Zugriffsschutz für verteilte Wissensmanagementsysteme. Arbeitsbericht Nr. 22/2004. Robert Schmaltz

Größe: px
Ab Seite anzeigen:

Download "Zugriffsschutz für verteilte Wissensmanagementsysteme. Arbeitsbericht Nr. 22/2004. Robert Schmaltz"

Transkript

1 Georg-August-Universität Göttingen Institut für Wirtschaftsinformatik Professor Dr. Matthias Schumann Platz der Göttinger Sieben Göttingen Telefon: Telefax: Arbeitsbericht Nr. 22/2004 Hrsg.: Matthias Schumann Robert Schmaltz Zugriffsschutz für verteilte Wissensmanagementsysteme

2 Copyright: Institut für Wirtschaftsinformatik, Abteilung Wirtschaftsinformatik II, Georg-August-Universität Göttingen. Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der Grenzen des Urhebergesetzes ist ohne Zustimmung des Herausgebers unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Alle Rechte vorbehalten.

3 Inhaltsverzeichnis II Inhaltsverzeichnis 1 Einleitung Begriffe und Konzepte von Sicherheit und Zugriffsschutz Sicherheitsrichtlinien und Sicherheitsmodelle Grundlegende Strategien des Zugriffsschutzes Konzepte zur Umsetzung des Zugriffsschutzes Weiterführende Forschungsgebiete Praktische Umsetzungen von Zugriffsschutzkonzepten Praktische Umsetzungen des Reference Monitors Umsetzungsvarianten der Access Control Database Standards für den anwendungs- und unternehmensübergreifenden Zugriffsschutz Anforderungen an den Zugriffsschutz Beispielhafte Rechtemanagementarchitekturen Zentralisierte Wissensmanagement-Systeme Grundlegender Aufbau und Einsatzbereiche Implementierungsvarianten des Reference Monitor Implementierungsvarianten der Access Control Database Ausgestaltung des Rollenmodells Administration der Zugriffsrechte Dezentrale Wissensmanagement-Systeme Grundlegender Aufbau und Einsatzbereiche Implementierungsvarianten des Reference Monitor Implementierungsvarianten der Access Control Database Ausgestaltung des Rollenmodells Administration der Zugriffsrechte Fazit...39 Literaturverzeichnis...42

4 Abbildungsverzeichnis III Abbildungsverzeichnis Abbildung 2-1: Grundprinzip der Rollenbasierten Zugriffskontrolle... 5 Abbildung 2-2: Grundprinzip des Reference Monitor... 6 Abbildung 2-3: Beispielhafte Zugriffskontrollmatrix... 7 Abbildung 2-4: Zugriffskontrollmatrix in der Lernplattform CLIX... 7 Abbildung 3-1: Implementierungsvarianten des Reference Monitors Abbildung 3-2: Implementierungsvarianten der Access Control Database Abbildung 3-3: Standards für die Zugriffskontrolle Abbildung 4-1: Anforderungen an Zugriffskontrollsysteme für Kooperationen Abbildung 5-1: Varianten des Reference Monitor Abbildung 5-2: Zugriffsschutz im zentralisierten System Abbildung 5-3: Varianten der ACD Abbildung 5-4: Varianten des Rollenmodells Abbildung 5-5: Varianten der Privilegienverwaltung Abbildung 5-6: Varianten des Reference Monitor im dezentralen System Abbildung 5-7: Zugriffsschutz im dezentralen System mit Verzeichnisdienst Abbildung 5-8: Zugriffsschutz im dezentralen System mit Zertifikaten Abbildung 5-9: Varianten der dezentralen Speicherung der Nutzerdaten Abbildung 5-10: Rollen- und credentialbasierte Autorisierung Abbildung 5-11: Varianten der Privilegienverwaltung im dezentralen System Abbildung 6-1: Dezentrales vs. zentrales System... 41

5 Abkürzungsverzeichnis IV Abkürzungsverzeichnis ACD ACL ACM AS CMS DAC DRM DSML DV ERP IP IT LDAP MAC MS PKI RBAC RFC RM SAML TCP XACML XML Access Control Database Access Control List Access Control Matrix Anwendungssystem Content Management System Discretionary Access Control Digital Rights Management Directory Services Markup Language Datenverarbeitung Enterprise Resource Planning Internet Protocol Informationstechnologie Lightweight Directory Access Protocol Mandatory Access Control Microsoft Public Key Infrastructure Role Based Access Control Request for Comments Reference Monitor Security Assertion Markup Language Transmission Control Protocol Extensible Access Control Markup Language extensible Markup Language

6 1 Einleitung 1 1 Einleitung In einem Wissensmanagementsystem, das in einer Kooperation genutzt wird, werden vielfältige Inhalte gespeichert, die vor einem Zugriff durch unberechtigte Benutzer geschützt werden müssen. Zum einen können dort Marketingunterlagen, gemeinsame Standards oder Verfahrensweisen verwaltet werden, die für alle Partner zugänglich sein müssen. Zum anderen können Inhalte vorgehalten werden, die Wettbewerbsvorteile einzelner Kooperationsteilnehmer berühren und daher nur sehr selektiv mit Partnern geteilt werden können, etwa im Fall von technischen Konstruktionsunterlagen. Dies erfordert die Integration von Rechtemanagementkonzepten in den Entwurf von Wissensmanagementanwendungen. Insbesondere in verteilten Wertschöpfungsstrukturen ist es erforderlich, Inhalte abgestimmt auf die Sicherheitsbedürfnisse der Beteiligten nur einzelnen Nutzergruppen zugänglich zu machen. Insbesondere wenn Informationssysteme externen Partnern zugänglich gemacht werden, müssen sie die Möglichkeit bieten, Inhalte und Funktionen mit feiner Granularität freizugeben. Dies ermöglicht auf der einen Seite eine effektive Zusammenarbeit mit einem Minimum an Medienbrüchen und für den Benutzer spürbaren Systemgrenzen. Auf der anderen Seite können aber auch die Bedürfnisse nach dem Schutz von unternehmenskritischen Daten und Systemen erfüllt werden. In diesem Zusammenhang zeigen Sicherheitsmaßnahmen, deren Wirkung auf einzelne Anwendungen beschränkt ist, deutliche Mängel. Insbesondere führen sie zu einem sehr hohen Administrationsaufwand, da Nutzer und die ihnen zugeordneten Zugriffsrechte über zahlreiche Anwendungen verteilt gepflegt werden müssen. Zudem fehlt bei dieser zersplitterten Verwaltung der Rechte die Möglichkeit, eine Übersicht über die Befugnisse einzelner Nutzer zu gewinnen und diese nach einheitlichen Kriterien zu verteilen bzw. zu widerrufen. Auch aus Nutzersicht erschwert eine anwendungsspezifische Zugriffskontrolle die Arbeit mit der IT, da zahlreiche Login-Informationen gepflegt werden müssen und Rechte für jedes Einzelsystem aufs Neue beantragt werden müssen. Daher ist zu untersuchen, ob und wie eine anwendungs- und unternehmensübergreifende Zugriffskontrolle, insbesondere im Kontext von Wissensmanagementsystemen für Kooperationen, umgesetzt werden kann. Dazu wird zunächst in Kapitel 2 eine kurze Einführung in prinzipielle Konzepte und Begriffe des Zugriffsschutzes gegeben. Darauf folgend werden in Kapitel 3 bestehende Umsetzungen von Sicherheitssystemen in für das Wissensmanagement relevanten Anwendungen diskutiert. In Kapitel 4 werden dann Anforderungen an Zugriffsschutzsysteme für Wissensmanagement-Anwendungen erarbeitet und in Kapitel 5 wird gezeigt, wie diese in zentralen und dezentralen Systemen umgesetzt werden. Ein kurzes Fazit schließt die Ausführungen.

7 Literaturverzeichnis 2 2 Begriffe und Konzepte von Sicherheit und Zugriffsschutz Im folgenden Abschnitt werden die grundlegenden Begriffe und Techniken des Zugriffsschutzes eingeführt. Unter Zugriff können unterschiedliche Aktivitäten verstanden werden, die ein Nutzer auf Systemobjekte (etwa Dokumente) ausführen kann, z. B. lesen und schreiben, aber auch die Veränderung von Attributen wie Freigaben etc. Der Zugriffschutz ist ein Teil der Datensicherheit. Im Rahmen der Datensicherheit werden bestimmte Schutzziele verfolgt. Diese werden im Allgemeinen in Vertraulichkeit, Integrität, Verfügbarkeit und Zurechenbarkeit unterteilt (vgl. Hansen/Neumann 2001, S. 174; Damker 2002, S. 209). Zur Erreichung dieser Ziele dienen systemunabhängig festgelegte Sicherheitsrichtlinien und Sicherheitsmechanismen in den Systemen, die diese Richtlinien umsetzen. Bei der Erstellung der Richtlinien kann eine Reihe von grundlegenden Strategien zum Einsatz kommen (vgl. Kap. 2.2). Die grundlegenden Konzepte, die bei der Umsetzung von Sicherheitsmechanismen relevant sind, werden in Kap. 2.3 vorgestellt. Kap. 2.4 enthält eine Abgrenzung zu den verwandten Forschungsgebieten Trust Management und Digital Rights Management. 2.1 Sicherheitsrichtlinien und Sicherheitsmodelle Zum Entwurf eines sicheren Wissensmanagementsystems ist es zunächst erforderlich, Sicherheitsrichtlinien für die Anwendung zu spezifizieren. In ihnen ist genau festgelegt, welche Aktionen die einzelnen Einheiten des Systems ausführen dürfen und welche nicht. Unter Einheiten werden in diesem Kontext Nutzer, Dienste, Daten, Maschinen etc. verstanden (vgl. Tanenbaum/Steen 2002, S. 414 ff.). Die Sicherheitsrichtlinien werden im Allgemeinen unabhängig von der späteren Implementierung im Rahmen des Fachkonzeptes festgelegt, um eine von konkreten Produkten unabhängige Spezifikation der Sicherheitsanforderungen zu ermöglichen (vgl. z.b. Coetzee/Eloff 2003, S. 286). Zur Umsetzung der Sicherheitsrichtlinien dienen dann Sicherheitsmechanismen, die nach Tanenbaum/Steen (2002, S. 415) in vier Gruppen eingeteilt werden können: Verschlüsselung: Mittels Verschlüsselung werden Daten in ein für Außenstehende nicht verständliches Format umgewandelt. Damit lässt sich die Vertraulichkeit von Daten sicherstellen. Da die Verschlüsselung im Allgemeinen auf Betriebssystem- bzw. Netzwerkebene erfolgt und nicht durch das Wissensmanagementsystem implementiert wird, ist sie hier nur am Rande von Interesse.

8 Literaturverzeichnis 3 Authentifizierung: Diese Verfahren dienen dazu, die behauptete Identität einer Einheit zu verifizieren. Sie werden häufig durch Passwortabfragen realisiert. Die Authentifizierung ist ein Problemkreis, der für alle IT-Systeme relevant ist (vgl. z.b. Hansen/Neumann 2001, S. 175). Sie zeigt keine wissensmanagementspezifischen Besonderheiten, denn die Art und Weise, wie die Identität eines menschlichen oder maschinellen Kommunikationspartners überprüft wird, ist unabhängig von den später genutzten Funktionen. Folglich wird sie hier ebenfalls nur knapp betrachtet. Autorisierung: Im Anschluss an die Authentifizierung muss festgestellt werden, ob die Einheit die angeforderten Operationen ausführen darf. In diesem Bereich liegt das Kernproblem der Sicherung von Wissensmanagementsystemen, denn hier müssen Benutzern Zugriffsrechte zugeordnet werden. Dieser Problembereich ist im Wissensmanagement von besonderer Bedeutung, da die hier vergebenen Rechte darüber bestimmen, wer auf gespeichertes Wissen zugreifen, es nutzen, weiterverarbeiten, weitergeben oder verändern kann. Zudem ist die Autorisierung an die Gegebenheiten und Anforderungen der Kooperation anzupassen, wobei nur wenig allgemein akzeptierte Verfahren, Vorgehensweisen und Implementierungen existieren. Im Rahmen des Auditing wird nachvollzogen, welche Einheiten welche Operationen ausgeführt haben. Dies dient insbesondere dazu, Sicherheitslücken aufzuspüren und zu analysieren. Beim Auditing werden im wesentlichen Nutzeraktivitäten aufgezeichnet und ausgewertet. Insbesondere die Auswertungen sind als ex-ante Kontrollen außerhalb des Systems durchzuführen (vgl. Tanenbaum/Steen 2002, S. 416) und daher an dieser Stelle nicht Teil des Betrachtungsgegenstandes. In Zusammenhang mit der Autorisierung werden oft die Termini Objekt und Subjekt verwendet. Ein Objekt bezeichnet dabei eine zu schützende Einheit eines Systems (Datei, Dokument, Funktion, ) und ein Subjekt eine zugreifende Einheit (vgl. Eckert 2003, S. 177). Wenn den Subjekten Rechte zugeordnet werden sollen, kann dabei nach verschiedenen Grundsätzen vorgegangen werden. Die wesentlichen Strategien dafür werden im Folgenden erläutert. 2.2 Grundlegende Strategien des Zugriffsschutzes Die drei wichtigsten Zugriffsstrategien sowohl im Bereich der wissenschaftlichen Forschung als auch in der Praxis sind Discretionary Access Control (DAC), Mandatory Access Control (MAC) und Role Based Access Control (RBAC) (vgl. Eckert 2003, S. 180 ff.; Sandhu 2001, S. 22).

9 Literaturverzeichnis 4 DAC und MAC waren insbesondere in den 70er und 80er Jahren die dominanten Zugriffsstrategien. DAC (auch als benutzerbestimmte oder diskrete Zugriffskontrolle bezeichnet) kommt aus dem Bereich der akademischen und industriellen Forschung und basiert darauf, dass der Zugriff auf Objekte grundsätzlich gestattet ist. Diese Zugriffe kann der für das Objekt verantwortliche Eigentümer (owner) jedoch einschränken. Dazu werden auf der Ebene der Objekte Sicherheitsfestlegungen getroffen. Systemweite Zugriffsregeln können mit DAC also nicht erstellt werden. Zudem können unautorisierte Informationsflüsse mit diesem Modell nur schwer vermieden werden, da Nutzer Zugriffsrechte an andere Benutzer und Objekte weitergeben können. Weiterhin besteht die Gefahr von widersprüchlichen Rechtevergaben, wenn beispielsweise ein Subjekt durch die Erlaubnis eine Operation auszuführen impliziten Zugriff auf ein Objekt erlangt, ihm der Zugriff auf dieses Objekt aber durch eine explizite Regel verboten ist (vgl. Eckert 2003, S. 181; Wörndl 2003, S. 32). MAC (auch mandatorische oder systembestimmte Zugriffskontrolle) stammt aus dem Bereich der militärischen und Sicherheitsforschung. Dabei können systemweite Festlegungen für Zugriffsrechte getroffen werden, die grundsätzlich über individuelle Rechtezuweisungen dominieren. Dazu werden die Objekte und Nutzer in starre Sicherheitsklassen eingeordnet. MAC verfolgt eher einen Ansatz, der alle Zugriffe verbietet, die nicht explizit erlaubt sind. In der aktuellen Diskussion zu Zugriffsschutzverfahren dominiert das Konzept der Rollenbasierten Zugriffskontrolle RBAC, das sich in Forschung und Praxis als Standard durchgesetzt hat (vgl. Sandhu 2001, S. 22). Dabei werden die Rechte nicht für einzelne Subjekte definiert, sondern für aufgabenbezogene Rollen. Den Subjekten können dann eine oder mehrere Rollen zugeordnet werden. Die Rollen können in Hierarchien geordnet werden, wobei eine Vererbung der Rechte möglich ist. Eine Übertragung von Rechten durch die Nutzer ist jedoch ausgeschlossen. Mittels RBAC können sowohl MAC und DAC abgebildet werden, das Modell enthält keine grundsätzliche Festlegung bezüglich der Freigabe von Zugriffen (vgl. Osborn/Sandhu/Munawer 2000, S. 85 ff.). Die Zuordnung der Subjekte zu Rollen erleichtert die Administration der Zugriffsberechtigungen erheblich, da Zugriffsberechtigungen nicht mehr für jeden Nutzer einzeln gepflegt werden müssen. Abb. 2-1 verdeutlicht den rollenbasierten Zugriff (vgl. Hansen/Neumann 2001, S. 229).

10 Literaturverzeichnis 5 Abbildung 2-1: Grundprinzip der Rollenbasierten Zugriffskontrolle Für Wissensmanagementanwendungen sind die beiden erstgenannten Zugriffsstrategien nur eingeschränkt geeignet. DAC ist insbesondere problematisch, weil die Zugriffsberechtigungen für jedes Objekt gesondert gepflegt werden müssen. In einem System, in dem große Zahlen von Objekten (Dokumenten) und Subjekten (Nutzern) verwaltet werden müssen, ist diese Vorgehen sehr pflegeintensiv und es ist kaum möglich, konsistente Zugriffsstrategien für bestimmte Benutzergruppen festzulegen (vgl. Hildman/Bartholdt 1999, S. 106). MAC hingegen ist durch die starre Ordnung der Schutzklassen und seine beschränkte Ausdrucksfähigkeit vielfach zu restriktiv und durch die systemweit einheitlichen Zugriffsklassen sehr inflexibel (vgl. Wörndl 2003, S. 32). Zudem widerspricht die restriktive Philosophie des Systems, das nur explizit erlaubte Zugriffe zulässt, dem Ziel, Wissen möglichst unkompliziert zu teilen und verfügbar zu machen. Rollenbasierte Zugriffskonzepte ermöglichen es hingegen, zum einen die Administration durch die Gruppierung von Privilegien zu Rollen stark zu vereinfachen und zum anderen beliebige Kontrollstrategien umzusetzen. 2.3 Konzepte zur Umsetzung des Zugriffsschutzes Um die von den Systembetreibern festgelegten Zugriffsstrategien technisch umzusetzen sind zwei grundlegende Konzepte relevant. Sie bilden die Grundlage der meisten bestehenden Forschungsarbeiten und praktischen Implementierungen: der Reference Monitor (vgl. Ferraiolo/Kuhn/Chandramouli 2003a, S. 31) und die Zugriffskontrolldatenbank (Access Control Database, vgl. Park 2003, S. 9). Der Reference Monitor (RM) ist ein theoretisches Konzept. Er repräsentiert die Hard- oder Software, die die Zugriffsstrategie durchsetzt. Dabei werden alle Zugriffe von Subjekten auf Objekte über den RM abgewickelt, der anhand von Daten aus einer Zugriffskontrolldatenbank entscheidet, ob der Zugriff erlaubt ist oder nicht (vgl. Abb. 2-2; Ferraiolo/Kuhn/Chandramouli 2003a, S. 31 ff.). In vielen Implementierungen ist der Reference Monitor auf Betriebssystem-

11 Literaturverzeichnis 6 ebene angesiedelt (etwa bei Windows NT/2000, vgl. Swift et al. 2002). Er kann aber auch auf der Anwendungsebene integriert werden (vgl. z.b. Park/Sandhu 2002, S. 58). Auch die Zugriffskontrolldatenbank ist nur ein theoretisches Konstrukt, das unterschiedliche Weise umgesetzt werden kann. Das gleiche gilt für die Protokolldatei (Audit File), in der Überwachungsinformationen für eine nachträgliche Auswertung der erfolgten Aktionen gespeichert werden. Die konkrete Umsetzung von Reference Monitor und Access Control Database, also das Teilsystem eines Computersystems, das über die Zulässigkeit bestimmter Operationen entscheidet, wird auch als Zugriffskontrollsystem bezeichnet (vgl. Stiemerling/Won/Wulf 2000, S. 319). Abbildung 2-2: Grundprinzip des Reference Monitor Die Access Control Database kann auf unterschiedliche Weise realisiert werden. Das in Forschung und Praxis etablierte Grundmodell für diese Zuordnung ist die Zugriffskontrollmatrix (Access Control Matrix, ACM, vgl. Park 2003, S. 8). Diese ist eine zweidimensionale Matrix, die in ihren Zeilen die Subjekte und in ihren Spalten die Objekte darstellt. An den Schnittpunkten werden dann die jeweiligen Zugriffsrechte gespeichert (vgl. Tanenbaum/Steen 2002, S. 448 ff.). Abb. 2-3 zeigt eine beispielhafte ACM. Die möglichen Zugriffsrechte können natürlich noch deutlich feiner aufgeteilt sein und andere Aktivitäten, etwa das Recht, Dateien auszuführen oder das Senden bzw. Empfangen von Daten enthalten. Abb. 2-4 zeigt die Schnittstelle zur ACM in einer Lernplattform. Über Änderungen an der Matrix können die Zugriffsrechte im System verändert werden. Da die Matrix insbesondere bei großen Systemen oft schwach besetzt ist und zudem sehr groß wird, wird sie in der Regel nicht als ganzes umgesetzt, sondern zeilen- oder spaltenweise implementiert.

12 Literaturverzeichnis 7 Objekt 1 Objekt 2 Objekt 3 Objekt 4 Subjekt 1 Read read/write Subjekt 2 read/write, owner Subjekt 3 read read/write Abbildung 2-3: Beispielhafte Zugriffskontrollmatrix Bei einer Umsetzung der ACM in Spalten werden allen Objekten Listen mit Zugriffsrechten von Subjekten zugeordnet, die als Zugriffskontrolllisten (Access control list, ACL) bezeichnet werden. Leere Matrixelemente entfallen. Dieses Verfahren hat den Vorteil, dass schnell festgestellt werden kann, wer Zugriff auf ein Objekt hat, und dass Zugriffsrechte einfach widerrufen werden können. ACLs bieten jedoch nur schwierig einen Überblick über die Frage, welche Rechte ein bestimmter Nutzer hat und skalieren bei großen Subjektzahlen schlecht. Als Alternative kann die ACM zeilenweise über Zugriffsausweise (Capabilities) realisiert werden. In diesem Fall wird jedem Subjekt eine gesicherte Liste von Zugriffsrechten zugeordnet, die bei Zugriffsversuchen übermittelt werden. Bei der Zugriffskontrolle muss dann lediglich die Gültigkeit der Capability überprüft werden, nicht die Identität des Subjektes. Man kann damit auch die Vergabe von Rechten von der Zugriffsprüfung trennen. Zudem entfällt die Durchsuchung möglicherweise umfangreicher ACLs. Anhand der Capabilities kann ein einfacher Überblick über die Zugriffsrechte des Nutzers generiert werden, allerdings ist die Widerrufung von ausgegebenen Berechtigungen problematisch. Abbildung 2-4: Zugriffskontrollmatrix in der Lernplattform CLIX

13 Literaturverzeichnis Weiterführende Forschungsgebiete Die traditionelle Zugriffskontrolle umfasst Systeme, die einen serverseitigen Reference Monitor haben und Zugriffsrechte zu bekannten Benutzern zuordnen. Sie sind grundsätzlich für geschlossene Systemumgebungen konzipiert worden, wie sie etwa in klassischen Multiuser- Systemen anzutreffen sind. Daneben existieren weitere Forschungsrichtungen, die ebenfalls die Autorisierung des Zugriffs auf Objekte behandeln. Sie unterscheiden sich in zwei wesentlichen Dimensionen von den klassischen Modellen: Zum einen bezüglich der Bekanntheit der Benutzer und zum anderen bezüglich des serverseitigen Reference Monitor. In diesem Zusammenhang sind insbesondere Trust Management und Digital Rights Management hervorzuheben (vgl. Park/Sandhu 2002, S. 58). Trust Management bezeichnet Forschungsrichtungen, die sich auf die Autorisierung unbekannter Nutzer konzentrieren. Dabei werden Zugriffsrechte auf der Basis von Eigenschaften oder Zugriffsausweisen der Nutzer vergeben, die von dritten Stellen zugesichert wurden und in digitalen Berechtigungsnachweisen oder Zertifikaten hinterlegt sind. Im Gegensatz zur traditionellen Zugriffskontrolle müssen die Nutzer selbst also dem den Zugriff gewährenden System nicht bekannt sein. In diesem Kontext sind etwa Forschungen zu Public Key Infrastrukturen relevant. Auch diese Forschungen konzentrieren sich jedoch auf die Kontrolle des Zugriffs auf serverseitig gespeicherte Objekte (vgl. Park 2003, S. 10). Der Einsatz von Trust Management Technologien kann insbesondere in verteilten Systemen sinnvoll sein, wenn nicht alle potenziellen Nutzer bekannt sind bzw. an zentraler Stelle verwaltet werden sollen. Trust Management wird an dieser Stelle nicht weiter vertieft, da im Wissensmanagement eine Authentifizierung der Nutzer vor dem Zugriff auf potenziell wettbewerbsrelevantes Wissen vorausgesetzt werden kann. Die Forschungsrichtung des Digital Rights Management (DRM) beschäftigt sich im Gegensatz dazu mit der Kontrolle des Zugriffs durch einen clientseitigen Reference Monitor. Schwerpunkt ist die Kontrolle des Zugriffs auf bereits verteilte, auf dem Client lokal gespeicherte Objekte. Dabei kann der clientseitige Reference Monitor ggf. mit einer serverseitigen Lösung kombiniert werden. Die dort diskutierten Technologien sind zwar im Kontext von Bezahlinhalten, insbesondere digitalem Medienvertrieb, entstanden (vgl. Liu/Safavi-Naini/Sheppard 2003), können grundsätzlich aber auch im Zusammenhang mit der Kontrolle von vertraulichen Dokumenten eingesetzt werden (vgl. Park/Sandhu 2002, S. 58). Es ist allerdings anzumerken, dass die Wirksamkeit von DRM-Lösungen auf existierenden Hardwareplattformen, die den Zugriff von Software auf Hardware und Speicherinhalte sowie die Ausführung von Programmen nur sehr eingeschränkt kontrollieren können, grundsätzlich eingeschränkt ist. Bislang wurden nahezu alle softwarebasierten Kopierschutzsysteme kompromittiert (vgl. Becker 2003,

14 Literaturverzeichnis 9 S. 11; 288). Dazu ist von Seiten des Nutzers in vielen Fällen nur ein Minimum an Fachwissen erforderlich. Es wird bezweifelt, ob dieser Zustand ohne hardwareseitig verankerte Trusted Computing -Technologien, die die Ausführung von Programmen auf zertifizierte Software einschränken, geändert werden kann (vgl. Park/Sandhu 2002, S. 58). Aufgrund dieser schwachen Schutzmöglichkeiten ist der Nutzen von DRM für das Wissensmanagement, insbesondere den Schutz sensiblen Wissens, zweifelhaft. Es wird daher in den folgenden Betrachtungen ausgeklammert. Diese mangelnde Wirksamkeit der clientseitigen Kontrollmechanismen hat einen bedeutsamen Nebeneffekt: es ist zwar möglich, den Zugriff auf serverseitig gespeichertes Wissen zu kontrollieren. Sobald es jedoch an ein Clientsystem übertragen wird, zur Anzeige, Speicherung oder Weiterverarbeitung, ist eine Kontrolle nur noch sehr eingeschränkt möglich. Daher kann eine missbräuchliche Weiternutzung von geteiltem Wissen nur auf nicht-technischer Ebene verhindert werden, etwa durch Vertraulichkeitsvereinbarungen. 3 Praktische Umsetzungen von Zugriffsschutzkonzepten Um zu illustrieren, wie die in Kap. 2 genannten Konzepte (insbesondere Reference Monitor und Access Control Database) praktisch umgesetzt werden können, wird im folgenden ein kurzer Überblick über existierende Varianten von Zugriffsschutzmechanismen gegeben. Dabei wird ein Schwerpunkt auf solche Anwendungen gelegt, die auch im Wissensmanagement relevant sind. Zudem wäre eine Untersuchung bestehender Zugriffsschutzkonzepte für Wissensmanagement-Systeme wünschenswert, die in Kooperationen eingesetzt werden. Untersuchungen zu diesem Thema fehlen aber bislang in der Literatur. Dabei kann gemäß dem in Kap. 2.3 vorgestellten Reference Monitor Konzept eine Unterteilung in drei Gruppen vorgenommen werden: Zum ersten sind Ansätze zur Implementierung des RM zu betrachten, der auf Betriebssystemebene oder in den Wissensmanagement- Anwendungen realisiert werden kann. Zum zweiten sind Varianten der Access Control Database zu betrachten, also Möglichkeiten, die Zugriffsinformationen zu speichern. Schließlich ist es sinnvoll, Austauschformate für Zugriffskontrollinformationen zu behandeln, denn diese Informationen müssen sowohl zwischen den verschiedenen Anwendungen ausgetauscht werden, die im Wissensmanagement zum Einsatz kommen, als auch zwischen den kooperierenden Partnern. Das Audit File sei an dieser Stelle vernachlässigt, da es als nachträglich zu nutzendes Kontrollinstrument eine eher untergeordnete Rolle spielt.

15 Literaturverzeichnis Praktische Umsetzungen des Reference Monitors Traditionelle Zugriffsschutzkonzepte sind vielfach auf der Betriebssystemebene angesiedelt. Dabei sind die zu kontrollierenden Operationen in der Regel beschränkt auf Dateizugriffe, wobei die Granularität der Operationen grob ist (im Bell-LaPadula Modell werden bspw. nur die Abstufungen read-only, append, execute, read-write, control unterschieden, vgl. Eckert 2003, S. 204). Dieser Ansatz scheint im Bereich von Wissensmanagement-Systemen nur eingeschränkt sinnvoll zu sein, da viele Inhalte dort nicht in Dateien, sondern als Einträge in Datenbanken gespeichert werden. Insbesondere Dokumente, die in Content- und Dokumentenmanagementsystemen, Forschungsdatenbanken etc. abgelegt sind, werden nicht in einzelnen Dateien verwaltet Somit ist eine Zugriffskontrolle mit einer feineren Granularität als auf Dateiebene erforderlich. Zudem sind ggf. weitere Operationen, z.b. Freigabeprozeduren, zu berücksichtigen, die auf Dateiebene nicht oder nur schwierig abgebildet werden können. Tatsächlich haben sich Anwendungen, deren Zugriffsschutz auf den Funktionen sicherer Betriebssysteme nicht auf breiter Front durchgesetzt (vgl. Sandhu 2003, S. 68). Abb. 3-1 zeigt die verschiedenen Varianten der Implementierung des Reference Monitor. Abbildung 3-1: Implementierungsvarianten des Reference Monitors Wenn Daten in einer Datenbank gespeichert werden, ist es zudem denkbar, die Zugriffskontrolle auf der Ebene der Datenbank durchzuführen. Grundsätzlich verfügen gängige relationale Datenbanksysteme (etwa von Informix oder Oracle) über umfangreiche Sicherheitsfunktionen. Diese ermöglichen es, rollenbasierte Zugriffssteuerungen auf der Ebene von Tabellen und Datenbankoperationen umzusetzen (vgl. Ferraiolo/Kuhn/Chandramouli 2003b, S. 266 ff.). Dies ermöglicht zwar eine feinere Zugriffssteuerung als auf Betriebssystemebene, bei Wissensmanagement-Anwendungen greifen Nutzer jedoch meist nicht direkt

16 Literaturverzeichnis 11 auf die Datenbank zu. Vielmehr nutzen sie Anwendungssysteme, etwa Content Management Systeme (CMS) oder Skill Management Systeme, die ihrerseits die Datenbank als Speichermedium nutzen. Daher ist ein Zugriffsschutz auf Datenbankebene aus mehreren Gründen problematisch. Zunächst kann er zwar Operationen auf Datenebene abfangen, etwa das Lesen oder Schreiben in Tabellen. Es ist jedoch nicht möglich, die Weiterverarbeitung der Daten im Anwendungssystem zu überwachen, um etwa festzulegen, ob ein Nutzer diese kopieren oder an anderer Stelle speichern kann. Zudem stellt die Verarbeitung von Zugriffsverweigerungen des Datenbanksystems ein Problem dar. Diese verursachen herstellerspezifische Fehlermeldungen, welche vom Anwendungssystem korrekt interpretiert werden müssten, damit es auch im Fall einer Zugriffsverweigerung in einem konsistenten Zustand bleibt und eine für den Nutzer verständliche Reaktion zeigen kann. Schließlich stellt die Realisierung des Zugriffsschutzes auch einen Verstoß gegen das Designprinzip der 3-Ebenen- Architektur dar, da es Funktionen der Anwendungslogik (die Definition und Prüfung von Berechtigungen) in der Datenbank implementiert. Damit wird die funktionale Trennung zwischen Daten- und Anwendungslogikschicht verletzt. Da eine Zugriffskontrolle auf Betriebssystem- bzw. Datenbankebene problematisch ist, wird der Reference Monitor auf der Ebene des Anwendungssystems umzusetzen sein. Dies wird bei einer Vielzahl wissensmanagementrelevanter Systeme so gehandhabt, ohne dass der RM als dezidierte Komponente für den Nutzer in Erscheinung tritt. Anwendungssysteme, die über integrierte Zugriffskontrollfunktionen verfügen, überprüfen die Zulässigkeit von angefragten Operationen. Der für die Überprüfung zuständige Teil der Software übernimmt damit die Funktion eines Reference Monitor. Dies ist beispielsweise bei CMS der Fall. Diese können Funktionen bzw. Rollen verwalten, die bestimmte Verantwortlichkeiten im Publikationsprozess abbilden. Dabei kann der Zugriff auf Operationen (etwa Bearbeiten oder Freischalten) und Objekte (Texte, Layouts) geregelt werden, die eng auf die Aufgaben des Systems abgestimmt sind (vgl. Bodendorf 2003, S. 88). Auf ähnliche Weise können in Workflow Management Systemen Zuständigkeiten und relevante Ressourcen für Gruppen von Mitarbeitern definiert werden. Dabei ist es möglich, die Ausführung bestimmter Aktionen auf autorisierte Mitarbeiter (-gruppen) zu beschränken. Das Workflowsystem überprüft dabei bei Nutzerzugriffen auf bestimmte Funktionen, ob der Nutzer über die erforderliche Rolle verfügt (vgl. z.b. Ahn et al. 2000). Grundsätzlich steht bei Workflow-Systemen aber die Zuordnung der Aufgaben zu den relevanten Mitarbeitern im Vordergrund, nicht der Schutz von Inhalten vor unautorisierten Zugriffen. Auch die großen, marktgängigen Groupware-Pakete verfügen über integrierte Zugriffsschutzmechanismen auf Anwendungsebene, wobei im allgemeinen Rollenbasierte Konzepte unter-

17 Literaturverzeichnis 12 stützt werden (vgl. Hansen/Neumann 2001, S. 442). Das marktführende System, Lotus Notes/Domino, unterstützt beispielsweise Berechtigungen auf der Ebene von Servern, Datenbanken oder einzelnen Dokumenten, die wiederum nach unterschiedlichen Funktionen unterteilt werden können. Auf der Serverebene kann beispielsweise festgelegt werden, welche Nutzer Anfragen an welchen Port eines Servers stellen dürfen. Auf Dokumentenebene kann unter anderem festgelegt werden, dass bestimmte Teile von Dokumenten nur von autorisierten Nutzern eingesehen werden dürfen oder dass ein Verschicken von Dokumenten an andere Clients eine digitale Signatur zur Identifikation des Absenders erfordert. Dabei ist die die Veränderung der ACLs auf Administratoren beschränkt, die wiederum in unterschiedliche Kompetenzbereiche eingeteilt werden können (vgl. Tanenbaum/Steen 2002, S. 690 ff. sowie ausführlich Tworek/Chiesa 2004). Auch in Portalsystemen sind meist eigene Rechteverwaltungskomponenten enthalten. Diese definieren, ähnlich wie in CMS, Gruppen von Nutzern, denen jeweils spezifische Portalfunktionen zugänglich sind (vgl. Puschmann 2003, S. 99 ff.). Der Portalserver des IBM WebSphere Portal kontrolliert beispielsweise alle Zugriffe innerhalb des Portals. Dazu gibt es ein Portlet, mit Zugriffsrechte verwaltet werden können. Zugriffe auf die über das Portal erreichbaren Ressourcen, etwa Funktionen von ERP-Software, können auf der Ebene von Portalkomponenten rollenspezifisch freigegeben werden. Daneben können auch Funktionen des Portals (z.b. durchsuchen, anzeigen ändern, personalisieren, löschen, verschieben und sperren) auf Seitenebene gezielt beschränkt werden. Zudem können Hierarchien von Administratorrechten festgelegt werden (vgl. IBM Corp. 2004). Wenn eine Rechteverwaltung auf Anwendungsebene erfolgt, müssen die Rechte jeweils anwendungsspezifisch definiert und vergeben werden. Dabei nutzt jede Anwendung bzw. jedes Anwendungspaket einen eigenen Reference Monitor. Es ist anzumerken, dass sich die Zugriffskontrolle auf Anwendungsebene oft von der Zugriffskontrolle auf unteren Ebenen in sofern unterscheidet, als nicht zulässige Zugriffe bzw. Operationen nicht mit einer Fehlermeldung quittiert werden, sondern auf der Ebene der Benutzeroberfläche ausgeblendet werden und somit von vorneherein nicht ausgeführt werden können. 3.2 Umsetzungsvarianten der Access Control Database Auch für die Speicherung der Zugriffskontrolldaten, also der Subjekte, Rollen und Privilegien existieren verschiedenen Ansätze. Dabei kann zwischen eher zentralen Ansätzen in Form von Verzeichnisdiensten und eher dezentralen Varianten unterschieden werden.

18 Literaturverzeichnis 13 Verzeichnisdienste kommen in erster Linie bei der Zugriffskontrolle auf Betriebssystemebene zum Einsatz. Ein Verzeichnisdienst ist eine leseoptimierte Datenbank, in der Bindungen zwischen Namen von Objekten und Attributen gespeichert und durchsucht werden können (vgl. Coulouris/Dollimore/Kindberg 2002, S. 434 ff.). Dabei werden die Daten in hierarchischen Bäumen gespeichert. In einem Verzeichnisdienst können zum einen die in einem Netzwerk verfügbaren Ressourcen mit ihren ACLs und zum anderen die Benutzer mit weiteren Attributen (etwa Gruppenzugehörigkeiten und Passwörtern) gespeichert werden. Die Attribute sind dabei nicht festgelegt, sondern können vom Administrator des Verzeichnisdienstes definiert werden. Es existiert eine große Anzahl kommerzieller und freier Implementierungen von Verzeichnisdiensten, die sich jedoch bezüglich der internen Struktur (hierarchische Bäume) ähneln und über standardisierte Schnittstellen verfügen (z.b. LDAP, vgl. Kap. 3.3). Beispiele sind MS Active Directory, Novell edirectory oder Netscape Directory Server. Der Verzeichnisdienst kann auch als Speichermedium für den Zugriffsschutz auf Anwendungsebene dienen. Verzeichnisdienste werden insbesondere in großen Unternehmen mit hohen Nutzerzahlen eingesetzt, in denen ein zentrales Nutzermanagement gewünscht oder notwendig ist. Sie werden primär dazu genutzt, Passwörter für alle angeschlossenen Anwendungen zentral zu verwalten und zu ändern und erlauben den Aufbau von Single-Sign-On Funktionen. Zudem ermöglichen sie eine zentrale Überwachung und Verwaltung der im Verzeichnis festgelegten Berechtigungen. Diese Funktionen können auch im Wissensmanagement genutzt werden, etwa um den Zugriff auf eine große Zahl von Speichersystemen (Content- und Dokumentenmanagement, Groupware etc.) zu vereinfachen und zu vereinheitlichen. Alternativ kann die Access Control Database auch komplett in einer Anwendung umgesetzt werden. In diesem Fall enthält das Anwendungssystem sowohl die Daten über die Nutzer als auch die ACL der einzelnen Ressourcen. Dies ist etwa bei der internen Zugriffskontrolle von Lotus Notes/Domino der Fall (vgl. Tanenbaum/Steen 2002, S. 690). Anwendungsspezifische Sicherheitsmechanismen sind derzeit weit verbreitet und werden in zahlreichen Groupwareund Portalsystemen verwendet, um den Zugriff auf einzelne Systemfunktionen einzuschränken. Diese können eng auf Funktionen der jeweiligen Anwendung abgestimmt werden, verursachen aber Probleme hinsichtlich der Verwaltung. Zudem sind Kombinationen dieser Ansätze möglich, da die Access Control Database nicht notwendigerweise als physische Einheit implementiert werden muss. So besteht zum Beispiel die Möglichkeit, in einem zentralen Verzeichnisdienst Nutzer und Rollenzugehörigkeiten zu speichern. Bei einer Anfrage durch einen Nutzer werden nun diese Rollenzugehörigkeiten von einem Anwendungssystem geprüft. Dazu wird kontrolliert, ob die intern gespeicherte ACL des angefragten Objektes eine Zugriffserlaubnis für eine der Rollen des Nutzers enthält (vgl. z.b. Park/Ahn/Sandhu 2001). Ähnlich nutzen auch viele Portalsysteme LDAP-Verzeichnisse zur

19 Literaturverzeichnis 14 Übernahme von Nutzerdaten, verfügen aber weiterhin über eigene Rollenverwaltungen (vgl. Puschmann 2003, S. 98; Eberhardt et al. 2002, S. 48 ff.). Die folgende Abbildung zeigt die Varianten im Überblick. Diese Variante kann sinnvoll sein, wenn die Nutzerdaten zur Vereinfachung der Administration zentralisiert werden sollen, gleichzeitig jedoch keine zentrale Verwaltung der Rechte gewünscht wird. Dies kann beispielsweise der Fall sein, wenn bestehende Anwendungssysteme genutzt werden sollen, die zwar die Nutzerdaten über eine Schnittstelle aus dem Verzeichnis beziehen können, jedoch weiterhin eine interne Verwaltung der Berechtigungen benötigen. Abbildung 3-2: Implementierungsvarianten der Access Control Database 3.3 Standards für den anwendungs- und unternehmensübergreifenden Zugriffsschutz Beim Wissensmanagement in Kooperationen muss die Zugriffskontrolle über mehrere Anwendungen und über mehrere Partner verteilt erfolgen. Also ist der Austausch von Zugriffskontrollinformationen notwendig, wenn diese nicht in jedem eingesetzten Anwendungssystem einzeln gepflegt werden sollen. Für diesen Austausch sind entsprechende Standards erforderlich. Insbesondere kann zwar die Zugriffskontrolldatenbank für mehrere Anwendungen ganz oder teilweise zusammengefasst werden. Zugleich ist es jedoch für eine fein granulare Kontrolle notwendig, dass der Reference Monitor anwendungsspezifische Funktionen kontrollieren kann. Wenn mehrere Anwendungen, welche ggf. von unterschiedlichen Anbietern stammen, eine gemeinsame Access Control Database nutzen sollen, sind Standards erforderlich, die die Definition universeller Schnittstellen zur ACD erlauben. Einer der wichtigsten Standards im Bereich des Zugriffsschutzes ist das Lightweight Directory Access Protocol (LDAP). Es hat sich als Standardprotokoll für den Zugriff auf Verzeichnisdienste etabliert. Ursprünglich wurde es für einen vereinfachten Zugriff auf Verzeichnisse nach

20 Literaturverzeichnis 15 dem X.500-Standard über TCP/IP entwickelt, mittlerweile wird es aber von allen gängigen Verzeichnisdiensten unterstützt (vgl. Park/Ahn/Sandhu 2001, S. 21). Die mittels LDAP abzufragenden Verzeichniseinträge bestehen aus Objekten, die eine Sammlung von Attributen enthalten und Informationen über ein reales Objekt repräsentieren. Die Attribute können hinsichtlich Bedeutung und Syntax erweitert werden und somit genutzt werden, um beliebige Informationen über Objekte zu speichern. Die von einem Verzeichnis verwendeten Objekte und ihre Attribute werden in einem Schema festgelegt, das bei einer Anfrage übermittelt wird. Es existieren einige Schemata mit festgelegten Beschreibungselementen (vgl. z.b. RFC 2252; RFC 2256). Diese enthalten im Allgemeinen Attribute zur Beschreibung von Personen bzw. Organisationen (etwa Distinguished Names, Organisationseinheiten, Adressen, Zertifikate etc.), jedoch kaum zugriffskontrollspezifische Attribute. Für die Nutzung und Interpretation weiterer Attribute, die etwa anwendungsspezifische Zugriffsrechte enthalten, sind folglich gesonderte Übereinkünfte zu treffen (vgl. Tuttle/Ehlenberger 2004, S. 33). Eine Alternative zu LDAP stellt die XML-basierte Directory Services Markup Language (DSML) dar (vgl. OASIS 2001; Tuttle/Ehlenberger 2004, S. 639 ff.). Sie kann ebenfalls zur Interaktion mit Verzeichnissen genutzt werden und besitzt einen mit LDAP vergleichbaren Funktionsumfang. Da DSML weniger verbreitet ist als LDAP stellt sich die Frage, ob durch den Einsatz dieses Standards ein Zusatznutzen realisierbar ist, der über die Interpretierbarkeit durch XML-basierte Anwendungen hinausgeht. LDAP hat zwar weite Verbreitung erreicht, es kann aber nur eine Teilaufgabe, nämlich den Zugriff auf die Access Control Database abdecken. Die Entwicklung weiterer Standards im Bereich des Austausches von Zugriffskontrolldaten hat erst in jüngster Zeit begonnen. Dabei sind insbesondere SAML und XACML von Bedeutung, die im Folgenden erläutert werden (vgl. Coetzee/Eloff 2003, S. 287). Die Security Assertion Markup Language SAML dient dazu, Informationen über Benutzerauthentifikation, -autorisierung, und eigenschaften zu übertragen. Damit soll es beim Einsatz von SAML in Single-Sign-On Systemen möglich sein, eine Anmeldung an einem System vorzunehmen und die Anmeldeinformationen in sicherer, standardisierter Form an andere Systeme zu übermitteln, die damit keine erneuten Prüfungen mehr vornehmen müssen. Damit können auch Sicherheitssysteme unterschiedlicher Hersteller zur Authentifizierung und Autorisierung gemischt werden (vgl. OASIS 2004; Macvittie 2003, S. 71 ff.). Dabei standardisiert SAML ähnlich wie LDAP jedoch nur das Übertragungsformat, nicht jedoch konkrete Inhalte der zu übertragenden Nutzereigenschaften. Die bisherigen Implementierungen von SAML haben eher den Charakter von Forschungsprototypen (vgl. Jeong 2004, S. 891 ff.; Shin/Jeong/Shin 2004, S. 557 ff.), eine Unterstützung in kommerzieller Anwendungssoftware ist bislang eher selten. Allerdings haben namhafte Softwarehersteller (etwa Microsoft, Novell

Dipl.-Ök. Thorben Sandner Institut für Wirtschaftsinformatik Leibniz Universität Hannover. sandner@iwi.uni-hannover.de

Dipl.-Ök. Thorben Sandner Institut für Wirtschaftsinformatik Leibniz Universität Hannover. sandner@iwi.uni-hannover.de 09. Juni 2009 Dipl.-Ök. Thorben Sandner sandner@iwi.uni-hannover.de Definition Sicherheit Sicherheit bezeichnet den Zustand des Sicherseins vor Gefahr oder Schaden bzw. einen Zustand, in dem Schutz vor

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

CaseWare Monitor. ProduktNEWS CaseWare Monitor. Version 4.3. Mehr Informationen zu CaseWare Monitor und unseren anderen Produkten & Dienstleistungen

CaseWare Monitor. ProduktNEWS CaseWare Monitor. Version 4.3. Mehr Informationen zu CaseWare Monitor und unseren anderen Produkten & Dienstleistungen Mit der aktuellen Version hält eine komplett neu konzipierte webbasierte Anwendung Einzug, die sich neben innovativer Technik auch durch ein modernes Design und eine intuitive Bedienung auszeichnet. Angefangen

Mehr

Federated Identity Management

Federated Identity Management Federated Identity Management Verwendung von SAML, Liberty und XACML in einem Inter Campus Szenario d.marinescu@gmx.de 1 Fachbereich Informatik Inhalt Grundlagen Analyse Design Implementierung Demo Zusammenfassung

Mehr

Kapitel. Sicherheit. Seite. Kapitel. Sicherheit. Workplace & WebSphere Domino & Notes

Kapitel. Sicherheit. Seite. Kapitel. Sicherheit. Workplace & WebSphere Domino & Notes Sicherheit 99 9 Sicherheit 7. Ergänzungslieferung 02/2007 Ein ITP-Handbuch 9 Sicherheit 9 Moderne Anwendungen müssen einer Vielzahl von Anforderungen gerecht werden. Mit dem Siegeszug der IT in die Geschäftswelt

Mehr

Sicherheitsaspekte unter Windows 2000

Sicherheitsaspekte unter Windows 2000 Sicherheitsaspekte unter Windows 2000 Margarete Kudak Sascha Wiebesiek 1 Inhalt 1. Sicherheit 1.1 Definition von Sicherheit 1.2 C2 - Sicherheitsnorm 1.3 Active Directory 2. Sicherheitslücken 3. Verschlüsselung

Mehr

Sicherheitsaspekte von Web Services. Hauptseminar Rechnernetze

Sicherheitsaspekte von Web Services. Hauptseminar Rechnernetze Sicherheitsaspekte von Web Services Hauptseminar Rechnernetze Stefan Hennig sh790883@inf.tu-dresden.de 21. Januar 2005 Gliederung Einführung Überblick Sicherheit auf Netzwerk- und Transportebene XML-Sicherheit

Mehr

(c) 2014, Peter Sturm, Universität Trier

(c) 2014, Peter Sturm, Universität Trier Soziotechnische Informationssysteme 6. OAuth, OpenID und SAML Inhalte Motivation OAuth OpenID SAML 1 Grundlagen Schützenswerte Objekte Zugreifende Subjekte Authentifizierung Nachweis einer behaupteten

Mehr

IT-Sicherheit. 1. Einführung und organisatorische Sicherheit. 2. Datenschutz und Nicht-technische Datensicherheit. 3. Identity Management

IT-Sicherheit. 1. Einführung und organisatorische Sicherheit. 2. Datenschutz und Nicht-technische Datensicherheit. 3. Identity Management IT-Sicherheit 1. Einführung und organisatorische Sicherheit 2. Datenschutz und Nicht-technische Datensicherheit 3. Identity Management 4. Angewandte IT Sicherheit 5. Praktische IT Sicherheit 1. Einführung

Mehr

GeoXACML und SAML. Ubiquitous Protected Geographic Information. Dr. Andreas Matheus Universität der Bundeswehr München Andreas.Matheus@unibw.

GeoXACML und SAML. Ubiquitous Protected Geographic Information. Dr. Andreas Matheus Universität der Bundeswehr München Andreas.Matheus@unibw. GeoXACML und SAML Ubiquitous Protected Geographic Information Dr. Andreas Matheus Universität der Bundeswehr München Andreas.Matheus@unibw.de Was erwartet Sie in diesem Vortrag? Einleitung OpenGIS Web

Mehr

Active Directory Integration Mac OS X. René Meusel Betriebssystemadministration

Active Directory Integration Mac OS X. René Meusel Betriebssystemadministration Active Directory Integration Mac OS X René Meusel Betriebssystemadministration Sommersemester 2009 Gliederung 2 Motivation Was ist Active Directory? Allgemeine Definition Funktionsweise Unterstützung in

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

Einführung in die OPC-Technik

Einführung in die OPC-Technik Einführung in die OPC-Technik Was ist OPC? OPC, als Standartschnittstelle der Zukunft, steht für OLE for Process Control,und basiert auf dem Komponentenmodel der Firma Microsoft,dem Hersteller des Betriebssystems

Mehr

Initiative»Elektronische Fallakte«

Initiative»Elektronische Fallakte« Deklarative Sicherheit zur Spezifikation und Implementierung der elektronischen FallAkte Workshop»Sichere Informationstechnologie für das Gesundheitswesen von morgen«gmds Jahrestagung 2010, Mannheim R.

Mehr

NorCom Global Security for BEA. Mehr Sicherheit für Web-Applikationen

NorCom Global Security for BEA. Mehr Sicherheit für Web-Applikationen NorCom Global Security for BEA Mehr Sicherheit für Web-Applikationen E-Business oder kein Business immer mehr Unternehmen verlagern ihre Geschäftsprozesse ins Internet. Dabei kommt dem Application Server

Mehr

Mitglied der: KNX Association OPC Foundation BACnet Interest Group Europe. Dokumentversion: 1.0.2

Mitglied der: KNX Association OPC Foundation BACnet Interest Group Europe. Dokumentversion: 1.0.2 Mitglied der: KNX Association OPC Foundation BACnet Interest Group Europe Dokumentversion: 1.0.2 Inhaltsverzeichnis 1. System Überblick 4 2. Windows Firewall Konfiguration 5 2.1. Erlauben von DCOM Kommunikation

Mehr

Rollen- und Rechtekonzept

Rollen- und Rechtekonzept Inhaltsverzeichnis Rollen- und Rechtekonzept 1. Ziele...1 2. Konzeption zur Realisierung durch Access Control List und im Management-Interface...2 2.1. Ansatz...2 2.2. Safety oder Security...2 2.3. User-

Mehr

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. "For your eyes only" Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo.

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. For your eyes only Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo. Karlsruher IT-Sicherheitsinitiative - 26. April 2001 "For your eyes only" Sichere E-Mail in Unternehmen Dr. Dörte Neundorf neundorf@secorvo.de Secorvo Security Consulting GmbH Albert-Nestler-Straße 9 D-76131

Mehr

Prüfbericht. EgoSecure ENDPOINT. Version: Ladenburg, 28.03.2014 Ersteller: Holger Vier, Sachverständiger

Prüfbericht. EgoSecure ENDPOINT. Version: Ladenburg, 28.03.2014 Ersteller: Holger Vier, Sachverständiger Prüfbericht EgoSecure ENDPOINT Version: Ladenburg, 28.03.2014 Ersteller: Holger Vier, Sachverständiger Das Unternehmen EgoSecure verspricht mit seinem Produkt, EgoSecure Endpoint, die Implementierung von

Mehr

LDAP in der GWDG Einsatzspektrum

LDAP in der GWDG Einsatzspektrum LDAP in der GWDG Einsatzspektrum Konrad Heuer, Andreas Ißleiber Gesellschaft für wissenschaftliche Datenverarbeitung mbh Göttingen Einleitung In diesem Vortrag wird dargestellt, wie sich das Einsatzspektrum

Mehr

SECURITY DESIGN PATTERN FÜR EHEALTH-PLATTFORMEN

SECURITY DESIGN PATTERN FÜR EHEALTH-PLATTFORMEN Matthias Heyde / Fraunhofer FOKUS SECURITY DESIGN PATTERN FÜR EHEALTH-PLATTFORMEN Dr. Jörg Caumanns Fraunhofer FOKUS, Berlin BEISPIELE FÜR EHEALTH ARCHITEKTUREN Security Security Security c c c c c c S

Mehr

Hinweise zu A-Plan 2009 SQL

Hinweise zu A-Plan 2009 SQL Hinweise zu A-Plan 2009 SQL Für Microsoft Windows Copyright Copyright 2008 BRainTool Software GmbH Inhalt INHALT 2 EINLEITUNG 3 WAS IST A-PLAN 2009 SQL? 3 WANN SOLLTE A-PLAN 2009 SQL EINGESETZT WERDEN?

Mehr

Automatisiertes Informationsmanagement für Microsoft Exchange Server

Automatisiertes Informationsmanagement für Microsoft Exchange Server Windream Exchange Automatisiertes Informationsmanagement für Microsoft Exchange Server Facts: Zugriff auf E-Mails sowohl aus Microsoft Outlook als auch aus Windream Komfortable Recherche und Verwaltung

Mehr

DCOM Einstellungen zur rechnerübergreifenden Kommunikation zwischen OPC Server und OPC Client

DCOM Einstellungen zur rechnerübergreifenden Kommunikation zwischen OPC Server und OPC Client DCOM Einstellungen zur rechnerübergreifenden Kommunikation zwischen OPC Server und OPC Client 1. Einleitung Für die rechnerübergreifende Kommunikation zwischen OPC Client und OPC Server wird bei OPC DA

Mehr

IT-basierte Erstellung von Nachhaltigkeitsberichten. Diplomarbeit

IT-basierte Erstellung von Nachhaltigkeitsberichten. Diplomarbeit IT-basierte Erstellung von Nachhaltigkeitsberichten Diplomarbeit zur Erlangung des Grades eines Diplom-Ökonomen der Wirtschaftswissenschaftlichen Fakultät der Leibniz Universität Hannover vorgelegt von

Mehr

White Paper. Konfiguration und Verwendung des Auditlogs. 2012 Winter Release

White Paper. Konfiguration und Verwendung des Auditlogs. 2012 Winter Release White Paper Konfiguration und Verwendung des Auditlogs 2012 Winter Release Copyright Fabasoft R&D GmbH, A-4020 Linz, 2011. Alle Rechte vorbehalten. Alle verwendeten Hard- und Softwarenamen sind Handelsnamen

Mehr

XML-Sicherheitsdienste für das Netzwerk der Global Biodiversity Information Facility GBIF

XML-Sicherheitsdienste für das Netzwerk der Global Biodiversity Information Facility GBIF XML-Sicherheitsdienste für das Netzwerk der Global Biodiversity Information Facility GBIF Dipl.-Inf. Lutz Suhrbier Prof. Dr.-Ing. Robert Tolksdorf Dipl.-Inf. Ekaterina Langer Freie Universität Berlin Institut

Mehr

Active Directory unter Linux

Active Directory unter Linux CeBIT 2015 Active Directory unter Linux Prof- Dr.-Ing. Kai-Oliver Detken DECOIT GmbH Fahrenheitstraße 9 D-28359 Bremen http://www.decoit.de detken@decoit.de DECOIT GmbH Kurzvorstellung der DECOIT GmbH

Mehr

Network Access Control für Remote Access: Best Practice Technical Paper

Network Access Control für Remote Access: Best Practice Technical Paper Network Access Control für Remote Access: Best Practice Technical Paper Stand Mai 2010 Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert werden und

Mehr

1 Die Active Directory

1 Die Active Directory 1 Die Active Directory Infrastruktur Prüfungsanforderungen von Microsoft: Configuring the Active Directory Infrastructure o Configure a forest or a domain o Configure trusts o Configure sites o Configure

Mehr

Aktive Schnittstellenkontrolle

Aktive Schnittstellenkontrolle Aktive Schnittstellenkontrolle Version 1.0 Ausgabedatum 05.03.2013 Status in Bearbeitung in Abstimmung Freigegeben Ansprechpartner Angelika Martin 0431/988-1280 uld34@datenschutzzentrum.de Inhalt 1 Problematik...2

Mehr

ISSS Security Lunch - Cloud Computing

ISSS Security Lunch - Cloud Computing ISSS Security Lunch - Cloud Computing Technische Lösungsansätze Insert Andreas Your Kröhnert Name Insert Technical Your Account Title Manager Insert 6. Dezember Date 2010 The Cloud Unternehmensgrenzen

Mehr

Prinzipien der Application Centric Infrastructure

Prinzipien der Application Centric Infrastructure Whitepaper Prinzipien der Application Centric Infrastructure Übersicht Eine der wichtigsten Innovationen der Application Centric Infrastructure (ACI) ist die Einführung einer hochabstrakten Schnittstelle

Mehr

Dr. Thomas Lux XIONET empowering technologies AG Bochum, 20. Oktober 2005

Dr. Thomas Lux XIONET empowering technologies AG Bochum, 20. Oktober 2005 XIONET empowering technologies AG Bochum, 20. Oktober 2005 EIS Analyseorientierte Informationssysteme DSS Einkauf F u E MIS Lager Vertrieb Produktion Operative Informationssysteme Folie 2 Oktober 05 Anwender

Mehr

OpenLDAP, adieu? Ein LDAP Server in Java: ApacheDS Reality Check. Stefan Zörner

OpenLDAP, adieu? Ein LDAP Server in Java: ApacheDS Reality Check. Stefan Zörner OpenLDAP, adieu? Ein LDAP Server in Java: ApacheDS Reality Check Stefan Zörner Zusammenfassung. Short Talk: OpenLDAP, adieu? Ein LDAP Server in Java: ApacheDS Reality Check Das Apache Directory Projekt

Mehr

BERECHTIGUNGS- UND USERMANAGEMENT

BERECHTIGUNGS- UND USERMANAGEMENT 1 BERECHTIGUNGS- UND USERMANAGEMENT Die Firma: protected-networks.com Die 2009 in Berlin gegründete protectednetworks.com GmbH entwickelt integrierte Lösungen für das Berechtigungsund Usermanagement in

Mehr

Version 4.4. security.manager. Systemvoraussetzungen

Version 4.4. security.manager. Systemvoraussetzungen Version 4.4 security.manager Systemvoraussetzungen Version 4.4 Urheberschutz Der rechtmäßige Erwerb der con terra Softwareprodukte und der zugehörigen Dokumente berechtigt den Lizenznehmer zur Nutzung

Mehr

Technische Beschreibung: EPOD Server

Technische Beschreibung: EPOD Server EPOD Encrypted Private Online Disc Technische Beschreibung: EPOD Server Fördergeber Förderprogramm Fördernehmer Projektleitung Projekt Metadaten Internet Foundation Austria netidee JKU Linz Institut für

Mehr

Server Installation 1/6 20.10.04

Server Installation 1/6 20.10.04 Server Installation Netzwerkeinrichtung Nach der Installation müssen die Netzwerkeinstellungen vorgenommen werden. Hierzu wird eine feste IP- Adresse sowie der Servername eingetragen. Beispiel: IP-Adresse:

Mehr

Role Based Access Control und Identity Management

Role Based Access Control und Identity Management Role Based Access Control und Identity Management Treffen des ZKI-AK Verzeichnisdienste, 7.-8.3.2012, Halle Peter Gietz, Markus Widmer, DAASI International GmbH Peter.gietz@daasi.de 1 Agenda 2 (c) März

Mehr

Autorisierung zentral steuern

Autorisierung zentral steuern Autorisierung zentral steuern AdNovum hatte jüngst Gelegenheit, ein Autorisierungs-Management-System für ein Gesundheits-Enterprise-Portal zu bauen. Welche Form der Autorisierung soll auf welcher Stufe

Mehr

Service-Orientierte Architekturen

Service-Orientierte Architekturen Hochschule Bonn-Rhein-Sieg Service-Orientierte Architekturen Kapitel 7: Web Services IV Exkurs über Sicherheitsanforderungen Vorlesung im Masterstudiengang Informatik Sommersemester 2010 Prof. Dr. Sascha

Mehr

COI-BusinessFlow G5 R2 What s New

COI-BusinessFlow G5 R2 What s New COI-BusinessFlow G5 R2 What s New COI Gm bh - Erl ang en COI GmbH COI-BusinessFlow G5 R2 What s New Seite 1 von 8 1 Zusammenfassung 3 2 Übersicht - What s New 4 2.1 LDAP-Synchronisation 4 2.1.1 CMIS 4

Mehr

Web Service Security

Web Service Security Hochschule für Angewandte Wissenschaften Hamburg Fachbereich Elektrotechnik und Informatik SS 2005 Masterstudiengang Anwendungen I Kai von Luck Web Service Security Thies Rubarth rubart_t@informatik.haw-hamburg.de

Mehr

Dokumentation Einrichtung des Netzwerkes und der Ordnerfreigabe für Manny/MannyQt unter Windows Vista / Windows 7

Dokumentation Einrichtung des Netzwerkes und der Ordnerfreigabe für Manny/MannyQt unter Windows Vista / Windows 7 Dokumentation Einrichtung des Netzwerkes und der Ordnerfreigabe für Manny/MannyQt unter Windows Vista / Windows 7 1. Einleitung...2 2. Einrichten der Arbeitsgruppe und des Computernamen...2 2.1 Windows

Mehr

Liste der Handbücher. Liste der Benutzerhandbücher von MEGA

Liste der Handbücher. Liste der Benutzerhandbücher von MEGA Liste der Handbücher Liste der Benutzerhandbücher von MEGA MEGA 2009 SP4 1. Ausgabe (Juni 2010) Die in diesem Dokument enthaltenen Informationen können jederzeit ohne vorherige Ankündigung geändert werden

Mehr

1 Dataport 12.Juli 2007 Internationale Standards zu Identity Management. Deckblatt. Harald Krause

1 Dataport 12.Juli 2007 Internationale Standards zu Identity Management. Deckblatt. Harald Krause 1 Dataport 12.Juli 2007 Internationale Standards zu Identity Management Deckblatt Bremen, E-Government in medias res, 12. Juli 2007 Internationale Standards zu Identity Management 3 Dataport 12.Juli 2007

Mehr

2 Verwalten einer Active Directory

2 Verwalten einer Active Directory Einführung 2 Verwalten einer Active Directory Infrastruktur Lernziele Active Directory und DNS Besonderheiten beim Anmeldevorgang Vertrauensstellungen Sichern von Active Directory Wiederherstellen von

Mehr

Programmiertechnik II

Programmiertechnik II X.509: Eine Einführung X.509 ITU-T-Standard: Information Technology Open Systems Interconnection The Directory: Public Key and attribute certificate frameworks Teil des OSI Directory Service (X.500) parallel

Mehr

IT-Security als Enabler Attribut-basierte Autorisierung (ABAC) für das neue Kundenportal der CSS

IT-Security als Enabler Attribut-basierte Autorisierung (ABAC) für das neue Kundenportal der CSS IT-Security als Enabler Attribut-basierte Autorisierung (ABAC) für das neue Kundenportal der CSS Netclose Community Treffen, Horw, 24.09.2014 Stefan Allemann, CSS Versicherung CSS Versicherung - INTRAS

Mehr

Lizenzierung von Exchange Server 2013

Lizenzierung von Exchange Server 2013 Lizenzierung von Exchange Server 2013 Das Lizenzmodell von Exchange Server 2013 besteht aus zwei Komponenten: Serverlizenzen zur Lizenzierung der Serversoftware und Zugriffslizenzen, so genannte Client

Mehr

Step by Step Active Directory unter Windows Server 2003. von Christian Bartl

Step by Step Active Directory unter Windows Server 2003. von Christian Bartl Step by Step Active Directory unter Windows Server 2003 von Active Directory unter Windows Server 2003 Um Active Directory zu installieren muss der Server eine fixe IP-Adresse besitzen. Außerdem wird die

Mehr

Unternehmensdaten rundum sicher mobil bereitstellen

Unternehmensdaten rundum sicher mobil bereitstellen im Überblick SAP-Technologie SAP Mobile Documents Herausforderungen Unternehmensdaten rundum sicher mobil bereitstellen Geschäftsdokumente sicher auf mobilen Geräten verfügbar machen Geschäftsdokumente

Mehr

LDAP verstehen, OpenLDAP einsetzen

LDAP verstehen, OpenLDAP einsetzen Dieter Klünter Jochen Laser LDAP verstehen, OpenLDAP einsetzen Grundlagen, Praxiseinsatz und Single-sign-on-Mechanismen Technische Universität Darmstadt FACHBEREICH INFORMATIK Invanter-Nr, J Standort:

Mehr

CLOUD APPS IM UNTERNEHMEN VERWALTEN. So meistern Sie die Herausforderungen. Whitepaper

CLOUD APPS IM UNTERNEHMEN VERWALTEN. So meistern Sie die Herausforderungen. Whitepaper CLOUD APPS IM UNTERNEHMEN VERWALTEN So meistern Sie die Herausforderungen Whitepaper 2 Die Herausforderungen bei der Verwaltung mehrerer Cloud Identitäten In den letzten zehn Jahren haben cloudbasierte

Mehr

E-Mail-Archivierung für Microsoft Outlook und Exchange Server

E-Mail-Archivierung für Microsoft Outlook und Exchange Server windream Exchange E-Mail-Archivierung für Microsoft Outlook und Exchange Server 2 E-Mail-Archivierung für Microsoft Outlook und Exchange Server Das ständig wachsende Volumen elektronischer Mitteilungen

Mehr

COI-BUSINESSFLOW SOAP-SERVER MODUL INFORMATION

COI-BUSINESSFLOW SOAP-SERVER MODUL INFORMATION COI-BUSINESSFLOW SOAP-SERVER MODUL INFORMATION Präambel Die COI GmbH entwickelt seit 1988 moderne, prozessorientierte Lösungen rund um die Themen Archivierung, Dokumentenmanagement und Workflow. Als kompetenter

Mehr

Das Projekt Groupware II im BSI

Das Projekt Groupware II im BSI Das Projekt Groupware II im BSI Florian v. Samson Kerstin Prekel Bundesamt für Sicherheit in der Informationstechnik Vorstellung des Projektes auf der CeBIT im Heise Forum am 15.03.2005 F. v. Samson /

Mehr

Installation & Konfiguration AddOn Excel Export Restriction

Installation & Konfiguration AddOn Excel Export Restriction Installation & Konfiguration AddOn Excel Export Restriction Spezifische Vergabe von Excel-Export Rechten Version 7.1.0 für Microsoft Dynamics CRM 2013 & 2015 Datum 25. März 2015 Inhalt 1. Ausgangslage...

Mehr

AND Directory 5.4. Überblick. Vorteile. Datenblatt

AND Directory 5.4. Überblick. Vorteile. Datenblatt Datenblatt AND Directory 5.4 AND Directory bietet die Einbindung von Unternehmensressourcen in das Kommunikationsnetz und den Zugriff über Telefon, Web und über den Computer. Der Zugriff erfolgt schnell,

Mehr

Relationale Datenbanken Datenbankgrundlagen

Relationale Datenbanken Datenbankgrundlagen Datenbanksystem Ein Datenbanksystem (DBS) 1 ist ein System zur elektronischen Datenverwaltung. Die wesentliche Aufgabe eines DBS ist es, große Datenmengen effizient, widerspruchsfrei und dauerhaft zu speichern

Mehr

White Paper. Installation und Konfiguration der PVP Integration

White Paper. Installation und Konfiguration der PVP Integration Copyright Fabasoft R&D GmbH, A-4020 Linz, 2010. Alle Rechte vorbehalten. Alle verwendeten Hard- und Softwarenamen sind Handelsnamen und/oder Marken der jeweiligen Hersteller. Diese Unterlagen sind streng

Mehr

VERZEICHNISDIENSTE IN E-GOVERNMENTSYSTEMEN

VERZEICHNISDIENSTE IN E-GOVERNMENTSYSTEMEN Marcel Huth, 31.07.2008 VERZEICHNISDIENSTE IN E-GOVERNMENTSYSTEMEN Schwerpunkt DVDV und SAFE Huth, Strack Inhalt 1. Allgemeines zu Verzeichnisdiensten 2. Das Projekt DVDV 1. Allgemeines 2. Komponenten

Mehr

Zeiterfassung-Konnektor Handbuch

Zeiterfassung-Konnektor Handbuch Zeiterfassung-Konnektor Handbuch Inhalt In diesem Handbuch werden Sie den Konnektor kennen sowie verstehen lernen. Es wird beschrieben wie Sie den Konnektor einstellen und wie das System funktioniert,

Mehr

Sie erhalten einen kurzen Überblick über die verschiedenen Domänenkonzepte.

Sie erhalten einen kurzen Überblick über die verschiedenen Domänenkonzepte. 4 Domänenkonzepte Ziele des Kapitels: Sie verstehen den Begriff Domäne. Sie erhalten einen kurzen Überblick über die verschiedenen Domänenkonzepte. Sie verstehen die Besonderheiten der Vertrauensstellungen

Mehr

securemsp CloudShare Encrypted File Transfer & Collaboration Platform Secure-MSP GmbH 2013

securemsp CloudShare Encrypted File Transfer & Collaboration Platform Secure-MSP GmbH 2013 securemsp CloudShare Encrypted File Transfer & Collaboration Platform Secure-MSP GmbH 2013 Häufig gestellte Fragen... Wie geben wir unseren Zweigstellen Zugang zu sensiblen Daten? Wie komme ich unterwegs

Mehr

Trusted Network Connect. Networking Academy Day 19.04.2008

Trusted Network Connect. Networking Academy Day 19.04.2008 Trusted Network Connect Networking Academy Day 19.04.2008 Dipl.-Inf. Stephan Gitz Roadmap Ziele der Informationssicherheit Herausforderungen der Informationssicherheit Angriffsvektoren

Mehr

Verschlüsselung im Cloud Computing

Verschlüsselung im Cloud Computing Verschlüsselung im Cloud Computing Michael Herfert Fraunhofer-Institut für Sichere Informationstechnologie SIT Darmstadt Sicherheitsmanagement Enterprise & Risk Management Wien 17. Februar 2015 Inhalt

Mehr

4. Datenbankordnung (DBO) der Deutschen Taekwondo Union e. V.

4. Datenbankordnung (DBO) der Deutschen Taekwondo Union e. V. 4. Datenbankordnung (DBO) der Deutschen Taekwondo Union e. V. (Ordnung zur Regelung der Rahmenbedingungen für den Betrieb der DTU-Verwaltungsdatenbank) Stand Januar 2013 Inhaltsverzeichnis 4.1 Zweck der

Mehr

Bildungsportal-Verbund

Bildungsportal-Verbund Bildungsportal-Verbund BPVP Bildungsportal-Verbund Protokoll Kurzspezifikation Für weitere technische Details nehmen kontaktieren Sie bitte: Robert.kristoefl@bmbwk.gv.at Thomas.menzel@bmbwk.gv.at Version

Mehr

E-Mail-Verschlüsselung mit Geschäftspartnern

E-Mail-Verschlüsselung mit Geschäftspartnern E-Mail-Verschlüsselung mit (Anleitung für Geschäftspartner) Datum: 13.07.2011 Dokumentenart: Anwenderbeschreibung Version: 3.0 : Redaktionsteam PKI cio.siemens.com Inhaltsverzeichnis 1. Zweck des Dokumentes:...3

Mehr

Acrolinx IQ. Verbindungen mit externen Terminologiedatenbanken 2.9

Acrolinx IQ. Verbindungen mit externen Terminologiedatenbanken 2.9 Acrolinx IQ Verbindungen mit externen Terminologiedatenbanken 2.9 2 Inhalt Einleitung 3 Über diesen Leitfaden...3 Verbinden mit externen Terminologiedatenbanken 4 Erstellen von Sicherungen vorhandener

Mehr

Technologien und Organisationskonzepte digitaler Identitäten Ein Überblick. Dr. Joachim Gerber

Technologien und Organisationskonzepte digitaler Identitäten Ein Überblick. Dr. Joachim Gerber Technologien und Organisationskonzepte digitaler Identitäten Ein Überblick Dr. Joachim Gerber INFORA-Kompetenzteam Informationssicherheit & Id-Management München, 14.06.2010 Agenda 1. Identität Begriff

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

DriveLock in Terminalserver Umgebungen

DriveLock in Terminalserver Umgebungen DriveLock in Terminalserver Umgebungen Technischer Artikel CenterTools Software GmbH 2011 Copyright Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und anderen Verweisen auf

Mehr

Seminar Grid-Computing. Oktay Tugan, WS 2006/07 SICHERHEIT

Seminar Grid-Computing. Oktay Tugan, WS 2006/07 SICHERHEIT Seminar Grid-Computing Oktay Tugan, WS 2006/07 SICHERHEIT Überblick Motivation Sicherheitsfunktionen und Schwierigkeiten Anforderungen Beispiel GSI Weitere Sicherheitsmechanismen Gesellschaftliche Probleme

Mehr

Gauß-IT-Zentrum. DHCP für Institute. Zielgruppe: DV Koordinatoren. Version 1.0

Gauß-IT-Zentrum. DHCP für Institute. Zielgruppe: DV Koordinatoren. Version 1.0 Gauß-IT-Zentrum DHCP für Institute Zielgruppe: DV Koordinatoren Version 1.0 1 DHCP für Institute Inhalt Dynamic Host Configuration Protocol (DHCP) für Institute 2 DHCP-Interface im KDD 2 DHCP beantragen

Mehr

Oracle 10g und SQL Server 2005 ein Vergleich. Thomas Wächtler 39221

Oracle 10g und SQL Server 2005 ein Vergleich. Thomas Wächtler 39221 Oracle 10g und SQL Server 2005 ein Vergleich Thomas Wächtler 39221 Inhalt 1. Einführung 2. Architektur SQL Server 2005 1. SQLOS 2. Relational Engine 3. Protocol Layer 3. Services 1. Replication 2. Reporting

Mehr

S.A.F.E. Beate Schulte Koordinierungsstelle für IT-Standards (KoSIT) XÖV-Anwenderkonferenz 2011, Bremen

S.A.F.E. Beate Schulte Koordinierungsstelle für IT-Standards (KoSIT) XÖV-Anwenderkonferenz 2011, Bremen S.A.F.E. Beate Schulte Koordinierungsstelle für IT-Standards (KoSIT) XÖV-Anwenderkonferenz 2011, Bremen Herzlichen Dank! Projektleitung S.A.F.E.: Meinhard Wöhrmann (meinhard.woehrmann@olg-duesseldorf.nrw.de)

Mehr

COI-BusinessFlow Integration in Microsoft Federated Search

COI-BusinessFlow Integration in Microsoft Federated Search COI-BusinessFlow Integration in Microsoft Federated Search Business W hite Paper COI GmbH COI-BusinessFlow Integration in Microsoft Federated Search Seite 1 von 7 1 Zusammenfassung 3 2 ECM & Microsoft

Mehr

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor.

Cloud Computing bereitet sich für den breiten Einsatz im Gesundheitswesen vor. Cloud Computing im Gesundheitswesen Cloud Computing ist derzeit das beherrschende Thema in der Informationstechnologie. Die Möglichkeit IT Ressourcen oder Applikationen aus einem Netz von Computern zu

Mehr

Acrolinx IQ. Verbindung mit einer externen Terminologiedatenbank herstellen 2.7

Acrolinx IQ. Verbindung mit einer externen Terminologiedatenbank herstellen 2.7 Acrolinx IQ Verbindung mit einer externen Terminologiedatenbank herstellen 2.7 2 Inhalt Einleitung 3 Über diesen Leitfaden...3 Verbinden mit externen Terminologiedatenbanken 4 Erstellen von Sicherungen

Mehr

Rollen und Berechtigungskonzepte

Rollen und Berechtigungskonzepte Alexander Tsolkas Klaus Schmidt Rollen und Berechtigungskonzepte Ansätze für das Identity- und Access Management im Unternehmen Mit 121 Abbildungen PRAXIS VIEWEG+ TEUBNER Vorwort VII 1 Elemente zur Berechtigungssteuerung......

Mehr

Copyrights. Rev. 2009-04-21-1. 1997-2009 O&O Software GmbH Am Borsigturm 48 13507 Berlin Germany. http://www.oo-software.com.

Copyrights. Rev. 2009-04-21-1. 1997-2009 O&O Software GmbH Am Borsigturm 48 13507 Berlin Germany. http://www.oo-software.com. O&O DiskImage Copyrights Text, Abbildungen und Beispiele wurden mit größter Sorgfalt erstellt. Der Herausgeber übernimmt für fehlerhafte Angaben und deren Folgen weder eine juristische noch irgendeine

Mehr

Ganz einfach bereit sein für alle E-Mail-Ansprüche. Mit nscale for E-Mail. PROBLEME LÖSEN.

Ganz einfach bereit sein für alle E-Mail-Ansprüche. Mit nscale for E-Mail. PROBLEME LÖSEN. for E-Mail Ohne E-Mail ist der moderne Geschäfts verkehr heute nicht denkbar. Allerdings wird eine wahre E-Mail-Flut für viele Unter nehmen schnell zu einem Problem. Lang wieriges Suchen von E-Mails und

Mehr

Client/Server-Systeme

Client/Server-Systeme Fachbereich Informatik Projektgruppe KOSI Kooperative Spiele im Internet Client/Server-Systeme Vortragender Jan-Ole Janssen 26. November 2000 Übersicht Teil 1 Das Client/Server-Konzept Teil 2 Client/Server-Architekturen

Mehr

Active Directory REGIONALES RECHENZENTRUM ERLANGEN [RRZE]

Active Directory REGIONALES RECHENZENTRUM ERLANGEN [RRZE] REGIONALES RECHENZENTRUM ERLANGEN [RRZE] Active Directory Systemausbildung Grundlagen und Aspekte von Betriebssystemen und systemnahen Diensten Sebastian Schmitt, 27.05.2015 Agenda Einführung Hauptkomponenten

Mehr

Microsoft ISA Server 2006

Microsoft ISA Server 2006 Microsoft ISA Server 2006 Leitfaden für Installation, Einrichtung und Wartung ISBN 3-446-40963-7 Leseprobe Weitere Informationen oder Bestellungen unter http://www.hanser.de/3-446-40963-7 sowie im Buchhandel

Mehr

Identity Management. kippdata, November 2004. kippdata informationstechnologie gmbh

Identity Management. kippdata, November 2004. kippdata informationstechnologie gmbh Identity Management kippdata, November 2004 kippdata informationstechnologie gmbh Identity Management 1. Begriffe 2. Problemstellung 3. Möglichkeit Konsolidierung 4. Möglichkeit Metaconnect 5. Realisierung

Mehr

Technische Universität München. SAML/Shibboleth. Ein Vortrag von Florian Mutter

Technische Universität München. SAML/Shibboleth. Ein Vortrag von Florian Mutter SAML/Shibboleth Ein Vortrag von Florian Mutter Security Assertion Markup Language XML-basierter Standard für den Austausch von Authentifizierungs-, Attributs- Berechtigungsinformationen Seit 2001 von OASIS

Mehr

BERECHTIGUNGS- ACCESS UND GOVERNANCE USERMANAGEMENT. Access Rights Management. Only much Smarter.

BERECHTIGUNGS- ACCESS UND GOVERNANCE USERMANAGEMENT. Access Rights Management. Only much Smarter. BERECHTIGUNGS- ACCESS UND GOVERNANCE USERMANAGEMENT Access Rights Management. Only much Smarter. Die Firma: Protected Networks Die 2009 in Berlin gegründete Protected Networks GmbH entwickelt integrierte

Mehr

Technische Konzeption der Bürgerportale

Technische Konzeption der Bürgerportale Technische Konzeption der Bürgerportale Armin Wappenschmidt (secunet) Weitere Informationen unter www.buergerportale.de www.bmi.bund.de 1 Agenda Technische Übersicht über Bürgerportale Postfach- und Versanddienst

Mehr

IT-Symposium. 2E04 Synchronisation Active Directory und AD/AM. Heino Ruddat

IT-Symposium. 2E04 Synchronisation Active Directory und AD/AM. Heino Ruddat IT-Symposium 2006 2E04 Synchronisation Active Directory und AD/AM Heino Ruddat Agenda Active Directory AD/AM Möglichkeiten der Synchronisation Identity Integration Feature Pack Microsoft Identity Integration

Mehr

Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure)

Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure) Unterrichtseinheit 5: Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure) Verschlüsselung mit öffentlichen Schlüsseln ist eine bedeutende Technologie für E- Commerce, Intranets,

Mehr

CIB DOXIMA PRODUKTINFORMATION

CIB DOXIMA PRODUKTINFORMATION > CIB Marketing CIB DOXIMA PRODUKTINFORMATION Dokumentenmanagement & Dokumentenarchivierung > Stand: Februar 2012 THE NEXT GENERATION DMS Mit neuen Ideen, innovativen Lösungen und dem Produkt CIB doxima

Mehr

Sicherheit im gesamten Unternehmen von Web to Host

Sicherheit im gesamten Unternehmen von Web to Host Sicherheit im gesamten Unternehmen von Web to Host GDD-Erfa-Kreis Bayern München, 25.06.99 Referent: Alfred Doll (Business Development Manager, NorCom) Problemstellung: Web to Host Situation Früher: Host

Mehr

Mobile Device Management

Mobile Device Management Mobile Device Management Ein Überblick über die neue Herausforderung in der IT Mobile Device Management Seite 1 von 6 Was ist Mobile Device Management? Mobiles Arbeiten gewinnt in Unternehmen zunehmend

Mehr

Arbeitskreis Security

Arbeitskreis Security Arbeitskreis Security Positionspapier IEEE 802.1X BGNW Herbsttagung, 25. November 2005 Inhalt IEEE 802.1X im Überblick Problembereiche Standpunkt 1 Status von IEEE 802.1X Grundprinzip von IEEE 802.1X Dem

Mehr

Eigenschaften von Web Content Management Systemen (WCMS) Thorsten Kanzleiter Web Content Management Systeme

Eigenschaften von Web Content Management Systemen (WCMS) Thorsten Kanzleiter Web Content Management Systeme Eigenschaften von Web Content Management Systemen () 1 Gliederung 1.1 Motivation 1.2 Problemstellung 2. 2.1 Begriffsbestimmung CMS 2.2 Übergang von CMS zu 2.3 sonstige 2.4 Content Life Cycle 2.5 Webpublishing

Mehr