Sicherheit in unternehmensübergreifenden Wertschöpfungsketten

Technical Showcase des Software-Clusters - "Softwareinnovationen für das digitale Unternehmen"

Projektziel
Emergente Software ermöglicht die einfache und sichere Verknüpfung von Diensten, Prozessen und Software-Komponenten über Unternehmensgrenzen hinaus. Dabei werden Prozesse in die Cloud verlagert und mit dem Internet der Dienste und Dinge verknüpft. Die technischen Voraussetzungen dafür werden im Software-Cluster-Projekt "Grundlagen Emergenter Software" (EMERGENT) erforscht. Zentrale Voraussetzung ist ein durchgängiges Niveau an IT-Sicherheit, Datenschutz und Dienstqualität über Unternehmensgrenzen hinweg. Statt großer Softwarepakete sollen nahtlos kombinierbare, anpassungsfähige und leicht benutzbare Dienste die Bausteine der Entwicklung werden. Aus diesen stellt ein Unternehmen seine individuelle und für die unterschiedlichen Zwecke nötige Software zusammen, die nahtlos integriert funktioniert, aber dynamisch an den Bedarf angepasst ist. Unternehmen können mit Hilfe leicht anpassbarer Unternehmenssoftware ihre Arbeits- und Geschäftsprozesse effizienter und anpassungsfähiger machen.

Projektergebnisse
Zur Gewährleistung von IT-Sicherheit, Datenschutz und Dienstqualität wurde ein Konzept zur systemebenenübergreifenden Durchsetzung von Sicherheitsrichtlinien (Policies) zur Kontrolle sensibler Daten entwickelt. Der umfassende Schutz sensibler Daten wird durch die einheitliche Umsetzung dieses Konzepts auf allen relevanten Systemebenen erreicht.

Abbildung 1 zeigt das am Fraunhofer IESE entwickelte Integrated Distributed Data Usage Control Enforcement (IND²UCE) Framework, das im Projekt die Grundlage darstellt. Dieses Framework lehnt sich an den gängigen XACML-Standard an und beinhaltet alle zur Durchsetzung von Sicherheitsrichtlinien benötigten Komponenten, wobei nicht alle Komponenten zwingend implementiert werden müssen.

Im Zentrum des Frameworks steht eine Entscheidungskomponente (PDP), welche anhand aktivierter Sicherheitsrichtlinien über die Legitimität von sicherheitsrelevanten Ereignissen (beispielweise Operationen auf Daten) entscheidet. Diese Sicherheitsrichtlinien basieren auf der Obligation Specification Language (OSL), mit der Regularien spezifiziert werden können (beispielweise "personenbezogene Daten müssen innerhalb von 14 Tagen gelöscht werden"). Die Einhaltung von Sicherheitsrichtlinien erzwingen sogenannte PEPs, indem sie relevante Ereignisse auf verschiedenen Systemebenen - je nach Sicherheitsvorgabe - zulassen, modifizieren oder verwerfen. Zusätzliche Aktionen wie das Löschen von Daten, das Protokollieren von Operationen oder das Versenden von Benachrichtigungen können durch Policy Execution Points (PXP) durchgeführt werden.

Abbildung 1: Integrated Distributed Data Usage Control Enforcement (IND²UCE)
Im Rahmen des EMERGENT-Projektes wurden Durchsetzungskomponenten auf zwei Systemebenen erforscht und entwickelt sowie die Entscheidungskomponente weiterentwickelt.

Dabei ist der PDP eine technologieunabhängige Komponente und muss plattformunabhängig mit anderen Komponenten auf allen Systemebenen kommunizieren können. PEPs sind dagegen technologieabhängig, da sie in Softwarekomponenten integriert werden, um Datenflüsse im gesamten System kontrollieren zu können. Im Rahmen des Projektes wurden PEPs entwickelt, die Sicherheitsrichtlinien durchsetzen, ohne tiefergehende Einschnitte oder Veränderungen an den eigentlichen Softwarekomponenten bzw. Diensten vornehmen zu müssen. Dies erlaubt eine einfache und sichere Integration sowie eine emergente Nutzung des IND²UCE-Frameworks.

Die technische Umsetzung von Sicherheit wird zusätzlich mit Hilfe sogenannter Vertrauensmodelle kontrolliert. Dabei wird die Umsetzung der Sicherheitsmaßnahmen in einem Bewertungsverfahren eingeschätzt. Das eingesetzte Vertrauensmodell, CertainTrust, das vom Center for Advanced Security Research Darmstadt (CASED) und vom Fachgebiet Telekooperation der TU Darmstadt entwickelt wurde, bildet Vertrauensbeziehungen zwischen Auftraggebern und Auftragnehmern ab. Zudem wird die geeignete Auswahl von Auftragnehmern durch sogenannte "Soft Security"-Mechanismen unterstützt. Durch dieses mathematisch-statistisch fundierte Modell der Vertrauensbildung werden auch Aspekte jenseits rein technischer Sicherheitskonzepte bei der Absicherung von Interaktionen berücksichtigt. Neben den bekannten Durchschnittsbewertungen (z. B. als Resultat einer 5-Sterne-Bewertung) können Angaben über die Zuverlässigkeit der Vertrauenseinschätzung und die prognostizierte nächste Vertrauensbewertung gewonnen werden.

Anwendungsbeispiele
Die im Projekt erforschten Ergebnisse ermöglichen eine neue Dimension der Kontrolle der Informationsflüsse durch den Anwender. Dem Anwender ist es möglich, flexibel und systembezogen seine Anforderungen der Sicherheit durch Sicherheitsrichtlinien zu spezifizieren. So können in einem Unternehmensnetzwerk sensible Daten und damit unter anderem Geschäftsgeheimnisse vor unerlaubter Verbreitung, Vervielfältigung und Benutzung bewahrt werden. Beispielsweise kann ein Dokument mit Geschäftsgeheimnissen und entsprechender Sicherheitsrichtlinie das Unternehmensnetzwerk nicht verlassen.

Ein weiteres Beispiel ist die Durchsetzung von Sicherheitsrichtlinien in einem Warenkreislauf (siehe Abbildung 2), bei dem persönliche und personenbezogene Kundeninformationen für den Bestellprozess zwischen verschiedenen Diensten ausgetauscht werden. Ziel dieses Bestellprozesses ist die Erstellung eines personalisierten Produkts für den Kunden - in diesem Fall ein Ausweis auf Basis eines Fotos des Kunden. Der Kunde kann durch die Festlegung von Sicherheitsrichtlinien seinen persönlichen Schutzbedarf für das zu bestellende Produkt spezifizieren und so bestimmen, welche Teilnehmer des Warenkreislaufs Zugriff auf welche Teildaten (Foto, Name, E-Mail-Adresse) erlangen und die Datennutzung hinsichtlich Art, Häufigkeit und Dauer einschränken. Nach der Spezifikation werden die Policies aktiviert, sodass die datenverarbeitenden Instanzen im Szenario - Innovative Retail Lab (IRL) als Zwischenhändler und Smart Factory (SF) als Produktionsstätte - nur für sie bestimmte Daten für die definierte Zeitspanne verwenden können. Die Reputationsmodelle werden zur Auswahl der vertrauenswürdigsten Produktionsstätte verwendet.
Abbildung 2: Warenkreislauf Szenario
Ausblick
Das Konzept der abstraktionsebenenübergreifenden Durchsetzung von Sicherheitsrichtlinien wurde in EMERGENT auf der Service-Ebene und der virtuellen Netzwerkebene erfolgreich umgesetzt und evaluiert. Allerdings stellen diese beiden Ebenen nur zwei Abstraktionsebenen von vielen dar. Ziel ist es, weitere Abstraktionsebenen zu integrieren, um eine adäquate Durchsetzung von Sicherheitsrichtlinien über alle Abstraktionsebenen zu erreichen (Cross-Layer Policy Enforcement).

Dies schließt insbesondere die Durchsetzung von Sicherheitsrichtlinien bei Datenzugriff durch mobile Endgeräte (beispielsweise Smartphones) ein. IND²UCE für Android, mit entsprechender Integration in die Firmeninfrastruktur, bietet hier ein geeignetes Mittel, um Daten auch auf modernen, mobilen Geräten effektiv zu nutzen, ohne dabei deren Schutz zu vernachlässigen. IND²UCE gewährt eine flexible Kontrolle über sensible Daten und ermöglicht damit die gemeinschaftliche Nutzung von mobilen Endgeräten sowohl im geschäftlichen als auch im privaten Bereich.

Ein entscheidender Erfolgsfaktor ist die benutzerfreundliche Spezifikation von Sicherheitsrichtlinien durch Nicht-Experten. Hier werden geeignete Hilfsmittel erforscht, um den Anwender in Abhängigkeit seiner Kenntnisse zielorientiert zu unterstützen.