Master - Thesis in Advanced Computer Science. Benutzeridentikation anhand von Touch-Gesten. Prof. Dr. Christoph Reich. vorgelegt am:

Transkript

1 Master - Thesis in Advanced Computer Science Benutzeridentikation anhand von Touch-Gesten Referent: Korreferent: Prof. Dr. Christoph Reich Thomas Rübsamen (M. Sc.) vorgelegt am: vorgelegt von: Julia Bayer Sumpfohrener Str Donaueschingen

2

3

4

5 Abstract I Abstract Der Schutz mobiler Endgeräte wie Smartphones vor unautorisierten Personen nimmt vor allem im geschäftlichen Umfeld einen immer gröÿeren Stellenwert ein. Der Grund dafür ist, dass heutzutage auf Smartphones oft auch sicherheitskritische Daten gespeichert werden und sie durch ihre Portabilität leichtes Diebesgut sind. Es gibt bereits verschiedene Sicherheitsmechanismen um dieses Problem zu beheben, wie z.b. lokal auf dem Gerät arbeitende Antiviren-Software. Allerdings bieten diese oft entweder nicht ausreichend Schutz oder sind durch häuge Passwortabfragen nicht benutzerfreundlich. In dieser Arbeit wird untersucht, ob es möglich ist, Nutzer anhand indirekter biometrischer Merkmale zu identizieren. Als indirekte biometrische Merkmale dienen auf einem Smartphone ausgeführte Touchgesten, welche mit Neuronalen Netzen analysiert werden. Eingebettet wird diese Art der Nutzeridentikation in eine Cloud-Proxy-Umgebung. Die Resultate zeigen, dass bei geeignet gewählten Parametern Neuronale Netze Nutzer anhand ihrer Touchgesten ohne nennbare Fehlschläge richtig identizieren können.

6

7 Inhaltsverzeichnis III Inhaltsverzeichnis Abstract Inhaltsverzeichnis Abbildungsverzeichnis Tabellenverzeichnis Abkürzungsverzeichnis I III VII IX XI 1 Einleitung Motivation Ziele Aufbau der Arbeit Verwandte Arbeiten Nutzeridentikation anhand biometrischer Daten Cloud-basierte Ansätze Cloud Computing Grundlagen Eigenschaften von Cloud Computing Virtualisierung Skalierung Servicemodelle Liefermodelle Datenschutz Vorteile Nachteile Zusammenfassung des Kapitels Sicherheitsarchitektur Taxonomie mobiler Sicherheit Konzeptarchitektur MoSeC

8 IV Inhaltsverzeichnis Security Levels Komponenten der Architektur Behavioural Analysis Pool Use Cases Datenschutz Zusammenfassung des Kapitels Datenerfassung mit Android Was ist Android? Apps Aufzeichnen von Touchinteraktion Über die App Zusammenfassung des Kapitels Künstliche Neuronale Netze Geschichte Neuronaler Netze Grundlagen Aufbau und mathematische Funktionen eines Neurons Lernen im Neuronalen Netz Lernmodi Backpropagation Architekturen Künstlicher Neuronaler Netze Beispiel: XOR-Problem Lineare Separierbarkeit XOR ohne verstecktes Neuron XOR mit verstecktem Neuron Anwendungsgebiete Herausforderungen und Schwachstellen Zusammenfassung des Kapitels Ergebnisse Eingesetzte Technologien und Geräte Datenerfassung Datenverarbeitung

9 Inhaltsverzeichnis V 7.4 Das Neuronale Netz Architektur des verwendeten Netzes Mathematische Aspekte Lernphase Aufbau einer Lesson Lernkurven Prüfphase Interpretation der Ergebnisse Zusammenfassung Fazit Literaturverzeichnis Index Anhang A Anhang 1 - Extrahierte Merkmale B Anhang 2 - CD

10

11 Abbildungsverzeichnis VII Abbildungsverzeichnis Abbildung 1.1 Die möglichen Ebenen, auf denen ein Angri stattnden kann Abbildung 3.1 Exemplarische Ressourcennutzung eines traditionellen Rechenzentrums Abbildung 3.2 Exemplarische Ressourcennutzung beim Cloud Computing 16 Abbildung 3.3 Übersicht über die Servicemodelle Abbildung 3.4 Public, private und hybrid cloud Abbildung 4.1 Mobile Security Taxonomy Overview Abbildung 4.2 Security Levels Abbildung 4.3 Architektur des MoSeC-Projekts Abbildung 4.4 Lifecycle eines Neuronalen Netzes mit Backup-Netz Abbildung 5.1 Android-Architektur Abbildung 5.2 Java vs. Dalvik Abbildung 5.3 Die drei Touch-Gesten grasch dargestellt Abbildung 5.4 Touch Event Zustellungsmechanismus Abbildung 5.5 Die Anordnung der Bits in der Action Abbildung 5.6 Screenshots Abbildung 6.1 Idealisierung zweier Neuronen und ihrer Vernetzung Abbildung 6.2 Die logistische Funktion Abbildung 6.3 Schematischer Aufbau eines Neurons mit seinen mathematischen Funktionen Abbildung 6.4 Backpropagtion-Hügellandschaft Abbildung 6.5 Allgemeiner Aufbau eines Neuronalen Netzes Abbildung 6.6 Perzeptron Abbildung 6.7 Ausschnitt aus einem ANN mit Beispiel für eine Shortcut- Connection Abbildung 6.8 Ausschnitt aus einem ANN mit einem Neuron, das eine Verbindung zu sich selbst hat Abbildung 6.9 Ausschnitt aus einem ANN mit Indirect Feedback zwischen zwei Neuronen

12 VIII Abbildungsverzeichnis Abbildung 6.10 Ein Ausschnitt aus einem ANN mit einer Rückkopplung innerhalb einer Schicht Abbildung 6.11 Beispiel für ein Hopeld-Netz Abbildung 6.12 AND, OR und XOR mit Linie zur linearen Separierbarkeit 66 Abbildung 6.13 Aufbau eines Netzes um zu versuchen, das XOR-Problem ohne Hidden Neuron zu lösen Abbildung 6.14 Aufbau eines Netzes, das das XOR-Problem mit einem Hidden Neuron löst Abbildung 7.1 Die Touchbilder für die Geste Zoom In für alle Personen. 72 Abbildung 7.2 Die Touchbilder für die Geste Zoom Out für alle Personen 72 Abbildung 7.3 Aufbau eines verwendeten Neuronalen Netzes Abbildung 7.4 Die Lernkurve für Durchgang 3 für alle Personen Abbildung 7.5 Die Lernkurve für Durchgang 3 für Person Abbildung 7.6 Vergleich der false positives und false negatives aller vier Durchgänge

13 Tabellenverzeichnis IX Tabellenverzeichnis Tabelle 6.1 Ergebnisse des Netzes ohne Hidden Neuron Tabelle 6.2 Ergebnisse für das Hidden Neuron h Tabelle 6.3 Endergebnisse für das Outputneuron o im Netz mit Hidden Neuron Tabelle 7.1 Anzahl der Parcoursdurchläufe für Lern- und Prüfdaten. 72 Tabelle 7.2 Der exemplarische Aufbau einer Lesson Tabelle 7.3 Anzahl positiver und negativer Lerndaten je Durchgang. 76 Tabelle 7.4 Ausgabe des ersten Durchgangs Tabelle 7.5 Ausgabe des zweiten Durchgangs Tabelle 7.6 Ausgabe des dritten Durchgangs Tabelle 7.7 Ausgabe des vierten Durchgangs Tabelle 7.8 Detaillierte Auistung der Ergebnisse aus Durchgang 3 mit Netzfehler

14

15 Abkürzungsverzeichnis XI Abkürzungsverzeichnis 3D ANN APK App CPU CSV DDoS DLL GPS GUI HTML IaaS IMEI MDR MoSeC NIST PaaS RPROP SaaS SD-Karte SLA SLP VM VPN WISDM 3 Dimensions Articial Neural Network Android Package Application (Anwendung) Central Processing Unit Comma Separated Values (Distributed) Denial of Service Dynamic Link Library Global Positioning System Graphical User Interface Hypertext Markup Language Infrastructure as a Service International Mobile Station Equipment Identity Masquerade Detection Rate Mobile Security by Cloud National Institute of Standards and Technology Platform as a Service Resilient Backpropagation Software as a Service Secure Digital-Karte Service Level Agreement Subsequent-Learn-Phase Virtual Machine Virtual Private Network Wireless Sensor Data Mining

16

17 1 Einleitung 1 1. Einleitung Die vorliegende Master-Thesis wurde an der Hochschule Furtwangen im Studiengang Advanced Computer Science bei Herrn Prof. Dr. Christoph Reich und Thomas Rübsamen erstellt Motivation Der IT-Security wird ein immer gröÿerer Stellenwert zugeschrieben. Es gilt, sein System bestmöglich gegen Angreifer aller Art abzusichern. Dazu zählt auch das Absichern mobiler Geräte wie Smartphones, da auch auf ihnen immer öfter sensible Daten gespeichert sind, vor allem im Geschäftsumfeld. Dabei kommen bei mobilen Geräten zu den bekannten Sicherheitsproblemen weitere hinzu. Diese resultieren z.b. aus der Portabilität der Geräte, also dass sie relativ einfach zu entwenden sind. Die Angrismöglichkeiten für Mobilgeräte lassen sich generell in zwei Gruppen gliedern: Solche, bei denen der Angreifer im Besitz des Geräts ist und solche, bei denen der Angreifer keinen physischen Zugang hat und über die Kommunikationswege angreift. Für den Fall, dass der Angreifer direkten Zugri Abbildung 1.1: Die möglichen Ebenen, auf denen ein Angri stattnden kann 1 auf das Gerät hat, ergeben sich Angrismöglichkeiten auf vier Ebenen: Direkt auf der Hardware des Geräts, auf dem Betriebssystem und den Diensten, bei den Anwendungen und auf der Ebene der Infrastruktur. Die Infrastruktur ist vor 1 vgl.: Bundesamt für Sicherheit in der Informationstechnik, Mobile Endgeräte und mobile Applikationen: Sicherheitsgefährdungen und Schutzmaÿnahmen, Bonn S. 16

18 2 1 Einleitung allem bei Geräten, die Zugri auf eine Unternehmensinfrastruktur bieten, ein interessantes Angrisziel. Im Folgenden werden für jede Ebene Angrisszenarien geschildert: ˆ Hardware Der Angreifer kann die Hardware des Geräts manipulieren oder zerstören. Er kann direkt den Speicher auslesen oder auch weitere Anwendungen darauf installieren, z.b. um die Benutzerinteraktion zu loggen (Aufzeichnen von Zugangsdaten), was weitere Angrie zur Folge haben kann. Die Nutzerinteraktion könnte auch durch das Anbringen neuer Hardware geloggt werden. Bei der Nutzung eines Smartphones bleiben eventuell die Fingerabdrücke der Passwörter auf dem Bildschirm sichtbar und können von Angreifer dann abgelesen werden, oder zumindest Hinweise liefern. 2 ˆ Betriebssystem und Services Der Angreifer kann das Betriebssystem analysieren und die Versionsnummern der Anwendungen auslesen. So könnte er zumindest teilweise ermitteln, wie die Sicherheitsrichtlinie des Unternehmens aussieht und auf dieser Basis weitere Angrie planen. Diese Angrie wären dann deutlich schwerwiegender, weil sie alle Geräte mit der Policy des gestohlenen Geräts umfassen würden. Die bestehenden Sicherheitsmechanismen und andere Dienste auf den Smartphones können deaktiviert oder zerstört werden, was das komplette System behindern könnte. Wenn der Angreifer Benutzerpasswörter durch Ausprobieren ermitteln will, ist dies dank der Tatsache, dass er das Gerät immer wieder zurücksetzen kann, kein allzu groÿes Problem. Falls der Angreifer gewillt ist, mehr Aufwand zu investieren, kann er auch ggf. auf dem Gerät gespeicherte Passwörter direkt auslesen. 3 ˆ Anwendungen 2 vgl.: Bundesamt für Sicherheit in der Informationstechnik (2006) S. 17f. 3 vgl.: Bundesamt für Sicherheit in der Informationstechnik (2006) S. 19f.

19 1 Einleitung 3 Auch hier kann sich der Angreifer über Auslesen von Passwörtern im Gerätespeicher Zugri auf Anwendungen verschaen. Falls ein Angreifer Wissen über in den installierten Apps vorhandene Programmierfehler hat, kann er diese ausnutzen um z.b. Sicherheitsmechanismen zu umgehen oder um über die Anwendungsgrenzen hinaus Befehle zu starten. Wenn Log-Dateien gelöscht werden, kann der Angreifer damit vertuschen, dass je ein Angri stattgefunden hat. 4 ˆ Infrastruktur Durch den Einsatz manipulierter Geräte kann versucht werden, Unternehmensressourcen abzugreifen. Ein Gerät kann in einem geschützten Bereich ein Quellknoten für Angrie sein, z.b. für Denial of Service-Angrie. Da davon ausgegangen wird, dass sich die Geräte immer in vertrauensvollen Händen benden, ist der Zugri auf z.b. Unternehmensdaten weniger restriktiv. Auf diese kann dann leichter zugegrien werden. Falls die Zugrisrechte nachlässig und unpräzise vergeben wurden, können auch dadurch Probleme auftreten, da ein Angreifer auf mehr Daten und Dienste Zugri hat als gewöhnlich. Deswegen ist es wichtig, bei der Rechtevergabe abzuwägen, ob ein bestimmter Nutzer gewisse Rechte tatsächlich benötigt. 5 Es lassen sich noch weitere Bedrohungen ermitteln, welche den beschriebenen Ebenen nicht zuzuordnen sind. Diese werden im Folgenden beschrieben: ˆ Schadsoftware Viren schreiben Kopien von sich selbst in Programme und verbreiten sich. Würmer sind ähnlich wie Viren, reproduzieren sich also selbst, verbreiten sich aber über Kommunikationsschnittstellen. 4 vgl.: Bundesamt für Sicherheit in der Informationstechnik (2006) S. 20f. 5 vgl.: Bundesamt für Sicherheit in der Informationstechnik (2006) S. 21f.

20 4 1 Einleitung Trojaner geben sich als hilfreich aus, beherbergen aber auch einen bösartigen Teil. Sie verbreiten sich nicht. Backdoors sind durch andere Schadsoftware installierte Programme, die einem Angreifer über eine Hintertür den Zugri auf den Rechner ermöglichen. 6 ˆ Analyse des Administrationskonzepts Eine Falschmeldung über etwaige Angrie kann die Möglichkeit schaen, das Vorgehen der Systemadministratoren zu analysieren und Schwachstellen zu identizieren. ˆ Update- und Kongurationsmanagement ausnutzen Eine Möglichkeit böswilligen Code einzuschleusen besteht auch dann, wenn Systemupdates von Dritten bezogen werden müssen und diese ausgetauscht werden können. Da die in dieser Arbeit vorgestellte Herangehensweise vor allem bei den Angrien helfen soll, bei denen der Angreifer direkten Zugang zum Gerät hat, wird auf die Sicherheitsprobleme für die Fälle, in denen der Angreifer keinen Zugri auf das Gerät hat, nicht eingegangen. Die am weitesten verbreitete Methode zur Absicherung eines Geräts allgemein ist das Abfragen eines Passworts. Gründe dafür sind, dass eine Passwortabfrage zum einen für den Entwickler leicht zu implementieren ist und zum anderen, dass eine breite Akzeptanz unter den Anwendern existiert. Doch um genügend Sicherheit zu gewährleisten müssen Passwörter sowohl lang genug sein als auch Zahlen, Buchstaben und Sonderzeichen enthalten. Den meisten Nutzern fällt es allerdings schwer, sich diese Passwörter zu merken. Ein weiteres Problem bei der Passwort-Abfrage ist deren Aufdringlichkeit. Aus Gründen der Nutzerfreundlichkeit ist es nicht ratsam das Passwort z.b. nach Ablauf einer bestimmten Zeitspanne immer wieder abzufragen, aus sicherheitstechnischen Gründen wäre ein solches Vorgehen aber notwendig. Folglich ist ein Vorgehen zu empfehlen, bei dem zum einen bestenfalls ständige Sicherheit durch 6 vgl.: Bundesamt für Sicherheit in der Informationstechnik (2006) S. 24.

21 1 Einleitung 5 Gewährleisten, dass es sich um einen autorisierten Nutzer handelt, und zum anderen auch die Nebenläugkeit des Sicherheitssystems bzw. dessen gute Nutzbarkeit im Vordergrund stehen. Um sicherzustellen, dass es sich um einen autorisierten Nutzer handelt, bietet sich das Auswerten biometrischer Daten an. Die gängigsten biometrischen Daten eines Menschen sind der Fingerabdruck oder die Iris. Vor allem aber ein Irisscanner ist in Mobilgeräten kaum bis gar nicht integrierbar. Andere, indirekte biometrische Merkmale ergeben sich durch das Verhalten oder die Bewegungen einer Person, wie z.b. deren Gang, deren Tipp-Muster oder die Art, wie ein Gerät genutzt wird (CPU-Nutzung, laufende Anwendungen,...). Das biometrische Merkmal, das in dieser Arbeit zur Identizierung genutzt wird, sind die Touchgesten eines Nutzers auf einem Mobilgerät Ziele Ziel dieser Arbeit ist es zu ermitteln, inwiefern es möglich ist, anhand der Touch- Interaktion eines Nutzers mit einem mobilen Endgerät, festzustellen, ob es sich um einen bestimmten Nutzer handelt oder nicht. Es soll eine Anwendung als Proof-of-Concept entwickelt werden zum Erfassen der Touch-Interaktion und zum Evaluieren der Daten. Bei der Touch-Interaktion handelt es sich um Gesten wie zoomen oder scrollen. Zum Evaluieren der Daten zählt das Aufbereiten der Daten für das Neuronale Netz und das Prüfen der Netze. Ein solches Verfahren soll durch ständige implizite Nutzeridentikation mehr Sicherheit und gleichzeitig eine bessere Usability bieten Aufbau der Arbeit Das Dokument ist in acht Kapitel aufgeteilt. Kapitel zwei befasst sich mit der verwandten Literatur im Bereich der Benutzeridentizierung anhand biometrischer Daten im Allgemeinen und geht auf die Schwachstellen anderer Ansätze ein. Kapitel drei beschreibt die der praktischen Arbeit zugrunde liegende Sicherheitsarchitektur und wie sich das Erarbeitete eingliedern lässt. Das vierte Kapitel beschreibt Android und geht speziell auf Touchinteraktion und die entwickelte App ein. Kapitel fünf liefert die Grundkonzepte für die Thematik der Neurona-

22 6 1 Einleitung ler Netze. In Kapitel sechs werden der Einsatz der Neuronalen Netze sowie die erzielten Ergebnisse beschrieben und interpretiert. Abschlieÿend folgt das Fazit.

23 2 Verwandte Arbeiten 7 2. Verwandte Arbeiten Dieses Kapitel bietet einen Überblick über verwandte Arbeiten auf dem Gebiet der Nutzeridentizierung anhand von biometrischen Daten und über cloudbasierte Sicherheitsansätze Nutzeridentikation anhand biometrischer Daten Auf ein traditionelles und bewährtes Verfahren zur Nutzeridentizierung setzen Wong, Supian, Ismail et al.. Sie setzen Tastenanschlagsanalyse ein, speziell für die Passworteingabe und erzielten damit sehr gute Ergebnisse. Die Authentizierung erfolgte zum einen mit Künstlichen Neuronalen Netzen und zum anderen mit dem k-nearest Neighbor-Algorithmus. Allerdings kommen sie zu dem Schluss, dass die Tastenanschlagsanalyse stark von der physikalischen Verfassung des Nutzers abhängt, wie z.b. dessen Müdigkeit oder ob er unter Stress steht. Über die von den Autoren verwendete Tastenanschlagsanalyse ist bereits bekannt, dass mit ihr gute und sehr gute Ergebnisse erzielt werden können. Die vorliegende Arbeit setzt deswegen auf die Analyse von Touchgesten, da dieser Bereich erst mit der Verbreitung von Smartphones und Tablets aufkaum und deswegen sowohl relativ unerforscht als auch aktuell ist. Das allgemeine Vorgehen bei Pannell und Ashman sieht so aus, dass Nutzer in User Models beschrieben werden 7. Diese Modelle reektieren die Charakteristiken eines Individuums. Ein Eindringling soll dadurch erkannt werden, dass sein Verhalten in keines der beschriebenen Modelle passt. Erfasst werden mehrere Merkmale wie die laufenden Anwendungen oder auch die Tastenanschläge. Auÿerdem erfolgt eine Klassizierung der Nutzer, z.b. wird unterschieden zwischen Basis-Computerwissen und tieferen technischen Kenntnissen. Das Ergebnis zeigt, dass eine Kombination verschiedener erfasster Merkmale zu besseren Ergebnissen führt als die Auswertung eines einzelnen Merkmals. Auch wurde ermittelt, dass persönliche Merkmale wie die Tastenanschlagsanalyse besser geeignet sind zur Identizierung als eher indirekte Merkmale wie die Speicher- 7 Pannell, Grant/Ashman, Helen (2010), User Modelling for Exclusion and Anomaly Detection: A Behavioural Intrusion Detection System, In: Bra, Paul/Kobsa, Alfred/Chin, David (Hrsg.), User Modeling, Adaptation, and Personalization, Band 6075, Springer Berlin Heidelberg, ISBN

24 8 2 Verwandte Arbeiten auslastung. Auch verglichen zu dieser Arbeit ist bei der vorliegenden Arbeit hervorzuheben, dass die Touchgesten analysiert werden und dies darüber hinaus in eine exibel erweiterbare und skalierende Cloud-Proxy-Umgebung eingebunden wird. Auch Anand, Deepank und Nidhi Gupta befassten sich mit der Identizierung von Personen anhand verschiedener erfasster Merkmale mit Hilfe mobiler Geräte 8. Zu diesen zählen die Anruiste oder auch das Tippmuster und erst nach erfolgreicher Identikation darf ein Nutzer auch auf verschlüsselte Daten zugreifen. Auch die International Mobile Station Equipment Identity (IMEI) und die aktuelle Position des Nutzers werden gespeichert und bei Diebstahl an den Service Provider gesendet. Das System umfasst drei Hauptkomponenten: ein Interface, welches Zugri auf die Nutzerpräferenzen-Tabelle gewährleistet, den Sample-Collector, welcher die Aktivitäten aufzeichnet, und Datenbanken zum Abspeichern der Nutzerdaten. Den Autoren zufolge wurde eine angemessene Menge an Nutzerdaten erfasst um einen Nutzer von einem Angreifer unterscheiden zu können. Die Schlussfolgerung ist, dass eine Balance gefunden werden muss zwischen der Masquerade Detection Rate (MDR) und der Zeit um einen Angri aufzudecken. Die MDR ist das Verhältnis von entdeckten Attacken zu allen Attacken. Um dies zu erreichen müssen verschiedene Parameter angepasst werden, wie z.b. ein Zeitfenster, in dem Daten erfasst werden. Um die Analyse der Nutzung von GUI-based Intrusion Detection geht es in der Arbeit von Imsand, Garrett und Hamilton Jr. 9. GUI-based Intrusion Detection bedeutet, dass eine Person daran erkannt werden kann, auf welche Art und Weise sie eine Nutzerschnittstelle nutzt. So wird zum Beispiel darauf geachtet, welchen Weg ein Nutzer zum Kopieren von Text nutzt, ob er z.b. mit Strg+C arbeitet oder über das Kontextmenü. Ähnlich wie bei Pannell und Ashman wird das 8 Gupta, Anand/Gupta, Deepank/Gupta, Nidhi (2009), InfoSec-MobCop - Framework for Theft Detection and Data Security on Mobile Computing Devices, In: Ranka, Sanjay et al. (Hrsg.), Contemporary Computing, Band 40, Springer Berlin Heidelberg, ISBN Imsand, E.S./Garrett, D./Hamilton, J.A. (2009), User identication using GUI manipulation patterns and articial neural networks, In: Computational Intelligence in Cyber Security, CICS '09. IEEE Symposium on,.

25 2 Verwandte Arbeiten 9 Verhalten in Nutzerprolen gespeichert und das aktuelle Verhalten eines Users mit diesen abgeglichen. Von 31 Testpersonen wurden in Testläufen insgesamt 93 Datensätze erfasst. Das Ergebnis ist, dass lediglich 12 von 31 Testpersonen auf Anhieb richtig identiziert werden konnten. Als mögliche Gründe für das schlechte Ergebnis geben die Autoren die geringe Menge an Testdaten und das Überlernen des Netzes an. Bei dieser Arbeit stellt sich in erster Linie die Frage, wieso die Autoren das Netz nicht neu haben lernen lassen, sodass das Überlernen als Ursache für die relativ schlechten Testergebnisse nicht mehr in Frage kommt. Mit einem etwas anderen Verfahren wollen Guse und Müller Nutzer identizieren. In deren Arbeit wird untersucht, inwiefern anhand der Gesten im Sinn von Bewegungen eines Nutzers dieser wieder identiziert werden kann 10. Erfasst werden diese Gesten mit Hilfe eines 3D-Beschleunigungssensors und eines 3D-Gyroskops. Allerdings birgt dieser Ansatz laut den Autoren mehrere Probleme. So soll es zum einen für die Nutzer schwierig sein, dieselbe Geste mehrere Male gleich auszuführen, gleichzeitig sollten die Gesten aber in einer sicheren Umgebung ausgeführt werden, da deren Nachahmen einfach zu bewerkstelligen sei. Dennoch wird das Identizieren anhand von Gesten als brauchbare Alternative zu PINs bezeichnet und wurde auch von den Testpersonen nicht als zu anstrengend empfunden. Auch wenn die Testpersonen das Ausführen der Gesten als in Ordnung empfunden haben, so ist doch davon auszugehen, dass dies nicht für alle Personen der Fall ist. Ein besonderes Augenmerk darauf, dass der Identikationsdienst nicht ohne Weiteres deaktiviert werden kann, haben Shi, Yang, Jiang et al. gelegt 11. Ihr System SenGuard setzt mobile Virtualisierung ein und für den Nutzer ist nur das nicht privilegierte Gast-Betriebssystem MeeGo sichtbar. In der privilegierten Domain 0 ist das System SenGuard angesiedelt, das die erfassten Daten 10 Guse, Dennis/Kirschnick, Niklas/Kratz, Sven/Möller, Sebastian (2011), Gesture-based User Authentication for Mobile Devices, SE-Stockholm. 11 Shi, W./Yang, J./Jiang, Y./Yang, F./Xiong, Y. (2011), SenGuard: Passive user identication on smartphones using multiple sensors, In: Wireless and Mobile Computing, Networking and Communications (WiMob), 2011 IEEE 7th International Conference on, IEEE.

26 10 2 Verwandte Arbeiten auswertet. Erfasst werden die Stimme des Nutzers, dessen GPS-Koordinaten, die Multitouch-Eingaben und dessen Bewegungen. Bei Verdacht auf unerlaubte Nutzung werden traditionelle Verfahren zugeschaltet. Auch der Akkuverbrauch war ein wichtiger Punkt bei der Entwicklung des Systems, so werden je nach Akkuladezustand mehr oder weniger Sensoren zur Datenerfassung aktiviert. Durch eine Kombination aller erfassten Daten konnten gute Authentizierungsergebnisse erzielt werden. Vor allem die Gangart und die Stimme lieferten sehr gute Ergebnisse. Die Ergebnisse der Touchanalyse zeigen, dass zwar jeder Nutzer eine eigene Art hat, die Gesten auszuführen, gleichzeitig aber zwischen zwei Nutzern groÿe Gemeinsamkeiten bestehen können, sodass allein anhand dieser Daten eine Identizierung schwerfällt. Problematisch dürfte bei diesem Ansatz allerdings die Akkulaufzeit sein wegen der Virtualisierung des MeeGo-Gastbetriebssystems. Kwapisz, Weiss und Moore untersuchen in ihrer Arbeit die Tauglichkeit der Erkennung der Nutzer an ihrem Gang 12. Ihre Arbeit ist ein Teil von WISDM (Wireless Sensor Data Mining). Entwickelt wurde eine App für Android-Geräte. Aus sechs Basis-Features wurden insgesamt 43 Features extrahiert. Bei den meisten Personen lieferte das System sehr gute Identikationsergebnisse. Zur Erkennung wurden zum einen Künstliche Neuronale Netze aber auch J48 von WEKA eingesetzt. Erstaunlich ist, dass schon nach 10 Sekunden Datenerfassung die Nutzeridentikation möglich ist. Eine Arbeit von Clarke und Furnell beschäftigt sich mit der Tauglichkeit der Tastenanschlagsanalyse um dann auf eine geeignete Architektur für Authenti- zierungszwecke einzugehen 13. Da Nathan Clarke auch in die Entwicklung der dieser Arbeit zugrundeliegenden Architektur für MoSeC involviert war, wird hier nicht sehr detailliert darauf eingegangen, da eine genaue Beschreibung der Architektur in Kapitel 4 folgt. Die erwähnte Tastenanschlagsanalyse wird von 12 Kwapisz, J.R./Weiss, G.M./Moore, S.A. (2010), Cell phone-based biometric identication, In: Biometrics: Theory Applications and Systems (BTAS), 2010 Fourth IEEE International Conference on, IEEE. 13 Clarke, N.L./Furnell, S.M. (2007), Advanced user authentication for mobile devices, computers & security, 26, Nr. 2.

27 2 Verwandte Arbeiten 11 den Verfassern anhand der Zeit zwischen zwei Tastenanschlägen und der Dauer, die eine Taste gedrückt wird, durchgeführt und erzielt sehr gute Ergebnisse. Trotzdem ist es in der Praxis wenig ratsam, einen Nutzer nur anhand der Tastenanschlagsanalyse für das System zu sperren, deswegen werden Sicherheitslevels eingeführt. Je nachdem, ob der Nutzer als vertrauenswürdig eingestuft wird durch die Ergebnisse einer Authentikationsanfrage, wird das Level verändert. Ein hohes Level bedeutet hohe Sicherheit. Ziel der Architektur ist es, ein exibles Framework zu bieten, das z.b. an verschiedene Hardware-Kongurationen anpassbar ist. Das Framework nutzt eine Kombination aus secret knowledge (Passwörter usw.) und biometrischen Techniken Cloud-basierte Ansätze Beim Cloud-AV-Ansatz, der in Oberheide/Veeraraghavan/Cooke (2008) beschrieben wird, wird ähnlich der in Kapitel 4 vorgestellten Architektur, die Idee verfolgt, die u.u. ressourcenintensive Prüfung auf Schadsoftware und andere Angrie in die Cloud auszulagern. Dabei läuft auf dem Mobilgerät ein Softwareagent, der dafür sorgt, dass die Dateien, auf die zugegrien wird, in der Cloud von mehreren Anti-Virus-Produkten analysiert werden. Diese beiden Komponenten, der Agent und der Netzwerkdienst zur Dateianalyse, sind die beiden Hauptbestandteile der Architektur. Da es ungünstig wäre, jede einzelne Datei an den Netzwerkdienst zu senden, gibt es einen für alle Nutzer verfügbaren Remote Cache, der dazu beiträgt, redundante Dateiübertragungen zu eliminieren. Um im Allgemeinen den Zugri auf den Netzwerkservice und den Remote Cache zu reduzieren, existiert zusätzlich noch ein lokaler Cache. Wie in Oberheide, Jon/Cooke, Evan/Jahanian, Farnam (2007), Rethinking Antivirus: Executable Analysis in the Network Cloud, event/hotsec07/tech/full_papers/oberheide/oberheide_html/ näher erläutert wird, beinhaltet der Netzwerkdienst auch Behavioural Engines, die verdächtige ausführbare Dateien in einer abgesicherten Umgebung ausführen und Statusänderungen und Netzwerkaktivitäten aufzeichnen.

28 12 2 Verwandte Arbeiten Paranoid Android, das in Portokalidis/Homburg/Anagnostakis (2010) vorgestellt wird, setzt auf Server, auf denen Replikate der Smartphones gespeichert werden. Das Hauptaugenmerk liegt dabei darauf, eine mögliche Kompromittierung möglichst zeitnah zu erkennen. Auch sie lassen mehrere Virenscanner und generell Detection Engines parallel laufen. Laut eigener Aussage können Angreifer die Spuren bei deren System nicht verwischen. Es werden alle Aktivitäten, also alle laufenden Prozesse, aufgezeichnet (Execution Trace), deswegen sind auch alle Daten wiederherstellbar. Sowohl Paranoid Android als auch Cloud-AV enthalten keine Möglichkeit zur Analyse biometrischer Daten. Zonouz et al. beschreiben in Houmansadr/Zonouz/Berthier (2011) ein System, das auch auf Cloud-basierter Intrusion Detection basiert. Die Ziele bei dieser Arbeit sind, transparente Operationen anzubieten, einen geringen Ressourcenbedarf zu benötigen und in Echtzeit akkurate Ergebnisse für Intrusion Detection zu liefern. Das System emuliert ein Smartphone in einer virtuellen Maschine in einer Cloud mit Hilfe eines Proxys, der den eintreenden Datenverkehr dupliziert und an die Emulationsplattform weiterleitet. Wenn Fehlverhalten entdeckt wird, wird in der Cloud über das bestmögliche Vorgehen entschieden, welches einem Softwareagenten auf dem Gerät mitgeteilt wird. Dieser ist nur dafür zuständig, die erhaltenen Aktionen auszuführen.

29 3 Cloud Computing Cloud Computing Bei der in Kapitel 4 vorgestellten Architektur spielt die Cloud eine zentrale Rolle. Deswegen werden in diesem Kapitel die Grundlagen dazu erläutert. Dazu wird der Begri Cloud Computing deniert und die elementaren Eigenschaften beschrieben. Auÿerdem werden die für Cloud Computing essentiellen Begrie der Virtualisierung und der Skalierbarkeit beschrieben, sowie ein Überblick über die Service- und Liefermodelle gegeben. Die Risiken bezüglich des Datenschutzes werden erläutert sowie die Vor- und Nachteile beschrieben Grundlagen Den Begri des Cloud Computing zu denieren und zu beschreiben ist eine etwas dizile Angelegenheit, da es verschiedene Meinungen und Ansichten dazu gibt. Das National Institute of Standards and Technology (NIST) hat hierzu eine Arbeit angefertigt, in der versucht wird, den Begri zu denieren und auÿerdem die in diesem Kapitel beschriebenen elementaren Bestandteile des Cloud Computings nennen. Denition 1 (Cloud Computing). Cloud Computing ist ein Modell, mit dem allgegenwärtiger, zweckmäÿiger Netzwerkzugri auf einen gemeinsam genutzten Vorrat an Rechenressourcen (z.b. Netzwerke, Server, Speicher, Anwendungen oder Dienste), die mit minimalem Verwaltungsaufwand oder Interaktion des Serviceanbieters schnell bereitgestellt und auch wieder frei gegeben werden können, auf Abruf ermöglicht wird Eigenschaften von Cloud Computing On-Demand self-service Ohne menschliches Zutun können in einer Cloud Ressourcen wie Netzwerkspeicher automatisch dazu geschaltet werden. Breitband-Internet Cloud-Dienste müssen über das Internet verfügbar sein und es muss über Standardmechanismen, die in internetfähigen Geräten vorhanden sind, darauf zugegrien werden können. 14 vgl.: Mell, Peter/Grance, Timothy (2011), The NIST denition of cloud computing, NIST special publication, 800 S. 2.

30 14 3 Cloud Computing Ressourcen-Pooling Die Rechenressourcen eines Anbieters werden zusammengefasst um mehrere Nutzer den Kundenanfragen entsprechend mit unterschiedlichen physischen und virtuellen Ressourcen, die dynamisch zugewiesen werden, in einem Multi-Tenancy Modell (Multi-Mieter-Modell) zu versorgen. Dabei existiert eine Ortsunabhängigkeit, bei der der Kunde nicht immer wissen kann, wo genau seine Daten abgespeichert werden. Ressourcen können z.b. Speicherplatz oder Bandbreite sein. Schnelle Elastizität Ressourcen können automatisch und exibel bereitgestellt und auch wieder freigestellt werden, um schnell dem Bedarf angemessen skalieren zu können. Dem Kunden sollten die ihm zur Verfügung stehenden Ressourcen unbegrenzt erscheinen und können zu jeder Zeit in beliebiger Menge zugewiesen werden. Measured Service Cloud Systeme kontrollieren und optimieren automatisch die Ressourcennutzung in dem sie auf einem gewissen Abstraktionslevel eine Messinstanz anbringen, die dem Service angemessen ist. So kann die Ressourcennutzung besser protokolliert werden und schat Transparenz für den Anbieter und den Kunden Virtualisierung Bei Virtualisierung geht es darum, mehrere virtuelle Maschinen auf eine physischen Maschine laufen zu lassen. Die Virtualisierung bildet die Grundlage für Cloud Computing. Dahinter steckt der Gedanke, die physischen Ressourcen in Pools zusammenzufassen um sie so besser strukturieren und aufteilen zu können. Ein weiterer Zweck, den die Virtualisierung beim Cloud Computing erfüllt, ist der, dass die Nutzer von der Hardware isoliert werden durch die Abstraktionsebene, welche die Virtualisierung schat. 16 Der Nutzer soll den Eindruck bekommen, er nutze eine homogene Struktur. 17 Der Einsatz von Virtualisierung bietet noch weitere Vorteile: 15 vgl.: Mell/Grance (2011) S vgl.: Metzger, Christian/Reitz, Thorsten/Villar, Juan (2011), Cloud Computing, Carl Hanser Verlag GmbH & Co. KG, ISBN S vgl.: Baun, Christian/Kunze, Marcel/Nimis, Jens/Tai, Stefan; Güther, O./Karl, W./ Lienhart, R./Zeppenfeld, K. (Hrsg.) (2010), Springer Berlin Heidelberg, Informatik im Fokus, ISBN S. 7.

31 3 Cloud Computing 15 ˆ Bessere Ressourcennutzung durch optimale Auslastung der physischen Server. Vor allem bei Lastspitzen können Ressourcen einfach aus den beschriebenen Ressourcenpools dazugeschaltet werden. ˆ Einfaches Management durch automatisiertes Erzeugen, Kongurieren und Zuschalten von virtuellen Maschinen. ˆ Die Konsolidierung von Anwendungsklassen führt zur Reduktion der Anzahl der laufenden Server und damit zu Energie- und Platzersparnissen. ˆ Durch die Möglichkeit, VMs zu verschieben, wird eine bessere Verfügbarkeit erreicht, also auch eine bessere Einhaltung von SLAs. Auÿerdem bewirkt diese Tatsache, dass hardwarebedingte Wartungsausfälle vermeidbar werden und auch das Einspielen von Updates wird unproblematisch, da immer nur die Maschinen abgeschaltet werden können, auf denen aktuell keine Kunden arbeiten Skalierung Ein weiterer wichtiger Aspekt beim Thema Cloud Computing ist die optimale Skalierung von Cloud-Lösungen. Skalierung ist in diesem Fall die granulare und auf den aktuellen Bedarf abgestimmte Zuweisung von Ressourcen. So können bei Lastspitzen exibel mehr Ressourcen in Anspruch genommen werden und gleichzeitig aber auch bei weniger Betrieb nach unten angepasst werden, wie z.b. beim Verkauf von Unternehmensanteilen 19. Abbildung 3.2 verdeutlicht diesen Sachverhalt. Abbildung 3.1 zeigt die Auslastung eines traditionellen Rechenzentrums. Dort sind auch auÿerhalb der Lastspitze so viel Ressourcen verfügbar, wie eigentlich nur für die Lastspitze benötigt werden. Ein weiterer Nachteil der statischen Anzahl an Ressourcen ist, dass falls die Lastspitze höher als erwartet ausfallen, ohne Cloud Computing auch keine Möglichkeit besteht, dynamisch mehr Ressourcen hinzuzufügen. Cloud Computing löst dieses Problem indem für 18 vgl.: Baun/Kunze/Nimis (2010) S. 8f. 19 vgl.: Metzger/Reitz/Villar (2011) S Metzger/Reitz/Villar (2011) S Metzger/Reitz/Villar (2011) S. 64

32 16 3 Cloud Computing Abbildung 3.1: Exemplarische Ressourcennutzung eines traditionellen Rechenzentrums 20 Abbildung 3.2: Exemplarische Ressourcennutzung beim Cloud Computing 21 die Lastspitze mehr Ressourcen zugewiesen werden, die danach dann wieder für den Normalbetrieb freigestellt werden Servicemodelle Cloud Computing ist nicht gleich Cloud Computing und so muss dierenziert werden zwischen hauptsächlich drei verschiedenen Arten, wie es genutzt werden kann. Dabei sprechen die verschiedenen Modelle auch unterschiedliche Nutzergruppen an. 22 vgl.: Meier, J.D. (2010), MSDN Blogs, WindowsLiveWriter/SoftwareasaServiceSaaSPlatformasaService_E049/SaaS%20PaaS% 20and%20IaaS_2.gif

33 3 Cloud Computing 17 Abbildung 3.3: Übersicht über die Servicemodelle 22 Abbildung 3.3 zeigt, dass bei höherem Abstraktionsgrad gleichzeitig die Möglichkeit zur Kontrolle abnimmt. SaaS bietet dabei am wenigsten Kontrolle auf der höchsten Abstraktionsebene, PaaS ist dem entgegengesetzt. Software as a Service (SaaS) Bei SaaS muss der Nutzer für einen Dienst, den er nutzen will, keine Software installieren, sondern führt die Anwendung im Browser aus 23. Dabei wird der Endkunde direkt angesprochen, da SaaS-Dienste normalerweise ohne viel Aufwand genutzt werden können. Typisch hierfür sind z.b. Webmail-Dienste. Es kann hier nochmals unterschieden werden zwischen Anwendungsdiensten, die für gewöhnlich nur eine Funktionalität einer Anwendung ausführen können und kompletten Anwendungen. 24 Beispiele: ˆ Yahoo! Mail 25 ˆ Salesforce.com 26 ˆ Microsoft Oce Platform as a Service (PaaS) Eine PaaS-Umgebung ist auf Entwickler ausgerichtet und bietet ihnen eine Deployment-Plattform. 28 Dort kann eigene Software entwickelt und zum 23 vgl.: Metzger/Reitz/Villar (2011) S vgl.: Baun/Kunze/Nimis (2010) S vgl.: Yahoo! Deutschland, Anmelden bei Yahoo! 26 vgl.: salesforce.com, inc., CRM Software & Online CRM System - Salesforce.com Deutschland, 27 vgl.: Microsoft, Microsoft Oce Zusammenarbeit und Kommunikation mit Exchange, SharePoint, Lync aus der Cloud für Unternehmen jeder Gröÿe, com/de-de/oce365/resources/default.aspx. 28 vgl.: Metzger/Reitz/Villar (2011) S. 21.

34 18 3 Cloud Computing Laufen gebracht werden. Es existiert für gewöhnlich ein Programming Environment zum Entwickeln und ein Execution Environment zum Ausführen der Software. 29 Beispiele: ˆ Windows Azure 30 ˆ Google App Engine 31 ˆ OpenShift 32 Infrastructure as a Service (IaaS) Mit IaaS wird eine Infrastruktur zur Verfügung gestellt. Diese Art von Dienstleistung ist für gewöhnlich klar deniert und abgrenzt (eine bestimmte Menge Speicherplatz, Bandbreite...). 33 Die Benutzerschnittstelle umfasst für gewöhnlich Aktionen wie das Anlegen, Starten oder auch Stoppen von Betriebssystemabbildern. 34 Beispiele: ˆ Amazon Web Services 35 ˆ IBM Smart Cloud 36 ˆ Google Compute Engine Liefermodelle Es gibt verschiedene Arten, wie Clouds genutzt werden können. Dieser Abschnitt bezieht sich darauf, welche organisatorische Einheit eine Cloud besitzt und managt, wer sie nutzt und wie sie zugänglich ist. Public Cloud (External Cloud) Der Anbieter und der Nutzer (Kunde) der Cloud gehören unterschiedlichen 29 vgl.: Baun/Kunze/Nimis (2010) S vgl.: Microsoft, Windows Azure: die Cloud-Plattform von Microsoft Cloud-Hosting Cloud- Dienste, 31 vgl.: Google, Google App Engine - Google Developers, appengine/. 32 vgl.: Red Hat, Inc., OpenShift by Red Hat, 33 vgl.: Metzger/Reitz/Villar (2011) S vgl.: Baun/Kunze/Nimis (2010) S. 29f. 35 vgl.: Amazon Web Services LLC oder Tochterrmen, Amazon Web Services (Deutsch), http: //aws.amazon.com/de/. 36 vgl.: IBM, IBM Infrastructure as a Service (IaaS): Übersicht, services/de/de/cloud-enterprise/. 37 vgl.: Google, Google Compute Engine,

35 3 Cloud Computing 19 organisatorischen Einheiten an. Diese Form der Cloud ist für gewöhnlich über ein Web-Portal öentlich zugänglich. In diesem Web-Portal kann der Nutzer die für seine Zwecke benötigten Leistungsmerkmale festlegen. ˆ Exclusive Cloud Die Voraussetzung für Exclusive Clouds ist, dass Nutzer und Anbieter sich kennen und keine unbekannten Parteien im Umfeld agieren. So soll mehr Sicherheit geboten werden. ˆ Open Cloud Bei einer Open Cloud kennen Anbieter und Nutzer sich nicht. Die Leistung wird in SLAs festgeschrieben. 38 Private Cloud (Internal Cloud, IntraCloud) Hier gehören der Anbieter und der Nutzer derselben organisatorischen Einheit an. Der wohl häugste Grund für solch eine Entscheidung ist, dass die Daten nicht an Dritte weitergegeben werden sollen. Manchmal wird bei private Clouds versucht, die gleichen Schnittstellen wie bei public Clouds umzusetzen. Dies hat zum einen den Grund, dass es die Möglichkeit geben soll, die gleichen Werkzeuge zu nutzen wie in public Clouds, zum anderen soll aber auch die Option verfügbar sein, Anwendungen aus der private Cloud zu einem späteren Zeitpunkt in die public Cloud auszuweiten. ˆ Exploratory Cloud Eine Exploratory Cloud ist eine Art Versuchsumgebung. Hier werden Anwendungen ausprobiert und deren Trade-Os ermittelt. ˆ Departmental Cloud Diese Form der Cloud ist nur für eine Abteilung eines Unternehmens verfügbar und kann z.b. weltweit von dieser Abteilung eingesetzt werden. ˆ Enterprise Cloud In diesem Fall sind der Anbieter und der Nutzer aus unterschiedlichen 38 vgl.: Metzger/Reitz/Villar (2011) S. 19.

36 20 3 Cloud Computing Abteilungen eines Unternehmens. Der Grund dafür ist meistens die bessere Datensicherheit. 39 Hybrid Cloud Eine hybride Cloud besteht zu Teilen aus einer public Cloud und zu Teilen aus einer private Cloud. Meistens ndet der normale Betrieb in der private Cloud statt und nur bei Lastspitzen werden Ressourcen in die public Cloud ausgelagert. Hier sollte darauf geachtet werden, nur unkritische Daten auszulagern. 40 Abbildung 3.4: Public, private und hybrid cloud 41 Abbildung 3.4 zeigt grasch, was mit privaten, öentlichen und hybriden Clouds gemeint ist. Private Clouds gehören immer zu einem Unternehmen und sind nicht für die Öentlichkeit zugänglich. Die hybride Cloud bendet sich zwischen der privaten und der öentlichen Cloud, da sie beide beinhaltet Datenschutz Datenschutz kann unterteilt werden in den Schutz von persönlichen Daten und den Schutz der Daten durch Sicherheitskonzepte. In diesem Zusammenhang sind auch die rechtlichen Rahmenbedingungen, also das Bundesdatenschutzgesetz zu 39 vgl.: Metzger/Reitz/Villar (2011) S vgl.: Baun/Kunze/Nimis (2010) S vgl.: Baun/Kunze/Nimis (2010) S. 26

37 3 Cloud Computing 21 beachten. 42 Wenn z.b. ein Unternehmen sich dazu entscheidet, seine Daten in die Cloud auszulagern, muss berücksichtigt werden, dass sich im Datenbestand z.b. Mitarbeiterdaten oder Kundendaten benden können. Es ist wichtig, diese Daten zum einen vor Verlust oder Zerstörung und zum anderen vor unerlaubtem Zugri zu schützen. Deswegen müssen die Daten, die ausgelagert werden, mit Bedacht ausgewählt werden. Ein weiteres Risiko, was nicht unbedingt oensichtlich ist, besteht darin, dass bei Datendiebstahl über Suchanfragen mit den Daten sich Korrelationen ergeben können. Der Grund dafür ist, dass heutzutage zu beinahe jeder Person weiterführende Informationen im Internet verfügbar sind z.b. in sozialen Netzwerken. Ein weiterer Punkt von Relevanz ist der Standort des Rechenzentrums. Dies ist wichtig, da in anderen Ländern auch abweichende oder schlimmstenfalls keine Gesetze zum Datenschutz gelten. Bei einem Cloud-Dienstleister kann unter Umständen nicht vorhergesagt werden, wo die Daten letztendlich landen. Um für die Kunden mehr Transparenz zu schaen, sollte angegeben werden, wo die Rechenzentren stehen, bzw. bestenfalls sollte der Kunde wählen können, an welchen Standorten seine Daten gespeichert und verarbeitet werden dürften. 43 Damit die Kunden von auÿerhalb auf die Cloud zugreifen können, muss der Cloudanbieter diese ausreichend gegen Unbefugte schützen. Andererseits hat aber auch der Nutzer eine gewisse Verantwortung, indem er ein sicheres Passwort wählt. Der Kunde muss in verschiedenen Punkten Vertrauen in den Anbieter haben. Er muss dem Anbieter vertrauen, dass dieser genügend Sicherheitsmechanismen anwendet, um die Daten des Kunden zu schützen. Auÿerdem muss er ihm sein Vertrauen entgegenbringen, wenn es darum geht, dass er seine administrativen Fähigkeiten nicht ausnutzt werden. Und auch in dem Aspekt, dass die Kundendaten selbst im Katastrophenfall nicht verloren gehen oder Datenträger zerstört werden muss dem Anbieter vertraut werden. 42 vgl.: Metzger/Reitz/Villar (2011) S vgl.: Metzger/Reitz/Villar (2011) S. 48.

38 22 3 Cloud Computing Der folgende Abschnitt ist eine Aufzählung, in der die wesentlichen Punkte aus dem Bundesdatenschutzgesetz zur Verarbeitung personenbezogener Daten, erklärt werden. ˆ Auf physischer Ebene muss unbefugter Zugri ausgeschlossen werden können. Das bedeutet, dass auch die Server in den Cloud-Rechenzentrum selbst über ausreichende Sicherheitsmechanismen verfügen muss (z.b. Zugang nur mit Iris-Scanner o.ä.). 44 ˆ Unbefugten darf kein Zugri auf die in der Cloud vorhandenen Daten möglich sein. ˆ Der Zugri selbst muss auch kontrolliert werden, sodass z.b. manche nur lesenden Zugri erhalten und andere auch bestehende Daten modizieren dürfen. ˆ Der Anbieter muss alle Schnittstellen, die zur Datenübermittlung genutzt werden können, klar dokumentieren und auch dafür sorgen dass kein unberechtigtes Mitlesen der Daten auftreten kann. Auch die eher ungenutzten Schnittstellen müssen im Auge behalten werden, da auch durch sie Daten übermittelt werden können. ˆ Eine Historisierung der Zugrie und vor allem der Datenänderungen ist notwendig. ˆ Die Daten dürfen nur so verarbeitet werden, wie der Auftraggeber dies bestimmt hat. ˆ Zur besseren Absicherung muss auch ein Backup-System vorhanden sein. Die Daten müssen also gegen Zerstörung geschützt sein. ˆ Daten, die zu unterschiedlichen Zwecken erhoben wurden, müssen auch getrennt abgespeichert werden vgl.: Metzger/Reitz/Villar (2011) S vgl.: Metzger/Reitz/Villar (2011) S. 53.

39 3 Cloud Computing Vorteile Das Auslagern von Daten in die Cloud bringt neben den beschriebenen Risiken bezüglich des Datenschutzes aber auch viele Vorteile, vor allem für Unternehmen. ˆ Die Kosten für Server und gegebenenfalls auch für deren Einrichtung entfallen. Somit können Projekte eher gestartet werden, da sich das Risiko reduziert, die Hardware vergebens angeschat zu haben. ˆ Da keine Anschaung von Hardware und keine Installation oder Kongurationen notwendig sind, sind Dienste aus der Cloud schnell verfügbar. ˆ Aus den beiden genannten Punkten ergibt sich auch die Tatsache, dass neue Technologien bessere Chancen haben eben durch den Wegfall der Kosten und der Wartezeit. ˆ Durch die Möglichkeit selbst weltweit verteilte Unternehmensabteilungen sofort einzubinden ergibt sich eine groÿe Nutzerakzeptanz. 46 ˆ Da ein realer Server für gewöhnlich von mehreren Nutzern genutzt wird, werden die Lizenzkosten für den einzelnen Nutzer geringer. Generell werden die Kosten für Sicherheit, Wartung und Kühlung der Server auf die Nutzer aufgeteilt. ˆ Die Verantwortung dafür, das System durch Updates und Patches immer auf dem neusten Stand zu halten, liegt nun beim Anbieter. ˆ Wegen der guten Skalierung können die Ressourcen exibel und feingranular genutzt werden. Auÿerdem muss nur für die Ressourcen bezahlt werden, die tatsächlich genutzt wurden. 47 ˆ Dank Cloud Computing kann sich die rmeninterne IT besser auf das Kerngeschäft konzentrieren, da der Aufwand für die Administration und Wartung der Server entfällt vgl.: Metzger/Reitz/Villar (2011) S vgl.: Baun/Kunze/Nimis (2010) S vgl.: Metzger/Reitz/Villar (2011) S. 66.

40 24 3 Cloud Computing ˆ Ein weiterer Vorteil bei der Auslagerung in die Cloud ist, dass auch (D)DoS- Angrie ((Distributed) Denial of Service) unwahrscheinlicher werden. Ein traditionelles Rechenzentrum ist schneller am Ende der Ressourcen angelangt, während bei einer Cloud-Lösung mehr Ressourcen dynamisch dazugeschaltet werden können. Dies verursacht zwar unter Umständen Mehrkosten, aber der Dienst bleibt verfügbar Nachteile Die eben aufgezählten Vorteile bringen zum Teil auch direkt Nachteile mit sich, welche hier nur dargelegt werden. Die Risiken, die durch die Datenschutzfrage entstehen, werden nicht erneut behandelt. ˆ Der Vorteil, dass die Verantwortung für Updates an den Anbieter übertragen wird, ist gleichzeitig der Nachteil, dass sich bezüglich Sicherheitsupdates auf Dritte verlassen werden muss. ˆ Beim Cloud Computing besteht die Gefahr in eine zu groÿe Abhängigkeit vom Anbieter zu geraten (Vendor Lock-In). Dies geschieht dann, wenn die Daten einzig und allein beim Anbieter sind. 49 Das Risiko wird auch dadurch vergröÿert, dass die Cloud-APIs für das Speichern der Dateien meist proprietär sind und die Daten deswegen sich nicht einfach von einem Anbieter extrahieren lassen. Gleichzeitig ist der Kunde dann abhängig von den Preiserhöhungen des Anbieters und schlimmstenfalls sogar von der Geschäftsaufgabe. 50 ˆ Ein weiterer und sehr gravierender Nachteil des Cloud Computing ist, dass ihre Verfügbarkeit von der Internetverbindung abhängt. Probleme oder ein Ausfall der Internetverbindung können zur Folge haben, dass der eigene Betrieb still steht oder die Kunden eines Onlineservices nicht bedient werden können. Auch die Bandbreite der Verbindung spielt hier eine Rolle vgl.: Metzger/Reitz/Villar (2011) S. 65f. 50 vgl.: Armbrust, Michael et al. (2010), A view of cloud computing, Communications of the ACM, 53, Nr. 4 S. 54f. 51 vgl.: Metzger/Reitz/Villar (2011) S. 52.

41 3 Cloud Computing Zusammenfassung des Kapitels In diesem Kapitel wurde der Begri des Cloud Computing deniert und dessen Eigenschaften erläutert. Dabei wurden vor allem die Bestandteile Skalierung und Virtualisierung beschrieben. Die Service- und Liefermodelle wurden mitsamt Unterformen erklärt. Die Thematik des Datenschutzes in der Cloud wurde behandelt, sowie allgemein die Vor- und Nachteile des Cloud-Ansatzes.

42

43 4 Sicherheitsarchitektur Sicherheitsarchitektur Dieses Kapitel bietet einen Überblick über die Architektur in deren Rahmen die Nutzeridentizierung stattndet. Dabei werden zunächst die für mobile Sicherheit zu berücksichtigenden Aspekte beschrieben. Dann wird die Architektur mit ihren Komponenten beschrieben, wobei ein besonderer Fokus auf den Behavioural Analysis Pool gelegt wird. Es wird auf einige Anwendungsfälle eingegangen und wie die beschriebene Architektur diese abdeckt. Auf den Datenschutz wird im Hinblick auf die Tatsache, dass Neuronale Netze verwendet werden, eingegangen Taxonomie mobiler Sicherheit Für die Sicherheit mobiler Geräte gibt es in der hier beschriebenen Architektur verschiedene Komponenten, deren Integrität sicherzustellen ist. Diese werden in Abbildung 4.1 als Übersicht dargestellt und gegliedert. Im Folgenden werden diese Komponenten näher beschrieben. Abbildung 4.1: Mobile Security Taxonomy Overview 52 ˆ Nutzer Bei der Klassizierung des Nutzers ist hauptsächlich festzustellen, ob es sich um den erwarteten Nutzer handelt oder nicht. Die Informationen, mit 52 Rübsamen, Thomas/Reich, Christoph (2012), Enhancing Mobile Device Security by Security Level Integration in a Cloud Proxy, In: CLOUD COMPUTING 2012, The Third International Conference on Cloud Computing, GRIDs, and Virtualization,

44 28 4 Sicherheitsarchitektur denen eine Klassizierung durchgeführt werden kann, lassen sich gliedern in technische und nicht-technische Informationen. Zu den technischen Informationen zählen die Informationen, die eng mit dem Gerät und den Eigenschaften des mobilen Betriebssystems in Verbindung stehen. In erster Linie umfassen sie die angebotenen Authentizierungsmechanismen, wie z.b. PIN-Abfrage oder Eingabe von Nutzernamen/Kennwort. Die nicht-technischen Informationen beinhalten eher Daten über den Mitarbeiter, wie z.b. dessen Position in der Unternehmenshierarchie um sein Sicherheitslevel zu denieren. Auch Faktoren wie die Dauer der Betriebszugehörigkeit oder das Absolvieren professioneller sicherheitsbezogener Trainings kann mit einieÿen. Die Kombination unterschiedlicher Aspekte der technischen und der nichttechnischen Information ergeben letztendlich ein relativ präzises Bild der Person, die das Gerät nutzt. ˆ Mobilgerät Um die Sicherheit des Mobilgeräts zu ermitteln, werden verschiedene technische Informationen untersucht. Die Konguration des Geräts wird überwacht. Dazu zählen die Version des Betriebssystems, Patchlevels genauso wie Informationen über installierte Apps von Dritten. Da aktuelle Betriebssysteme mehr Sicherheitslücken abdecken, ist dies ein wichtiger Punkt bei der Klassi- zierung. Auch die Hardware-Konguration eines Geräts wird berücksichtigt. Es ist nämlich von Relevanz, ob z.b. Smart Cards, mit denen digitale Zertikate gespeichert werden können, unterstützt werden. Auch Elemente wie Hardware-basierte Verschlüsselung um einen sicheren Speicher auf dem Gerät ohne zu viel Auslastung der CPU zu bieten oder biometrische Sensoren für eine vertrauenswürdige Authentizierung spielen hierbei eine Rolle.

45 4 Sicherheitsarchitektur 29 Informationen über die Ressourcennutzung, wie CPU, Speicher oder Akku sind auch zu berücksichtigen. Hier sind auch die historischen Daten wichtig. Sie werden in regelmäÿigen Abständen zur Auswertung an den Proxy gesendet. ˆ Kommunikation Die Kommunikation ist ein kritischer Faktor für die Evaluation der Sicherheit. Sie wird normalerweise nicht vom Unternehmen sondern vom Betreiber des Mobilfunknetzes kontrolliert. Die Dienste des Mobilfunknetzbetreibers werden benutzt um sich mit dem Intranet des Unternehmens und dem Internet zu verbinden. Aber es gibt noch weitere Kommunikationskanäle (z.b. öentliche Access Points), welche für eine Sicherheitsevaluation in Betracht gezogen werden müssen, wenn auf Unternehmensdaten und -dienste über solche Kommunikationswege zugegrien wird. Den folgenden Charakteristiken muss dabei Aufmerksamkeit zukommen: Die Datenservices des Mobilfunknetzbetreibers sind normalerweise nicht unter der Kontrolle des Unternehmens und müssen deswegen als unsicher angesehen werden. Öentliche Access Points wie WLAN in öentlichen Einrichtungen werden ebenso nicht vom Unternehmen kontrolliert. Deswegen muss auch dieser Kommunikationsweg als unsicher eingestuft werden. Bekannte Access Points beinhalten Access Points, bei denen technische Informationen verfügbar sind und bei denen die Transparenz besser ist als bei öentlichen Access Points. Abhängig von den aktuell verfügbaren Informationen ist eine bessere Sicherheitsklassizierung der Kommunikation möglich, wenn solche Zugangspunkte benutzt werden. Interne Access Points werden vollständig vom Unternehmen kontrolliert. Transparenz über die technische Infrastruktur, die verwendeten Technologien und die implementierten Sicherheitsmechanismen ist umfassend gegeben. Das Benutzen dieser Access Points erzielt maximale Sicherheit.

46 30 4 Sicherheitsarchitektur Bisher wurden nur die Aspekte, die für den Access Point eine Rolle spielen, beleuchtet. In der Tat muss nämlich der komplette Kommunikationskanal in Betracht gezogen werden. Dies ist vor allem dann der Fall, wenn eine direkte Verbindung zum Proxy nicht möglich ist und über das Internet aufgebaut werden muss. Voraussetzung ist deswegen ein ein End-to-End verschlüsselter Kommunikationskanal. Um dies zu erreichen gibt es zwei Möglichkeiten: Der Einsatz von VPNs bringt eine Verschlüsselung des Datenverkehrs zwischen den Mobilgeräten und deren Proxys mit sich, sogar dann wenn eigentlich unsichere Access Points verwendet werden. Nachrichtenverschlüsselung ist eine Alternative zu VPNs, bei der nicht die komplette Kommunikation verschlüsselt wird, sondern nur relevante Nachrichten. ˆ Backend (Cloud) Die Sicherheit des Backends, also der Cloud zusammen mit dem Proxy und dem Zugriskontrollmodul muss auch bedacht werden. Dies sind allerdings Sicherheitsfragen, welche eher die Datencenter betreen Konzeptarchitektur MoSeC Diese Arbeit wurde im Zusammenhang mit der MoSeC-Architektur erstellt. Wie sich die Arbeit in MoSec eingliedert, ist in den Abschnitten und erläutert. Um einen Gesamtüberblick zu schaen, wird im Folgenden die Funktionsweise der MoSeC-Architektur beschrieben. Dazu zählen im Wesentlichen die Erklärung der Security Levels und der Architektur sowie deren Komponenten Security Levels Ein elementarer Bestandteil von MoSeC sind die Security Levels. Da es, wie in der Taxonomie beschrieben, mehrere Instanzen gibt, deren Vertrauenswürdigkeit sicherzustellen ist, gibt es für den Nutzer, für das mobile Endgerät selbst und die für die Verbindung eine Sicherheitsstufe. Wie in Abbildung 4.2 zu sehen ist, 53 vgl.: Rübsamen/Reich (2012).

47 4 Sicherheitsarchitektur 31 reicht die Skala der Levels von 0 bis 4. Der niedrigste Wert eines Levels entspricht dabei dem generellen Sicherheitslevel. Die Entscheidung, welches Sicherheitslevel vergeben wird, fällt anhand der folgenden Kriterien: ˆ Ist der Nutzer des mobilen Geräts glaubwürdig? Wurde er ausreichend authentiziert? ˆ Hat der Nutzer Zugang zu den angeforderten Daten und Diensten? ˆ Stellt das benutzte Mobilgerät ein Sicherheitsrisiko dar? ˆ Ist der Kommunikationskanal zwischen Gerät und Proxy oder vielmehr die gewünschten Daten und Dienste ausreichend abgesichert? Abbildung 4.2: Security Levels 54 Im Folgenden wird beschrieben, welche Bedeutung und Auswirkungen welches der Sicherheitslevels hat. ˆ Level 0 (Kritisch) ist das niedrigste Level, was durch den Klassizierungsprozess zugewiesen werden kann. Dies geschieht dann, wenn ein höchst kritischer Sicherheitsvorfall sich ereignet hat. Wenn die Nutzerklassizierung Diebstahl oder den Verlust des Geräts meldet, wird es automatisch auf Level 0 eingestuft. Der Zugri zum Netzwerk, den Diensten und den Daten des Unternehmens wird auf der Stelle komplett blockiert. Solange noch eine 54 Rübsamen/Reich (2012)

48 32 4 Sicherheitsarchitektur Verbindung zwischen Proxy und Gerät besteht, wird auÿerdem das Entfernen aller sich darauf bendlichen Daten eingeleitet. Abhängig von den Sicherheitsrichtlinien der Firma für verlorene Geräte, kann ein Agent auf dem Mobilgerät entweder angewiesen werden, das Gerät durch Blockieren aller Kommunikationskanäle nutzlos zu machen oder in einen Überwachungsmodus zu schalten, in dem die GPS-Standort, Kamera- und Videoinformationen an das Unternehmen übermittelt werden für weitere Ermittlungen. Mit diesen Informationen kann versucht werden, das Gerät zurückzuerhalten oder rechtliche Schritte einzuleiten. Die genauen Ausführungen zum weiteren Vorgehen sind in den Sicherheitsregeln des Unternehmens festzulegen. ˆ Level 1 (Schwerwiegend) geht davon aus, dass das Gerät im Besitz seines legitimen Inhabers ist. Diebstahl oder Verlust kann ausgeschlossen werden. Trotzdem liegt ein schwerwiegender Sicherheitsvorfall vor. Für gewöhnlich werden solche Vorfälle von Sicherheitsdiensten der Cloud signalisiert. So kann z.b. das Anti-Virus-System das Gerät als gefährdet kennzeichnen, wenn Malware entdeckt wird. Auch das Intrusion Detection System kann Alarm schlagen wegen versuchtem oder erfolgreichem unerlaubten Eindringen. Folglich schlug die Sicherheitsklassizierung des Systems fehl. Eine gescheiterte Sicherheitsklassizierung bedeutet, dass es einen Vorfall gibt, welcher eindeutig als kritisch einzustufen ist. Ein Nutzer, der eine unbekannte Anwendung auf seinem Mobilgerät installiert, kommt nicht per se in Frage für eine Level 1-Zuweisung. Dies wäre erst dann der Fall, wenn die App als Bedrohung identiziert werden würde. Wie in Level 0 werden die Verbindungen zu Daten und Diensten strengstens limitiert und das Gerät wird bereinigt. ˆ Level 2 (Basis) wird auch als die Baseline bezeichnet. Auf diesem Level sind der Nutzer, das Gerät und die Kommunikation im Normalzustand, also ohne dass ein kritisches Problem entdeckt wurde. Alle grundlegenden Dienste sind verfügbar und die Verbindung zwischen dem Mobilgerät und dem Proxy in der Cloud besteht, jedoch ist der Zugri auf Daten und Dienste begrenzt, da die komplette Sicherheit und Vertrauenswürdigkeit nicht garantiert werden kann. Dies kann der Fall sein, weil der Nutzer keine Au-

49 4 Sicherheitsarchitektur 33 thentizierungsmechanismen angewandt hat, die stark genug sind, oder weil zusätzlich unbekannte Apps installiert sind. ˆ Level 3 (Sicher) Um vertrauliche Dokumente und Dienste zu nutzen ist ein gehobenes Sicherheitslevel von Nöten. Level 3 hat die gleichen Eigenschaften wie Level 2, muss aber zusätzlichen Sicherheitsanforderungen genügen. Dazu zählt die Nutzung eines VPNs und die den Regeln entsprechende Konguration eines Geräts (z.b. nur zugelassene Apps sind installiert). Der Nutzer muss mit ausreichend starken Mechanismen authentiziert werden. ˆ Level 4 (Sehr sicher) Das restriktivste Level ist Level 4. Es kann nur dann zugewiesen werden, wenn bei der Klassizierung eine vollständige Konformität mit den Sicherheitsregeln bescheinigt wird und zusätzliche Sicherheitsmechanismen eingesetzt werden. Solch ein zusätzlicher Mechanismus kann eine Authentizierung des Nutzers durch biometrische Informationen sein, eine Hardware-unterstützte Geräteverschlüsselung und der Verbindungsaufbau zum Netzwerk über einen internen Access Point. Zugang zu hoch vertraulichen internen Diensten und Daten ist nur in Level 4 erlaubt. 55 Da der Wechsel zwischen den Levels nicht linear verläuft, wird im folgenden Abschnitt erläutert, wie er vonstattengeht. ˆ Level 0 Level 2 und höher Diese Transition beschreibt den Fall, in dem ein verlorenes oder gestohlenes Gerät zurück erlangt wird. Da sich das Gerät in einem höchst unsicheren Zustand bendet, muss ein Reset oder eine Prüfung durch einen Administrator vorgenommen werden. Diese Prüfung sollte in keinem Fall automatisiert werden, sondern von einem qualizierte Administrator durchgeführt werden. ˆ Level 1 Level 2 Ein kompromittiertes Gerät muss manuell geprüft werden. Alternativ ist auch ein Reset möglich um wieder einen sicheren Status zu erlangen. 55 vgl.: Rübsamen/Reich (2012) S. 5f.

50 34 4 Sicherheitsarchitektur ˆ Level 2 Level 3 Level 4 Übergänge zwischen diesen drei Levels können automatisch geschehen. Um ein höheres Level zugewiesen zu bekommen, müssen dessen Sicherheitsanforderungen erfüllt werden. ˆ Level 2,3,4 Level 1 Das Herunterstufen geschieht für gewöhnlich wenn Sicherheitsservices kritische Probleme wie einen Virus oder einen Angrisversuch entdecken. In diesem Fall wird der Nutzer über den Vorfall informiert und es wird sofort Level 1 zugewiesen. ˆ Level * Level 0 Level 0 wird bei Diebstahl oder Verlust des Geräts zugewiesen Komponenten der Architektur Abbildung 4.3: Architektur des MoSeC-Projekts 56 Ein Groÿteil der in Abbildung 4.3 dargestellten Elemente bendet sich in der Cloud (alle abgesehen vom Mobile Device). Das Mobile Device steht stellvertretend für ein beliebiges Mobilgerät. Jedem Mobilgerät und Nutzer ist ein Cloudbased Proxy zugeordnet. Das Management Center ist eine zentrale und unternehmensweite Einheit. 56 vgl.: Rübsamen/Reich (2012)

51 4 Sicherheitsarchitektur 35 Cloud-based Proxy ist eine gerätespezische Komponente, die über die Security-Policies, die im Unternehmen gültig sind, wacht. Hierfür sind die Module Policy Enforcement und Mobile Device Management zuständig. Innerhalb des Cloud-based Proxys gibt es für jedes Protokoll (SMTP, HTTP...) einen separaten Proxy, der sich in die Gerätekommunikation einklinkt. Wenn Sicherheitsprobleme auftreten, besteht die Möglichkeit, die Kommunikation einzuschränken oder auch komplett zu sperren. Data steht für Daten, die in der Cloud gespeichert sind. Dazu zählen Kontaktinformationen oder auch Dokumente, die ausschlieÿlich in der Cloud gespeichert sind. Der Zugri auf die Daten wird über Policies geregelt und über die A&A-Komponente gesteuert. 57 Je nachdem um was für Daten es sich handelt, werden sie in verschiedene Sicherheitslevels eingeteilt (siehe 4.2.1). Daten mit höherem Sicherheitslevel erfordern einen gröÿeren Schutzbedarf als Daten mit niedrigerem Sicherheitslevel. Management Center Es ist die zentrale Steuerungs- und Kontrolleinheit des MoSeC-Systems. Über das Management Center können Policies verwaltet werden und die Pools gesteuert werden. Dabei dient das Dashboard der Vereinfachung der Überwachung des Systems. Auch die Kommunikation mit anderen MoSeC-Umgebungen wird hier geregelt, was zu einer verbesserten Sicherheit verhilft. Analyse Pools Die Erkennungsrate von Angrien kann durch die Option, die Pools zu skalieren, verbessert werden. Der Behavioural Analysis Pool ist hier besonders hervorzuheben, da mit ihm das Verhalten der Nutzer analysiert wird, wie z.b. in dieser Arbeit die Touchgesten eines Nutzers analysiert werden. Die Steuerung der Pools ndet im Management Center statt. Mobile Device Agent ist eine leichtgewichtige Anwendung, die auf dem Mobilgerät installiert ist. Sie überträgt zu prüfende Dokumente und Log-Dateien 57 vgl.: Rübsamen/Reich (2012).

52 36 4 Sicherheitsarchitektur in die Cloud. Darüber hinaus bietet er die Schnittstelle zum Gerät für die MDM-Komponente und sorgt für die Durchsetzung von Security-Policies Behavioural Analysis Pool Abbildung 4.4: Lifecycle eines Neuronalen Netzes mit Backup-Netz Für die verschiedenen Zustände des Neuronalen Netzes sind meistens mehrere Szenarien möglich, wie vorgegangen werden kann. Der folgende Abschnitt beschreibt die Zustände aus Abbildung 4.4 und geht auf die möglichen Szenarien ein, wie in einem Zustand verfahren werden kann. ˆ Data-Collection-Phase Über einen gewissen Zeitraum werden die Daten des Nutzers erfasst, um in der darauolgenden Phase das Netz damit zu trainieren. Wichtig in dieser Phase ist, dass nur Daten des legitimen Nutzers aufgezeichnet und gelernt werden und dieser das Gerät nicht an andere Personen weitergibt. Ansonsten kann schlimmstenfalls das Netz nicht lernen, da es kein Muster in den Eingangsdaten erkennen kann oder während des Betriebs werden häuger als gewöhnlich nicht transparente Authentizierungsverfahren angewandt. Die Dauer, in der die Daten erfasst werden, variiert je nach Szenario: Je 58 vgl.: Reich, Christoph (2013), MoSeC (Mobile Security by Cloud) - Cloud-basierender Proxy für mobile Geräte mit Benutzer-Proling für sichere Unternehmensumgebungen, International Journal On Advances in Intelligent Systems, S. 3f.

53 4 Sicherheitsarchitektur 37 öfter schon während der Erfassungsphase starke Authentizierungen statt- nden, umso kürzer sollte die Dauer sein, da umso mehr korrekte Lerndaten erfasst werden. Von der Data-Collection-Phase wird in die Kicko-Learn- Phase übergegangen, in der das Neuronale Netz erstmalig die erfassten Daten lernt. Szenario I Um Sicherzustellen, dass es sich in jedem Fall um den legitimen Nutzer handelt und somit auch nur korrekte, unverfälschte Lerndaten erfasst werden, könnten starke, nicht transparente Authentizierungsmethoden für alle Funktionen und jegliche Sicherheitslevels verwendet werden. Nachteil hier ist, dass dieses Vorgehen nicht benutzerfreundlich ist, da dieser ständig dazu aufgefordert wird, z.b. Nutzernamen und Passwort einzugeben. Szenario II Hier wird wie im Normalbetrieb gehandelt: Die starken, nicht transparenten Authentizierungsmethoden werden nur für hohe Sicherheitslevels angewandt um ein gewisses Maÿ an richtigen Daten zu garantieren. Trotzdem könnten alle Daten aufgezeichnet werden, also auch die, die erfasst werden, während ein niedriges Sicherheitslevel aktuell ist. Das beinhaltet das Risiko, dass auch falsche Daten aufgezeichnet werden, also Daten von einem anderen Nutzer. Anderenfalls könnten auch nur die Daten aufgezeichnet werden, die anfallen, nachdem der Nutzer sich für eine höhere Sicherheitsstufe authentiziert hat. Das Problem ist dann, dass die generellen Verwendungsdaten der unteren Sicherheitslevels wegfallen. Um bei einem Neuronalen Netz eine gewisse Zuverlässigkeit zu erhalten, ist eine bestimmte Menge an Daten notwendig. Wenn nur die Daten der höheren Sicherheitslevels aufgezeichnet würden, hätte dies zur Folge, dass der Zeitraum für die Aufzeichnung erweitert werden müsste. Szenario III Eine weitere Möglichkeit besteht darin, die Datenerfassung über den Zeitraum ohne erweiterte Sicherheitsmechanismen (evtl. nur

54 38 4 Sicherheitsarchitektur PIN/Muster) durchzuführen. Hier kann keine Garantie für gute Lerndaten gewährleistet werden. ˆ Kicko-Learn-Phase Diese Phase bezeichnet den ersten Lernvorgang mit den in der Data- Collection-Phase erfassten Daten. Für den Netzfehler bzw. die Anzahl der Lerniterationen werden durch empirische Tests ermittelte Werte verwendet. Es folgt die Monitoring-Phase, also die normale Betriebsphase des Neuronalen Netzes. ˆ Monitoring-Phase Während der Monitoring-Phase erfolgt die laufende Validierung der im Betrieb des Geräts anfallenden Daten gegen das zuvor gelernte Neuronale Netz. Bei Auälligkeiten wird die Initialisierung von starken (biometrischen) Authentizierungsmethoden eingeleitet, dazu zählen z.b.: Fingerabdruck, Stimme, Iris, Gesichtserkennung, u.s.w.. Während der Monitoring- Phase werden nebenher Lerndaten gesammelt. Auch für diese Phase sind verschiedene Szenarien denkbar, die sich vor allem auf das Sammeln von neuen Lerndaten um das Netz aktuell zu halten und auf den Zeitpunkt, zu dem die Subsequent-Learn-Phase gestartet werden soll, beziehen. Neben der Subsequent-Learn-Phase kann auch der Sleep-Mode aktiviert werden, für Fälle, in denen das Neuronale Netz nicht validieren soll. Für ein Reset des Netzes kann in die Data-Collection-Phase übergegangen werden. Szenario I Nach erfolgreicher Authentizierung durch vertrauenswürdiges Verfahren, wird die Subsequent-Learn-Phase (SLP) initialisiert. Szenario II Nur nach jeder n-ten erfolgreichen Authentizierung innerhalb eines bestimmten Zeitraums wird die SLP initialisiert. Daraus resultieren gröÿere Abstände zwischen den Lernintervallen. Auch ist bei diesem Vorgehen eine höhere Toleranz bei Ausnahmen gegeben.

55 4 Sicherheitsarchitektur 39 Szenario III Die ganze Zeit über werden transparent Lerndaten generiert. Die SLP wird dann in festgelegten Intervallen ausgelöst. Szenario IV Für kurze Einsatzzeiten und stabile Umgebungen könnte auch gar keine SLP initiiert werden. Szenario V Die SLP wird manuell gestartet. Dies kann durch den Administrator oder nach Identitätssicherstellung geschehen. Szenario VI Die SLP wird mit zufälligen Samples in bestimmten Abständen initiiert. Durch den System-Administrator ist ein Zurücksetzen in die Data-Collection-Phase möglich. ˆ Subsequent-Learn-Phase Während der Monitoring-Phase gesammelte Daten werden nun gelernt, damit das Neuronale Netz sich auch an neue Gegebenheiten anpassen kann und neue Angewohnheiten des Nutzers lernt. Hier gibt es verschiedene Möglichkeiten, aus welchen Daten sich die Lessons für das Netz zusammensetzen können. Nachdem gelernt wurde, wird wieder in die Monitoring-Phase übergegangen. Szenario I Alle bisher aufgezeichneten Daten werden zum Lernen verwendet. Hierbei fallen neue Verhaltensweisen geringer ins Gewicht und auch das Lernen von radikalen Änderungen benötigen einiges an Zeit, in der im Betrieb häug starke Authentizierungsmechanismen zum Einsatz kommen. Da dieselben alten Daten bei jedem neuen Durchgang der Phase wieder gelernt werden, besteht die Gefahr, dass das Netz vor allem die älteren Daten überlernt (Overtting), also nicht mehr geeignet auf neue Daten reagiert. Szenario II Nur aus den neu anfallenden Daten wird eine Lesson erstellt. Mit Si-

56 40 4 Sicherheitsarchitektur cherheit ist dies die agilste Variante, da so eine gute Reaktion auf Neues erfolgen kann. Das Problem ist allerdings, dass altes Verhalten zu schnell vergessen werden könnte. Szenario III In diesem Szenario wird ein Mittelweg zwischen Szenario I und Szenario II gegangen, da sowohl neue Daten als auch alte Daten aus einem gewissen Zeitfenster zu einer neuen Lesson zusammengefasst werden. Es besteht hier auÿerdem die Möglichkeit im Zeitraum zu variieren. Auch hier muss die Anzahl der Durchgänge empirisch ermittelt werden. Eigentlich müsste ein Variationspunkt zwischen Ressourcenverbrauch und der Lernstärke von neuem Verhalten gefunden werden. In der Cloud ist der Ressourcenverbrauch jedoch zu vernachlässigen, deswegen kann die Konzentration auf ein optimales Verhalten des neuronalen Netzes gelegt werden. ˆ Sleep-Mode Der Sleep-Mode ermöglicht die Deaktivierung des Neuronalen Netzes, sodass währenddessen keine Authentizierung durchgeführt wird. Dieser Modus könnte durch einen System-Administrator oder durch den Nutzer, nachdem er mit starken Authentizierungsmechanismen authentiziert wurde, mit einer Zeitbeschränkung, erfolgen. Dienste und Funktionen höherer Sicherheitslevels können in dieser Phase nicht benutzt werden. Spätestens nach dem Timeout wird der normale Betrieb wiederaufgenommen. Einsatz eines parallelen Backup-Netzes: Ein Backup-Netz könnte ständig mit lernen und nach einem festgelegten Zeitraum und/oder bei einer besseren oder gleich guten Qualität das Produktiv-Netz überschreiben Use Cases Dieser Abschnitt zeigt einige mögliche Anwendungsfälle auf und wie diese von MoSeC behandelt werden. Die Überschrift der Use Cases enthält den Wechsel der Securitylevels. ˆ Level 3 Level 0 Der Inhaber des Mobilgeräts wurde authentiziert durch einen PIN und eine

57 4 Sicherheitsarchitektur 41 zusätzliche Nutzername/Passwort-Kombination. Das Gerät entspricht den allgemeinen Regeln, jedoch ist darauf eine Spiele-App installiert, die zwar nicht dafür bekannt ist, Malware zu beinhalten, die aber zu Problemen mit der Privatsphäre führen könnte. Via UMTS wird über das Firmen-VPN eine Verbindung zum Proxy aufgebaut. Sowohl der Nutzer als auch das Gerät und die Kommunikation sind Level 3, also ist auch das Sicherheitslevel des Systems 3. Während der Besitzer abgelenkt ist, wird das Gerät gestohlen. Beim Entsperren des Bildschirms scheitert der Dieb drei Mal daran, sich mit Nutzername und Passwort korrekt einzuloggen. Damit sinkt das Level des Nutzers auf Level 0 und das Systemsicherheitslevel ebenso. Dieser Vorfall wird vom Mobile Device Agent an den Proxy gemeldet, der entsprechend den Sicherheitsrichtlinien für gestohlene Geräte Gegenmaÿnahmen einleitet. ˆ Level 3 Level 1 Der Besitzer des Mobilgeräts wurde durch Eingabe des PINs und eine zusätzliche Benutzername/Passwort-Kombination authentiziert. Die Konguration seines Geräts entspricht genauestens den gegenwärtigen Policies. Das Gerät ist Level 4, der Nutzer und die Kommunikation allerdings nur Level 3, deswegen ist das Systemsicherheitslevel auch Level 3. Nun installiert der Nutzer eine neue App aus dem App Store. In der Cloud wird festgestellt, dass diese App Malware enthält. Das Level des Geräts verringert sich also auf 1 und damit auch das Systemsicherheitslevel. Die Scanning Engine entdeckt einen Trojaner in der App und meldet den Vorfall dem Proxy. Der Proxy startet Gegenmaÿnahmen zum Schutz des Firmennetzwerks. ˆ Level 3 Level 2 Die Vorbedingungen sind die selben wie bei den vorhergehenden Use Cases. Das Systemsicherheitslevel ist Level 3. Der Nutzer installiert eine unbekannte App. Der Test auf Malware in der App verläuft negativ. Um die Daten und das Netzwerk des Unternehmens vor einer potentiellen Zero- Day-Attacke zu schützen, wird das Sicherheitslevel trotzdem auf Level 2 heruntergesetzt.

58 42 4 Sicherheitsarchitektur ˆ Level 3 Level 4 Der Nutzer wird durch Nutzername/Passwort authentiziert. Die Konguration des Geräts entspricht vollständig den Sicherheitsregeln. Über das interne Firmen-WLAN und VPN wird eine Verbindung zum Proxy hergestellt. Maximale Sicherheit ist garantiert und es gibt keinerlei Einschränkungen, die sich aus dem mobilen Zugri ergeben würden. Das Systemsicherheitslevel ist auf Level 3, da der Nutzer noch auf Level 3 ist, das Gerät und die Kommunikation aber schon auf Level 4. Der Nutzer benötigt jetzt Zugri auf hoch vertrauliche Dokumente, welche Securitylevel 4 erfordern. Der Nutzer entscheidet sich dafür, sich mit zusätzlichen biometrischen Informationen zu authentizieren und benutzt dazu den Fingerabdruck-Scanner. Die Klassizierung des Nutzers ist nun auf Level 4 hochgestuft, was zu einer Klassizierung von 4 insgesamt führt, womit er nun Zugri auf die geschützten Dokumente hat. ˆ Level 2 Level 3 Der Nutzer wird mit Nutzername/Passwort authentiziert. Die Gerätekon- guration entspricht den allgemeinen Sicherheitsrichtlinien aber eine unbekannte App ist installiert, weswegen das Gerät auf Level 2 eingestuft wird, was dem Systemsicherheitslevel entspricht. Der Nutzer benötigt jetzt Zugri auf Dienste des Securitylevels 3. Um das Securitylevel des Geräts upzugraden deinstalliert der Nutzer die App. Der Proxy registriert, dass die unbekannte App entfernt wurde und erhöht die Geräteeinstufung auf Level 3, was in einer allumfassenden Level 3 Klassizierung resultiert. ˆ Level 2 Level 3 Der Nutzer wurde durch zusätzliche biometrische Informationen authenti- ziert. Die Gerätekonguration entspricht vollständig der Security Policy. Die Verbindung zum Proxy wird jedoch über einen öentlichen Access Point ohne das Firmen-VPN zu nutzen hergestellt. Es wird lediglich auf die anwendungsbasierte Verschlüsselung der Kommunikation (z.b. durch HTTPS, IMAPS) gesetzt. Deswegen ist das Systemsicherheitslevel nur Level 2 wegen der Kommunikation. Der Nutzer benötigt Zugang zu internen Dokumenten, die es erfordern, ihn auf Sicherheitslevel 3 einzustufen. Deswegen baut er

59 4 Sicherheitsarchitektur 43 eine sichere Verbindung über das VPN auf, was die Klassizierung seiner Kommunikation auf Level 3 erhöht und eine umfassende Klassizierung von 3 ergibt Datenschutz Datenschutz in der Cloud ist ein komplexes Thema wegen der recht groÿen Anzahl an Problemen, die auftreten können. Auf die allgemeinen Probleme wird deswegen in 3.2 näher eingegangen. Dieser Abschnitt beschreibt die Aspekte, die vor allem aufgrund des Einsatzes des neuronalen Netzes eine Sonderstellung einnehmen. ˆ Technologiebedingt ist das Speichern von Daten über einen längeren Zeitraum nicht nötig. Einmal gelernte Daten können gelöscht werden, da sie sich in das Netz eingelernt haben. Ein Rückschluss auf die ursprünglichen Daten ist danach nicht mehr möglich. Bei dem Einsatz eines Backup-Netzes und eines entsprechenden Ersetzungsalgorithmus beschränkt sich der Zeitraum auf eine Ersetzungsperiode (z.b.: ca. 2-5 Wochen). Lernt das Backup- Netz ständig mit, z.b. immer die Daten eines Tages, kann die Dauer drastisch reduziert werden. Dies hat den Nachteil, dass, sollte ein Verlust oder ein anderes Problem mit dem Neuronalen Netz auftreten, die bereits gelernten Informationen nicht wiederherstellbar sind. ˆ Negative Lerndaten (siehe 6.2.2) könnten von anderen Proxys bezogen werden. Da keine persönliche Daten enthalten sein müssen, können sie vollständig anonymisiert werden Zusammenfassung des Kapitels Dieses Kapitel beschrieb zunächst die Grundlagen für die Sicherheit bei mobilen Geräten in einer Cloud-Proxy-Umgebung. Die zugrundeliegende Architektur wurde mit all ihren Aspekten und Bestandteilen beschrieben. Hervorgehoben wurde der Behavioural Analysis Pool, da er für diese Arbeit eine groÿe Rolle spielt. Use Cases, die von der Architektur abgedeckt wurden, wurden beschrieben und einige Punkte zum Datenschutz hinsichtlich des Einsatzes von Neuronalen Netzen erläutert.

60

61 5 Datenerfassung mit Android Datenerfassung mit Android Um die Touchgesten zu erfassen wurde eine App für Android geschrieben. Dieses Kapitel gibt zunächst einen Überblick darüber, was Android ist und dessen wesentliche Grundprinzipien. Danach wird konkret auf Touch und Multitouch sowie auf die implementierte App eingegangen Was ist Android? Android ist eine auf Linux basierende, umfassende Open-Source-Plattform für Mobilgeräte und wird von der Open Handset Alliance entwickelt. Die Open Handset Alliance ist ein Konsortium mit mehreren Unternehmen, dessen Leitung Google inne hat Software License 2.0. Die meisten Teile von Android stehen unter der Apache Einige Überlegungen, die den Aufbau von Android beeinusst haben, wurden z.b. hinsichtlich der speziellen Ausrichtung auf Mobilgeräte gemacht. So musste berücksichtigt werden, dass bei mobilen Geräten sowohl die Energiezufuhr als auch der Speicherplatz begrenzt sind. Ein weiteres Entwurfsziel von Android war dessen Portabilität, dass es auf den unterschiedlichsten Geräten laufen kann 62, beispielsweise ist eine Spielekonsole auf Android-Basis geplant 63. Erreicht wurde dieses Ziel durch den Einsatz von Linux als Basis, da die meisten Grundfunktionen von Linux in portablem C-Code geschrieben sind. Auch bezüglich der Sicherheit werden viele Aufgaben an Linux weitergereicht bzw. von Linux übernommen. Das Android-Betriebssystem ist ein Multi-User-Linux-System und jede App ist ein eigener Nutzer. Für alle Dateien einer Anwendung werden Berechtigungen vergeben, und nur die der Anwendung zugeordnete User-Id darf darauf zugreifen. Auÿerdem besitzt jeder Prozess eine eigene VM, sodass er isoliert von den anderen Prozessen läuft. Jede Anwendung läuft in ihrem eigenen Linux- 59 vgl.: Garenta, Marko (2011), Einführung in die Android-Entwicklung, Köln: O'Reilly Verlag GmbH und Co. KG, ISBN S Licenses Android Open Source, 61 Apache License, Version 2.0, 62 vgl.: Garenta (2011) S OUYA, - OUYA, 64 vgl.: Garenta (2011) S. 8

62 46 5 Datenerfassung mit Android Abbildung 5.1: Android-Architektur 64 Prozess. Android startet den Prozess, sobald eine Komponente der Anwendung ausgeführt werden muss und beendet den Prozess, wenn das System den von der App belegten Speicher für andere Aufgaben braucht. Also lebt jede Anwendung in ihrer eigenen Security-Sandbox 65. Android nutzt auch weitere Funktionen von Linux wie dessen Energiemanagement, das Speichermanagement und den Netzwerkzugri. 66 Die nativen Bibliotheken, die Android verwendet, sind meist aus der Open-Source-Welt. Neben den in Abbildung 5.1 exemplarischen aufgelisteten gibt es noch weitere wichtige Bibliotheken wie Apache Harmony, welches eine Open-Source-Java-Implementierung darstellt. Eine weitere interessante Bibliothek ist Bionic. Bionic ist auf Basis von GNU libc, der Standard-C-Bibliothek von Linux entstanden. Es wurden allerdings Modikationen daran unternommen um es zum einen energieezienter zu gestalten und zum anderen der Lizenz wegen. GNU libc steht unter GPL-Lizenz, welche verlangt, dass jede Änderung, die veröentlicht wird, wieder an die Open Source-Gemeinschaft zurück gegeben werden muss. Bionic steht hingegen unter der oben bereits erwähnten Apache Software License Android, Application Fundamentals Android Developers, guide/components/fundamentals.html. 66 vgl.: Garenta (2011) S. 7f. 67 vgl.: Garenta (2011) S. 9.

63 5 Datenerfassung mit Android 47 Ein weiteres äuÿerst wichtiges Element bei den Bibliotheken ist die Dalvik VM in der Android-Laufzeitumgebung. Die Dalvik VM ist im Prinzip eine auf Mobilgeräte angepasste Java VM. Zu diesen Anpassungen zählen wieder z.b. die Berücksichtigung der Lebensdauer der Akkus. Anders als bei Java-Programmen, bei denen aus Java-Quellcode direkt Java-Bytecode kompiliert wird, wird bei der Android-Entwicklung aus Java-Quellcode auch zunächst mit Hilfe des Java Compilers Java-Bytecode kompiliert und aus diesem dann Dalvik-Bytecode (Dateiendung.dex, Dalvik Executable). 68 Abbildung 5.2: Java vs. Dalvik Apps Eine App wird immer als APK (Android Package) ausgeliefert. Eine APK-Datei ist die Datei, mit der die App auf einem Mobilgerät installiert wird. 70 Der zentrale Bestandteil einer App ist das Manifest, in welchem alle wichtigen Informationen enthalten sind, dazu zählen z.b. die Versionsnummer und angemeldete Activities (auch die Info, welches die Startactivity ist). Weiterhin kann dort die Bildschirmausrichtung deniert werden und auch die Permissions, also Genehmigungen der App (z.b. Genehmigung für Speicherkartenzugri oder Netzwerkkommunikation) sind dort beschrieben. 71 Im APK ist auch die Dalvik-Binärdatei enthalten, also 68 DalvikVM.com - Dalvik Virtual Machine insights, 69 vgl.: Garenta (2011) S Android (2012). 71 vgl.: Post, U. (2012), Android-Apps entwickeln, Bonn: Galileo Press S. 97f.

64 48 5 Datenerfassung mit Android der kompilierte Quellcode, der ausgeführt wird. Auÿerdem sind im APK die Ressourcen enthalten. Dazu zählen Layouts (XML-Dateien), Graken oder sonstige Texte. Optional können noch native Bibliotheken im APK enthalten sein. 72 Das Manifest wird vor dem Start einer App ausgelesen, sodass das System überhaupt weiÿ, dass die Anwendung existiert. Es gibt zwei Arten Apps: ˆ Activity Jeder Activity wird für gewöhnlich ein Fenster zugeteilt, auf dem dessen User Interface dargestellt wird. Eine Activity entspricht normalerweise einem Bildschirm bzw. Fenster, den der Benutzer sieht. Die meisten Anwendungen bestehen aus mehreren Activities, von denen eine im Manifest als Startactivity deklariert wird. 73 ˆ Service Ein Service ist eine Komponente einer Applikation, die ohne Benutzeroberäche im Hintergrund läuft Aufzeichnen von Touchinteraktion Die Unterstützung von Touch-Gesten verhilft bei einigen Apps zu einer intuitiveren Bedienung. Denition 2 (Geste, Touch-Geste). Als Touch-Geste wird in dieser Arbeit die Bewegung eines oder mehrerer Finger auf einem berührungssensitiven Bildschirm bezeichnet, die eine spezielle Aktion zur Folge hat. Abbildung 5.3: Die drei Touch-Gesten grasch dargestellt 75 Die untersuchten Gesten sind: 72 vgl.: Garenta (2011) S Android, Activities Android Developers, activities.html. 74 vgl.: Android, Services Android Developers, components/services.html. 75 Multi-touch - Wikipedia, the free encyclopedia,

65 5 Datenerfassung mit Android 49 ˆ Scrollen Das horizontale Streichen über einen Touchscreen, z.b. zum Umblättern oder den Bildausschnitt verschieben. Diese Geste wird im Allgemeinen auch Flick (schnell durchblättern) genannt. ˆ Hereinzoomen (in der Arbeit auch Zoom-In genannt) Die Bewegung, bei der zwei Finger auf einem Touchscreen voneinander wegbewegt werden um einen Bildausschnitt zu vergröÿern, bzw. diesen gröÿer zu ziehen. Im Allgemeinen wird diese Geste auch Spread (spreizen) genannt. ˆ Herauszoomen (in der Arbeit auch Zoom-Out genannt) Die Bewegung, bei der zwei Finger auf einem Touchscreen auf einander zubewegt werden um einen Bildausschnitt zu verkleinern, bzw. diesen kleiner zu schieben. Eine andere Bezeichnung für diese Geste ist Pinch (kneifen). Die drei Gesten sind auch in Abbildung 5.3 dargestellt. Eine Groÿzahl der aktuellen Smartphones unterstützt Touch- und auch Multitouch-Gesten. Physikalisch betrachtet ist ein Touchscreen aus speziellen Materialien gefertigt, die Druck erfassen können und diesen in Bildschirm-Koordinaten umwandeln. Abbildung 5.4: Touch Event Zustellungsmechanismus 76

66 50 5 Datenerfassung mit Android Der in Abbildung 5.4 dargestellte Ablauf zur Verarbeitung von Toucheingaben basiert auf Android-Version Froyo (2.2). Im Folgenden wird eine Erklärung zu den Nummern auf der Abbildung gegeben. 1. Ein Finger berührt den Bildschirm; ein Interrupt wird ausgelöst. 2. Das Touchevent wird vom Touch Treiber an den Input Treiber weitergegeben. 3. Bei Anfrage kehren die Informationen über ein Touch Event vom Input Queue Thread zurück, indem der Touch Treiber kontrolliert wird. 4. In bestimmten Zeitabständen liest der Key Input Queue Thread die Touch Event Informationen über den Event Hub aus, konvertiert es in ein Android Event und fügt es in die Event Queue ein. 5. Der Input Dispatch Thread prüft regelmaÿig die Event Queue, um Events an Android-Anwendungen oder Listener zu senden. 6. Das Touchevent wurde empfangen und verarbeitet. 7. Nachdem das Event verarbeitet wurde, wird die Änderung auf der View angezeigt. 77 Wann immer ein Nutzer den Touchscreen berührt, wird unter Android ein MotionEvent erzeugt. 78 Zur Entwicklung der App musste deswegen verstärkt mit dieser Klasse gearbeitet werden, da sie auch den Zugri auf Informationen über Touch-Daten gewährleistet. Zu den Informationen zählen unter anderem die X- und die Y-Koordinate des Punktes, sowie der Druck, der auf den Touchscreen ausgeübt wurde. Um Interaktionen des Nutzers mit dem Touchscreen abzufangen, können je nach Bedarf Listener implementiert werden 79. MotionEvents schreiben auch den Action Code eines Touch-Events mit. Dabei 76 vgl.: Lim, Yeong-Gyu/Kim, Cheong Ghil/Kim, Shin Dug (2012), A Study on the Touch Process of Android Smartphone on Froyo and Gingerbread, In: Kim, Kuinam J./Ahn, Seong Jin (Hrsg.), Proceedings of the International Conference on IT Convergence and Security 2011, Band 120, Springer Netherlands, ISBN S vgl.: Lim/Kim/Kim (2012) S vgl.: Komatineni, Satya/MacLean, Dave/Komatineni, Satya/MacLean, Dave (2012), Touch Screens, In: Pro Android 4, Apress, ISBN S Android, Input Events Android Developers, ui/ui-events.html.

67 5 Datenerfassung mit Android 51 handelt es sich um einen Code, der speziziert, wie sich der Status eines Pointers (eines Fingers oder eines anderen Objekts auf dem Touchscreen) verändert hat. 80 Der Action Code ist ein Teil der Action, welche zusätzlich noch die Pointer Id beinhaltet. Bereitgestellt werden diese Informationen durch die Methode getaction() des MotionEvents. Diese gibt entweder einfach die Action zurück, wie z.b. ACTION_DOWN oder bei mehreren Pointern die Kombination von Action Code und Pointer Index. Es muss unterschieden werden zwischen dem Pointer Index und der Pointer Id. Die Pointer Id ist ab dem Zeitpunkt, an dem der Finger (bzw. das Objekt) den Touchscreen berührt, eindeutig diesem Pointer zugeordnet, während der Pointer Index die Position der Daten innerhalb eines bestimmten MotionEvents angibt. Der Pointer Index liegt dabei im Bereich von 0 (inklusive) bis getpointercount - 1 (inklusive). 81 Wenn also beispielsweise zwei Finger den Touchscreen berühren, kann es passieren, dass bei jedem MotionEvent, das ausgelöst wird, die Pointerdaten (also der Druck und die Koordinaten je Pointer) in unterschiedlicher Reihenfolge darin abgespeichert sind. Über die Methode getpointerid(int pointerindex) lässt sich aber jederzeit über den Index die Pointer Id in Erfahrung bringen. Die Anordnung der Bits für die Action, wie in Abbildung 5.5 gezeigt, wurde in Burnette (2010) beschrieben. 82 Daraus lässt sich schlieÿen, dass zumindest theoretisch bis zu 256 Pointer gleichzeitig erfasst werden können. Abbildung 5.5: Die Anordnung der Bits in der Action Für den Action Code gibt es verschiedene Konstanten, um die unterschiedlichen Aktionen anzuzeigen. Die für die App wichtigsten sind: 80 Android, MotionEvent Android Developers, android/view/motionevent.html. 81 Android. 82 Burnette, Ed (2010), How to use Multi-touch in Android 2: Part 3, Understanding touch events, how-to-use-multi-touch-in-android-2-part-3-understanding-touch-events/1775.

68 52 5 Datenerfassung mit Android ACTION_DOWN Ein Finger hat den Touchscreen berührt. ACTION_POINTER_DOWN Ein zweiter Finger berührt gleichzeitig mit dem ersten den Touchscreen. Alle Action Codes, die POINTER enthalten, lassen auf die Verwendung mindestens zweier Finger schlieÿen. ACTION_POINTER_UP Nicht der erste Finger hat den Touchscreen verlassen. ACTION_UP Der erste Finger hat den Touchscreen verlassen. Es besteht keine Touchinteraktion mehr. Während ein Finger sich auf dem Touchscreen bewegt, wird ACTION_MOVE gesendet. Das Beenden einer Geste wird entweder durch eine der Konstanten, die UP enthalten, signalisiert oder durch ACTION_CANCEL Über die App In der App wird das MotionEvent über die Methode ontouch(view v, MotionEvent event) abgefangen, welche implementiert werden muss, wenn die Schnittstelle OnTouchListener implementiert wird. In der Zeit zwischen ACTION_DOWN und ACTION_UP werden dabei die X- und Y-Koordinaten sowie der Druck aller MotionEvents abgefragt und in CSV-Dateien auf der SD-Karte geschrieben. Auÿerdem wird für jede einzelne Geste deren Dauer aufgezeichnet. Dazu wird beim Start der ersten Geste ein Timer gestartet und nach jeder Geste die Zwischenzeit geschrieben. Die Zoom- und Scroll-Funktionalitäten wurden durch Einsetzen einer WebView erreicht, da sie standardmäÿig Touchgesten unterstützt. Dazu wurden HTML-Seiten auf der Speicherkarte abgelegt, welche über die WebView angezeigt werden. Die App umfasst fünf verschiedene Views, zu sehen in Abbildung 5.6. ˆ In der ersten View muss der Name des aktuellen Nutzers angegeben werden, sodass die erfassten Daten richtig zugeordnet werden.

69 5 Datenerfassung mit Android 53 Abbildung 5.6: Screenshots ˆ Die darauolgende View enthält ein etwas breites Bild, auf dem der Nutzer hin und her scrollen muss. ˆ Danach sieht der User einen Text, der relativ klein dargestellt ist, sodass er gröÿer gezoomt werden muss. ˆ Auf der letzten View, mit der Daten erfasst werden, wird Text gezeigt, der groÿ dargestellt ist und den der Nutzer klein zoomen muss. ˆ Darauf folgt nur noch die letzte View, die anzeigt, wie oft der Parcours bereits durchlaufen wurde, und die Möglichkeit besteht zu wählen, ob die App beendet oder ob der Parcours erneut durchlaufen werden soll. Mit dem Erscheinen einer View, auf der eine Interaktion verlangt wird, wird ein Dialog gezeigt, welcher angibt, was zu tun ist. Jede Geste (scroll, zoom-in und zoom-out) muss drei Mal ausgeführt werden um automatisch zur nächsten View zu gelangen.

70 54 5 Datenerfassung mit Android 5.5. Zusammenfassung des Kapitels In diesem Kapitel wurden die Grundlagen zu Android und speziell zum Umgang mit Touchgesten bzw. MotionEvents gegeben. Der Begri der Touchgeste wurde deniert und die untersuchten Gesten beschrieben. Des weiteren wurde die im Rahmen der Thesis entwickelte App beschrieben.

71 6 Künstliche Neuronale Netze Künstliche Neuronale Netze Da die Mustererkennung der Touchgesten anhand Künstlicher Neuronaler Netze stattndet, wird in diesem Kapitel zum besseren Verständnis näher auf die Grundlagen eingegangen. Zunächst wird ein grober Überblick über die geschichtliche Entwicklung Neuronaler Netze gegeben. Danach wird das biologische Vorbild der künstlichen Neuronen, die Anwendungsgebiete Künstlicher Neuronaler Netze und deren Aufbau beschrieben. Anhand eines Beispiels werden die beschriebenen Grundlagen zumindest teilweise erläutert Geschichte Neuronaler Netze Veranlasst durch einen Aufsatz von Warren McCulloch und Walter Pitts über neurologische Netzwerke basierend auf dem McCulloch-PittsNeuron (1943) formulierte Hebb 1949 in seinem Buch The Anomaly of Behaviour die Hebbsche Lernregel, welche noch bis heute in den meisten Neuronalen Netzen die Grundlage für die verwendete Lernregel ist. In den darauolgenden Jahren wurden Neurocomputer entwickelt und Konzepte entworfen für Systeme, die schnell und genau lernen konnten dann veröentlichten Marvin Minsky und Seymour Papert die Ergebnisse ihrer Arbeit, in der sie Neuronale Netze mathematisch analysierten. Darin enthalten war z.b., dass einfache Neuronale Netze das XOR-Problem nicht lösen konnten. Daraus wurde fälschlicherweise geschlussfolgert, dass auch andere, mächtigere Modelle als das einfache Perzeptron diese Probleme nicht lösen können, was dazu führte, dass die Forschung im Bereich der Neuronalen Netze zum Erliegen kam. Während der nächsten 15 Jahre waren für die Forschung auf dem Gebiet kaum nanzielle Mittel vorhanden. Es wurden allerdings in dieser Zeit die theoretischen Grundlagen für das Wiederaufblühen Neuronaler Netze geschaen. 83 Um 1984 entwickelte zunächst Hopeld die physikalische Basis für selbst-organisierende Neuronale Netzwerke. Kohonen referenzierte es als Associative Memory basierend auf unüberwachtem Lernen. Der nächste groÿe Schritt in 83 vgl.: Lippe, Wolfram-Manfred (2007), Soft-Computing: mit Neuronalen Netzen, Fuzzy-Logic und Evolutionären Algorithmen (examen.press), Secaucus, NJ, USA: Springer-Verlag New York, Inc., ISBN S. 66.

72 56 6 Künstliche Neuronale Netze der Geschichte Neuronaler Netzwerke war die Entdeckung des Backpropagation- Algorithmus durch Werbos (1974) und Parker (1982) Grundlagen Der Aufbau von ANNs (Articial Neural Networks) ist an den des menschlichen Gehirns angelehnt, um dessen Eigenschaften abbilden zu können. Die wichtigste Eigenschaft eines ANNs ist die Lernfähigkeit. Hat ein Netz Daten gelernt, kann es Fähigkeiten eines biologischen Gehirns wie Verallgemeinerung und Muster- Erkennung, bzw. Klassizierung abbilden. Ein Neuronales Netz ist also, nachdem es richtig gelernt hat, in der Lage, Daten in Klassen einzuteilen. Ein ANN besteht aus Neuronen und Verbindungen und ähnelt dabei einem Graphen. Die Neuronen entsprechen den Knoten im Graphen und die Verbindungen den Kanten. Die Verbindungen in einem Neuronalen Netz sind immer gerichtet. Auch der Aufbau der einzelnen Neuronen ist vom biologischen Vorbild übernommen. Eine menschliche Nervenzelle bekommt über Dendriten einen Input, welcher aufsummiert wird und sendet seinen Output über ein Axon. Dieser Sachverhalt wird in Abbildung 6.1 dargestellt. 85 Abbildung 6.1: Idealisierung zweier Neuronen und ihrer Vernetzung vgl.: Ivancevic, Tijana T. et al. (2009), Neuro-CSB : Articial Neural Networks, In: Complex Sports Biodynamics, Band 2, Springer Berlin Heidelberg, ISBN S vgl. Lippe (2007) S Lippe (2007) S. 45

73 6 Künstliche Neuronale Netze 57 Denition 3 (Neuronales Netz). Ein Neuronales Netz ist ein Tupel (M, Q, f) deniert mit M als die Menge der Neuronen, Q als den Verbindungsgraphen und f der Funktion der Lernregel Aufbau und mathematische Funktionen eines Neurons Bezüglich des Aufbaus eines Neurons und seiner zugehörigen mathematischen Funktionen sind verschiedene Sichtweisen und Beschreibungen zu nden. Diese Arbeit orientiert sich in erster Linie an den Beschreibungen aus Lippe (2007). Jedem Neuron wird eine Aktivierungs- und eine Ausgangsfunktion zugeordnet. Mit Hilfe dieser Funktionen wird bestimmt, wie stark die Verbindungen gereizt werden. Bei der Aktivierungsfunktion handelt es sich im einfachsten Fall um eine Summenfunktion, welche die eingehenden Werte aufaddiert. n w ij o i i=1 In der Formel ist n die Anzahl der Neuronen, die einen Ausgang hin zum aktuell betrachteten Neuron haben. w ij steht für die Gewichte vom i-ten Input-Neuron zum aktuellen Neuron j. o i ist der Output, den das i-te Neuron ausgibt. Mit der Ausgabefunktion kann ein Schwellenwert festgelegt werden, ab dem das Neuron feuert. Liegt das berechnete Ergebnis unter diesem Wert, erzeugt das Neuron keine Ausgabe. Die Ausgabe ist für gewöhnlich auch von oben begrenzt, sodass sie im Intervall zwischen 0 und 1 liegt. Die einfachste Ausgabefunktion ist die binäre Ausgabefunktion, welche im Fall einer Aktivierung 1 ausgibt, andernfalls 0. Besser ist es allerdings, zumindest eine lineare oder bestenfalls eine sigmoide (s-förmige) Ausgabefunktion zu verwenden. Ein Problem bei linearen Ausgabefunktionen ist, dass sie nicht beschränkt sind und die Werte über die Grenzen wachsen. 88 Bei den sigmoiden Funktionen bieten sich der Tangens hyperbolicus, die logistische Funktion oder der Sinus an. Beim Sinus wird nur das Intervall zwischen π 2 und π 2 verwendet. Da beim Einsatz der Neuronalen Netze die logistische Funktion verwendet wird, wird darauf etwas genauer eingegangen. 87 vgl.: Paetz, Jürgen (2006), Soft Computing in der Bioinformatik: Eine grundlegende Einführung und Übersicht (examen.press), Secaucus, NJ, USA: Springer-Verlag New York, Inc., ISBN X S vgl.: Ertel, Wolfgang (2008), Neuronale Netze, In: Grundkurs Künstliche Intelligenz, Wiesbaden: Vieweg+Teubner, ISBN S. 245.

74 58 6 Künstliche Neuronale Netze Abbildung 6.2: Die logistische Funktion 89 In Abbildung 6.2 ist ein Beispiel für eine logistische Funktion zu sehen. Der Funktionsterm für f(x) ist der folgende: f(x) = 1 1+e x Ein weiterer Grund für den Einsatz sigmoider Funktionen ist die Tatsache, dass Eingangswerte, die nahe bei 0 sind durch die starke Steigung der Funktion in diesem Abschnitt besser getrennt werden können. Auÿerdem wird die absolute Gröÿe von sehr groÿen positiven oder negativen Werten durch den in diesen Bereichen achen Kurvenverlauf verhältnismäÿig unerheblich. 90 Abbildung 6.3 Abbildung 6.3: Schematischer Aufbau eines Neurons mit seinen mathematischen Funktionen 91 zeigt den schematischen Aufbau eines Neurons mit dem Vektor x als die Werte, die von den Neuronen mit eingehenden Verbindungen zum betrachteten Neuron 89 erstellt mit 90 vgl.: Schöneburg, Eberhard and Hansen, Nikolaus and Gawelczyk, Andreas (1990), Neuronale Netzwerke: Einführung, Überblick und Anwendungsmöglichkeiten, Haar bei München: Markt-u.-Technik-Verl., ISBN S. 93f. 91 vgl.: Lippe (2007) S. 46

75 6 Künstliche Neuronale Netze 59 ausgegeben wurden. Der Vektor w beinhaltet die Gewichte der eingehenden Verbindungen. f a ( x, w) ist die Aktivierungsfunktion, also z.b. die Summenfunktion. f o (f a (( x, w)) verdeutlicht, dass die Outputfunktion f o, z.b. eine sigmoide Funktion, auf die Aktivierungsfunktion f a angewandt wird. Der errechnete Output wird an die nachfolgenden Neuronen weitergegeben Lernen im Neuronalen Netz Das Gedächtnis und das Wissen eines Künstlichen Neuronalen Netzes liegen in den Gewichten der Verbindungen. Das Gewicht wird dann verstärkt, wenn ein Neuron von einem anderen Signale empfängt und beide Neuronen gleichzeitig aktiviert sind. 92 Dieser Grundsatz wurde von Donald Olding Hebb hergeleitet 93. Die allgemeine Form der Formel für die Hebbsche Lernregel lautet w ij = ηx i z j w ij (t + 1) = w ij (t) + w ij Dabei erhält das Neuron j eine Eingabe des Neurons i. η ist eine konstante Lernrate, beispielsweise aus dem Intervall zwischen 0 und 1, welche bestimmt, wie stark das Gewicht beim Lernen verändert werden soll. Die Delta-Lernregel stellt eine Erweiterung der Hebbschen Lernregel dar. Sie ist in der folgenden Formel beschrieben. w ij = ηx i (ȳ j y j ) = ηx i δ j Dabei ist y j die tatsächliche Ausgabe und ȳ j die zu erwartende Ausgabe. Es wird die Dierenz zwischen dem tatsächlichen Output und dem gewünschten Output berechnet und die Gewichte werden dementsprechend angepasst. Ein Lernregel merkt, dass der Lernvorgang zu Ende ist, also dass das Netz die vorgegebenen Daten zu Genüge gelernt hat, wenn der Netzfehler minimal wird. Der Netzfehler ist die Abweichung des Ist-Wertes vom Soll-Wert bei den Outputneuronen vgl.: Kramer, Oliver (2009), Neuronale Netze, In: Güther, O./Karl, W./Lienhart, R./ Zeppenfeld, K. (Hrsg.), Computational Intelligence, Springer Berlin Heidelberg, Informatik im Fokus, ISBN S Hebb, D. (1968), 0.(1949) The Organization of Behavior, New York. 94 vgl.: Bodendorf, Freimut (2005), Daten- Und Wissensmanagement, Berlin: Springer S. 184.

76 60 6 Künstliche Neuronale Netze Das Lernen im Neuronalen Netz folgt für gewöhnlich einem bestimmten Ablauf, einem Lern-Algorithmus, welcher sich allgemein betrachtet aus folgenden Schritten zusammensetzt. Wiederhole bis alle Muster richtig erkannt werden: 1. Lege ein Muster an das Netz an. 2.a Wenn der Soll-Output dem Ist-Output entspricht, gehe zu Schritt 1, ansonsten 2.b passe die Gewichte der falsch klassizierten Output-Neuronen mit Formel der zu verwendenden Lernregel an. 3. gehe zu Schritt 1 95 Beim Lernen kann es vorkommen, dass Verbindungen oder Neuronen gelöscht oder hinzugefügt werden oder dass Parameter oder Funktionsvorschriften geändert werden. Am häugsten kommt allerdings das beschriebene Verändern der Gewichte vor. 96 Ein weiterer wichtiger Aspekt beim Lernen im Neuronalen Netz sind die Lerndaten. Dabei ist es wichtig, das richtige Verhältnis von positiven zu negativen Lerndaten zu nden. Positive Lerndaten sind in dieser Arbeit Lerndaten der zu identizierenden Person. Negative Lerndaten sind Daten einer anderen Person, bei denen dem Netz beigebracht wird, was es als nicht die Person zu identizieren hat. Negative Lerndaten sind notwendig, da sonst das Netz kein akzeptables Lernverhalten aufweist Lernmodi Ein ANN kennt zwei Arbeitsweisen: ˆ den Lernmodus und ˆ den Ausführungsmodus 95 vgl.: Schöneburg, Eberhard and Hansen, Nikolaus and Gawelczyk, Andreas (1990) S. 78f. 96 vgl.: Paetz (2006) S. 35.

77 6 Künstliche Neuronale Netze 61 Beim Lernmodus kann nochmals dierenziert werden zwischen den Arten, auf welche Weise das Netz lernt. Überwachtes Lernen (Supervised Learning) Beim überwachten Lernen werden dem Netz zu den Eingabewerten die Ausgabewerte vorgegeben (Lehrer). Bestärkendes Lernen (Reinforced Learning) Die Besonderheit beim bestärkenden Lernen ist, dass dem Netz nicht der korrekte Ausgabewert vorgegeben wird, sondern nur die Information, ob die Ausgabe richtig war oder nicht. Unüberwachtes Lernen (Unsupervised Learning) Beim unüberwachten Lernen werden dem Netz keine Angaben zu dessen Ausgabewerten gemacht. Es ist seine Aufgabe, die Daten in Ähnlichkeitsklassen einzuteilen. Im Ausführungsmodus (später in dieser Arbeit auch als Prüfphase bezeichnet) berechnet das Netz eine Ausgabe aus Daten, die es zuvor noch nicht gesehen hat. Dabei ist die Qualität des ermittelten Outputs stark von der Qualität und von der Dauer des Lernvorgangs abhängig Backpropagation Wenn bestärkendes oder überwachtes Lernen eingesetzt wird, bietet es sich an, es mit Backpropagation zu verbinden. Bei Backpropagation wird so vorgegangen, dass der ermittelte Output des Netzes mit dem Soll-Output abgeglichen wird und die Gewichte der Verbindungen anhand dieser Dierenz dann angepasst werden. Dieser Vorgang beginnt bei den Output-Neuronen und wird in umgekehrter Lernrichtung durchgeführt, falls nötig bis hin zu den Input-Neuronen. Zu diesem Vorgehen ist kein biologisches Äquivalent vorhanden. 98 Das Lernen mit dem Backpropagation-Algorithmus birgt allerdings auch Probleme. Diese kommen einher mit der Tatsache, dass es sich um einen Hill-climbing- Algorithmus handelt. Wenn die Fehlerfunktion als Hügellandschaft gesehen wird, 97 vgl.: Schöneburg, Eberhard and Hansen, Nikolaus and Gawelczyk, Andreas (1990) S vgl.: Schöneburg, Eberhard and Hansen, Nikolaus and Gawelczyk, Andreas (1990) S. 93.

78 62 6 Künstliche Neuronale Netze dann entspricht ein bestimmter Ort einer bestimmten Einstellung der Gewichte der Verbindungen. Die Höhe an diesem Ort ist der Wert der Fehlerfunktion für diese Gewichte. Das Ziel des Lernalgorithmus ist also, den Ort zu nden, an dem der Fehler am geringsten ist. Übertragen auf die Landschaftsmetapher muss das tiefste Tal der Hügellandschaft gefunden werden. Das Problem ist, dass es für gewöhnlich mehrere lokale Minima gibt, von denen nur eines das globale Minimum darstellt. Wenn der Algorithmus also ein lokales Minimum gefunden hat, kann er nicht entscheiden, ob dies gleichzeitig auch das globale Minimum ist. Das bedeutet, dass auch die Form des Fehlergebirges für den Erfolg oder Misserfolg des Algorithmus zuständig ist. 99 Abbildung 6.4: Backpropagtion-Hügellandschaft 100 Abbildung 6.4 zeigt die Fehlerfunktion des Backpropagation-Algorithmus. Dabei sind auch Beispiele für ein lokales und ein globales Minimum eingezeichnet. Eine besondere Form der Backpropagation ist die Resilient Backpropagation (RPROP). RPROP verwendet Ansätze von Quickprop (Quickprop arbeitet nach einem Prinzip dem Newtonschen Näherungsverfahren ähnlich, indem die Steigung der Fehlerfunktion durch Geraden angenähert wird) und benutzt eine separate Schrittweitensteuerung für jedes Neuron. Auÿerdem spielt nur das Vorzeichen des Fehlersignals eine Rolle, nicht aber dessen konkreter Wert (Manhattan- Training) vgl.: Schöneburg, Eberhard and Hansen, Nikolaus and Gawelczyk, Andreas (1990) S Karrenberg, Ulrich (2012), Neuronale Netze, In: Signale - Prozesse - Systeme, Springer Berlin Heidelberg, ISBN S vgl.: Paetz (2006) S. 49.

79 6 Künstliche Neuronale Netze Architekturen Künstlicher Neuronaler Netze Der elementare Aufbau eines ANNs ergibt sich durch eine gewisse Anzahl an Inputneuronen, an welche die Eingabewerte angelegt werden. Danach folgt eine beliebige Anzahl an Hidden Neuronen ("Versteckte Neuronen"), welche den Input verarbeiten um ihn abschlieÿend an die Outputneuronen zu geben, die dann das Ergebnis anzeigen. Die Hidden Neuronen werden für gewöhnlich in mehrere Schichten eingeteilt. Abbildung 6.5 zeigt eine allgemeine Architektur eines Beispielnetzes. Links sind die Inputneuronen, mittig benden sich die Neuronen der Hidden Layer und rechts sind die Outputneuronen. Die Ebene der Hidden Neuronen ist theoretisch optional, praktisch jedoch sehr oft von Nöten, da manche Probleme ohne Hidden Neuronen nachweislich nicht gelöst werden können, wie z.b. das XOR-Problem (siehe Kapitel 6.3). 102 Abbildung 6.5: Allgemeiner Aufbau eines Neuronalen Netzes Ein Neuronales Netz kann auf verschiedene Arten aufgebaut und strukturiert sein. Feedforward bedeutet, dass die Daten nur in eine Richtung und zwar von den Input-Neuronen hin zu den Output-Neuronen ieÿen. Perzeptron Ein Perzeptron ist eine spezielle Form eines Feedforward-Netzes. Es beinhaltet keine Hidden Neuronen (siehe Abbildung 6.6). 103 Ebenenweise verbundene Feedforward-Netze In einem ebenenweise verbundenen Feedforward-Netz ist das Netz in mehrere Schichten eingeteilt und Verbindungen existieren nur von einer Schicht zur nächsten. Ein Beispiel dafür ist in Abbildung 6.5 zu sehen. 102 vgl.: Schöneburg, Eberhard and Hansen, Nikolaus and Gawelczyk, Andreas (1990) S vgl.: Schöneburg, Eberhard and Hansen, Nikolaus and Gawelczyk, Andreas (1990) S. 76.

80 64 6 Künstliche Neuronale Netze Abbildung 6.6: Perzeptron Allgemeine Feedforward-Netze (mit Shortcut-Connections) Hier ist es möglich, dass Verbindungen eine Ebene überspringen und mit einer darauolgenden Ebene direkt verknüpft sind. So eine Verbindung ist in Abbildung 6.7 rot dargestellt. Abbildung 6.7: Ausschnitt aus einem ANN mit Beispiel für eine Shortcut- Connection Vollständig/total verbundene Feedforward-Netze Jedes Element einer Schicht ist mit jedem Element der nächsten Schicht verbunden. Abbildung 6.5 zeigt ein solches Netz. Netze mit direkten Rückkopplungen (direct Feedback) Bei Netzen mit direkten Rückkopplungen kann der Ausgang eines Neurons mit seinem Eingang verbunden sein. Es hat dann eine Verbindung zu sich selbst. Dies hat den Eekt, dass ein Neuron sich selbst stärkt oder hemmt, weil es den Grenzzustand seiner Aktivierung annimmt. In Abbildung 6.8 ist ein Neuron mit direct Feedback zu sehen. Netze mit indirekten Rückkopplungen (indirect Feedback) Ein Neuron kann hier mit einem Neuron einer vorhergehenden Schicht verbunden sein, wie in Abbildung 6.9. Netze mit Rückkopplungen innerhalb einer Schicht (lateral Feedback) Bei dieser Art von Netzen kann dadurch, dass ein Neuron hemmende Ver-

81 6 Künstliche Neuronale Netze 65 Abbildung 6.8: Ausschnitt aus einem ANN mit einem Neuron, das eine Verbindung zu sich selbst hat Abbildung 6.9: Ausschnitt aus einem ANN mit Indirect Feedback zwischen zwei Neuronen bindungen zu anderen Neuronen und eine bestärkende Verbindung zu sich selbst hat, eine Winner-takes-it-all-Struktur aufgebaut werden. Abbildung 6.10 zeigt einen Ausschnitt aus einem solchen Netz. Abbildung 6.10: Ein Ausschnitt aus einem ANN mit einer Rückkopplung innerhalb einer Schicht Vollständig verbundene Netze In vollständig verbundenen Netzen ist jedes Neuron mit jedem Neuron auÿer mit sich selbst verbunden. Diese Netze werden auch Hopeld-Netze genannt und ein Beispiel dafür ist in Abbildung 6.11 zu sehen Beispiel: XOR-Problem Die bisher vorgestellten Grundlagen sollen nun teilweise an einem einfachen Beispiel erläutert werden. Gleichzeitig wird in diesem Beispiel das XOR-Problem 104 vgl.: Lippe (2007) S. 53.

82 66 6 Künstliche Neuronale Netze Abbildung 6.11: Beispiel für ein Hopeld-Netz erläutert. Das Netz in diesem Beispiel soll die XOR-Verknüpfung lernen. Zunächst wird demonstriert, dass dies mit einem Neuronalen Netz, das allein aus zwei Eingangs- und einem Ausgangsneuron besteht, nicht möglich ist. Damit das Beispiel besser nachvollzogen werden kann, wird als Aktivierungsfunktion die Summenfunktion verwendet und als Ausgabefunktion die binäre Funktion. Liegt das Ergebnis der Aktivierungsfunktion über dem Schwellenwert, wird 1 gefeuert, andernfalls 0. Der Übersichtlichkeit halber werden in den Abbildungen zum Beispiel die Beschriftungen der Neuronen, anders als auf den bisherigen Abbildungen, direkt im Neuron abgebildet. Schwellenwerte sind durch farbig hinterlegte Rechtecke gekennzeichnet Lineare Separierbarkeit Abbildung 6.12: AND, OR und XOR mit Linie zur linearen Separierbarkeit 105 Das Problem beim Lernen der XOR-Verknüpfung ist, dass die Lösung ohne verstecktes Neuron nicht linear separierbar ist. Das heiÿt, dass Mengen im n- 105 vgl.: Paetz (2006) S. 39

83 6 Künstliche Neuronale Netze 67 Tabelle 6.1: Ergebnisse des Netzes ohne Hidden Neuron dimensionalen Raum dann linear separierbar sind, wenn es eine Hyperebene der Dimension (n - 1) gibt, die die Mengen unterteilt. 106 In Abbildung 6.12 ist zu sehen, dass sowohl bei der AND-Verknüpfung als auch bei der OR-Verknüpfung die Mengen durch eine Gerade (in diesem Fall die Hyperebene) trennbar sind. Bei der XOR-Verknüpfung hingegen sind die Mengen so verteilt, dass sie nicht durch eine Gerade separierbar sind XOR ohne verstecktes Neuron Abbildung 6.13: Aufbau eines Netzes um zu versuchen, das XOR-Problem ohne Hidden Neuron zu lösen Bei der XOR-Verknüpfung ist das Ergebnis nur dann wahr, wenn an den beiden Eingängen unterschiedliche Werte anliegen, also nur bei i 1 = 0 und i 2 = 1 oder bei i 1 = 1 und i 2 = 0. Um die Notwendigkeit mindestens eines versteckten Neurons deutlich zu machen, wird zuerst gezeigt, was geschieht, wenn versucht wird, die XOR-Verknüpfung ohne verstecktes Neuron zu lernen. Der Aufbau des Netzes ist in Abbildung 6.13 zu sehen. Hier wurde bewusst auf das Festlegen eines Schwellenwertes verzichtet, da es keinen Wert dafür gibt, für den das Netz korrekte Ausgaben erzielen könnte. 106 Steger, G. (2003), Bioinformatik: Methoden Zur Vorhersage Von Rna- Und Proteinstrukturen, Basel: Birkhäuser, ISBN S. 226.

84 68 6 Künstliche Neuronale Netze Tabelle 6.2: Ergebnisse für das Hidden Neuron h Tabelle 6.1 zeigt die Ergebnisse des in Abbildung 6.13 dargestellten Netzes. Auch hier ist ersichtlich, dass es keinen möglichen Schwellenwert gibt um korrekte Ergebnisse zu erzielen XOR mit verstecktem Neuron Abbildung 6.14: Aufbau eines Netzes, das das XOR-Problem mit einem Hidden Neuron löst 107 Abbildung 6.14 zeigt einen möglichen Aufbau für ein Netz mit Shortcuts, das in der Lage ist, das XOR-Problem zu lösen. Der erste Schwellenwert (für das versteckte Neuron h) liegt bei 1,5, der Schwellenwert für das Outputneuron o ist 0,5. Tabelle 6.2 zeigt die Rechnung für das versteckte Neuron in Abbildung Die dritte Spalte zeigt den Vergleich des Ergebnisses der Rechnung mit dem Schwellenwert, die vierte dann den endgültigen Output des versteckten Neurons (0 wenn der Wert < 1, 5 und 1 wenn der Wert > 1, 5 ist). 107 vgl.: Schöneburg, Eberhard and Hansen, Nikolaus and Gawelczyk, Andreas (1990) S. 91

85 6 Künstliche Neuronale Netze 69 Tabelle 6.3: Endergebnisse für das Outputneuron o im Netz mit Hidden Neuron Die Tabelle 6.3 zeigt die endgültigen Ergebnisse für die Berechnung. Wieder zeigt die fünfte Spalte den Vergleich des Rechnungsergebnisses mit dem Schwellenwert (0 wenn der Wert < 0, 5 und 1 wenn der Wert > 0, 5 ist). In der sechsten Spalte ist das nale Ergebnis und damit der Beweis, dass ein Neuronales Netz das XOR- Problem durch Hinzufügen eines einzigen versteckten Neurons lernen kann Anwendungsgebiete Die Anwendungsgebiete von ANNs umfassen vor allem die Bereiche, in denen Mustererkennung von Nöten ist. Dazu zählen ˆ Handschrifterkennung ˆ Aktienprognosen ˆ Wettervorhersagen ˆ Bewertung von Immobilien ˆ Erkennung und Klassizierung von Krebszellen ˆ Bestimmen der Ursache eines Staus ˆ Klassizieren von Sonarsignalen (z.b. bei U-Booten) ˆ Vorhersagen von Sonneneruptionen ˆ Überprüfen von Darlehensvergaben ˆ Wahrscheinlichkeiten des plötzlichen Kindstodes vorhersagen vgl.: Schlegel, Hannes (2003), Das XOR Problem, images/stories/neuronetze/neuronalenetze_xor.pdf. 109 vgl.: Karrenberg (2012) S. 445.

86 70 6 Künstliche Neuronale Netze 6.5. Herausforderungen und Schwachstellen Die gröÿte Schwachstelle von Neuronalen Netzen ist, dass sie nie zu 100% zuverlässige Ergebnisse liefern können 110, z.b. wegen der beschriebenen Probleme beim Backpropagation-Algorithmus. Mangelhafte Lerndaten können dazu führen, dass ein Neuronales Netz fehlerhafte Ausgaben produziert. Auch das Überlernen (Overtting) kann dazu führen, dass das Netz unbrauchbar wird, da es bestimmte Muster zu sehr gelernt hat und nicht mehr verallgemeinern kann. Eine weitere Herausforderung bei der Arbeit mit Neuronalen Netzen ist, dass sie wenig bis gar nicht transparent sind und der Versuch, nachzuvollziehen, warum ein Gewicht einen bestimmten Wert hat nahezu vergeblich scheint oder nur mit groÿem Aufwand erfolgreich durchzuführen ist. Dies ist z.b. dann entscheidend, wenn eine medizinische Entscheidung mit Hilfe eines Neuronalen Netzes getroen wurde Zusammenfassung des Kapitels Behandelt wurden die Grundlagen Neuronaler Netze, mit dem Aufbau einzelner Neuronen, den wichtigsten Lernregeln und Backpropagation, sowie verschiedenen Netzarchitekturen. Anhand des XOR-Problem wurde ein Beispiel gegeben und einige Anwendungsgebiete wurden aufgezeigt. Abschlieÿend wurden Herausforderungen und Schwachstellen beim Einsatz Neuronaler Netze erklärt. 110 vgl.: Spreckelsen, Cord and Spitzer, Klaus (2008), Wissensbasen und Expertensysteme in der Medizin, Wiesbaden: Vieweg+Teubner, ISBN S vgl.: Spreckelsen, Cord and Spitzer, Klaus (2008) S. 72.

87 7 Ergebnisse Ergebnisse In diesem Kapitel wird erläutert, wie und womit die Daten erfasst und aufbereitet wurden. Auÿerdem wird auf die Details der verwendeten Neuronalen Netze eingegangen und abschlieÿend werden die erzielten Resultate für verschiedene Parametervariationen präsentiert und interpretiert Eingesetzte Technologien und Geräte Neuronale Netze Zur Mustererkennung werden Neuronale Netze verwendet. Membrain Als Editor und Simulator für Neuronale Netze wird Membrain verwendet. Membrain wurde von Thomas Jetter entwickelt und ist für private Zwecke kostenlos. Viele Funktionen von Membrain sind auch in einer Dynamic Link Library (DLL) verfügbar und können so in Applikationen eingebunden werden. Z.B. ist ein Wrapper für Java verfügbar, welcher verwendet wird. Samsung Nexus S Zur Datenerfassung läuft die App auf einem Samsung Nexus S (GT-I9023FSADBT) Technische Daten: ˆ Prozessor: 1 GHz ˆ Arbeitsspeicher: 512 MB ˆ Android-Version: Android, Java Das Betriebssystem des Nexus S ist Android, deswegen wurde die App in Java entwickelt Datenerfassung Die Funktionsweise der Android-App zur Datenerfassung wurde in Kapitel 5.4 näher beschrieben. Es wurde ein Parcours konstruiert, bei dem die Touchgesten (Scrollen, Hineinzoomen, Hinauszoomen) des Nutzers aufgezeichnet werden. Mit der App werden die X- und die Y-Koordinate, der Druck, Finger 1 oder 2

88 72 7 Ergebnisse Tabelle 7.1: Anzahl der Parcoursdurchläufe für Lern- und Prüfdaten (Multitouch) und die Dauer der Geste aufgezeichnet. Es wurden Daten von sechs Testpersonen erfasst. Tabelle 7.1 zeigt die Anzahl an Parcours-Durchläufen der Testpersonen. Dabei ist sowohl die Anzahl Durchläufe zum Erfassen der Lerndaten als auch die Anzahl der Durchläufe zum Erfassen der Prüfdaten enthalten. Abbildung 7.1: Die Touchbilder für die Geste Zoom In für alle Personen Abbildung 7.2: Die Touchbilder für die Geste Zoom Out für alle Personen Die Abbildungen 7.1 und 7.2 zeigen die Touchbilder für die Gesten Zoom In und Zoom Out für alle sechs Personen. Es wurden für jedes einzelne Bild die Bilder

89 7 Ergebnisse 73 aus acht Durchläufen, und nicht aus allen Durchläufen, übereinander gelegt um ein vergleichbares Erscheinungsbild zu erhalten. Bei stärkerem Druck wurde ein dunkleres Rot verwendet und auch der Radius der Kreise wurde vergröÿert. Da bei den Bildern der Scrollgeste keine gravierenden Unterschiede zwischen den Personen bestehen, wird auf deren Darstellung verzichtet. An der Zoom In und Zoom Out-Geste ist deutlich zu sehen, dass jede der Personen ein eigenes Muster hat. Gleichzeitig ist aber auch erkennbar, dass die Gesten mancher Personen sich stark ähneln, wie z.b. die Herauszoom-Geste der dritten und der sechsten Person Datenverarbeitung Da ein erster Versuch die entstandenen Touch-Bilder direkt auf das Neuronale Netz abzubilden scheiterte, mussten aus den erfassten Daten spezielle Merkmale ermittelt werden. Für die Gesten wurden unterschiedlich viele Werte ermittelt. Für die Scroll-Geste konnten am wenigsten Merkmale extrahiert werden, da sie nur mit einem Finger ausgeführt wird. Aus den Touchbildern, wie z.b 7.1 und 7.2 konnte ermittelt werden, welche Werte extrahiert werden sollen. Es ist beispielsweise zu erkennen, dass der Druck bei einigen Personen einzigartig ist oder auch die Anzahl Punkte. Einige Beispiel-Werte sind ˆ Dauer einer Geste ˆ Länge einer Geste ˆ Durchschnittlicher Druck je Finger ˆ Abstand der Finger Eine umfassende Auistung aller extrahierten Merkmale ist im Anhang zu nden. Da Membrain leider keine Möglichkeit bietet, die Eingangsneuronen zu ermitteln, deren Werte das Ergebnis am meisten beeinusst haben, besteht die Möglichkeit, dass auch eher nichtssagende Merkmale vorhanden sind. Für das Neuronale Netz mussten die Eingangswerte auf den Bereich zwischen 0 und 1 angepasst werden (Normalisierung). Dafür wurde der Wertebereich eines Merkmals ermittelt und auf den Bereich zwischen 0 und 1 abgebildet.

90 74 7 Ergebnisse 7.4. Das Neuronale Netz Architektur des verwendeten Netzes Es werden vollständig verbundene Feedforward-Netze verwendet, wie in Abbildung 7.3 zu sehen ist. Für jede Person gibt es ein eigenes Netz. Abbildung 7.3: Aufbau eines verwendeten Neuronalen Netzes Input Layer Es existieren 87 Inputneuronen. Die Scroll-Geste ergibt 23 Merkmale und damit Neuronen, Zoom-In und Zoom-Out jeweils 32. Hidden Layer Das Netz enthält drei Hidden Layer mit jeweils 60 Hidden Neuronen. Dies entspricht einer Gesamtanzahl von 180 Hidden Neuronen. Output Layer Es gibt zwei Outputneuronen. Eines signalisiert den Fall, dass das ANN vermutet, dass es sich um die zu identizierende Person handelt. Das andere den Negativfall. Verbindungen Zwischen den Neuronen gibt es insgesamt Verbindungen. Die Gesamtanzahl Neuronen beträgt Mathematische Aspekte Bei den Inputneuronen ist die Aktivierungsfunktion die identische Funktion zwischen 0 und 1, was bedeutet, dass die Werte, die ankommen, auch direkt so angelegt werden.

91 7 Ergebnisse 75 Den Hidden Neuronen ist eine logistische Aktivierungsfunktion (siehe 6.2 zugeordnet. Falls ein Neuron erregt wird, wird der Wert der Aktivierungsfunktion gefeuert. Alternativ könnte auch 1 gefeuert werden. Der Teacher unterstützt überwachtes Lernen. Er setzt den in Kapitel beschriebenen Resilient Backpropagation-Algorithmus in einer leicht abgeänderten Form ein. Für die Berechnung des Netzfehlers sind zwei Funktionen zu berücksichtigen. Zum einen die Funktion, die bei jedem angelegten Pattern und jedem Outputneuron angewandt wird. Mit ihr wird bestimmt, wie die einzelnen Summanden berechnet werden, aus denen am Ende der Netzfehler berechnet wird. Die Summanden werden berechnet mit der mittleren quadratischen Abweichung (näheres dazu z.b. in Degen/Lorscheid, 2002, S. 46) zwischen der gewünschten Aktivierung und der aktuellen Aktivierung eines Outputneurons. Der nale Netzfehler wird dann berechnet aus dem arithmetischen Mittel der zuvor ermittelten Summanden Lernphase Aufbau einer Lesson Das Lernverhalten der Neuronalen Netze hängt stark von der Menge und Qualität der Lerndaten ab, gleichzeitig aber auch von dem Verhältnis von positiven zu negativen Lerndaten (siehe 6.2.2) und dem Netzfehler. Da es sich um überwachtes Lernen handelt, werden die Werte für die Outputneuronen in den Lessons direkt angegeben. Positive Lerndaten haben also für das Outputneuron "ja" den Wert 1 vorgegeben, für "nein" 0, bei negativen Lerndaten ist es umgekehrt. Die einzelnen Zeilen einer Lesson (Unterrichtseinheit) werden in dieser Arbeit (wie auch bei Membrain üblich) Pattern genannt. Es ist also für angemessene Ergebnisse wichtig, das bestmögliche Verhältnis von positiven zu negativen Patterns in einer Lesson zu ermitteln. Exemplarisch ist eine Lesson wie in Abbildung 7.2 aufgebaut. Spaltenweise werden zunächst die Merkmale aufgelistet, am Ende kommen die Outputneuronen. Zeilenweise erscheinen zunächst alle Patterns der Person, zu 112 vgl.: Jetter, Thomas, MemBrain Help, Mainz.

92 76 7 Ergebnisse Tabelle 7.2: Der exemplarische Aufbau einer Lesson Tabelle 7.3: Anzahl positiver und negativer Lerndaten je Durchgang der das Netz gehört. Danach folgen ein oder mehrere Patterns Daten der anderen Personen als Negativdaten. Dabei wurde so vorgegangen, dass in jeder Lesson von jeder Person die gleiche Anzahl an Negativ-Patterns vorhanden sind. Daraus ergibt sich, dass in diesem Fall die Anzahl Negativ-Patterns stets ein Vielfaches von fünf ist. Tabelle 7.3 zeigt, wie viel positive und wie viel negative Lernpatterns pro Durchgang die Lessons beinhalten. Die Anzahl positiver Patterns ist in allen Durchgängen konstant Lernkurven Dieser Abschnitt demonstriert das unterschiedliche Lernverhalten für die Personen bei Variation des Netzfehlers und des Verhältnisses Positivdaten zu Negativdaten. Es wurde darauf geachtet, dass für jedes Lerndatenverhältnis die Daten die gleichen blieben, also nicht für jeden Netzfehler neu generiert wurden. Erst beim Start eines neuen Durchgangs mit anderem Lerndatenverhältnis wurden die Daten neu generiert. Der Netzfehler als Parameter bedeutet, dass das Netz solange lernt, bis der Netzfehler nach einem Lernschritt erstmals unter einen bestimmten Wert fällt. Exemplarisch werden aus Durchgang 3 die Lernkurven für

93 7 Ergebnisse 77 alle Personen für den Netzfehler 0,03 gezeigt, da bei niedrigerem Netzfehler mehr Lernschritte von Nöten sind. Auÿerdem werden die Lernkurven für Person 1 in Durchgang 3 gezeigt. Abbildung 7.4: Die Lernkurve für Durchgang 3 für alle Personen Abbildung 7.5: Die Lernkurve für Durchgang 3 für Person 4 In Abbildung 7.4 verlaufen bis auf die Kurve von Person 1 alle Kurven wie erwartet. Dies ist allerdings der für Person 1 typische Kurvenverlauf, wie in Abbildung 7.5 zu sehen ist. Abgesehen vom unruhigen Kurvenverlauf verlaufen die Lernkurven wie erwartet: Es werden für höhere Netzfehler nicht mehr Lernschritte benötigt als für niedrige. Ab Netzfehler 0,06 reduziert sich die Anzahl Lernschritte für jeden höheren Netzfehler.

94 78 7 Ergebnisse 7.6. Prüfphase Tabelle 7.4: Ausgabe des ersten Durchgangs Die Prüfphase wird in Kapitel auch als Ausführungsmodus bezeichnet. Für die Beurteilung des Prüfvorgangs sollen zunächst die beiden Begrie false positive und false negative erläutert werden. Denition 4 (Bewertungskriterien). False positive beschreibt den Fall, wenn eine Person als richtig identiziert wird, obwohl es sich um eine falsche Person handelt. False negative beschreibt den Fall, wenn eine Person als falsch identiziert wird, obwohl es sich um die richtige Person handelt Die Bewertung in den Tabellen 7.4, 7.5, 7.6 und 7.7 erfolgt anhand der Anzahl false positives und false negatives. Die Qualität der Daten ist auch beim Prüfen wichtig. Verhält sich eine Person beim Aufzeichnen der Lerndaten anders als beim Aufzeichnen der Prüfdaten, z.b. wegen Zeitdrucks o.ä., macht sich dies an den Ergebnissen bemerkbar. Zwischen der Aufzeichnung der Lerndaten und der Aufzeichnung der Prüfdaten lagen mehrere Tage. Um einen umfassenderen Einblick in die Variation der Ergebnisse bei unterschiedlichem Netzfehler und Verhältnis positiver-negativer Lerndaten werden die Ergebnisse für verschiedene Lerndatenverhältnisse jeweils mit einem Netzfehler von 0.03, 0.06, 0.09, 0.12 und 0.15 gezeigt. Es ist zu erkennen, dass der dritte Durchgang, bei dem das Verhältnis positivenegative Lerndaten in etwa 1:1 ist (genaue Werte siehe Tabelle 7.3) die besten Resultate erzielt. Dort sind sowohl die false positives als auch die false negatives minimal. Deutlich wird dies auch in Abbildung 7.6. Sie zeigt auch, dass die Anzahl false negatives zunächst sinkt mit steigender Anzahl Negativpatterns. Ist die

95 7 Ergebnisse 79 Tabelle 7.5: Ausgabe des zweiten Durchgangs Tabelle 7.6: Ausgabe des dritten Durchgangs Anzahl Negativpatterns allerdings zu hoch, wie in Durchgang 4, verschlechtern sich die Ergebnisse wieder. Jedes Netz wurde auf insgesamt zwölf Lessons geprüft. Diese Zahl ergibt sich aus der Tatsache, dass für jede Person zwei Lessons existieren, eine mit den Lerndaten und eine mit den Prüfdaten. Dabei ist eine Lernlesson wie in Abbildung 7.2 dargestellt aufgebaut, eine Prüesson enthält keine Negativdaten. Bei den Angaben für die false positives und false negatives gilt, dass falls von einer Person sowohl die Lern- als auch die Prüfdaten fälschlicherweise der zu identizierenden Person zugeordnet wurden, dies trotzdem nur einer Person in der Auistung entspricht. Der Maximalwert für false positives ist also 5, für false negatives ist er 1. Tabelle 7.7: Ausgabe des vierten Durchgangs

96 80 7 Ergebnisse Abbildung 7.6: Vergleich der false positives und false negatives aller vier Durchgänge Eine detaillierte Auswertung der Ergebnisse von Durchgang 3 mit Netzfehler 0.12 ist in Abbildung 7.8 zu sehen. Die Tabelle zeigt welche Aktivierung bei den Outputneuronen zum Ende des Prüfvorgangs vorhanden war. Dabei gibt die grüne Zahl die Aktivierung für das Neuron ja, die rote Zahl die Aktivierung für das Neuron nein an. Das Neuron mit der höheren Zahl gewinnt. Die erste Zeile gibt das Netz an, welches geladen wurde und die erste Spalte gibt die Lesson an, auf die geprüft wurde. Dabei wird unterschieden zwischen Lern- und Prüfdaten Interpretation der Ergebnisse Die Ergebnisse zeigen, dass eine Identikation der Nutzers durch die Analyse seiner Touchgesten möglich ist. Es ist anzunehmen, dass bei ausreichend Lernund Prüfdaten von guter Qualität und angebrachten Lernparametern (Netzfehler, Verhältnis positive-negative Lerndaten) auch in einem gröÿeren System gute Ergebnisse erzielt werden können. Interessant ist der in Tabelle 7.8 erkennbare Aspekt, dass das Netz obwohl es durch das Lernen der Negativpatterns zum Teil schon weiÿ, welche Personen es als falsch zu identizieren hat, in manchen Fällen das Ergebnis der Prüfdaten besser ist als das der Lerndaten. Dennoch muss bedacht werden, dass Neuronale Netze auch schwer nachvollziehbare Entscheidungen treen können.

97 7 Ergebnisse 81 Tabelle 7.8: Detaillierte Auistung der Ergebnisse aus Durchgang 3 mit Netzfehler Zusammenfassung Dieses Kapitel gab zunächst einen Überblick über die eingesetzten Tools. Es wurde beschrieben, wie Merkmale extrahiert und normalisiert wurden. Die Neuronalen Netze wurden mit verschiedenen Netzfehlern und Lerndatenverhältnissen trainiert und geprüft. Die Ergebnisse wurden evaluiert. Dabei ergab sich, dass ein Lerndatenverhältnis von ca. 1:1 die besten Ergebnisse liefert.