Ein Servicetechniker wartet die Produktionsanlagen eines, sagen wir mal Automobilherstellers. Bei sich hat er sein Werkzeug, ein paar gängige Ersatzteile und sein Smartphone. Mit diesem Smartphone holt er sich alle Informationen, die er braucht. Über das Internet, direkt vom Firmenserver. Professor Claudia Eckert, Leiterin des Fachgebiets Sicherheit in der Informationstechnik der Technischen Universität Darmstadt sieht eine Lösung des Problems: Eine "Sicherheitsinfrastruktur und Werkzeuge für die ubiquitäre Internetnutzung" - "SicAri".
"Was Sie benötigen sind jetzt Sicherheitstechnologien, die durchgängig funktionieren. Das heißt, ob Sie nun ein kleines Gerät mit einem ganz kleinen Speicher, ganz wenig Prozessorleistung haben, oder Sie haben wirklich Ihr total ausgebautes Equipment im Unternehmen oder am Heimarbeitsplatz: Die sind zwar sehr unterschiedlich in ihren Ressourcen, aber diese Unterschiede müssen eben ausgeglichen werden."
Digitale Ausweise, Schlüssel und Unterschriften, dazu Verschlüsselungssoftware, Sicherheitspolitiken, alles am besten unsichtbar. Und obendrein auf dem Handheld-PC genauso verfügbar wie auf dem Firmenserver? Das bringt Probleme. Wenn etwa unser Techniker Kundendaten anfordert, wird der Server die nur verschlüsselt über das Internet schicken wollen. Mit möglichst langen Schlüsseln, damit auch ja kein Konkurrent etwas mithören kann. Bis sein Smartphone dann aber diese Daten entschlüsselt hat, kann der Techniker wohl schon in den Feierabend gehen. Und wahrscheinlich ist der Akku des Telefons eh vorher leer. Damit die schöne papierfreie Servicewelt Wirklichkeit werden kann, müssen Server und Smartphone sich darum einig werden, wie verschlüsseln werden muss. Und auch darüber, wer wann was darf, wie er sich ausweist und seine Handlungen signiert. Dazu müssen Regeln her, die so genannten Policies.
"Da kann man sich natürlich fragen: Oh Gott, muss ich mir jetzt für alles mögliche meine Regelwerke überlegen und dann aufstellen, damit diese Plattform das dann umsetzt? Dafür entwickeln wir auch Tools. Und dann kann man gucken: Gibt es da ein Regelmuster für, das genau das abdeckt, was ich möchte. Dann nehme ich dieses Muster; Wir haben dann ein Tool, dass dann automatisch die Regeln daraus generiert und sie in unsere Middleware einpflanzt."
Angenommen unser Servicetechniker hat nun Informationen angefordert, die als besonders sensitiv eingestuft sind. Dann muss er, zusätzlich zum Passwort auch noch seine Smartcard vorweisen. Und:
"Die Weitergabe dieser Informationen unterliegt gewissen Randbedingungen: Das darf nicht in jedes Verzeichnis reinkopiert werden, es darf nur in bestimmtem Kontext angeschaut werden, zum Beispiel wenn der Mitarbeiter sich jetzt gerade in einem öffentlichen WLAN befindet, wo jeder ihm über die Schultern gucken kann, möchte ich vielleicht verhindern, dass das Gerät des mobilen Mitarbeiters ihm diese Informationen anzeigt. "
Dazu kann, im einfachsten Falle, der Techniker mehrere "digitale Identitäten" haben. Je nach Situation – ob privat oder öffentlich, ob im Büro oder beim Kunden – meldet er sich unterschiedlich im System an. Und bekommt so unterschiedliche Zugriffsrechte. Genauso gut soll aber SicAri zum Beispiel mittels GPS den genauen Standort des Technikers feststellen und so die Zugriffsrechte auch ohne sein Zutun anpassen können. Diese genaue Kontrolle des Anwenders bringt rechtliche Probleme mit sich, weiß auch Professor Eckert:
"Sicherheit hat immer viel mit Privatheitsanforderungen zu tun, aber natürlich auch mit juristischen Regelungen, wie mit sensitiver Information umzugehen ist. Die Begleitung des Projekts mit einer juristischen Kompetenz ist bei uns sehr wichtig, das ist bei uns das "Cyberlaw"-Projekt, was das begleitet, genau die Anforderungen an unsere Technologie erarbeitet, damit sie eben auch rechtlichen internationalen Anforderungen gerecht wird."
Die Studenten der Darmstädter Universität können sich bald davon überzeugen, ob SicAri auch ihren Anforderungen gerecht wird. Sie werden sich ab dem Wintersemester mit seiner Hilfe für Seminare und Prüfungen anmelden und anschließend die Noten erfahren.
"Was Sie benötigen sind jetzt Sicherheitstechnologien, die durchgängig funktionieren. Das heißt, ob Sie nun ein kleines Gerät mit einem ganz kleinen Speicher, ganz wenig Prozessorleistung haben, oder Sie haben wirklich Ihr total ausgebautes Equipment im Unternehmen oder am Heimarbeitsplatz: Die sind zwar sehr unterschiedlich in ihren Ressourcen, aber diese Unterschiede müssen eben ausgeglichen werden."
Digitale Ausweise, Schlüssel und Unterschriften, dazu Verschlüsselungssoftware, Sicherheitspolitiken, alles am besten unsichtbar. Und obendrein auf dem Handheld-PC genauso verfügbar wie auf dem Firmenserver? Das bringt Probleme. Wenn etwa unser Techniker Kundendaten anfordert, wird der Server die nur verschlüsselt über das Internet schicken wollen. Mit möglichst langen Schlüsseln, damit auch ja kein Konkurrent etwas mithören kann. Bis sein Smartphone dann aber diese Daten entschlüsselt hat, kann der Techniker wohl schon in den Feierabend gehen. Und wahrscheinlich ist der Akku des Telefons eh vorher leer. Damit die schöne papierfreie Servicewelt Wirklichkeit werden kann, müssen Server und Smartphone sich darum einig werden, wie verschlüsseln werden muss. Und auch darüber, wer wann was darf, wie er sich ausweist und seine Handlungen signiert. Dazu müssen Regeln her, die so genannten Policies.
"Da kann man sich natürlich fragen: Oh Gott, muss ich mir jetzt für alles mögliche meine Regelwerke überlegen und dann aufstellen, damit diese Plattform das dann umsetzt? Dafür entwickeln wir auch Tools. Und dann kann man gucken: Gibt es da ein Regelmuster für, das genau das abdeckt, was ich möchte. Dann nehme ich dieses Muster; Wir haben dann ein Tool, dass dann automatisch die Regeln daraus generiert und sie in unsere Middleware einpflanzt."
Angenommen unser Servicetechniker hat nun Informationen angefordert, die als besonders sensitiv eingestuft sind. Dann muss er, zusätzlich zum Passwort auch noch seine Smartcard vorweisen. Und:
"Die Weitergabe dieser Informationen unterliegt gewissen Randbedingungen: Das darf nicht in jedes Verzeichnis reinkopiert werden, es darf nur in bestimmtem Kontext angeschaut werden, zum Beispiel wenn der Mitarbeiter sich jetzt gerade in einem öffentlichen WLAN befindet, wo jeder ihm über die Schultern gucken kann, möchte ich vielleicht verhindern, dass das Gerät des mobilen Mitarbeiters ihm diese Informationen anzeigt. "
Dazu kann, im einfachsten Falle, der Techniker mehrere "digitale Identitäten" haben. Je nach Situation – ob privat oder öffentlich, ob im Büro oder beim Kunden – meldet er sich unterschiedlich im System an. Und bekommt so unterschiedliche Zugriffsrechte. Genauso gut soll aber SicAri zum Beispiel mittels GPS den genauen Standort des Technikers feststellen und so die Zugriffsrechte auch ohne sein Zutun anpassen können. Diese genaue Kontrolle des Anwenders bringt rechtliche Probleme mit sich, weiß auch Professor Eckert:
"Sicherheit hat immer viel mit Privatheitsanforderungen zu tun, aber natürlich auch mit juristischen Regelungen, wie mit sensitiver Information umzugehen ist. Die Begleitung des Projekts mit einer juristischen Kompetenz ist bei uns sehr wichtig, das ist bei uns das "Cyberlaw"-Projekt, was das begleitet, genau die Anforderungen an unsere Technologie erarbeitet, damit sie eben auch rechtlichen internationalen Anforderungen gerecht wird."
Die Studenten der Darmstädter Universität können sich bald davon überzeugen, ob SicAri auch ihren Anforderungen gerecht wird. Sie werden sich ab dem Wintersemester mit seiner Hilfe für Seminare und Prüfungen anmelden und anschließend die Noten erfahren.