tolerierten bzw. tolerierbaren Risiko. Demnach ist es das Ziel der Risikobehandlung Risiken (nur) soweit zu senken, dass sie angemessen sind. Absolute Sicherheit kann nicht erreicht werden.
Bei einem Content Management System (CMS) geht es um das Bereitstellen von Inhalten, häufig durch eine Webseite. Alle grundlegende Verständnisfragen werden erläutert, um auch hier weiter voranzuschreiten zu können. Ich freue mich auf die nächste Veranstaltung, bei der ich die Praktikabilität zweier Plattformen miteinander vergleichen werde.
05.05.2020 – E-Portfolio, Lernfortschritt und WordPress
Wie erstelle ich ein persönliches E-Portfolio? Wir entscheiden uns unter Anleitung durch Dr. Herzog für eine alternative Prüfungsleistung, der Portfolioprüfung. Dazu wird jeder ein persönliches E-Portfolio erstellen, welches ein sogenanntes Lerntagebuch enthält. Lernfortschritt, Fallstudien und Projektarbeit sollen hier festgehalten werden.
Für die Realisierung eines E-Portfolios stehen kostenlose und (nach Anmeldung) frei zugängliche Plattformen zur Verfügung. Im Kurs wurde WordPress behandelt. Alternativen sind Baukastensysteme wie Jimdo, Online-Lexika Wikimedia, oder Blog-Dienste wie Tumblr.
Da mir WP zu komplex für die Aufgabe erschien und ich dort die gewünschte Darstellung nicht einstellen konnte, suchte ich eine Alternative. Ich öffnete einen Blog bei tublr. Dort konnte ich die Inhalte einstellen, ohne mich um das Drumherum zu kümmern.
Wo es bei tumblr noch Einstellmöglichkeiten in Form von Templates gibt, beim Mahara E-Portfolio nutzt der ANwender nur das vom Administrator vorgegebene Format für alle Inhalte.
Meine Erkenntnis: lieber bin ich bei den Inhalten kreativ, als bei der Form.
12.05.2020 – Projektarbeit, Themen und Gruppenfindung I
Mit geplanten 30 Stunden erfahren wir Anforderungen an die Projektarbeiten. Es sollten IT-Risiken oder Datenanalyse thematisiert werden. Eine praktische Anwendung würde die Sache abrunden. Es gab dann ein Zusammentragen verschiedener Ideen: digitale Buchhaltung, die Kryptowährungen, mobile Zahlungsalternativen und andere. Die Projektgruppe ging in Einzelsitzung und definierte mögliche Projektthemen zur Abstimmung mit dem auftraggebenden Unternehmen. Hinsichtlich IT-Sicherheit lieferte das folgende Ideen, wovon zwei später das Rennen machten:
Daten-Dezentralisierung
Daten-Synchronisation
CMS-Datenarchiv (Backoffice)
Client-Server mit mobilen Endgeräten zur Dateneingabe
Verschiedene Zugänge, Angriff durch Handy-Malware
Autorisierung Mitarbeiter (Passwortschutz)
Schnittstellen zu Fremdsoftware, deren Revisionsmanagement
Einführung einer neuen Revision oder Produktlinie
Verschleppung eines Angriffs auf Kundenserver durch Fernwartung
19.05.2020 – Projektarbeit, Themen und Gruppenfindung II
Weitere Themenvorschläge werden präsentiert. Die Kursteilnehmer markieren ihre Skepsis und Vorlieben mit roten bzw. grünen Punkten auf den Folien. Die Favoriten lauten: Software-Unternehmen Audit und FIDO2, Digitaler Vertrieb, Quantencomputing, Chatbots und ein digitaler Kuhstall. Da träume ich gleich von grünen Wiesen mit Zukunft. Muuuh!
Schnell finden die Kursteilnehmer zu ihren Projekten. Sie erhalten jetzt Zeit, um am Projekt zu arbeiten. Frida und ich befassen sich also mit dem Audit der IT-Sicherheit. Wir hatten mit der Firmenleitung schon Vorgespräche und Folgetermine vereinbart. Hier ging es neben der Festlegung der nächsten Schritte und Ziele auch darum, den Projektumfang unter Kontrolle zu behalten, um die unverschieblichen Termine einhalten zu können. Ein Zeitplan muss her.
1995 durfte ich als Praktikant bei Dow Corning in Midland, Michigan, sechs Monate lang ein Audit vorbereiten, durchführen und auswerten. Geprüft wurde die Zulässigkeit und Konformität von SCADA Systemen (Supervisory Control And Data Aquisition) bei einem Hersteller pharmazeutischer Produkte. Die Ingenieure dort hatten ihre Hausaufgaben aber gründlich gemacht, und es waren keine nennenswerten Abweichungen beim Audit aufgetreten. Der Firmenstandard verlangte keine Einhaltung höherer Standards, war aber auf verteilte Leittechnik (Foxboro Intelligent Automation) ausgerichtet. SCADA hingegen war für die Batch-Herstellung ideal durch die automatische Berichtserstellung. Zwei Jahre später schrieb ich meine Diplomarbeit passend zum Thema: Rezeptabarbeitung und Anlagenmodellierung.
Mit diesen Ideen im Kopf stimme ich mit Frida den Auditplan ab und wir unterbreiten ihn dem Unternehmen.
Weitere Aspekte der Informationssicherheit erläutert ein Buch herausgegeben von. E. Colbert: “Cyber-security of SCADA and Other Industrial Control Systems”, Springer 2016.
26.05.2020 – Projektarbeit, Fallstudien und Tableau
Tableau ist eine Mischung aus Tabellenkalkulation, Datenbank(en) und Armaturenbrett. Zur Einführung gibt es ein fremdsprachiges Video. Es verspricht weitaus mehr, als es halten kann. Ich erlebe eine gute Dreiviertelstunde lange Produktwerbung mit schönen aussagekräftigen Grafiken. Die kann auch ich gelegentlich gebrauchen, also dranbleiben. Es scheint ja sehr leicht zu sein, solche mit tableau zu erstellen. Der Link zum Video: https://www.tableau.com/learn/webinars/audit-and-risk-analytics
Die Lösungen der Fallstudien sind keine Überraschung, wobei es hier kein Richtig oder Falsch gibt. Die Richtung sollte stimmen. Hier und am Ende des Blogs gelangt ihr zum Blog für die Fallstudien: www.fallstudien.tumblr.com
23.06.2020 – Projektarbeit und Portfolio-Beratung
Reihenfolge und Länge unserer Präsentationen zur Projektarbeit werden heute festgelegt. Sechs Gruppen werden am 7. Juli am Start sein. Nach einer Viertelstunde Redezeit folgen weitere fünfzehn 15 Minuten für Diskussion und Fragen zum präsentierten Thema. Eine halbstündige Pause nach den ersten drei Projektarbeitsgruppen soll für Auflockerung sorgen. Gestärkt wird es in die zweite Halbzeit gehen, die Frida und ich mit dem Thema “IT-Grundschutz Audit und Tools” einleiten werden. Es folgen danach Passwortsicherheit mit FIDO2 und digitaler Kuhstall – alles Projekte bei regional ansässigen Unternehmen.
Hier endet meine Berichterstattung zur Lehrveranstaltung. Bitte schaut euch unter den folgenden Links die Projektarbeit oder meine Lösungen zu den Fallstudien an. Grüne Wiese mit Zukunft - das Motto hier in der Altmark ist besonders an der Hochschule gut zu spüren.
Wer mir weiter nachspüren möchte, kann gern die folgenden Links benutzen.
Blog für alle Fallstudien: www.fallstudien.tumblr.com
Impressum
verantwortlich für den Inhalt: Tom Reinecke
Kontaktadresse: Osterburger Str. 25 in 39576 Hansestadt Stendal
Telefon: (D) (Vorwahl Stendal) 21870
Email: thomas.f.reinecke(a)stud.h2.de
Haftungsausschluss
Sämtliche Inhalte wurden sorgfältig nach bestem Wissen erstellt. Für die Richtigkeit, Vollständigkeit, Aktualität und Qualität der Inhalte können wir jedoch keine Gewähr übernehmen. Haftungsansprüche gegen uns, welche sich auf Schäden materieller oder ideeller Art beziehen, die durch die Nutzung oder Nichtnutzung der dargebotenen Informationen bzw. durch die Nutzung fehlerhafter und unvollständiger Informationen verursacht wurden, sind grundsätzlich ausgeschlossen, sofern unsererseits kein nachweislich vorsätzliches oder grob fahrlässiges Verschulden vorliegt. Alle Angebote sind freibleibend und unverbindlich. Wir behalten uns ausdrücklich vor, Teile der Seiten oder das gesamte Angebot ohne gesonderte Ankündigung zu verändern, zu ergänzen, zu löschen oder die Veröffentlichung zeitweise oder endgültig einzustellen.
Links
Dieses Onlineangebot enthält Verknüpfungen auf die Internet-Inhalte Dritter (im folgenden "Links" genannt). Die verlinkten Seiten wurden zum Zeitpunkt der Verlinkung auf mögliche Rechtsverstöße überprüft, reechtswidrige Inhalte waren zum Zeitpunkt der Verlinkung nicht erkennbar. Auf die aktuelle und zukünftige Gestaltung, die Inhalte oder die Urheberschaft der verlinkten Seiten haben wir keinerlei Einfluss. Deshalb distanzieren wir uns hiermit ausdrücklich von allen Inhalten aller verlinkten Seiten, die nach der Linksetzung verändert wurden, und schließen jede Haftung aus.
Urheberrecht
Das Layout der Website, die verwendeten Filme und Fotos sowie die Sammlung der Beiträge sind urheberrechtlich geschützt. Die Seiten dürfen nur zum privaten Gebrauch vervielfältigt, Änderungen nicht vorgenommen und Vervielfältigungsstücke ohne Genehmigung nicht verbreitet werden. Die einzelnen Beiträge sind ebenfalls urheberrechtlich geschützt. Die gewerbliche Nutzung ist nicht zulässig.
Fallstudien Projektarbeit