dynamischen Sicherheits- und Risikomanagement
6.2. Schlussfolgerung und Ausblick
Die w¨ahrend der Erstellung dieser Arbeit gewonnenen Erkenntnisse lassen schlussfolgern, dass die meisten f¨ur die medizinischen Forschungsnetze relevanten Schadensszenarien sich mit einem – den Forschungsnetzen zumutbaren – Aufwand verhindern oder zumindest abmildern lassen. Eine wichtige Voraussetzung daf¨ur ist eine zielgerichtete Vorgehens-weise, die beispielsweise mithilfe einer gemeinsamen Sicherheitsarchitekturbeschreibung effizienter gestaltet werden kann. Die vorliegende Arbeit setzt sich sowohl mit den Sicher-heitsanforderungen an die medizinischen Forschungsnetze als auch mit den Anforderungen der Forschungsnetze an die Sicherheitsmaßnahmen auseinander und ist als ein erweite-rungsf¨ahiges Rahmenwerk der Forschungsnetzsicherheit zu verstehen. Dieses Rahmenwerk erfasst die aktuellen Erkenntnisse auf dem Gebiet der Informationssicherheit und unter-breitet Erg¨anzungsvorschl¨age in Form von teilweise bereits bestehenden aber auch neuen Konzepten.
Eines dieser Vorschl¨age ist das im Rahmen der Arbeit entwickelte Konzept f¨ur das dynami-sche Sicherheits- und Risikomanagement
”dynSRM“. Als Mess- und Steuerungsinstrument f¨ur die Sicherheitsarchitektur erlaubt es eine Bewertung der Sicherheits- und Risikosi-tuation und leistet Unterst¨utzung bei der Entscheidung ¨uber die Zusammensetzung des Sicherheitsmaßnahmenportfolios. Durch die zentralisierte Gestaltung von Sicherheits- und Risikokatalogen k¨onnen Synergieeffekte genutzt werden: Die f¨ur eine qualitativ hochwertige, objektive Bewertung der Gef¨ahrdungslage notwendige Kompetenz kann an einer zentralen Stelle aufgebaut werden, wodurch die einzelnen Forschungsverb¨unde entlastet werden k¨onnen. Die Anwendung des Konzeptes kann die Argumentation f¨ur die Notwendigkeit der Implementierung von Sicherheitsmaßnahmen in den Forschungsverb¨unden objektivieren und somit erleichtern. Eine regelm¨aßige Aktualisierung der zentralen Kataloge sorgt f¨ur die dynamische stets aktuelle Einsch¨atzung des Sicherheits- und Risikoportfolios in den einzelnen Forschungsnetzen.
Der rasanten Entwicklung im Bereich Informationssicherheit Rechnung tragend wurden in der vorliegenden Arbeit nur wenige konkrete Produkte als L¨osungsm¨oglichkeiten genannt.
Vielmehr wurde angestrebt, die grundlegenden hinter den konkreten L¨osungen stehenden Technologien aufgrund ihrer l¨angeren Best¨andigkeit zu beschreiben. Somit hat die vorlie-gende Arbeit ein stabiles Grundger¨ust, das eine zeitgem¨aße, erweiterungsf¨ahige Basis f¨ur die Sicherheitsarchitektur der medizinischen Forschungsnetze bietet.
[AAP08] Aime, Marco D. ; Atzeni, Andrea S. ; Pomi, Paolo C.: The Risks with Security Metrics. In: Proceedings of the 4th ACM workshop on Quality of Protection (QoP’08). New York, NY, USA : ACM, November 2008, S. 65–70 [AASM11] Aissa, Anis B. ; Abercrombie, Robert K. ; Sheldon, Frederick T. ; Mili,
Ali: Defining and Computing a Value Based Cyber-Security Measure. In:
Information Systems and e-Business Management 11 (2011), Nr. 4, S. 1–21 [ABC+11] Antony, Gisela ; Buckow, Karoline ; Chan, Andrew ; Gold, Ralf ;
Hemmer, Bernhard ; Jochim, A. ;Kieseier, Bernd ; Paul, Friedemann ; Posevitz-Fejfar, Anita ;Rienhoff, Otto ;Schippling, Sven ; Starck, Michaela ;Stroet, Anke ; Weber, Frank ; Wiendl, Heinz ; Winkelmann, Alexander: Datenschutzkonzept f¨ur das Kompetenznetz Multiple Sklerose (KKNMS). (2011). – Beziehbar ¨uber die TMF
[ACPZ01] Adams, Carlisle ; Cain, Pat ; Pinkas, Denis ; Zuccherato, Robert:
Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP). (2001).
http://www.ietf.org/rfc/rfc3161.txt, Abruf: 3.3.2012
[AD01] Alberts, Christopher J. ; Dorofee, Audrey J.: OCTAVE Method Implementation Guide. (2001).
http://www.sei.cmu.edu/downloads/octave/OCTAVE_OMIG.zip, Abruf:
3.3.2012. – Version 2.0
[AE08] Ahlers, Ernst ; Endres, Johannes: Fernzugriff ¨ubers Internet. In: c’t special 8 (2008), Nr. 1, S. 124–127
[AJ10] Appari, Ajit ; Johnson, Eric M.: Information Security and Privacy in
Healthcare : Current State of Research. In:International Journal of Internet and Enterprise Management 6 (2010), Nr. 4, S. 279–314
[Als10] Alshboul, Abdullah: Information Systems Security Measures and
Countermeasures : Protecting Organizational Assets from Malicious Attacks. In:
Communications of the IBIMA 10 (2010), Nr. 48687, S. 1–9
[AM06] Anderson, Ross ; Moore, Tyler: The Economics of Information Security. In:
Science 314 (2006), Nr. 5799, S. 610–613
[AMR07] Alhazmi, Omar H. ; Malaiya, Yashwant K. ; Ray, Indrajit: Measuring, Analyzing and Predicting Security Vulnerabilities in Software Systems. In:
Computers & Security 26 (2007), Nr. 3, S. 219–228
[And03] Anderson, Ross: Trusted Computing : Frequently Asked Questions. (2003).
http://www.cl.cam.ac.uk/~rja14/tcpa-faq.html, Abruf: 11.1.2012. – Version 1.1
[ans04] ANSI INCITS, International Committee for Information Technology Standards (Hrsg.): Security Standard ANSI INCITS 359-2004 for Role Based Access Control (RBAC). (2004).
http://www.techstreet.com/cgi-bin/detail?product_id=1151353, Abruf:
3.3.2012
[ANT06] Arora, Ashish ; Nandkumar, Anand ; Telang, Rahul: Does Information Security Attack Frequency Increase with Vulnerability Disclosure? An Empirical Analysis. In: Information Systems Frontiers 8 (2006), Nr. 5, S. 350–362
[ATX08] Arora, Ashish ; Telang, Rahul ; Xu, Hao: Optimal Policy for Software Vulnerability Disclosure. In: Management Science 54 (2008), Nr. 4, S. 642–656 [axe99] AXENT Technologies, Inc. (Hrsg.): Everything You Need to Know About
Intrusion Detection. (1999).
http://www.neocom.pl/dokumenty/Axent/ids2.pdf, Abruf: 3.3.2012
[Axe08] Axelrod, Warren C.: Accounting for Value and Uncertainty in Security Metrics.
In: Information System Control Journal 6 (2008), S. 1–6
[Bac03] Bachfeld, Daniel: Mit roher Gewalt : Angriff auf Passw¨orter in Windows-Netzwerken. (2003).
http://www.heise.de/security/Mit-roher-Gewalt--/artikel/40744, Abruf: 11.1.2012
[Bay11] Bayuk, Jennifer L.: Alternative Security Metrics. In: Eighth International Conference on Information Technology : New Generations. Las Vegas, NV, USA : ITNG, April 2011, S. 943–946
[BBM+08] Bartol, Nadya ; Bates, Brian ; Mercedes-Goertzel, Karen ; Winograd, Theodore ; Karon, Cynthia: Measuring Cyber Security and Information Assurance / Information Assurance Technology Analysis Center (IATAC). NJ, USA, Mai 2008.
http://iac.dtic.mil/iatac/download/cybersecurity.pdf, Abruf: 20.12.2011.
– State-of-the-Art Report
[BC96] Barrows, Randolph C. ; Clayton, Paul D.: Privacy, Confidentiality, and Electronic Medical Records. In: Journal of the American Medical Informatics Association 3 (1996), Nr. 2, S. 139–148
[Bea12] Beale, Jay: BASTILLE-LINUX : The Bastille Hardening Program. (2012).
http://bastille-linux.sourceforge.net/, Abruf: 3.3.2012
[Bel06] Bellovin, Steven M.: On the Brittleness of Software and the Infeasibility of Security Metrics. In: Security & Privacy, IEEE 4 (2006), Nr. 4, S. 96
[BGH+06] Becker, Regina ; Goebel, J¨urgen W. ; Hummel, Michael ; Ihle, Peter ; Kiehntopf, Michael ; Leopold, Christian ; Pommerening, Klaus ;
Rienhoff, Otto ; Sellge, Eva ; Semler, Sebastian C.: Bestandsaufnahme und Charakterisierung von Biobanken : Systematisierung, wissenschaftliche
Bewertung, Finanzierungsmodelle und Konzepte zu Datenschutz und
Patienteneinwilligung / Telematikplattform f¨ur Medizinische Forschungsnetze e.V. (TMF). Berlin, Juni 2006 (P999061). – TMF-Gutachten Biobanken. – Version 1.20 – Beziehbar ¨uber die TMF
[BKY11] Barabanov, Rostyslav ; Kowalski, Stewart ; Yngstr¨om, Louise:
Information Security Metrics : State of the Art / Stockholm University,
Department of Computer and System Sciences. Stockholm, Sweden, M¨arz 2011.
https://secprj.dsv.su.se/coins/files/Information_security_metrics_
-_State_of_the_art.pdf, Abruf: 19.12.2011 (DSV Report Series No 11-007). – Forschungsbericht
[BL73] Bell, David E. ;LaPadula, Leonard J.: Secure Computer Systems :
Mathematical Foundations : An Electronic Reconstruction by Len LaPadula of the Original. 1973.
http://www.albany.edu/acc/courses/ia/classics/belllapadula1.pdf, Abruf: 3.3.2012 (MITRE 2547). – Technical Report. – Volume I
[BLP+06] Buldas, Ahto ;Laud, Peeter ; Priisalu, Jaan ;Saarepera, M¨art ; Willemson, Jan: Rational Choice of Security Measures via Multi-Parameter Attack Trees. In: L´opez, Javier (Hrsg.): Critical Information Infrastructures Security Bd. 4347. Berlin/Heidelberg : Springer-Verlag, 2006. –
ISBN 3-540690832, S. 235–248
[BM08] Boyer, Wayne ; McQueen, Miles: Ideal Based Cyber Security Technical Metrics for Control Systems. In:Lopez, Javier (Hrsg.) ;H¨ammerli, Bernhard (Hrsg.): Critical Information Infrastructures Security Bd. 5141.
Berlin/Heidelberg : Springer-Verlag, 2008. – ISBN 978-3540890959, S. 246–260
[BMGS09] Beres, Yolanta ; Mont, Marco C. ; Griffin, Jonathan ; Shiu, Simon:
Using Security Metrics Coupled with Predictive Modeling and Simulation to Assess Security Processes. In: Proceedings of the 3rd International Symposium on Empirical Software Engineering and Measurement (ESEM’09). Washington, DC, USA : IEEE Computer Society, Oktober 2009, S. 564–573
[BMS06] Balzarotti, Davide ; Monga, Mattia ; Sicari, Sabrina: Assessing the Risk of Using Vulnerable Components. In: Gollmann, Dieter (Hrsg.) ; Massacci, Fabio (Hrsg.) ; Yautsiukhin, Artsiom (Hrsg.):Quality of Protection : Security Measurements and Metrics Bd. 23. New York, NY, USA : Springer-Verlag, Juni 2006. – ISBN 978-0387290164, S. 65–78
[BN08] B¨ohme, Rainer ; Nowey, T: Economic Security Metrics. In: Eusgeld, Irene (Hrsg.) ; Freiling, Felix C. (Hrsg.) ; Reussner, Ralf (Hrsg.): Dependability Metrics Bd. 4909. Berlin Heidelberg : Springer-Verlag, 2008. –
ISBN 978-3540245513, S. 176–187
[B¨oh10] B¨ohme, Rainer: Security Metrics and Security Investment Models. In:Echizen, Isao (Hrsg.) ; Kunihiro, Noboru (Hrsg.) ; Sasaki, Ryˆoichi (Hrsg.): Advances in Information and Computer Security Bd. 6434. Berlin/Heidelberg :
Springer-Verlag, 2010. – ISBN 978-3642168246, S. 10–24
[Bor08] Borchers, Detlef: Karte ohne Eigenschaften : Die Infrastruktur f¨ur die
elektronische Gesundheitskarte. In: c’t – Magazin f¨ur Computertechnik 8 (2008), Nr. 18, S. 76–81
[Bou05] Boulanger, Alan: Open-Source Versus Proprietary Software : Is One More Reliable and Secure Than the Other? In: IBM Systems Journal 44 (2005), Nr. 2, S. 239–248
[BP01] Burnett, Steve ; Paine, Stephen: Kryptographie : RSA Security’s Official Guide. Bonn : Mitp-Verlag, 2001. – ISBN 978-3826607806
[BP07] Baer, Walter S. ;Parkinson, Andrew: Cyberinsurance in IT Security Management. In: IEEE Security and Privacy 5 (2007), Nr. 3, S. 50–56
[Bro09] Brotby, Krag W.: Information Security Management Metrics : A Definitive Guide to Effective Security Monitoring and Measurement. Boca Raton, Florida, USA : CRC Press, Auerbach, 2009. – ISBN 978-1420052855
[BRR99] Buckovich, Suzy A. ; Rippen, Helga E. ; Rozen, Michael J.: Driving Toward Guiding Principles. In: Journal of the American Medical Informatics Association 6 (1999), Nr. 2, S. 122–133
[BRT07] Baker, Wade H. ; Rees, Loren P. ; Tippett, Peter S.: Necessary Measures : Metric-Driven Information Security Risk Assessment and Decision Making. In:
Communications of the ACM 50 (2007), Nr. 10, S. 101–106
[BS06] Beckmann, Michael ; Sax, Ulrich ; TMF, Telematikplattform f¨ur Medizinische Forschungsnetze e. V. (Veranst.): Bericht aus dem Kompetenznetz Angeborene Herzfehler. Berlin, Gesch¨aftsstelle TMF e. V. am 11.12.2006. –
Sicherheitskonzepte in der vernetzten medizinischen Forschung : TMF-Workshop.
– Beziehbar ¨uber die TMF
[BS08] Bachfeld, Daniel ; Steffen, Andreas: VPN-Protokolle und Standards. In: c’t special 8 (2008), Nr. 2, S. 62–67
[BSB07] Brocke, Jan vom ; Strauch, Gereon ; Buddendick, Christian: Return on Security Investments : Design Principles of Measurement Systems Based on Capital Budgeting. In:Mayr, Heinrich C. (Hrsg.) ; Karagiannis, Dimitris (Hrsg.): ISTA(LNI) Bd. 107. Kharkiv, Ukraine : GI, Mai 2007, S. 21–32 [bsi05] BSI, Bundesamt f¨ur die Sicherheit in der Informationstechnik (Hrsg.):
Konzeption von Sicherheitsgateways. (2005).
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/
Internetsicherheit/Konz_SiGw_pdf.pdf?__blob=publicationFile, Abruf:
3.3.2012. – Version 1.0
[bsi08a] BSI, Bundesamt f¨ur die Sicherheit in der Informationstechnik (Hrsg.):
BSI-Standard 100-1 : Managementsysteme f¨ur Informationssicherheit (ISMS).
(2008). https://www.bsi.bund.de/cae/servlet/contentblob/471450/
publicationFile/31048/standard_1001.pdf, Abruf: 25.12.2011. – Version 1.5
[bsi08b] BSI, Bundesamt f¨ur die Sicherheit in der Informationstechnik (Hrsg.):
BSI-Standard 100-2 : IT-Grundschutz-Vorgehensweise. (2008).
https://www.bsi.bund.de/cae/servlet/contentblob/471452/
publicationFile/31047/standard_1002.pdf, Abruf: 25.12.2011. – Version 2.0
[bsi08c] BSI, Bundesamt f¨ur die Sicherheit in der Informationstechnik (Hrsg.):
BSI-Standard 100-3 : Risikoanalyse auf der Basis von IT-Grundschutz. (2008).
https://www.bsi.bund.de/cae/servlet/contentblob/471454/
publicationFile/31046/standard_1003.pdf, Abruf: 25.12.2011. – Version 2.5
[bsi08d] BSI, Bundesamt f¨ur die Sicherheit in der Informationstechnik (Hrsg.):
BSI-Standard 100-4 : Notfallmanagement. (2008).
https://www.bsi.bund.de/cae/servlet/contentblob/471452/
publicationFile/31047/standard_1002.pdf, Abruf: 25.12.2011. – Version 1.0
[bsi08e] BSI, Bundesamt f¨ur die Sicherheit in der Informationstechnik (Hrsg.): Guide for the Transition from CC v2.3 to CC v3.1 for ADV : The Common Criteria Portal.
(2008). http://www.commoncriteriaportal.org/adv_tg.html, Abruf: 3.3.2012 [bsi08f] BSI, Bundesamt f¨ur die Sicherheit in der Informationstechnik (Hrsg.): Sichere
Informationstechnik f¨ur unsere Gesellschaft. 2008.
https://www.bsi.bund.de/cae/servlet/contentblob/487524/
publicationFile/30755/bsi_jahresbericht_2006-2007_pdf, Abruf:
3.3.2012 (BSI JB 2006-2007). – BSI-Jahresbericht
[bsi09a] BSI, Bundesamt f¨ur die Sicherheit in der Informationstechnik (Hrsg.): Common Criteria : ISO/IEC 15408. (2009). https://www.bsi.bund.de/cae/servlet/
contentblob/486784/publicationFile/35316/F06CommonCriteria_pdf.pdf, Abruf: 3.3.2011
[bsi09b] BSI, Bundesamt f¨ur die Sicherheit in der Informationstechnik (Hrsg.): IT Sicherheit auf Basis der Common Criteria : Ein Leitfaden. (2009).
https://www.bsi.bund.de/cae/servlet/contentblob/487910/
publicationFile/30228/cc_leitf_pdf.pdf, Abruf: 24.4.2011
[bsi11a] BSI, Bundesamt f¨ur die Sicherheit in der Informationstechnik (Hrsg.):
Erg¨anzung zum BSI-Standard 100-3 : Verwendung der elementaren Gef¨ahrdungen aus den IT-Grundschutz-Katalogen zur Durchf¨uhrung von Risikoanalysen. (2011).
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/
ITGrundschutzstandards/standard_1003_ergaenzung_pdf.pdf?__blob=
publicationFile, Abruf: 25.12.2011. – Version 2.5
[bsi11b] BSI, Bundesamt f¨ur die Sicherheit in der Informationstechnik (Hrsg.):
Gef¨ahrdungskatalog G 0
”Elementare Gef¨ahrdungen“. (2011).
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/
Download/Gefaehrdungskatalog-G0-ElementareGefaehrdungen.pdf?_
_blob=publicationFile, Abruf: 25.12.2011. – Version 2.5
[bsi11c] BSI, Bundesamt f¨ur die Sicherheit in der Informationstechnik (Hrsg.):
Gemeinsame Kriterien f¨ur die Pr¨ufung und Bewertung der Sicherheit von Informationstechnik. (2011). https://www.bsi.bund.de/ContentBSI/Themen/
ZertifizierungundAnerkennung/ZertifierungnachCCundITSEC/
ITSicherheitskriterien/CommonCriteria/cc.html, Abruf: 16.3.2011
[bsi11d] BSI, Bundesamt f¨ur die Sicherheit in der Informationstechnik (Hrsg.):
IT-Grundschutz-Kataloge. (2011).
https://www.bsi.bund.de/cln_174/DE/Themen/weitereThemen/
ITGrundschutzKataloge/itgrundschutzkataloge_node.html, Abruf: 1.1.2012.
– 12. Erg¨anzungslieferung
[bsi11e] BSI, Bundesamt f¨ur die Sicherheit in der Informationstechnik (Hrsg.):
Zuordnungstabelle ISO 27001 sowie ISO 27002 und IT-Grundschutz. (2011).
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/
Hilfsmittel/Vergleich_ISO27001_GS.html, Abruf: 3.3.2012. – 12. Erg¨anzungslieferung
[Bur05] Burnett, Mark: Perfect Passwords : Selection, Protection, Authentification.
Rockland, Massachusetts, USA : Syngress Media, 2005. – ISBN 978-1597490412 [CD09] Cottin, Claudia ; D¨ohler, Sebastian: Risikoanalyse : Modellierung,
Beurteilung und Management von Risiken mit Praxisbeispielen. Wiesbaden : Vieweg+Teubner, 2009. – ISBN 978-3834805942
[CFF+04] Chiachiarella, Fred ; Fasting, Uwe ; Fey, Tilo ;Leppler, Stefan ; Lux, Gisbert ;Lubb, Peter ; Moser, Andreas ; Otten, G¨unther ; Schlattmann, Johannes ; Schumann, Sven ; Schweizer, Lothar ; Souren, Franz-Josef ; Ausschuss Betriebswirtschaft und Informationstechnologie Gesamtverband der Deutschen Versicherungswirtschaft e. V.
(Hrsg.): Das Risiko Trusted Computing f¨ur die deutsche Versicherungswirtschaft : Positionspapier der deutschen Versicherungswirtschaft. (2004).
http://www.gdv-online.de/tcg/pos_tcg.pdf, Abruf: 3.3.2012. – Band 13 der Schriftenreihe des Betriebswirtschaftlichen Institutes des GDV
[Chr11] Christin, Nicolas: Network Security Games : Combining Game Theory,
Behavioral Economics, and Network Measurements. In: Conference on Decision and Game Theory for Security. College Park, Maryland, USA : GameSec, November 2011, S. 1–3
[cis04] CISWG, Corporate Information Security Working Group (Hrsg.): Report of the Best Practices and Metrics Teams / Subcommittee on Technology, Information Policy, Intergovernmental Relations and the Census. 2004.
http://net.educause.edu/ir/library/pdf/CSD3661.pdf, Abruf: 20.12.2011. – Technical Report. – Revised 10.01.2005
[cis06] Cisco Systems, Inc. (Hrsg.): Cisco and Microsoft Unveil Joint Architecture for NAC-NAP Interoperability. (2006).
http://newsroom.cisco.com/dlls/2006/prod_090606.html, Abruf: 17.5.2010
[cit11] Citrix Systems, Inc. (Hrsg.): All Products : Citrix Knowledge Center. (2011).
http://support.citrix.com/product/, Abruf: 11.3.2011
[CMS+00] Coatrieux, Gouenou ;Maitre, H. ;Sankur, Bulent ; Rolland, Y. ; Collorec, R.: Relevance of Watermarking in Medical Imaging. In: Proceedings
of the Information Technology Applications in Biomedicine (2000 IEEE EMBS).
Arlington, VA, USA : IEEE Computer Society, November 2000, S. 250–255 [CNO08] Courtois, Nicolas T. ; Nohl, Karsten ; O’Neil, Sean: Algebraic Attacks on
the Crypto-1 Stream Cipher in MiFare Classic and Oyster Cards / Cryptology ePrint Archive. 2008. http://eprint.iacr.org/2008/166, Abruf: 24.4.2011 (2008/166). – Research Announcement. – Version: 20080414:185254
[CS07] Case, Gary ; Spalding, George ; OGC, Office of Government Commerce (Hrsg.): ITIL V3 : Continual Service Improvement. 2. ¨uberarb. Aufl. London,
UK : TSO, The Stationery Office, 2007. – ISBN 978-0113310494
[CSF+08] Cooper, David ; Santesson, Stefan ;Farrell, Stephen ; Boyen, Sharon ; Housley, Russel ;Polk, Tim W.: RFC 5280 : Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile. (2008).
http://tools.ietf.org/rfc/rfc5280.txt, Abruf: 24.4.2011
[CSS+08] Chew, Elizabeth ; Swanson, Marianne ; Stine, Kevin ; Bartol, Nadya ; Brown, Anthony ; Robinson, Will ;NIST, National Institute of Standards and Technology (Hrsg.): Performance Measurement Guide for Information Security.
(2008). http://csrc.nist.gov/publications/nistpubs/800-55-Rev1/SP800-55-rev1.pdf, Abruf: 18.11.2011. – NIST Special Publication 800-55. – Revision 1
[CW07] Cannon, David T. ; Wheeldon, David ;OGC, Office of Government
Commerce (Hrsg.): ITIL V3 : Service Operation. 2. ¨uberarb. Auflage. London, UK : TSO, The Stationery Office, 2007. – ISBN 978-0113310463
[CYK04] Chaula, Job A. ; Yngstr¨om, Louise ; Kowalski, Stewart: Security Metrics and Evaluation of Information Systems Security. In: Proceedings of the ISSA 2004 Enabling Tomorrow Conference. Pretoria, South Africa : ISSA, Juni 2004, S. 1–12
[dat11] Datenschutzzentrum Schleswig-Holstein (Hrsg.): GG, BDSG, LDSG, StGB, Patientendatenschutz im Krankenhaus. (2011).
https://www.datenschutzzentrum.de/medizin/krankenh/patdskh.htm#1, Abruf: 18.3.2011
[Dav02] Davis, Carlton R.: IPSec : Tunneling im Internet. Bonn : Mitp-Verlag, 2002. – ISBN 978-3826608094
[DB11] Datta, S. P. ; Banerjee, Pranab: Guideline for Performance Measures of Information Security of IT Network and Systems. In: International Journal of Research and Reviews in Next Generation Networks 1 (2011), Nr. 1, S. 39–43
[DBN10] Das, Tathagata ;Bhagwan, Ranjita ; Naldurg, Prasad: Baaz : A System for Detecting Access Control Misconfigurations. In: Proceedings of the 19th USENIX conference on Security (USENIX Security’10). Berkeley, CA, USA : USENIX Association, 2010, S. 161–176
[DC96] DiLonardo, R. L. ; Clarke, R. V.: Reducing the Rewards of Shoplifting : An Evaluation of Ink Tags. In: Security Journal 7 (1996), Nr. 1, S. 11–14
[DC06] Debold, Peter ; CIOffice, Universit¨at G¨ottingen: Datensicherheit und Datenschutz im Nationalen Register und Kompetenznetz Angeborene Herzfehler.
(2006). http://www.kompetenznetz-ahf.de/fileadmin/documents/knahf_
datenschutzkonzept_ver_1_24.pdf, Abruf: 24.4.2011. – Version 1.24 – Beziehbar ¨uber die TMF
[Dep03] Department of Health and Human Services: 45 CFR Parts 160, 162, and 164 Health Insurance Reform : Security Standards; Final Rule. Federal Register, Vol. 68, No. 34, (2003)
[Der07] Der Bayerische Landesbeauftragte f¨ur den Datenschutz: Merkblatt zum Datenschutz bei medizinischen Studien mit Patientendaten. (2007). http://
www.datenschutz-bayern.de/technik/orient/merkblatt_med_studien.html, Abruf: 24.4.2011. – Version 1.0
[Deu10] Deutscher Ethikrat: Humanbiobanken f¨ur die Forschung : Stellungnahme.
Berlin : Hermann Schlesener KG, 2010. – ISBN 978-3941957053
[DHH05] DHHS, Department of Health and Human Services: Basics of Security Risk Analysis and Risk Management. (2005). http://www.hhs.gov/ocr/privacy/
hipaa/administrative/securityrule/riskassessment.pdf, Abruf: 20.2.2011.
– Revision 3/2007
[DHS08] DHS, U.S. Department of Homeland Security: DHS Risk Lexicon. (2008).
http://www.dhs.gov/xlibrary/assets/dhs_risk_lexicon.pdf, Abruf:
22.12.2011
[Die08] Dierks, Christian: Pseudonymisierungsverpflichtung bei Anwendungsf¨allen mit gleichzeitigem Versorgungs- und Forschungsbezug und Fragen zur Relevanz des Medizinproduktegesetzes (MPG) / Telematikplattform f¨ur Medizinische
Forschungsnetze e. V. (TMF). 2008 (P039031). – Teilgutachten zu Fragen des Datenschutzes in klinischen Studien. – S. B1-B44. – Version 1.0 – Beziehbar ¨uber die TMF
[DL11] Dunaev, Dmitriy ; Lengyel, L´aszl´o: Information Security : Concepts, Indicators, Measurements. In: Theoretical and Applied Aspects of Cybernetics.
Kiew, Ukraine : TAAC, Februar 2011 (TAAC’11), S. 22–24
[DO05] Demotes-Mainard, Jacques ; Ohmann, Christian: European Clinical Research Infrastructures Network: Promoting Harmonisation and Quality in European Clinical Research. In: Lancet 365 (2005), Nr. 9454, S. 107–108 [Dog10] Dogaheh, Morteza A.: Introducing a Framework for Security Measurements.
In: 2010 IEEE International Conference on Information Theory and Information Security. Beijing, China : ICITIS, Dezember 2010, S. 638–641
[Dom01] Domhan, Gregor: LAN-Sicherheitskonzept und Aufbau eines Firewall-Systems.
Aalen, Fachhochschule, Diplomarbeit, 2001.
http://www.domhan.de/Diplomarbeit.pdf, Abruf: 15.3.2009
[DR08] Dierks, Tim ;Rescorla, Eric: The Transport Layer Security (TLS) Protocol Version 1.2. (2008). http://tools.ietf.org/rfc/rfc5246.txt, Abruf:
24.4.2011
[DSMS07] Drepper, Johannes ; Semler, Sebastian C. ; Mohammed, Yassene ; Sax, Ulrich: Aktuelle Themen des Datenschutzes und der Datensicherheit in der biomedizinischen Forschung. In: Grid-Computing in der biomedizinischen Forschung : Datenschutz und Datensicherheit. M¨unchen : Urban & Vogel, Februar 2007. – ISBN 978-3899352375, S. 25–36
[Eck07] Eckert, Claudia: IT-Sicherheit : Konzepte – Verfahren – Protokolle. 5. ¨uberarb.
Aufl. M¨unchen : Oldenbourg Wissenschaftsverlag, 2007. – ISBN 978-3486582703 [emc11] EMC, EMC Corporation (Hrsg.): Form 8-K : Pursuant to Section 13 or 15 (d) of the Securities Exchange Act of 1934 / United States Securities and Exchange Commission. Washington, DC, USA, M¨arz 2011 (04-2680009). – Current Report [ems12] EMSCB, European Multilaterally Secure Computing Base (Hrsg.): Towards
Trustworthy Systems with Open Standards and Trusted Computing. (2012).
http://www.emscb.de/content/pages/Einleitung.htm, Abruf: 15.1.2012
[EW06] Eberstein, Huberta ; Wolf, Andreas ; Christian-Albrechts-Universit¨at Kiel (Hrsg.): Datenmanagementkonzept f¨ur popgen : Populationsgenetische Untersuchung klinischer Ph¨anotyp-Genotyp-Beziehungen in
Nord-Schleswig-Holstein. (2006). – Version 0.4 – Beziehbar ¨uber die TMF [Fab08] Faber, Frank: Unter Verdacht : Eine russische Bande professionalisiert das
Cybercrime-Business. In: c’t – Magazin f¨ur Computertechnik 8 (2008), Nr. 11, S. 92–96
[Fab10] Faber, Eberhard: Measuring Information Security : Guidelines to Build Metrics.
In: Pohlmann, Norbert (Hrsg.) ; Reimer, Helmut (Hrsg.) ; Schneider,
Wolfgang (Hrsg.):ISSE 2009 Securing Electronic Business Processes.
Wiesbaden : Vieweg+Teubner, 2010. – ISBN 978-3834809582, S. 17–26
[FBTW10] Fruehwirth, Christian ; Biffl, Stefan ; Tabatabai, Mohamed ; Weippl, Edgar: Addressing Misalignment Between Information Security Metrics and Business-Driven Security Objectives. In: Proceedings of the 6th International Workshop on Security Measurements and Metrics (MetriSec’10). New York, NY,
USA : ACM, 2010, S. 1–7
[Fen10] Fenz, Stefan: Ontology-based Generation of IT-Security Metrics. In:
Proceedings of the ACM Symposium on Applied Computing (SAC’10). New York, NY, USA : ACM, 2010, S. 1833–1839
[FGHK05] Ferraiolo, David ; Gavrila, Serban ; Hu, Vincent ;Kuhn, Richard D.:
Composing and Combining Policies Under the Policy Machine. In: Proceedings of the 10th ACM Symposium on Access Control Models and Technologies
(SACMAT’05). New York, NY, USA : ACM, Februar 2005, S. 11–20 [FHM+07] Freeman, Trevor ; Housley, Russel ;Malpani, Ambarish ;Cooper,
David ;Polk, Tim W.: RFC 5055 : Server-Based Certificate Validation Protocol (SCVP). (2007). http://tools.ietf.org/rfc/rfc5055.txt, Abruf: 3.3.2012 [FK92] Ferraiolo, David ; Kuhn, Richard: Role-Based Access Controls. In:
Proceedings of the 15th NIST-NCSC National Computer Security Conference (NCSC’92). Baltimore, MD, USA : NIST, Oktober 1992, S. 554–563
[FK95] Ferraiolo, David ; Kuhn, Rick ; NIST, National Institute of Standards and Technology (Hrsg.): An Introduction to Role-Based Access Control. (1995).
http://csrc.nist.gov/rbac/NIST-ITL-RBAC-bulletin.html, Abruf: 3.3.2012.
– NIST/ITL Bulletin
[Foo97] Food and Drug Administration: Title 21 : Foods and Drugs I : Food and Drug Administration Department of Health and Human Services Subchapter A : General Part 11 : Electronic Records;Electronic Signatures. 62 FR 13464. (1997).
http://www.accessdata.fda.gov/scripts/cdrh/cfdocs/cfcfr/
CFRSearch.cfm?CFRPart=11, Abruf: 3.3.2012
[FPW07] Faisst, Ulrich ; Prokein, Oliver ; Wegmann, Nico: Ein Modell zur
dynamischen Investitionsrechnung von IT-Sicherheitsmaßnahmen. In:Zeitschrift f¨ur Betriebswirtschaft 77 (2007), Nr. 5, S. 511–538
[Fra97] Fraser, Barbara: Request for Comments : 2196 : Site Security Handbook.
(1997). http://www.ietf.org/rfc/rfc2196.txt, Abruf: 3.3.2012
[Fra10] Frankenstein, Ronny: Qual der Wahl : Zwei Rahmenwerke zur IT-Sicherheit unter der Lupe. In: iX special 10 (2010), Nr. 3, S. 142–146
[FRG05] Fickert, Tim ; Richter, Gerd ; Gerling, Rainer W.: VPN im heterogenen Netz : Anwenderbericht aus der Max-Planck-Gesellschaft. In: <kes> – The Information Security Journal 5 (2005), Nr. 1, S. 8–10
[Fri95] Fritz, Wolfgang: Marketing-Management und Unternehmenserfolg. 2. ¨uberarb.
und erg. Aufl. Stuttgart : Schaeffer-Poeschel, 1995. – ISBN 3-79100946X
[FSG+01] Ferraiolo, David ;Sandhu, Ravi ;Gavrila, Serban ; Kuhn, Richard D. ; Chandramouli, Ramaswamy: Proposed NIST Standard for Role-Based Access Control. In: ACM Transactions on Information and System Security 4 (2001), Nr. 3, S. 224–274
[GDH+10] Grenz, Michael ; Dickmann, Frank ; Helbing, Krister ; Pommerening, Klaus ; Sax, Ulrich: Aspekte der Optimierung des Sicherheits- und
Risikomanagements in medizinischen Forschungsnetzen. In: Schm¨ucker, Paul (Hrsg.) ; Els¨asser, Karl-Heinz (Hrsg.) ; Hayna, Steffen (Hrsg.):
55. GMDS-Jahrestagung. Dietzenbach : Antares Computer Verlag GmbH, September 2010, S. 647–649
[Gee10] Geer, Daniel E. Jr.: A Time to Rethink. In: IEEE Security & Privacy Magazine 8 (2010), Nr. 4, S. 86–87
[GK07] Goebel, Jurgen W. ; Krawczak, Michael: Juristische Grundlagen von Biomaterialbanken : Mehr Rechtssicherheit fur Betreiber und Spender in Deutschland. In: it – Information Technology 49 (2007), Nr. 6, S. 339–344 [GK10] G¨unther, Andreas ; Kuhn, Stefan: Datenschutzkonzept des deutschen DPLD
Registers und Biobank des GOLDnet : German Network for Diffuse Parenchymal Lung Diseases (Deutsches Netzwerk f¨ur diffus parenchymat¨ose
Lungenerkrankungen). (2010). – Version 1.1 – Beziehbar ¨uber die TMF [GKZ01] Goddard, Steve ; Kieckhafer, Roger M. ; Zhang, Yuping: An
Unavailability Analysis of Firewall Sandwich Configurations. In: Proceedings of the 6th International Symposium on High-Assurance Systems Engineering (HASE 2001). Albuquerque, NM, USA : IEEE Computer Society, 2001, S. 139–148 [GM08] G¨unther, Andreas ; M¨uller, Johannes: Datenschutzkonzept des European IPF
Network : Natural course, Pathomechanisms and Novel Treatment Options in Idiopathic Pulmonary Fibrosis. (2008). – Version 1.5 – Beziehbar ¨uber die TMF [GMNP02] Georgiadis, Christos K. ; Mavridis, Ioannis K. ; Nikolakopoulou,
Georgia ; Pangalos, George I.: Implementing Context and Team Based Access
Control in Healthcare Intranets. In:Medical Informatics and the Internet in Medicine 27 (2002), Nr. 3, S. 185–201
[Gre03] Grenz, Michael: Intrusion Detection-Systeme : Erstellung eines
Implementierungskonzeptes f¨ur Delta Lloyd Deutschland AG. Mannheim, Berufsakademie, Diplomarbeit, 2003
[Gua09] Guarda, Paolo: Data Protection, Information Privacy, and Security Measures : An Essay on the European and the Italian Legal Frameworks. In:Ciberspazio e diritto (2009), S. 65–92
[Gua09] Guarda, Paolo: Data Protection, Information Privacy, and Security Measures : An Essay on the European and the Italian Legal Frameworks. In:Ciberspazio e diritto (2009), S. 65–92