Sicherheit und Rechtsverbindlichkeit mobiler Agenten (eBook)

Dr. jur. Rotraud Gitter, LL.M. Eur., ist wissenschaftliche Mitarbeiterin am Institut für Wirtschaftsrecht der Universität Kassel. Dipl.-Inform. Volkmar Lotz ist als Research Program Manager Security & Trust für die Sicherheitsforschung der SAP AG verantwortlich. Dr. Ulrich Pinsdorf ist Projektleiter in der Abteilung Sicherheitstechnologie am Fraunhofer-Institut für Graphische Datenverabeitung (IGD). Prof. Dr. jur. Alexander Roßnagel lehrt Öffentliches Recht an der Universität Kassel und ist dort wissenschaftlicher Leiter der „Projektgruppe verfassungsverträgliche Technikgestaltung (provet)“.

Inhaltsverzeichnis 6
Teil I Grundlagen 10
1 Einleitung 12
1.1 Motivation 12
1.2 Gliederung des Buches 15
2 Mobile Agenten im elektronischen Geschäftsverkehr 18
2.1 Delegationsorientiertes Arbeiten 18
2.2 Agenten-Technologie 19
2.3 Unterschiede zwischen Client-Server-Architekturen und mobilen Agentensystemen 22
2.4 Aktuelle Agentensysteme 24
2.5 Einsatzfelder 25
3 Sicherheitsaspekte mobiler Agenten 30
3.1 Analyse aus anwendungsorientierter Sicht 30
3.1.1 Vertraulichkeit 31
3.1.2 Integrität 31
3.1.3 Authentizität 32
3.1.4 Autorisierung 33
3.1.5 Informationelle Selbstbestimmung 33
3.1.6 Schadensverursachung 34
3.1.7 Verfügbarkeit 34
3.2 Analyse aus technologieorientierter Sicht 35
3.2.1 Generische Bedrohungen in mobilen Agentensystemen 39
3.2.2 Zusammenfassung der Bedrohungen 41
3.2.3 Generische Sicherheitsziele 44
4 Rechtsfragen mobiler Agenten 50
4.1 Agentenbasierte Dienste als Telemediendienste 50
4.2 Datenschutzrechtliche Anforderungen 51
4.2.1 Datenschutzrechtliche Gestaltungsanforderungen 52
4.2.2 Zulässigkeit der Datenverarbeitung 53
4.3 Der Vertragsschluss über mobile Agenten 55
4.3.1 Die Zurechnung von Agentenerklärungen 56
4.3.2 Die Bindung an das von mobilen Agenten Erklärte 57
4.3.3 Behandlung von Fehlern und Irrtümern 58
4.4 Besondere Informations- und Hinweisp.ichten im elektronischen Geschäftsverkehr 59
4.4.1 Einzelne Informationsp.ichten 60
4.4.2 Umfang der Informationsp.ichten beim Einsatz mobiler Agenten 61
4.5 Verantwortlichkeit 62
4.6 Die Nachweisbarkeit der Aktionen mobiler Agenten 63
4.6.1 Rechtsrahmen für elektronische Signaturen 64
4.6.2 Beweisrechtliche Würdigung im Prozess 65
4.7 Fazit 66
5 Simulationsstudie als Praxistest und Gestaltungsmittel 68
5.1 Erfahrung – eine prekäre Voraussetzung der Technikgestaltung 68
5.2 Paradoxien prospektiver erfahrungsgeleiteter Technikgestaltung 69
5.3 Simulationsstudien 70
5.4 Simulationsstudien im Verhältnis zu anderen Methoden 72
5.5 Phasen einer Simulationsstudie 75
5.6 Mögliche Ergebnisse aus Simulationsstudien 77
Teil II Technologie 80
6 Agententechnologie 82
6.1 Hintergrund 82
6.2 Grundlegende Sicherheitsarchitektur 83
6.2.1 Schicht Eins – Transport Layer Security 85
6.2.2 Schicht Zwei – Content Inspection 86
6.2.3 Schicht Drei – Sandbox 87
6.2.4 Schicht Vier – Environment 89
6.3 Sicherung der Agentenstruktur 91
6.3.1 Strukturierung der Agentendaten 93
6.3.2 Integrität und Authentizität 95
6.3.3 Vertraulichkeit 96
6.3.4 Sicherheit 98
7 Autorisierung und Delegation 100
7.1 Einleitung 100
7.2 Autorisierungsmechanismen 101
7.2.1 X.509-Zerti.kate 102
7.2.2 Attributszerti.kate 102
7.2.3 SPKI-Zerti.kate 103
7.2.4 Kerberos 104
7.2.5 SESAME 105
7.3 MAP Autorisierung und Delegation 106
7.3.1 Idee 106
7.3.2 Annahmen an das Agentensystem 108
7.3.3 Architektur 108
7.3.4 Tickets – eine Datenstruktur zum Berechtigungsnachweis für Agenten 110
7.3.4.1 Tickettypen 110
7.3.4.2 Ticketstrukturen 111
7.3.5 Protokollspezi.kation 112
7.3.6 Diskussion 115
7.4 Zusammenfassung 116
8 Kryptographie, Smartcard und Public-Key-Infrastrukturen 118
8.1 Anforderungen an die Basismechanismen 118
8.2 Architektur 120
8.3 Die Java-Kryptographieschnittstelle 122
8.4 Smartcard / Cryptocard 123
8.5 Public-Key-Infrastruktur 124
9 Biometrie 128
9.1 Einleitung 128
9.2 Sprechererkennung 128
9.2.1 Einführung 128
9.2.2 Stimmprofile 129
9.2.3 Enrollment 130
9.2.5 Entscheidungsstrategie 131
9.3 Gesichtserkennung 133
9.3.1 Einführung 133
9.3.2 Gesichtsmerkmale 133
9.3.3 Enrollment 134
9.3.4 Personenidenti.kation und Personenveri.kation 135
9.3.5 Entscheidungsstrategie 135
Teil III Simulationsstudie 138
10 Bildsuchmaschine 140
10.1 Agentenbasierte Bildsuchmaschine 140
10.2 Anwendungsfälle 141
10.3 Erweiterungen der Bildsuchmaschine 143
10.3.1 Übersicht 143
10.3.2 Benutzerschnittstelle 144
10.3.3 Migrationsdatenbank 146
10.3.4 Delegationsmechanismus 150
10.3.5 Delegationsticket 151
10.3.6 Quittung für den Kunden 152
10.3.7 Quittung für den Bildanbieter 153
10.3.8 Logdatei beim Bildanbieter / Broker 153
10.3.9 Ticket- Granting- Server 154
11 Ablauf, Aufgaben und Rollen der Simulationsstudie 156
11.1 Die Durchführung der Simulationsstudie 156
11.2 Der Ablauf die Simulationsstudie 156
11.2.1 Technische Sicherheit 157
11.2.2 Rechtssicherheit und Rechtsverbindlichkeit 157
11.2.3 Abschließende Diskussion und Auswertung 157
11.3 Rollen der Teilnehmer 158
11.3.1 Kundenrollen 159
11.3.2 Aufgaben der Kunden 160
11.3.3 Brokerrollen 161
11.3.4 Aufgaben der Broker 162
11.3.5 Bildanbieterrollen 162
11.3.6 Aufgaben der Bildanbieter 163
11.3.7 Der Gang vor das Computergericht 163
11.4 Möglichkeiten des Bilderwerbs 164
11.4.1 Erwerb von Einzelbildern direkt bei einem Bildanbieter mit dem kein 164
Rahmenvertrag besteht 164
11.4.2 Der Kunde erwirbt Einzelbilder über den Broker 165
11.4.3 Der Kunde erwirbt ein Bild beim Bildanbieter mit Aboticket 166
11.4.4 Kunde kauft Bild beim Broker mit Aboticket 166
11.5 Aufgaben aller Teilnehmer zur Biometrie 167
11.6 Technische Angreifer 167
11.7 Technische und organisatorische Aspekte 169
11.7.1 Zerti . kate 170
11.7.2 Policies 170
11.7.3 Physische Speicherorte 170
11.7.4 E- Mail- Accounts 171
11.7.5 Synchronisation 171
11.7.6 Angriffsprotokolle 171
12 Technische Ergebnisse und Beobachtungen 172
12.1 Agententechnologie 172
12.1.1 Replay- Attacke 172
12.1.1.1 Vorbereitung 173
12.1.1.2 Ausführung 175
12.1.1.3 Nachweis 176
12.1.2 Detour- Attacke 177
12.1.2.1 Vorbereitung 177
12.1.2.2 Ausführung 178
12.1.2.3 Nachweis 180
12.1.3 Behauptung des Nicht- Zugangs eines Agenten 184
12.2 Delegationsmechanismus 186
12.3 Gesichtserkennung 187
12.4 Sprechererkennung 189
13 Juristische Angriffe und deren gerichtliche Bewertung 194
13.1 Angriffe aller Teilnehmer 195
13.1.1 Der Beweiswert von Tickets und Protokolldateien wird bestritten 195
13.1.2 Der Empfänger leugnet den Erhalt ( Zugang) eines Agenten 197
13.1.3 Der Empfänger leugnet die Lieferung ( Absendung) eines Agenten 198
13.2 Angriffe der Kunden 200
13.2.1 Die Behauptung, es sei nicht oder nur mangelhaft geliefert worden 200
13.2.2 Ein anderer hat mit der Signaturkarte ein Bild bestellt 201
13.2.3 Der Versuch, sich nach Erhalt des Bildes vom Vertrag zu lösen 203
13.3 Angriffe der Broker 205
13.3.1 Rechnungsstellung ohne Kaufvertrag und Lieferung 205
13.3.2 Doppelte Rechnungsstellung 206
13.3.3 Die Behauptung, nur Nutzungsrechte zu schulden 207
13.4 Angriffe der Bildanbieter 208
13.4.1 Der Bildanbieter bestreitet ein Aboticket ausgestellt zu haben 208
13.4.2 Der Bildanbieter bestreitet die Bestellung im Rahmen des Abonnements 209
13.5 P.ichten des Bildanbieters beim Absenden eines Agenten 210
Teil IV Auswertung 213
14 Mobile Agenten aus Sicht der Anwender 214
14.1 Usability-Anforderungen an mobile Agenten 214
14.2 De.nition eines Agenten aus software-ergonomischer Sicht 217
14.3 Erfahrungen der Anwender mit mobilen Agenten 218
14.4 Ergebnisse aus den Fragebogen 219
14.4.1 Fragen zum ersten Eindruck 219
14.4.1.1 Fragen zu den Abläufen im Hintergrund 219
14.4.1.2 Fragen zu den notwendigen Informationen bei Rechtsstreitigkeiten 221
14.4.2 Fragen am Ende der Simulationsstudie 221
14.5 Nachbesprechung 224
14.6 Ergebnisse 224
15 Rechtliche Gestaltungsvorschläge 226
15.1 Rechtliche Gestaltungskriterien und deren Umsetzung 226
15.2 Ergebnisse der Simulationsstudie 230
15.2.1 Verwendung gesetzeskonformer Signaturen 231
15.2.2 Führung eigener Logdateien 231
15.2.3 Empfangsbestätigungen über den Zugang von Agenten 233
15.2.4 Betriebssystem- unabhängige Gestaltung der Agentenplattform 233
15.2.5 Autorisierung gegenüber dem System 234
15.2.6 Transparente Gestaltung der Funktionsabläufe 234
15.2.7 Unterstützung bei der Erfüllung von Informationsp . ichten und der 235
Aushandlung von Datenschutz- und Sicherheitspolicies 235
15.3 Schlussbetrachtung 236
16 Technische Gestaltungsvorschläge 238
16.1 Agentenplattform 238
16.1.1 Allgemeine Vorschläge 239
16.1.2 Transaktionsbasierte Migration 240
16.1.3 Schutz vor Wiedereinspielung 243
16.1.4 Zugangsbestätigung im Migrationsprotokoll 245
16.1.5 Load Balancing der Agentenserver 247
16.2 Biometrie 250
17 Die zweite Simulationsstudie 252
17.1 Neu implementierte Sicherheitsmechanismen 252
17.1.1 Das Secure- Partial- Results- Protokoll 252
17.1.2 Lokale Protokollierung 253
17.1.3 Signierte Empfangsbestätigungen 254
17.1.4 Integration der neuen Mechanismen 254
17.1.4.1 Ausgehende Filter- Pipeline für die Agentenmigration 255
17.1.4.2 Eingehende Filter- Pipeline für die Agentenmigration 256
17.2 Aufbau der zweiten Simulationsstudie 258
17.3 Beobachtete Kon.ikte und deren Lösung 258
17.3.1 Vertragsschluss zwischen Kunden und Broker 259
17.3.2 Absenden des Fetch- Agenten durch den Bildanbieter 260
17.3.3 Streit um Agenteninhalt 262
17.4 Zusammenfassung der Ergebnisse 264
18 Schlusswort 266
Autoren 272
Christoph Busch 272
Michael Dose 272
Rotraud Gitter 273
Kai Fischer 273
Philip Laue 273
Linda Mathé 274
Volkmar Lotz 274
Jan Peters 274
Ulrich Pinsdorf 275
Herbert Reininger 275
Alexander Roßnagel 275
Volker Roth 276
Roland Steidle 276
Literaturverzeichnis 278

10 Bildsuchmaschine (S. 131-132)

Ulrich Pinsdorf

Die in der Simulationsstudie eingesetzte Agentenanwendung erlaubt den Handel mit digitalen Bildern über mobile Agenten und basiert auf der Agentenplattform Se- MoA.155 Dieses agentenbasierte Content Based Retrieval (CBR) erlaubt es dem Benutzer, anhand eines Beispielbildes ähnliche Bilder auf einem Netz von angeschlossenen Agentenservern zu .nden. Das System besteht aus zwei Teilen: einem Client-seitigen Teil und einem Serverseitigen Teil. Die Begriffe Client und Server sollen hier keine Client-Server-Architektur antizipieren, sondern dienen nur zum Beschreiben der Rollen, die die Agentenserver ausfüllen. Auf der Client-Seite be.ndet sich das Anfragemodul, eine graphische Ober- .äche, mit deren Hilfe der Benutzer eine Suchanfrage starten kann. Auf den Servern be.nden sich jeweils die Mengen der angebotenen Bilder. Zwischen Client und Server herrscht eine n:m-Beziehung. Das bedeutet, das n ClientsmServer gegenüberstehen.

10.1 Agentenbasierte Bildsuchmaschine

Die Bildsuche erfolgt in drei Schritten. Zunächst wird ein Index-Agent (Index-Agent) vom Client zum Bildanbieter gesendet. Dieser indiziert alle Bilder mit einem Verfahren zur Ermittlung von Bildähnlichkeiten. Dieser Schritt dient ausschließlich der performanteren Suche. Der Index-Agent verbleibt auf dem Zielserver und wartet auf einen Agenten, der eine Suchanfrage mitbringt. Im zweiten Schritt bestimmt der Benutzer mittels einer graphischen Benutzerschnittstelle eine Bildvorlage, zu der ähnliche Bilder gefunden werden sollen, und wählt den oder die zu besuchenden Server aus. Anschließend wird ein Such-Agent (Search-Agent) erzeugt.

Dieser migriert zu den angegebenen Zielen. Dort angekommen kommuniziert er lokal mit dem Index-Agenten, zeigt ihm die Bildvorlage und bittet um die Ermittlung ähnlicher Bilder aus dem lokalen Bild-Fundus. Der Index-Agent liefert als Antwort die Namen, die Ähnlichkeitsquoten und die Vorschaubilder der fünf156 Bilder, die am besten zur Vorlage passen. Die Ermittlung dieser Bilder geschieht sehr schnell, da der Index-Agent den ganzen Bildbestand bereits zuvor gescannt hat. Nun migriert der Such-Agent entweder zum nächsten Bildserver oder kehrt auf den Rechner des Benutzers zurück. Dort aggregiert er alle Ergebnisse präsentiert dem Benutzer die besten Treffer mit Bildname, Ähnlichkeitsquote und Vorschaubild. Im dritten Schritt wählt der Benutzer eines der Bilder aus.

Durch Klick auf das Vorschaubild wird nun ein Hol-Agent (Fetch-Agent) gestartet. Da im System abgelegt ist, auf welchem Server dieses Bild zu .nden ist und wie das Bild heißt, ist keine weitere Benutzerinteraktion notwendig. Der Agent migriert zum Bildanbieter und erfragt über die Software-Schnittstelle das Bild. Das Bild wird ihm daraufhin übergeben, der Agent kann zurück nach Hause migrieren und das Bild über die dortige Benutzerschnittstelle anzeigen. Der ganze Suchvorgang ist etwa so schnell wie eine Suche im Internet. Einzig das Indizieren kann je nach Umfang des Bildbestandes mehrere Sekunden bis einige Minuten dauern. Das ist jedoch nur einmal je Bildanbieter notwendig.

Die Vorteile des Systems sind
• inhaltsbasierte Suche,
• Ergebnisaggregation nach dem Durchsuchen von n Quellen,
• flexible Infrastruktur, d.h. neue Bildanbieter können dynamisch hinzukommen oder wegfallen,
• Client-seitige Vorgabe des Suchalgorithmus.