Refine
Document Type
- Diploma Thesis (1)
- Doctoral Thesis (1)
- Habilitation (1)
Has Fulltext
- yes (3)
Is part of the Bibliography
- no (3)
Keywords
- Computer (1)
- Computersicherheit (1)
- Informationstechnik (1)
- Interaktion (1)
- Medien (1)
- Telekommunikation (1)
- privacy (1)
- privacy-enhancing technologies (1)
- security (1)
- security management (1)
Institute
In order to address security and privacy problems in practice, it is very important to have a solid elicitation of requirements, before trying to address the problem. In this thesis, specific challenges of the areas of social engineering, security management and privacy enhancing technologies are analyzed:
Social Engineering: An overview of existing tools usable for social engineering is provided and defenses against social engineering are analyzed. Serious games are proposed as a more pleasant way to raise employees’ awareness and to train them.
Security Management: Specific requirements for small and medium sized energy providers are analyzed and a set of tools to support them in assessing security risks and improving their security is proposed. Larger enterprises are supported by a method to collect security key performance indicators for different subsidiaries and with a risk assessment method for apps on mobile devices. Furthermore, a method to select a secure cloud provider – the currently most popular form of outsourcing – is provided.
Privacy Enhancing Technologies: Relevant factors for the users’ adoption of privacy enhancing technologies are identified and economic incentives and hindrances for companies are discussed. Privacy by design is applied to integrate privacy into the use cases e-commerce and internet of things.
Trotz einer fast 30-jährigen Forschungs- und Umsetzungshistorie stellen Projekte zum Aufbau integrierter Datenhaushalte (Data Warehouses) für Unternehmen immer noch eine große Herausforderung dar. Gerade in Data Warehouse-Projekten bei Finanzdienstleistern führt eine hohe semantische Komplexität häufig zu Projektverzögerungen oder zum Scheitern der Vorhaben. Dies zeigt die Arbeit anhand von explorativen Fallstudien auf und fragt nach den Gründen für diesen typischen Verlauf. Eine mögliche Ursache liegt in einer unzureichenden Kommunikation zwischen den Projektbeteiligten, was zu Missverständnissen in der Konzeption und somit zu Fehlimplementierungen führt, die – gerade wenn sie spät erkannt werden – deutliche Verzögerungen und Budgetüberschreitungen zur Folge haben. Ausgehend von diesen beobachteten Praxisproblemen sucht die vorliegende Arbeit auf der Grundlage des Design-Science-Research nach Lösungsansätzen: unter Übertragung der Erkenntnisse der Kommunikationstheorie wurden drei Artefakte entwickelt, sukzessive verbessert und validiert. Die Paper zeigen auf, dass sich durch den Einsatz formalisierter Templates, eines verbesserten Vorgehensmodells in Verbindung mit einem korrespondieren Softwaretool das Kommunikationsverhalten in den Projekten verbessern lässt und somit eine höhere Projekt-Performance erreicht wird. Hierzu wurden insgesamt sechs Projekte zum Aufbau von Data Warehouses im Finanzdienstleistungsumfeld in Fallstudien analysiert und zudem Experten-Interviews mit den Projektbeteiligten durchgeführt, die im Ergebnis die positive Wirkung der Artefakte unterstützen.
Die Konvergenz von Medien, Telekommunikation sowie Informationstechnologie führt zu einer gesteigerten Interaktion zwischen den Computergeräten dieser drei Wirtschaftssektoren. Zugleich steigt die Anzahl mutierender Würmer, Viren und Trojanische Pferde, wie z.B. Varianten der Bagle- und Sober-Würmer oder der Netsky- und MyDoom-Viren, im Tagesrhythmus und bedrohen die Sicherheit von Computerplattformen. Die Daten der Systeme sind daher potenziellen Risiken ausgesetzt. Um dieser steigenden Bedrohung zu entgegnen, entwickelt die industrielle Initiative „Trusted Computing Group“ (TCG), ehemals „Trusted Computing Platform Alliance“ (TCPA), einen Standard, welcher die Sicherheit der verschiedenen Gerätetypen verbessern soll. Abbildung 1 dokumentiert dabei die Sicherheitsmängel, welche durch die verschiedenen Typen der Attacken oder den entdeckten Missbrauch veranschaulicht werden. Speziell Viren und der Missbrauch der Netzwerkzugänge innerhalb des Unternehmens können aus der Abbildung 1 als häufigste Ursache entnommen werden. Verlust des Laptops, nicht autorisierte Zugriffe durch Insider und Denial of Service Angriffe folgen auf den weiteren Plätzen. Die Gesamtkosten der Computerkriminalität sind zwar unter das Niveau vom Jahre 2000 gefallen, speziell von 2002 auf 2003 haben sich diese mehr als halbiert, obwohl seit 1999 besonders die Urheberrechtsverletzungen proprietärer Informationen stetig angestiegen sind. Der Verlust proprietärer Informationen steht mit 21 Prozent nicht direkt im Vordergrund der obigen Abbildung. Allerdings schlägt der Diebstahl von proprietären Informationen mit 35 Prozent der Gesamtkosten der Computerkriminalität zu buche und führt damit die geschätzten Verluste aus Abbildung 2 an. Auf Platz zwei folgen Denial of Service Angriffe, die Kosten von ca. 65,6 Millionen Dollar verursachen. Viren, Missbrauch des Netzes durch Insider sowie finanzieller Betrug folgen auf weiteren Plätzen. In der Studie vom Computer Security Institute werden die Bestrebungen der TCG, vertrauenswürdige Plattformen herzustellen, als mögliche Lösung des Problems des Diebstahls von proprietären Informationen betrachtet. Deren Effekte werden sich voraussichtlich in fünf bis zehn Jahren auf die Computersicherheit bemerkbar machen. Auch das „Federal Bureau of Investigation“ (FBI) hat mittlerweile eine Initiative zusammen mit der Entertainment- und Softwareindustrie gegen den Diebstahl von urheberrechtlich geschütztem Material abgeschlossen, da die Verluste in der Summe mehrere Billionen Dollar verursachen. Die beiden ersten Abbildungen in Verbindung mit dem dazugehörigen Zahlenmaterial belegen die Diskrepanz der TCG. Dazu stützt sich die TCG auf die steigende Anzahl an Attacken und Missbräuche, ohne die geschätzten Verluste der einzelnen Attacken zu berücksichtigen. Gerade die enorme wirtschaftliche Bedeutung von Information und deren Missbrauch offenbart allerdings einen möglichen Antrieb, die Sicherheit bestehender Rechnersysteme zu verbessern. Diese Erkenntnis ist jedoch nicht übereinstimmend mit der Triebkraft der TCG, die ihre Initiative auf die steigende Anzahl an Schwachstellen stützt, um vermutlich ihre eigentlichen Beweggründe zu verschleiern. Ziel dieser Arbeit ist zum einen den technischen Standard der TCG sowie mögliche Umsetzungen vorzustellen und zum anderen die Standardisierung unter ökonomischen Ansichten zu untersuchen, um sie anschließend zu bewerten. Dazu wird im zweiten Kapitel ein erster Einblick über das Standardisierungsgremium, deren Beweggründe sowie den historischen Kontext zwischen TCPA und TCG gegeben. Das dritte Kapitel dient als Grundlage und Einführung in die Informationsökonomie, um die Komplexität und Zusammenhänge hinsichtlich der Standardisierung und abschließenden Bewertung in den folgenden Kapiteln besser zu erfassen. Neben der Technologie und Information spielt die Auswahl der Erlöse in Verbindung mit der Preisdiskriminierung eine wichtige Rolle. Bezüglich der Standardisierung und Bewertung haben Lock-in sowie Wechselkosten erhebliche Auswirkungen auf die Kon-sumenten. Das gilt ebenfalls für die Größenvorteile, vor allem auf die Netzwerkexternalitäten. Die Standardisierung der TCG wird im vierten Kapitel ausführlicher behandelt, wobei Standards definiert, abgegrenzt und klassifiziert werden. Zudem wird die koope-rative Standardisierung in Form einer Allianz sowie die daraus folgende Problematik des Umgangs mit geistigem Eigentum eingegangen. Das fünfte Kapitel geht direkt auf die technischen Spezifikationen der TCG ein, erklärt das Grundkonzept vertrauenswürdiger Plattformen und behandelt als Schwerpunkt die Komponente des „Trusted Platform Modules“ (TPM) sowie dessen Implementierung in einen Computer. Im Anschluss daran werden im sechsten Abschnitt technischen Umsetzungen auf praktische Anwendungen und Szenarien vorgestellt. Dazu werden als Erstes verfügbare Umsetzungen sowie die Hardwarearchitektur am Beispiel von Intel LaGrande dargestellt, worauf die anschließenden Softwareanwendungen unter den beiden Betriebssystemen Windows und Linux aufbauen. Das siebte Kapitel behandelt die Bewertung der kooperativen Standardisierung und zeigt die Zusammenhänge zwischen Hardwarekompatibilität und Netzwerkexternalitäten auf. Darüber hinaus wird die Adoption dieser neuen Technologie unter statischen und dynamischen Ansätzen berechnet und abschließend die Schwächen und Risiken dieser neuen Technologie erläutert.