EN 6.3: IT-Sicherheit und Technischer Datenschutz Donnerstag, den 31. März 2016 Dozent: Dr. Sven Wohlgemuth <[email protected]> Themen 1. IT-Sicherheit und Datenschutz 2. IT-Compliance und IT-Sicherheitsmanagement 3. Sicherheitsmodelle 4. Kryptographie 5. Netzwerksicherheit 6. Sichere Dienste 7. IT-Risikomanagement 8. Risikoidentifizierung 9. Risikoquantifizierung 10. Benutzbare Sicherheit Industrie eGovernment eHealthcare Energie Transport und mehr … Soziale Netze eEducation Geschäftsziele / Regulierungen / Nachhaltigkeit Internet of Things / Service Computing
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
EN 6.3: IT-Sicherheit und Technischer DatenschutzDonnerstag, den 31. März 2016Dozent: Dr. Sven Wohlgemuth <[email protected]>
Themen
1. IT-Sicherheit und Datenschutz2. IT-Compliance und IT-Sicherheitsmanagement3. Sicherheitsmodelle4. Kryptographie5. Netzwerksicherheit6. Sichere Dienste7. IT-Risikomanagement8. Risikoidentifizierung9. Risikoquantifizierung10. Benutzbare Sicherheit
Industrie
eGovernment
eHealthcare
Energie
Transport
undmehr …
Soziale Netze
eEducation
Geschäftsziele/Regulierungen /Nachhaltigkeit
Internetof Things/ServiceComputing
Agenda
3. Sicherheitsmodelle
3.1 Epochen der IT-Sicherheit3.2 Zugriffskontrolle 3.3 Das Safety Problem3.4 Nutzungskontrolle
Epochen der IT / Metaphern der Sicherheit
Burg Marktplatz Metropole
Mainframe Internet Ubiquitous Computing
„Die Guten sind drin, die Schlechten sind
draußen
Server-based Security Client-based Security
autonomeInteraktion
menschlicheInteraktion
Müller und Zahoransky, Telematik 4 Sicherheit und Privatsphäre, 2015
Herausforderung• Verteidigung der Burg
– Nicht berechtigte Bürger bleiben draußen
Angreifer• „Outsiders“ oder „Intruders“
Schutzziel• Zugriffskontrolle und Vertraulichkeit
Lösung• Strenge Zugangskontrolle (Firewalls) und Intrusion-Detection
Monitors
Epoche Mittelalter
Müller und Zahoransky, Telematik 4 Sicherheit und Privatsphäre, 2015
Mittelalter: Quelle der AngriffeDer Angreifer saß überwiegend in der eigenen Burg
frühere Mitarbeiter13%
interne Mitarbeiter81%
Outsiders6%
Log und Firewall-security
Audit Security
Quelle: Data Processing Management Assoc, 1997
Mittelalter: Mangelhafte Abwehr der Burg
38.000Angriffe
Schutz
24.000 (65%)erfolgreich
998 (4 %)erkannt
23.712 (96%)nicht erkannt!
Nachweis
Quelle: Testangriffe US-Militär, Defense Information Systems Agency, Mai 1996
• Firewalls und Intrusion Detection è Hohe „Dunkelziffer“ unerkannter Angriffe• Bedarf an Authentifizierung, Autorisierung und Accounting nimmt zu
Mittelalter: Wer ist der (gute) Insider?Authentifizierung: Erkennung von Kommunikationspartnern, aber…
Sicherheitskonform
Normal
Anormal
Profile
Fehlalarm
Authentifizierung=
Verlust der Privatsphäre
Sicherheitsgefährdend
Herausforderung– Aufbauen von Vertrauen– Dezentrales Sicherheitsbedürfnis
Angreifermodell– Mann in der Mitte– „Impersonation“ von Kommunikationspartnern
Themen– (Korrekte) Mehrseitige Sicherheit– Sind Sicherheitsmechanismen „korrekt“ bzgl. ihrer Ziele?
à Verifikation bzw. Bewertung von Schwachstellen wird erforderlich
– Vertrauen: Basiert auf Software und Hardware• Software à Sicherheitsprotokolle• Hardware à Trusted Computing
Epoche Internet
Müller und Zahoransky, Telematik 4 Sicherheit und Privatsphäre, 2015
Internet: „In Internet nobody knows you are a dog“
Alice
Bob?
Und wenn der Hund „beißt“?
Internet: Mann in der MitteAttackeEinem Angreifer gelingt es, den Kommunikationskanal soweit unter die eigene Kontrolle zu bringen, dass die „Abgehörten“ nicht feststellen können, ob sie tatsächlich miteinander oder mit dem Angreifer kommunizieren
Nutzung– abhängig vom Ziel eines Protokolls– Angriffe können genutzt werden, um sich unberechtigt Zugang zu Informationen
zu verschaffen, sie zu manipulieren oder komplette Datenverbindungen zu übernehmen („connection hijacking“)
Mann in der Mitte
Nutzung:Angriffe können genutzt werden, um sich unberechtigt Zugang zu Informationen zuverschaffen, sie zu manipulieren oder komplette Datenverbindungen zu übernehmen(„connection hijacking“).
Beschreibung: Einem Angreifer gelingt es, den Kommunikationskanal so weit unter die eigene Kontrolle zu bringen, dass die „Abgehörten“ nicht feststellen können, ob sie tatsächlich miteinander oder mit dem Angreifer kommunizieren.
Quelle: Holger Eggs, Günter Müller: „Sicherheit und Vertrauen: Mehrwert im E-Commerce“, Berlin 2001
Schutzobjekt: Identität
IDENTITÄT
Führungs-zeugnis
Karriere
Gesundheit
Finanzen
Familien-status
Kauf-verhalten
Name
Geräte-DI
PrivatsphäreVerfügung über Kollektion, Zugriff, Veränderung und die Verteilung persönlicher Daten
?
?
?
Reputation i
Reputation j
Reputation kSicherheit
VertrauenVorhersehbarkeit des Verhaltens durch die gewählte Identität
Identität und Sicherheit
Quelle: Holger Eggs, Günter Müller: „Sicherheit und Vertrauen: Mehrwert im E-Commerce“, Berlin 2001
Sicherheit in Schichtenmodellen
Charakteristika:• Vermittelte und paketbasierte Übertragung• Weltweit standardisierte Kommunikationsprotokolle• Fokus auf Verfügbarkeit è generell mehrere Routen zu einem Ziel
Schäfer, Netzwerksicherheit, 2003
Angriffspunkte:– keine Zertifizierung/ Attestierung der bei Übertragung beteiligten Knoten➜ komplette Kommunikationsinfrastruktur bis auf eigenes Endsystem
Bedrohung:– Übertragung im Klartext mittels Standardformaten ermöglicht Informationsgewinnung
[ ] und Modifikation [ ] (Bsp.: http://odem.org/insert_coin/)– Metainformationen der Pakete ermöglichen präzise Beeinträchtigung [ ] der
Kommunikation (Bsp.: Internetzensur)
Fragen:– Welchen Komponenten der Infrastruktur kann man überhaupt vertrauen?– Welche Komponente soll welche Sicherheitsmaßnahmen umsetzen?
Netzwerksicherheit: Struktur
Schäfer, Netzwerksicherheit, 2003
Netzwerksicherheit: FunktionAngriffspunkte:
– alle Schichten, welche unter jener liegen, die Schutzziele umsetzt– da keine Sicherheitsvorkehrungen innerhalb der Schichten und keine gesonderte
Sicherheitsschicht è prinzipiell Angriff über jeder Schicht möglich
Bedrohung:– dieselben wie unter struktureller Betrachtung
Maßnahmen:– im Sinne der Modularisierung: Umsetzung so früh wie möglich (IPSec)– im Sinne der Kompatibilität: Umsetzung so spät wie möglich (SSH oder SSL)
Schäfer, Netzwerksicherheit, 2003
Grundlegendes:– gleiche Bedrohungen wie im Festnetz– identische Gegenmaßnahmen
Erweiterte Angriffsfläche:– Zugang zu Diensten wird durch drahtlose Verbindung
einfacher und dementsprechend unsicherer– Handover und Roaming erzwingt regelmäßige Re-
Authentifizierung– Schlüsselverwaltung wird wegen des dynamischen
Netzzugangs komplizierter
Besonderes Schutzziel:– Ort eines Gerätes oder Nutzers wird wichtigste Information
ZugriffskontrollmatrixRechtzustand eines Systems zu einem Zeitpunkt t gegeben als Matrix
Mt = St x Ot à 2Rechte gegeben
• Spalten Menge Ot von Objekten• Zeilen Menge St von Subjekten #• Zelle Entsprechende Menge der Zugriffsrechte
Mt Datei1 Datei2 Datei3 Prozess1 Prozess2
Prozess1{own, read,
write}
{own,read,write}
{read,write}
Prozess2 {read} {own, read}
Prozess3 {own,write} {write}
Harrison, Ruzzo und Ullman, Protection in Operating Systems, 1976
ACL (Access Control List)Jedes Objekt speichert eigene ACL aller Subjekte, die Zugriff auf Objekt besitzen
Vorteile • Einfache Bestimmung der Zugriffsrechte auf
gegebenes Objekt • Rechtrücknahme meist effizient realisierbar
Nachteile• Aufwändige Kontrolle bei langen ACL• Skalierbarkeit: Bestimmen der Rechte eines
Subjekts i.d.R. sehr aufwändig
Capability List (Credentials)Jedes Subjekt speichert eigene Autorisierung auf Objekte (Trust Management)
Vorteile • Einfache Bestimmung der Zugriffsrechte
eines Subjektes• Kontrolle durch Prüfung des Credentials
Nachteile• Widerruf von Rechten impliziert u.U. zeitliche
Ungewissheit• Sicht von Objekte auf Subjekte ist schwierig
Zugriffskontrollmatrix: Repräsentation
Mt Datei1 Datei2 Datei3 Prozess1 Prozess2
Prozess1{own, read,
write}
{own,read,write}
{read,write}
Prozess2 {read} {own, read}
Prozess3 {own,write} {write}
Credential-basierte Zugriffskontrolle• Benutzer können ein Stück der Liste selbst speichern
– Entspricht der Idee eines Ausweises/Eintrittskarte– Liste ist nur noch implizit vorhanden
• Beim Aktivieren einer Berechtigung legt der Benutzer dieses Stück der Liste vor, das die entsprechende Berechtigung enthält
• Problem: Sicherstellen, dass der Nutzer seine Berechtigungen nicht manipulieren kann
– Entspricht der Echtheitskontrolle eines Ausweises/einer Eintrittskarte
– Kann mittels Zertifikaten gelöst werden– Zentraler Vertrauensanker ist notwendig
Zugriffskontrollstrategie: DACDiscretionary Access Control (DAC)
– Benutzerbestimmbare Strategie (Eigentümer-Prinzip)• Benutzer ist Eigentümer von seinen Objekten • Eigentümer kontrolliert Zugangsrechte zu seinen Objekten
– Eigentümer kann jedoch i.a. "Ownership" nicht transferieren
– Beispiel: das Unix-Betriebssystem erlaubt das setzen von Lese-, Schreib- und Ausführungsrechten für im Besitz befindliche Dateien
– Flexibles Rechtesystem, aber offen für Fehler• Alle Benutzer müssen Sicherheitsleitlinie verstehen und anwenden• Objektbezogene Sicherheitseigenschaften (keine globalen)
– Ohne Berücksichtigung von Benutzungs-, Kommunikations- oder Kooperationsabhängigkeiten zwischen Objekten
Zugriffskontrollstrategie: MACMandatory Access Control (MAC)
– Systemweite Durchsetzung von Sicherheitsrichtlinien• "zwingend", da Subjekte Rechte nicht transferieren können• Unabhängig von Benutzeraktionen
– Formale Autorisierung durch Vergleich von• Clearances (Freigabelevel der Subjekte)• Classifications (Sensitivität der Objekte)
• Beispiel: Subjekte können nur auf dominierte Objekte zugreifen(Objekte gleichen oder niedrigeren Levels)
– Kombinierbar mit DAC• Systembestimmtes MAC überschreibt jedoch benutzerbestimmtes DAC• Beispiel: Bell-LaPadula
DominanzDominanz begrenz in Abhängigkeit der Sicherheitklassen die autorisierten Zugriffe eines Subjektes s.
Objekt o dominiert Subjekt s(s wird von o dominiert), falls:
Ein Subjekt kann ein Objekt lesen, falls:• der Freigabe-Grad (clearance) des Subjektes ist mindestens so hoch wie
der des Objektes• das Subjekt benötigt Information über alle Abteilungen für die das Objekt
klassifiziert ist
Zugriffskontrollstrategie: RBACRole-Based Access Control (RBAC)• Vom Benutzer ausgeübte Rollen bestimmen seine Zugriffsrechte • Rolle: Nachbildung von Organisationsstrukturen und Verantwortlichkeiten
– Rollen können überlappende Verantwortlichkeiten besitzen– Veränderung von Rollen ohne Anpassung individueller Benutzerrechte
• Rechte nicht bezogen auf Subjekte sondern auf durchzuführende Aufgaben– Subjekte erhalten über Rollenmitgliedschaft Berechtigung zur Ausführung von
Aufgaben– Subjekte können gemäß ihren Aufgaben mehrere Rollen besitzen
Verwandtschaft zu Gruppenkonzept• Gruppenkonzept als rudimentäres RBAC
– Aufgabenbezogene Gruppenfestlegung– Beispiel: jeweils eigene Gruppe für Administratoren und Benutzer
• Rollenkonzept jedoch bringt zusammen– Menge von Benutzern auf einer Seite (wie bei Gruppen)– Menge von Berechtigungen auf der anderen (zusätzlich)
Sandhu, Coyne, Feinstein und Youman, Role-Based Access Control Models, 1996
• Safety, falls die Graphen zwischen autorisiert und nicht-autorisiert getrenntsind (es gibt mehr als einen maximal aufspannenden Baum)
• Verfügbarkeit von Daten durch Deklassifizierung
Lattice-based Access Control
Sandhu 1993
Take-grant
Lipton and Snyder 1977
S1:u
S2:u S3:v
O:oS3:w
• Azyklischer Graph der Zugriffsrechte
• Safety bei x <= 3 Parameter einer Weitergabe
• Kein irreparabler Widerruf von Rechten
Type-safety
Sandhu 1992
S1:u
S2:u S3:v
O:oS3:w
Sandhu, The Typed Access Matrix Model, 1992
Bell-LaPadula• Bell und La Padula definierten in 1973 dieses Sicherheitsmodell
– zur formalen Beschreibung der erlaubten Pfaden eines Informationsflusses
– in einem sicheren IT-System• Informationsflüsse sind über autorisierte Verbindungen zwischen Subjekten
und Objekten unterschiedlicher Sicherheitsklassen erlaubt.• Betrachte ein Sicherheitssystem mit den folgenden Eigenschaften:
• Das System spezifiziert• eine Menge von Subjekten S und• eine Menge von Objekten O
– Jedes Subjekt s in S und jedes Objekt o in O ist statisch einer Sicherheitsklasse C(s) und C(o) zugeordnet (kennzeichnen Freigabe (clearance) und Sicherheitsstufe (classification))
– Die Sicherheitsklassen sind hierarchisch geordnet durch die < Relation
Bell-LaPadula Modell
Einfache Sicherheitseigenschaft:– Ein Subjekt s darf zum Lesen (read) eines Objektes nur autorisiert sein,
falls C(o) ≦ C(s)– Die Sicherheitsklasse (clearance) eines Datenkonsumenten muss
mindestens so hoch sein wie die Sicherheitsklasse (classification) der Information
*-Eigenschaft:– Ein Subjekt s, das zum Lesen (read) eines Objektes o autorisiert ist, darf
für ein Schreiben (write) in ein Objekt p nur autorisiert sein, falls C(o) ≦C(p)
– Der Inhalt eines sensitiven Objektes darf nur in Objekte derselben und einer höheren Sicherheitsstufe geschrieben werden.
Mandatory No-Read-UpNo-Read-Up oder Simple Security-Eigenschaft• Ein Subjekt s kann nur dann auf ein Objekt o lesend zugreifen,
wenn sein Sicherheitsklasse die des Objektes dominiert
• r ∈ Mt(s,o) ∧ sc(s) ≥ sc(o)
• Beispiel: Ein zu niedrig eingestuftes Subjekt sollte nicht ein geheimes Objekt lesen können
o
so
o
ss
Lesezugriffe
Zune
hmen
deSe
nsiti
vitä
t
Mandatory No-Write-DownNo-Write-Down oder *-Eigenschaft • Ein Subjekt s kann nur dann auf ein Objekt o schreibend zugreifen,
wenn die Sicherheitsklasse des Objektes die des Subjektes dominiert
• Verhindert einen Nachrichtenfluss von einem Subjekte hoher Klassezu Objekten niedrigerer Klasse
o
so
o
ss
Schreibzugriffe
Zune
hmen
deSe
nsiti
vitä
t
Bell-LaPadula: Beispiel
o1
o2 s1
o3 o4
o5 s2
app
app
app,r/w
r
r/w
r/wunklassifiziert
vertraulich
geheim
streng geheim
r,exe
zulä
ssig
erIn
form
atio
nsflu
ss
Bell-LaPadula: GrenzenSukzessive Höherstufung von Informationen• Subjekte können Information von Objekten niedriger Klasse aufnehmen,
diese jedoch nicht an sie zurückfließen lassen• Zwei Möglichkeiten, wenn solcher Nachrichtenfluss explizit gewünscht
– Temporäres Herabstufen für solche Subjekte (downgrade)– Einführung von "Trusted Subjects" wie Systemprozessen,
die die No-Write-Down-Regel umgehen können
Blindes Schreiben• Subjekt s darf Objekt o modifizieren, aufgrund von No-Read-Up anschließend jedoch
nicht lesen– Bzgl. Integrität problematisch
Statisches Modell• Erzeugung oder Löschung von Subjekten bzw. Objekten nicht beschrieben• Änderung von Zugriffsrechten im Modell nicht beschrieben
Dual zu Bell-LaPadula: Biba• Biba ist das Gegenstück (dual) des Bell-LaPadula Models: Biba definiert
Integritätsstufen ähnlich zu den Vertraulichkeitsstufen von Bell-LaPadula:no-read-down; no-write-up
• Subjekte und Objekte sind in dem Klassifikationsschema zur Integrität geordnet: I(s) und I(o).
Einfache Integritätseigenschaften:Subjekt s kann Lesezugriff (read) auf Objekt o haben, falls:
I(s) ≧ I(o)
Integrität *-Eigenschaft. Falls Subjekt s Lesezugriff (read) auf Objekt o mit der Integritätsstufe l(o) hat, dann darf s in Objekt p schreiben nur, falls
l(o) ≧ l(p)
Chinese Wall (Brewer & Nash Modell)Sicherheitsstrategie aus kommerziellem Bereich• Modelliert Zugriffsrechte im Finanzbereich
– Verhinderung von unzulässigem Insiderwissenwenn Kunden direkte Konkurrenten sind
• Beispiele– Banken, Beratungsfirmen, Börsen
Idee von Chinese Wall• Berücksichtigung der Zugriffshistorie
– Vorherige Zugriffe einer Person bestimmen ihre zukünftigen Zugriffsrechte– Wer auf Objekte eines Unternehmens U in einer Konfliktklasse K zugreift,
darf nicht mehr Objekte eines Unternehmens U' ≠ U zugreifen.• Informationsfluss ohne Restriktion, falls Daten gereinigt sind (anonymisiert)
Zweistufige Objekthierarchie• Einteilung in unterschiedliche Interessenkonfliktklassen (Branchen)
– z.B.: Banken und Ölgesellschaften• Einteilung in unterschiedliche Unternehmen innerhalb der Konfliktklassen
– z.B.: Dresdner und Deutsche Bank
Chinese Wall: Beispiel
Ölgesellschaft Bank
BP Aral Dresdner
Interessenskonfliktklassen x
Unternehmen y
o1 o2 o3o4 o5 o6
Objekteo9o8
o7
Hypo
Laptop
Chinese Wall: Formaler SchutzzustandSchutzzustandBesteht aus zwei Teilen• Mt Zugriffsmatrix
– Benutzerbestimmbare, universelle Rechte R = { Read, Write, Execute }• Nt Zugriffshistorie
Zugriffshistorie• Nt: S x O → 2R
• Nt(s, o) = {r1,..., rn} falls Subjekt s mit den Rechten {r1,..., rn} auf Objekt o vor dem Zeitpunkt t zugegriffen hat
Chinese Wall: Lese- und SchreibregelLesezugriff (Read-Access)• Nur wenn vorher kein Zugriff stattgefunden hat auf
Objekt eines anderen Unternehmens der gleichen Konfliktklasse
• Ein Zugriffrecht r∈ { read, execute } auf ein Objekt o ∈ O ist für ein Subjekt s ∈ S zur Zeit t genau dann gegeben, wenn
Rollenwechsel bei Weitergabe über Dritte• Safety bei x <= 3
Parameter einer Weitergabe
(Anbieter, Konsument, Subjekt, Zeit, Zweck, ...)
• Kein irreparabler Widerruf von Rechten
Datensparsamkeit
Type-safety
Sandhu 1992
S1:u
S2:u S3:v
O:oS3:w
Agenda
3. Sicherheitsmodelle
3.1 Epochen der IT-Sicherheit3.2 Zugriffskontrolle 3.3 Das Safety Problem3.4 Nutzungskontrolle
Nutzungskontrolle (Usage Control)1. Zugriff auf Daten
– Provisions sind Bedingungen, die die Zeit bis zum ersten Zugriff/direkte Erhebung von Daten (Ground Truth) spezifizieren
– Referenzmonitor erlaubt Zugriff genau dann wenn die Provisions erfüllt sind
2. Nutzung von Daten– Obligations sind Bedingungen, die die Zeit nach dem
Zugriff spezifizieren (“Zukunft”)– Wie können Obligationen durchgesetzt werden?
Beispiel: “Dienst X ist für den Zugriff auf die E-Mailadresse autorisiert, falls es diese E-Mailadresse nach der Geschäftstransaktion löscht.”
Inquiry Access
ProvisionsObligations
t
1
2 ?
RM
Objekt
Subjekt
Park und Sandhu, The UCONABC Usage Control Model, 2004
Demo: Usage Control mit FTP
Source: Alexander Pretschner @ https://www22.in.tum.de/forschung/distributed-usage-control/
ftp://AlicesFriends.txt
Datenanbieter/-konsument
Daten-konsument
Daten-anbieter
Alice
Bob
Einhaltung einer ObligationWann ist eine Obligation verletzt?
Eine Obligation ist zum Zeitpunkt tk verletzt,falls das Subjekt sich zu dieser Obligation zur Zeit tj verpflichtet hat,aber sie zu der Zeit tj nicht erfüllt ist, unabhängig von de Zugriffen nach tk.
tj tk
Verpflichtung zu der Obligation Für jede Entwicklung nach tk
kann die Obligation nicht erfüllt werdenObligation ist nicht erfüllt(abhängig von dem Kontrollfluss bis tk)
Obligation
Zeit
Hilty, Basin und Pretschner, On Obligations, 2005
Beispiel: Einhaltung einer ObligationObligation: "Sender S muss die Nachricht N innerhalb von 3 Zeiteinheiten senden.”
t0 Sender verpflichtet sich zu der Obligationt0 zu t3 Falls N bisher nicht gesendet wurde,
dann kann sie bis t3 gesendet werden, um die Obligation zu erfüllent4 Obligation kann nicht mehr erfüllt werden; unabhängig von den
weiteren Verlauf der Zugriffe
è Referenzmonitor kann nicht entscheiden, ob eine zeitlich unbeschränkte Obligation wie “Nachricht N muss irgendwann gesendet werden” verletzt ist
t0 t1 t2 t3 t4
Verpflichtungzu der Obligation
Letzte Chance, umN zu senden
Obligation ist verletzt
Pretschner, Hilty und Basin, Distributed Usage Control, 2006
Eingeschränkte Obligationen
K 1: Eingeschränkt und beobachtbar• Obligationsbedingung muss innerhalb einer bestimmten Zeitdauer erfüllt werden.
Referenzmonitor kann die beobachten.• Beispiele
– “Muss die Strafe innerhalb von 5 Tagen bezahlen”– “Subjekt s ist für die nächsten 5 Tage nicht für einen Lesezugriff auf lokale Dateien
autorisiert.”
K 2: Eingeschränkt und nicht beobachtbar• Wie K1, nur ein Referenzmonitor kann die Einhaltung (generell) nicht beobachten• Beispiele
– “Empfänger ist nicht erlaubt die Daten innerhalb der nächsten 5 Tage weiterzugeben”– “Empfänger muss die Daten innerhalb von 5 Tagen löschen”
Zeit / Verteilung Beobachtbar Nicht beobachtbar
Eingeschränkt K 1 K 2
Invariant K 3 K 4
Pretschner, Hilty und Basin, Distributed Usage Control, 2006
Invariante Obligationen
K 3: Invariant und beobachtbar• Obligationsbedingung muss immer erfüllt werden.
Referenzmonitor kann die Einhaltung beobachten.• Beispiele
– “Benutzer immer einen verschlüsselten Kanal”– “Aktualisiere die Daten wenigstens an jedem 5. Tag”
(bspw. zur Echtzeit-Inventur)
K 4: Invariant und nicht beobachtbar• Wie K3, nur ein Referenzmonitor kann die Einhaltung (generell) nicht beobachten• Beispiel
– “Daten dürfen nicht weitergegeben werden.”
Zeit / Verteilung Beobachtbar Nicht beobachtbar
Eingeschränkt K 1 K 2
Invariant K 3 K 4
Pretschner, Hilty und Basin, Distributed Usage Control, 2006
Wohlgemuth, Takaragi und Echizen, Privacy with Secondary Use of Personal Information, 2016
Quellen und weiterführende Literatur• Eggs, H., Müller, G. Sicherheit und Vertrauen: Mehrwert im E-Commerce. Berlin, 2001• Harrison, M.A., Ruzzo, W.L., Ullman, J.D. Protection in Operating Systems. CACM 19(8),
ACM, 1976• Hilty, M., Basin, D., Pretschner, A. On Obligations. ESORICS 2005, LNCS 3679, Springer,
2005• Müller, G., Accorsi, R., Höhn, S., Sackmann, S. Sichere Nutzungskontrolle für mehr
Transparenz in Finanzmärkten. Informatik-Spektrum 33(1), Springer, 2010• Park, J., Sandhu, R. The UCONABC Usage Control Model. ACM Transactions on Information
and System Security 7(1), ACM, 2004• Pretschner, A., Hilty, M, Basin, D. Distributed Usage Control. CACM 49(9), ACM, 2006• Saltzer, J.H., Schroeder, M.D. The Protection of Information in Computer Systems. ACM
Symposium on Operating Systems Principles, 1973• Sandhu, R. Lattice-Based Access Control Models, Computer 29(11), IEEE, 1993• Schäfer, G. Netzsicherheit. d-punkt Verlag, 2003• Wohlgemuth, S., Takaragi, K., Echizen, I. Privacy with Secondary Use of Personal