Direkt zum Inhalt | Direkt zur Navigation

Eingang zum Volltext

Lizenz

Bitte beziehen Sie sich beim Zitieren dieses Dokumentes immer auf folgende
URN: urn:nbn:de:bsz:25-opus-82927
URL: http://www.freidok.uni-freiburg.de/volltexte/8292/


Lowis, Lutz

Automatisierte Compliance-Prüfung von Geschäftsprozessen

Automated compliance-checking of business processes

Dokument1.pdf (6.330 KB) (md5sum: 1f078d05e74837e6b8c70fde29905859)

Kurzfassung in Deutsch

Die Compliance-Prüfung von Geschäftsprozessen wird bisher hauptsächlich manuell und nach der Ausführung der Prozesse durchgeführt. Eventuelle Regelverstöße werden somit erst im Nachhinein erkannt, und die Prüfung nimmt viel Zeit in Anspruch. In dieser Arbeit wird REVEAL (pRocEss VulnErability AnaLysis) vorgestellt, ein Verfahren zur automatisierten Schwachstellenanalyse von Workflows (ganz oder teilweise automatisierten Geschäftsprozessen). Workflows lassen sich damit bereits vor der Ausführung auf mögliche Verstöße gegen Compliance-Vorgaben aus Gesetzen und Standards, aber auch gegen weitere Regeln aus dem Sicherheitsbereich prüfen. Aus den vielfältigen Regeln wurden dazu branchenübergreifend gültige Regel-Elemente abgeleitet, die anhand von wiederverwendbaren Regel-Vorlagen formalisiert und damit der automatisierten Prüfung zugänglich gemacht werden. In den Workflows werden alle möglichen Ausführungspfade ermittelt und auf Einhaltung der durch die Vorlagen erfassten Regeln untersucht. Potentielle Verstöße bzw. Schwachstellen werden eindeutig gekennzeichnet und so detailliert protokolliert, dass die Ergebnisse beispielsweise zur automatischen Behebung der Schwachstellen dienen können. Workflows mit unter 100 Aktivitäten können innerhalb von Millisekunden analysiert werden, wie der Forschungsprototyp gezeigt hat. Je nach Anzahl der Verzweigungen innerhalb des Workflows steigt die Analysedauer dann bei mehreren Hundert Aktivitäten auf Sekunden und Minuten. Da typische Workflows aus der Praxis meist weniger als 50 Aktivitäten umfassen, ist das vorgestellte Verfahren ein vielversprechender Kandidat für die Compliance-Prüfung von Geschäftsprozessen „auf Knopfdruck“. Für Unternehmen bedeutet das in zweierlei Hinsicht Einsparpotential. Die zeitlich aufwändige manuelle Prüfung kann durch die voraussichtlich zu geringeren Kosten mögliche automatisierte Prüfung abgelöst oder zumindest unterstützt werden, und Sanktionen wegen Compliance-Verstößen entfallen bei rechtzeitig vorher entdeckten Schwachstellen: mögliche Regelverstöße können mit REVEAL noch vor der Ausführung der Prozesse automatisiert entdeckt und damit vermieden werden.


Kurzfassung in Englisch

Checking business processes for compliance has so far mostly been done in a manual fashion. This means that potential rule violations are detected after the fact, and the checking procedure keeps auditors busy for a long time. In this thesis, an approach for the automated vulnerability analysis of workflows (fully or partially automated business processes) is presented. Even before runtime, REVEAL (pRocEss VulnErability AnaLysis) detects potential violations of compliance regulations and of additional security rules. Out of the various rules, cross-sector applicable rule elements have been derived, which are formalized through rule templates, making the rules accessible to automated checking. During an analysis run, every single path of execution (workflow trace) is analyzed, and both the control and data flow are checked regarding rule adherence. Potential violations resp. vulnerabilities are identified with a high level of detail, making the results a valuable input for automated vulnerability removal. The research prototype requires only milliseconds to analyze workflows with up to 100 activities. Depending on the amount of branches, the analysis duration increases to seconds and minutes for workflows with several hundred activities. Since typical workflows consist of 50 or less activities, the approach presented offers a promising option for “push button” compliance checking of business processes. For companies, this opens two ways to cost reduction. By reducing the time required for compliance checks, the automated approach saves costs in comparison to the manual approach. Also, penalties due to compliance violations can be avoided by early discovering vulnerabilities. Because REVEAL allows automatically detecting potential violations even before process execution, it helps to avoid compliance violations and the corresponding penalties.


SWD-Schlagwörter: Schwachstellenanalyse , Compliance-System , Automation , Prozesskette
Freie Schlagwörter (deutsch): Sicherheit , Workflow , Entwurfszeit
Freie Schlagwörter (englisch): vulnerability analysis , compliance , workflow , design time , automation
Institut: Institut für Informatik und Gesellschaft
Fakultät: Wirtschafts- und Verhaltenswissenschaftliche Fakultät
DDC-Sachgruppe: Informatik
Dokumentart: Dissertation
Erstgutachter: Müller, Günter (Prof. Dr. Dr.)
Sprache: Deutsch
Tag der mündlichen Prüfung: 20.09.2011
Erstellungsjahr: 2011
Publikationsdatum: 22.09.2011
Indexliste