Sicherer mobiler Zugriff auf Unternehmensdaten
Gunther Schiefer
Mobile Unternehmensanwendungen können einen großen Mehrwert für Unternehmen darstellen, sind jedoch auch mit erheblichem Aufwand verbunden. Durch die Öffnung der Unternehmens-IT für mobile Mitarbeiter entstehen zusätzliche Sicherheitsrisiken, welchen angemessen begegnet werden muss. Die Dissertation stellt eine Architektur und ein Zugriffsmodell vor, bei dem durch eine Mehr-Faktoren-Authentifizierung bei jeder Datenanfrage ein signifikant höheres Sicherheitsniveau erreicht werden kann.
Dazu wird zuerst die Entwicklung mobilgeeigneter Dienste betrachtet. In einem mehrstufigen Verfahren werden die Anforderungen von Unternehmen für mobile SaaS-Anwendungen erhoben. Ausgehend von einer Analyse gescheiterter Dienste werden eine qualitative Datenanalyse und darauf aufbauend eine Expertenbefragung durchgeführt. Neben der Darstellung von anderen Lösungsansätzen für hoch-mobile Geräte wird eine mit Forschungspartnern umgesetzte eigene Lösung dargestellt und evaluiert.
Im nächsten Teil wird eine zusätzliche Absicherung des mobilen Zugriffs über Smartcards und kontextabhängige Zugriffskontrolle vorgestellt. Dazu werden Bedrohungen und Sicherheitsanforderungen erhoben. Daraus wird eine Architektur entwickelt, welche eine 3-Faktor-Authentifizierung mittels Hardware-Sicherheits-Token (Smartcard) und Kontextinformationen realisiert. Diese Architektur ermöglicht es, nicht nur zu Beginn einer Sitzung die Zugangsberechtigung zu prüfen, sondern während der Nutzung eine permanente Berechtigungsüberprüfung durchzuführen, ohne den Nutzer bei der Arbeit zu stören. Darüber hinaus können Unternehmensdaten neben den statischen Zugangsberechtigungen um kontextabhängige Berechtigungen erweitert werden, um die Kontrolle über den Datenzugriff situationsabhängig zu gestalten. Zur Modellierung der kontextsensitiven Zugriffskontrolle werden bestehende Zugriffskontrollmodelle beleuchtet und ein Discretionary Acces Controll-Modell um die kontextabhängige Zugriffsbeschreibung erweitert. Die Architektur wurde in einem Demonstrator umgesetzt, mit dem der Einsatz von Hardware-Sicherheits-Token evaluiert wurde.