Entwurf einer anwendungsunabhÃ¤ngigen Zugriffskontrolle mittels ...

Weitere Magazine

Empfehlungen

Info

Sicherheitsanalyse: Fahrtenbuch-Szenario einzubinden, um z.B. dem Fahrer seine Kalendereinträge als Zielortauswahl zur Verfügung zu stellen oder um Fahrtenbuch-Einträge in anderen Anwendungen zu verwenden. Das folgende Modell zeigt den Aufbau eines exemplarischen Fahrtenbuch Servers, bestehend aus den Teilen Fahrtenbuch-Verwaltung inklusive einer Personalisierungs- Komponente und einer Kundenverwaltung. Mit Hilfe der Personalisierungskomponente lassen sich z.B. Aliase für Zielorte definieren. Die Kundenverwaltung sorgt für die Verwaltung der Benutzer inklusive der notwendigen Sicherheitsfunktionen. Abbildung 2: Modell Fahrtenbuch Server (eigene Abbildung) 2.2 Interessengruppen und Schutzziele Ein Sicherheitskonzept für verteilte Dienste, wie das beschriebene Fahrtenbuch, muss die speziellen Schutzanforderungen der beteiligten Personengruppen berücksichtigen. Am Beispiel der Fahrtenbuch-Anwendung sollen einige Schutzziele erläutert werden, die aus Sicht des Anbieters, der Benutzer (z.B. Fahrer) und Dritter (z.B. Finanzamt oder Werkstätten) zu berücksichtigen sind. Andere Telematik-Anwendungen können hingegen andere Schutzanforderungen aufweisen. 5
Sicherheitsanalyse: Fahrtenbuch-Szenario 2.2.1 Sicht des Fahrers Personen, die ein Fahrtenbuch führen (im Folgenden nur noch Fahrer genannt) sind zum Beispiel Mitarbeiter, die einen Firmenwagen haben, Fahrer in einer Fahrzeugflotte oder auch Privatpersonen. Diese Fahrer sind primär am Schutz ihrer persönlichen Fahrtdaten vor dem unbefugten Zugriff durch Dritte interessiert. Das deutsche Datenschutzgesetz verbietet daher den Dienstbetreibern die unbefugte Speicherung und Nutzung personenbezogener Daten (vgl. [Hob98] S. 50 f. und [Koc98] S. 358 f.). Die folgende Tabelle erläutert mögliche personenbezogene Daten in einem Fahrtenbuch: Daten Inhaltsdaten Nutzungsdaten Fahrtenbuch spezifische Bedeutung Zu den übertragenen Inhaltsdaten gehören vor allem die Fahrtdaten, wie z.B. Abfahrts- und Zielort. Diese Daten sind schützenswert, da sie zu Lasten des Fahrers verwendet werden könnten. Möchte ein Fahrer den Fahrtenbuchdienst nutzen, dann benötigt der Fahrtenbuchdienstbetreiber von ihm Informationen über seine Person, wie Fahrername, Fahrzeugidentifikation, Nutzungszeitraum. Nach § 6 Abs. 2 TDDSG sind Nutzungsdaten sofort nach Beendigung der Nutzung des Teledienstes zu löschen. Abrechnungsdaten Werden Verbindungsdaten für Abrechnungszwecke verwendet, dann handelt es sich gemäß § 6 Abs. 1 TDSV bzw. Nach § 6 Abs. 1 TDDSG um Abrechnungsdaten. Diese Daten dürfen nicht länger gespeichert werden, als es für die Abrechnung erforderlich ist. Bestandsdaten Um den Fahrtenbuchdienst nutzen zu können, geht der Fahrer mit dem Betreiber einen Vertrag ein. Dazu werden Vertragsdaten (siehe § 4 Abs. 1 Satz 1 TDSV) für die Vertragserstellung benötigt. Üblicherweise werden Vertragsdaten dauerhaft gespeichert und bereitgehalten. Beispiele für Vertragsdaten sind der Fahrername oder die IMSI der SIM-Karte. Tabelle 1: Personenbezogene Daten in einem Fahrtenbuch 6
Seite 1 und 2: Technische Universität Darmstadt F
Seite 3 und 4: Inhaltsverzeichnis Inhaltsverzeichn
Seite 5 und 6: Abbildungsverzeichnis Abbildungsver
Seite 7 und 8: Tabellenverzeichnis Tabellenverzeic
Seite 9 und 10: Abkürzungsverzeichnis NIST Nr. o.J
Seite 11 und 12: Einleitung 1.2 Problemstellung Dies
Seite 13: Sicherheitsanalyse: Fahrtenbuch-Sze
Seite 17 und 18: Sicherheitsanalyse: Fahrtenbuch-Sze
Seite 27 und 28: Zugriffskontrollverfahren und AOP 3
Seite 29 und 30: Zugriffskontrollverfahren und AOP 3
Seite 31 und 32: Zugriffskontrollverfahren und AOP E
Seite 33 und 34: Zugriffskontrollverfahren und AOP A
Seite 35 und 36: Zugriffskontrollverfahren und AOP B
Seite 37 und 38: Zugriffskontrollverfahren und AOP
Seite 39 und 40: Zugriffskontrollverfahren und AOP I
Seite 41 und 42: Zugriffskontrollverfahren und AOP -
Seite 43 und 44: Entwurf: Policy-basierte Zugriffsko
Seite 61 und 62: Implementierung der Zugriffskontrol
Seite 63 und 64: Implementierung der Zugriffskontrol
Seite 65 und 66:
Implementierung der Zugriffskontrol
Seite 67 und 68:
Seite 69 und 70:
Seite 71 und 72:
Seite 73 und 74:
Schnittstellen und Konfigurationen
Seite 75 und 76:
Seite 77 und 78:
Seite 79 und 80:
Seite 81 und 82:
Schlussbetrachtungen 7 Schlussbetra
Seite 83 und 84:
Schlussbetrachtungen zum Signieren
Seite 85 und 86:
Literaturverzeichnis [CSI01] Comput
Seite 87 und 88:
Literaturverzeichnis [LMY01] [Mag01
Alle anzeigen

Entwurf einer anwendungsunabhÃ¤ngigen Zugriffskontrolle mittels ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?