Table Of ContentXpert. press
Springer-Verlag Berlin Heidelberg GmbH
Die Reihe Xpert.press des Springer-Verlags
vermitteltProfessionals in den Bereichen
Betriebs- und Informationssysteme, Software
Engineering und Programmiersprachen aktuell
und kompetent relevantes Fachwissen tiber
Technologien und Produkte zur Entwicklung
und Anwendung moderner Informations
technologien.
Gunter Muller Martin Reichenbach (Hrsg.)
SicherheitskoDzepte
ffir das Internet
5. Berliner Kolloquium der
Gottlieb Daimler- und Karl Benz-Stiftung
Mit 28 Abbildungen
Springer
Prof. Dr. Giinter Miiller
Dr. Martin Reichenbach
Albert- Ludwigs-Uni versitat Freiburg
IIG Telematik
FriedrichstraBe 50
79098 Freiburg
ISSN 1439-5428
ISBN 978-3-642-62587-9
Die Deutsche Bibliothek - CIP-Einheitsaufnahme
Sicherheitskonzepte fur das Internet /5. Berliner Kolloquium der Gottlieb Daimler
und Karl Benz-Stiftung. Mit Beitr. zahlr. Fachwissenschaftler. Hrsg.: Giinter Miiller;
Martin Reichenbach. -Berlin; Heidelberg; New York; Barcelona; Hongkong; London;
Mailand; Paris; Singapur; Tokio: Springer, 2001
(Xpert.press)
ISBN 978-3-642-62587-9 ISBN 978-3-642-56684-4 (eBook)
DOI 10.1007/978-3-642-56684-4
Dieses Werk ist urheberrechtlich geschiitzt. Die dadurch begriindeten Rechte, insbe
sondere die der Ubersetzung, des Nachdrucks, des Vortrags, der Entnahme von Abbil
dungen und Tabellen, der Funksendung, der Mikroverfilmung oder der Vervielflilti
gung auf anderen Wegen und der Speicherung in Datenverarbeitungsanlagen, bleiben,
auch bei nur auszugsweiser Verwertung, vorbehalten. Eine Vervielfaltigung dieses
Werkes oder von Teilen dieses Werkes ist auch im Einzelfall nur in den Grenzen der
gesetzlichen Bestimmungen des Urheberrechtsgesetzes der Bundesrepublik Deutsch
land vom 9. September 1965 in der jeweils geltenden Fassung zulăssig. Sie ist grund
sătzlich vergiitungspflichtig. Zuwiderhandlungen unterliegen den Strafbestimmungen
des Urheberrechtsgesetzes.
http://www.springer.de
© Springer-Verlag Berlin Heidelberg 2001
Urspriinglich erschienen bei Springer-Verlag Berlin Heidelberg 2001
Softcover reprint ofthe hardcover Ist edition 2001
Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in
diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme,
dass solche Namen im Sinne der Warenzeichen-und Markenschutz-Gesetzgebung als
frei zu betrachten wăren und daher von jedermann benutzt werden diirften.
Umschlaggestaltung: KiinkelLopka, Heidelberg
Satz: Datenkonvertierung durch perform, Heidelberg
Gedruckt auf săurefreiem Papier - SPIN: 10797497 33/3142 GF 543210
Geleitwort
VerHissliche und sichere Geschaftsbeziehungen sind wesentliche
Voraussetzungen fUr die zukiinftige Entwicklung des elektronischen
Handels im Internet. Wahrend Authentizitat von Vereinbarungen,
die Sicherstellung von Zahlungen und die Vertraulichkeit der Kom
munikation den Alltag der herki:immlichen Wirtschaft charakterisie
ren, sucht die new economy noch nach Methoden, Geschafte im In
ternet auf eine vergleichbar sichere Grundlage zu stellen. Dies ist
nicht der einzige, aber ein ausschlaggebender Grund dafiir, warum
der virtuelle Markt in der Autbruchsstimmung zu verharren scheint.
Spektakulare Flops, Misstrauen der Kunden in die Zahlungsmetho
den oder einfach zu bewerkstelligende Produktpiraterie bremsen die
Bereitschaft der Beteiligten, alle Mi:iglichkeiten des Internets auszu
nutzen.
Soft- und Hardware, die eine sichere Kommunikation imInternet
versprechen, sindvorhandenund werden standig verbessert. IhrEin
satz ist jedoch haufig umstandlich oder mit vergleichsweise hohen
Kosten verbunden. Das Motto der Extrem-Sportler "No risk - no
fun" wird so zum Leitmotiv des risikofreudigen Konsumenten und
Geschaftsmannes. Wer aufSicherheit setzt, ist dann eben nicht "da
bei".
Die Beitrage zu diesem Buch setzen sich mit der Frage der
Machbarkeitvon Sicherheitim Internetauseinander. Sie stellen sich
damit auch der Frage, wieviel Privatheit sich unsere Gesellschaft
zukiinftigleistenwillbzw.kann.
Die Autoren werden ihre Beitrage am 9.Mai 2001 auf dem
5. Berliner Kolloquium der Gottlieb Daimler- und Karl Benz
Stiftung zur Diskussion stellen. Seit 1997 eri:irtern die Berliner Kol
loquien aktuelle wissenschaftliche Fragen. Eingeladen hierzu sind
Wissenschaftler und Experten aus Politik, Wirtschaft oder Verwal
tung. GemeinsamerBezugspunktdieserThemen sind die "Wechsel
beziehungen zwischenMensch, Umweltund Technik". Die Stiftung
hat das Zie1, durch die Fi:irderung von Wissenschaft und Forschung
zurKlarungdieserWechselbeziehungenbeizutragen.
Geleitwort • V
•
•
Die "Sicherheit in der Kommunikationstechnik" war bereits das
Thema eines Ladenburger Kollegs - einer interdisziplinaren For
schungsgruppe, die die Stiftung zwischen 1993 und 1999 gefOrdert
hat. Leiterdieses Kollegs war ProfessorGtinterMtillervon der Uni
versitat Freiburg, der auch die Ausrichtung des 5.Berliner Kollo
quiums tibernommen hat. Das Kolleg hat Grundlagen ftir die aktu
elleDiskussion zudiesemThemagelegtund inderFolge zu zahlrei
chen weiteren Aktivitaten geftihrt: Teilnehmer des Kollegs konnten
Erkenntnisse aus ihrenForschungen in die Beratungen zum Entwurf
des Gesetzes zur "Digitalen Signatur" einbringen. Das Schwer
punktprogramm der Deutschen Forschungsgemeinschaft zu dem
Thema ,,sicherheit in der Informations- und Kommunikationstech
nik"bautaufdem Konzept der"mehrseitigenSicherheit" auf, das in
dem Ladenburger Kolleg entwickelt wurde. Seit kurzem bietet die
Technische Universitat Dresden ein Programm an, das anonymes
SurfenimInterneterlaubtund aufForschungenindem Ladenburger
Kolleg zurUckgeht.
Mit dem Berliner Kolloquium setzt die Stiftung die Diskussion
der aktuellen Fragen auf diesem Gebiet seit Abschluss des Kollegs
fort. Wirdanken Professor Mtiller fUr die wissenschaftliche Leitung
der Diskussion und Martin Reichenbach fUr die organisatorische
Vorbereitung des Kolloquiums. Mit der gemeinsamen Herausgabe
dieses Buches haben beide eine Basis fUr die weitere Diskussion ti
ber die Sicherheit in den Kommunikationsnetzen tiber das Kollo
quium hinaus geschaffen. Ein Dank gilt auch dem Springer-Verlag
und Hermann Engesser fUr die Aufnahme des Bandes in die Reihe
Xpert.press.
Ladenburg, imApril2001 Prof Dr. GisbertFrhr. zuPutlitz
Dr. DiethardSchade
VorstandderGottliebDaimler
undKarlBenz-Stiftung
VI • Geleitwort
•
•
Inhalt
EinleitungderHerausgeber 1
1 Allgegenwartigkeitdes Computers-
DatenschutzineinerWeltintelligenterAlltagsdinge....... 7
1.1 DerunsichtbareComputer........................................... 7
1.1.1 Technische Grundlagen 8
1.1.2 Herausforderungen........................................ 10
1.2 Datenschutz in Ubiquitaren Systemen? 11
1.2.1 GrundlagenfUrdieWahrung
derPrivatsphare 13
1.2.2 Anonymitat und Vertraulichkeit 14
1.2.3 Transparenz 17
1.2.4 Vertrauen und Absicherung 19
1.3 Ausblick 22
Literatur 26
2 SicherheitondVertrauen: MehrwertimE-Commerce 27
2.1 Sicherheitist"Technikfolger" 28
2.1.1 DasMittelalter-ParadigmaderVergangenheit 28
2.1.2 Das Intemet-ParadigmaderGegenwart........ 29
2.1.3 Das Allgegenwartigkeits-Paradigma
derZukunft.................................................... 30
2.2 Sicherheitsmechanismenandem sich-
Schutzziele bleiben 31
2.3 Vertrauen: MehrwertfUrden Electronic Commerce. 32
2.3.1 Komplementaritatzwischen mehrseitiger
SicherheitundVertrauenimElectronic
Commerce 32
2.3.2 VertrauensgegenstandeimElectronic
Commerce 33
2.3.3 Vertrauensobjekteim ElectronicCommerce 35
2.3.4 Transaktionenund vertrauens-
generierendeAktionen 36
Inhalt -- VII
-
2.4 Vertrauensinstitutionen 38
2.5 Fazit 42
Literatur 43
3 WiesieherkannSieherheitsein? 45
3.1 Ein1eitung 45
3.2 DasRSA-Verfahren 46
3.3 Einmathematisches Problem: Faktorisieren 48
3.4 Sicherheitbeweisen 51
3.5 Flexibilitat. 52
Literatur 54
4 Vertrauenim Internet:
WiesiehersoilE-Commereesein? 57
4.1 Zusammenfassung 57
4.2 Teil 1: VertrauenimIntemet... 57
4.2.1 E-Commerce 57
4.2.2 Das Vertrauensproblem 60
4.2.3 Das Internet 62
4.2.4 DieLucke zwischenlokalerSicherheit
und globalerUnsicherheit 65
4.3 Teil 2: Wie sichersolIE-Commerce sein? 68
4.3.1 AutomatundMensch-
Intentionund Interpretation 68
4.3.2 Vertrauen 69
4.3.3 Wittgensteins Sprachspiele 71
4.3.4 EinPersonen-Rollen-Akteure-Modell
fUrTelekooperation 75
4.3.5 Risiko als Gegenstandvon E-Commerce 83
Literatur 85
5 FairPay: SiehererZahlungsverkehrim Netz 87
5.1 Abstract. 87
5.2 Was solIFairPay? 88
5.3 WasistFairPay? 89
5.4 Was machtFairPay? 90
5.5 DieVSE-Methodologie 91
5.6 Das VSE-System 93
5.7 Was bietetFairPay? 97
5.7.1 FormaleModelIierung
von Sicherheitspolitiken 98
5.7.2 FormaleEntwicklung 99
5.7.3 VorgehensmodelI 99
Literatur 102
VIII • Inha/t
•
•
6 SichereelektronischeZahlungendurch
IndividuellesRisikomanagement . 105
6.1 RisikenelektronischerZahlungssysteme 105
6.2 Risiko, Risikoanalyse undRisikohandhabung......... 107
6.2.1 DerRisikobegriff 107
6.2.2 Risikoanalyse: Bewertungelektronischer
Zahlungssysteme 108
6.2.3 IndividuelleRisikohandhabung mit
demVirtualInternetPaymentAssistant..... 109
6.3 AnforderungsprofilealsGrundlage
fUrdie IndividuelleRisikohandhabung 114
6.3.1 Abstrahierung derAnforderungen 114
6.3.2 EbenenmodellfUrAnforderungsprofile 116
6.3.3 RealisierungderAnforderungsprofile
mitdemScoring-Verfahren 119
6.4 Zahlungssystemwahlmitdem
VirtualInternetPaymentAssistant 124
6.4.1 Bezug aktuellerZahlungssystem-
und Anforderungsprofile............................. 124
6.4.2AbgleichvonZahlungssystem-
und Anforderungsprofilen 125
6.4.3 Identifizierung des Restrisikos 128
6.4.4 WeitergehendeAbsicherungdes
Restrisikos 129
6.5 Lernfahigkeitdes VirtualInternetPayment
Assistants 129
6.6 Ausblick 130
Literatur 133
7 BenutzbareSicherheit-DerIdentitatsmanager
alsuniverselles Sicherheitswerkzeug 135
7.1 KomplexitatsreduzierungderBenutzungsoberflache. 136
7.1.1 Mehrseitige Sicherheitund
Schutzzielimplikationen.............................. 136
7.1.2 DieTeil-Identitat......................................... 138
7.2 Identitatsmanagement 139
7.2.1 GenerischeEinheiten 139
7.2.2 FunktionenundEigenschaftendes
Identitatsmanagers 142
7.2.3 Migrationdes Identitatsmanagers 142
7.3 IdentitiitsmanagementundSchutzderPrivatsphiire.. 143
7.4 Ausblick 143
Literatur 145
Inhalt -- IX
-
8 "WeristmeinNachster?"
ZurAuthentifikationdesKommunikationspartners .. 147
8.1 Grund1agen 148
8.2 Authentifikation 148
8.3 Public Key Infrastructures 152
8.4 IdentitatundE-Commerce 155
8.5 Schlussbemerkungen 157
Literatur 160
9 Sicherheitim E-Commerce= Rechtssicherheit 161
9.1 Einleitung 161
9.2 GrundlegendeRisiken imE-Commerce 162
9.3 Risiken und(Selbst-)Regulierung 165
9.3.1 Selbstregulierungingeschlossenen
undoffenen Systemen 165
9.3.2 Schutz auBerhalb von bi- und
multilateralenBeziehungen 170
9.3.3 DerSchutzderIdentitat(Datenschutz) 173
9.3.4 Globalitatdes Netzes.. 175
9.4 Recht, Sicherheitund Rechtssicherheit.. 177
9.5 Schluss 181
Literatur 183
10 A ConceptofNet-CommunitySecurity
Basedona3DNet-SpaceModel 185
10.1 Introduction 185
10.2 NetCommunities and Security 186
10.2.1 OverviewofBA 186
10.2.2 ImmunizationWorkofaBA 187
10.3 The 3-DimensionalModel andSecurity 188
10.3.1 Code-BasedSecurity 188
10.3.2 Symbol-BasedSecurity 189
10.3.3 Recording-BasedSecurity 189
10.4 Conclusion 190
11 DatenschutzundIT-Sicherheit-
zweiSeitenderselbenMedaille........................................ 191
11.1 HerausforderungenfUr den Datenschutz.................. 191
11.2 DerNeue Datenschutz 193
11.3 Datenschutzdurch Technik 195
11.4 Integrierte Sicherheitsinfrastrukturen 198
11.5 Fazit 200
Literatur 202
Autorenverzeichnis 205
Index 207
x •
Inhalt
•
•
