Rollen und Berechtigungskonzepte (eBook)

Alexander Tsolkas ist selbstständiger Berater für Informationssicherheit, Risikomanagement und Datenschutz. Er ist zertifiziert für Informationssicherheit, Datenschutz, Barracuda Firewalls und bildet ISO 27001:2005 Auditoren-Trainer aus. Er publizierte in 5 Jahren über 300 Artikel in der Computerwoche und auf seinem aktuellen Blog „SecTank“. Er war 5 Jahre CSO der Schenker AG, 3 Jahre Leiter Informationssicherheit der Adam Opel AG und 9 Jahre Senior Information Security Analyst bei EDS (HP).Klaus Schmidt ist zertifizierter Information Security Manager und Geschäftsführer der Innomenta GmbH & Co. KG. Er bildet in Zusammenarbeit mit der AdT Information Security Manager aus und hat einen Lehrauftrag an der Hochschule Fulda.

Vorwort 7
Inhaltsverzeichnis 10
1 Elemente zur Berechtigungssteuerung 18
1.1 Berechtigung 18
1.2 Rolle 27
1.2.1 Business-Rolle 27
1.2.2 Technische Rolle 29
1.3 Attribut 29
1.4 Gruppe 31
1.5 Arbeitsplatzprofil 32
1.6 Workset 32
1.7 Profil 33
1.8 Sammelprofil 36
2 Identitätsmanagement 38
2.1 Der Identitätsbegriff 38
2.2 Identitätsarten 40
2.3 Identitätsträger 42
2.4 Identifizierung einer Identität 46
2.4.1 Identifizierung über Namen 46
2.4.2 Identifizierung mit abstrakten Bezeichnern 48
2.4.3 Fazit 50
2.5 Schutz der Privatheit 50
2.5.1 Identitätsgefahren 51
3 Rollenkonzept 58
3.1 Motivation für die Verwendung von Rollen 58
3.2 Rollenfindung und Rollenbildung 62
3.2.1 Auswertung von Dokumentationen 62
3.2.2 Aufnahme der Tätigkeiten 64
3.3 Rollenhierarchie 72
3.3.1 Rollenbeziehungen 72
3.3.2 Vererbung von Rollen 76
3.4 Anwendungsbeispiel der Rollenhierarchie 77
3.5 Rollenmodelle 84
3.5.1 Multiple Role Model 84
3.5.2 Single Role Model 85
4 Role Based Access Control 86
4.1 Core RBAC 87
4.1.1 Referenzmodell 87
4.1.2 Funktionale Spezifikation 88
4.2 Hierarchical RBAC 92
4.2.1 Referenzmodell 92
4.2.2 Funktionale Spezifikation für das General Hierarchical RBAC 93
4.3 Constrained RBAC 94
5 Berechtigungssteuerung 97
5.1 Die zwei seiten der Berechtigungsthematik 97
5.1.1 Seite der Identitäten 97
5.1.2 Seite der Ressourcen 98
5.2 Quelldaten 100
5.2.1 Personaldaten 101
5.2.2 Organisationsdaten 103
5.2.3 Systemdaten 103
5.2.4 Applikationsdaten 104
5.3 Rollenbasierte Berechtigungssteuerung 104
5.4 Attributsbasierte Berechtigungssteuerung 109
5.5 Gruppenbasierte Berechtigungssteuerung 111
5.6 Kombinierte Berechtigungssteuerung 112
5.7 Granularität der Berechtigungssteuerung 120
5.8 Berechtigungsmodelle 125
6 Provisioning 131
6.1 User und Ressource Provisioning 132
6.1.1 User Provisioning 132
6.1.2 Ressource-Provisioning 136
6.2 Server Provisioning 139
6.3 Service Provisioning 140
6.4 Mobile Subscriber Provisioning 142
6.5 Mobile Content Provisioning 142
7 Zugriffskontrolle über Authentifizierung 143
7.1 UserlD und Passwort 144
7.2 Splitted Password 148
7.3 Challenge Response 149
7.4 Ticket-Systeme 152
7.5 Authentifiziefung nach Needham und Schfoedef 152
7.5.1 Kerberos 153
7.5.2 SESAME 156
7.5.3 DCE - Distributed Computer Environment 157
7.6 Authentifizierung über Token 157
7.6.1 Synchrone laken-Erstellung 158
7.6.2 Asynchrone Token-Erstellung 159
7.6.3 Duale Authentifizierung 159
7.7 Digitale Zertifikate und Signaturen 160
7.7.1 Digitale Zertifikate 160
7.7.2 Digitale Signatur 162
7.8 Biometrie 164
7.8.1 Biometrie in der praktischen Anwendung 165
7.9 PKI- Public Key Infrastructure 168
7.10 Anforderungen an Authentifizierungsdienste 170
8 Zugriffskontrolle über Autorisierung 174
8.1 Identitätsbezogene Zugriffskontrolle 177
8.2 Ressourcenorientierte Zugriffskontrolle 177
8.3 Klassifizierungsorientiert am Objekt und Subjekt (Macintosh)- Sensi'tivity Labels 179
8.4 Rollenbasierte Zugriffskontrolle 179
8.5 Zugriffskontrolltechnologien 180
8.5.1 Rollenbasierte Zugriffskontrolle 180
8.5.2 Regelbasierte Zugriffskontrolle 181
8.5.3 Schnittstellen mit eingeschränkten Rechten 181
8.5.4 Zugriffskontrollmatrix 182
8.5.5 Autorisierungstabellen 182
8.5.6 Zugriffskontrolllisten - ACL - Access Control List 183
8.5.7 Inhaltsabhängige Zugriffskontrolle 183
8.6 Verwaltung der Zugriffskontrolle 183
8.6.1 Zentralisierte Verwaltung 184
8.6.2 RADIUS 185
8.6.3 TACACS 185
8.6.4 Dezentralisierte Verwaltung 186
8.6.5 Hybride Verwaltung 187
8.7 Methoden der Zugriffskontrolle 188
8.8 Zugriffskontrollstufen 188
8.8.1 Physische Kontrolle 188
8.8.2 Technische Kontrolle 189
8.8.3 Adminstrative Kontrollen 191
9 Single Sign On 195
9.1 Problematik multipler Zugänge 195
9.1.1 Erhöhter Helpdesk-Aufwand 195
9.1.2 Produktivitätsverlust durch Mehrfachanwendungen 196
9.1.3 Steigende Kompromittierungsgefahren 197
9.1.4 Sinkende Anwenderakzeptanz und sinkende Transparenz 197
9.2 Entwicklung von 550 199
9.2.1 Passwortsynchronisierung durch den Benutzer 199
9.2.2 Passwortzentralisierung über die Plattform-Anmeldung 200
9.2.3 Passwortsynchronisierung im Backend 202
9.2.4 Erste echte SSQ-Ansätze 203
9.2.5 Grenzen von SSO bei Legacy-Systemen 204
9.3 Au'fbau eines Single Sign On-Systems 205
9.3.1 Repository der Zugangsdaten 207
9.3.2 Verwaltungssystem für die Zugangsdaten 209
9.3.4 Strenge Authentifizierung der zentralen Anmeldung 213
9.3.5 Verwaltung der strengen Authentifizierung 214
9.4 Single-Sign-On - Die Realisierungsvarianten 215
9.4.1 Multifunktionale Smartcards 215
9.4.2 SSO über Kerberos 216
9.4.3 SSO über Portallösungen 217
9.4.4 SSO über Ticketsysteme 218
9.4.5 SSO über lokale Systeme 219
9.4.6 SSO mittels PKI 219
9.4.7 SSO über Firewall-Erweiterungen 219
9.4.8 SSO über IdM-Systeme 220
9.4.9 SSO über RAS-Zugänge 220
9.4.10 SSO für Webanwendungen mit Authentication Tokens 221
9.5 Technologie und Herstelleransätze für die Realisierung von550 221
9.5.1 Microsoft Passport 221
9.5.2 Das Liberty Alliance Project 222
9.5.3 Shibboleth 223
9.5.4 OpenlD 223
9.5.5 Der Central Authentication Server (CAS) 224
9.6 Realisierung von SSO im Unternehmen 225
9.6.1 Vor- und Nachteile SSO 225
9.6.2 Kosten und Nutzen SSO 226
9.6.3 Auswahl eines SSO Systems 227
9.6.4 Wie kann man schnell SSO einführen 227
10 Systemnahes Berechtigungskonzept 229
10.1 Der Aufbau von ACF2 229
10.1.1 BenutzerID-Record 230
10.1.2 Der UID- User Identification String 233
10.1.3 Die Data Set Rule 234
10.1.4 Die Resource Rule 238
10.1.5 Resume 239
11 Meta Directory 242
11.1 Die neue Zentralität 242
11.2 zentrales Repository 249
11.3 Au'fbau eines Berechtigungssystems 252
11.3.1 Datenablage (Repository) 252
11.3.2 Zugangsschnittstelle für die Administration 253
11.3.3 Rule Engine 253
11.3.4 Provisioning-Komponente 253
11.3.5 Verwaltungssystem 256
11.3.6 Kommunikationskomponente 256
11.4 Grundkonzept Verzeichnisdienst 257
11.5 Verzeichnisstandards 263
11.6 Meta-Funktionalität 265
11.7 Meta Directory im Berechtigungsmanagement 267
12 Förderierte Identitäten - Identity Federation 271
12.1 Problem der Identitätsgrenze 272
12.2 Unternehmensübergreifende Kommunikation 273
12.2.1 Klassische Kommunikationsmittel 273
12.2.2 Übertragung elektronischer Informationen 274
12.2.3 Übertragung strukturierter elektronischer Informationen 274
12.3 Konzept des Service-Netzes 275
12.3.1 Webservices 275
12.3.2 Anwendungsszenarien 275
12.3.3 Zugriff auf externe Anwendungen 275
12.4 Aufbau des Protokollstacks 277
12.4.1 Hypertext Transfer Protrocol und Extensible Markup Language 277
12.4.1 Hypertext Transfer Protrocol und Extensible Markup Language 277
12.4.2 SOAP - Simple Object Access Protocol 277
12.4.3 WSDL - Web Services Description Services 278
12.4.4 SAML - Security Assertion Markup Language 280
12.4.5 SPML - Service Provisioning Markup Language 282
12A.6 DSML - DIrectory Service Markup Languge 284
12.4.7 XACML - eXtensible Access Control Markup Language 287
12.4.8 WS-Security 288
12.4.9 ID-FF -Identity Federation Framework 288
12.4.10 ADFS· Active Directory Federation Services 289
12.4.11 FIDIS - Future of Identity in the Information Society 290
12.4.12 Zukunftsausblick Quantenverschlüsselung 290
13 Rechtliche Rahmenbedingungen 292
13.1 SOX 294
13.2 KonTraG 296
13.3 GoBS 298
13.4 Datenschutzrechtliche Einflüsse 298
13.5 Weitere Vorschriften und Richtlinien 302
13.5.1 Das Internet und die GEZ 302
13.5.2 Neue Gesetze 303
13.5.3 Informations- und Risikomanagement 304
13.5.4 Baselll 305
13.5.5 MaRisk 306
13.5.6 Die Rechtsfolgen von Non-Compliance 307
13.5.7 Strafverfolgung der Emittlungsbehörden 308
13.5.8 Vorratsdatenspeicherung 308
13.5.9 Haftungsfragen 308
13.5.10 Identitätsdiebstahl 311
13.5.11 Archivierungspflichten und digitale Betriebsprüfung 311
13.5.12 Elektronische Rechnungen 312
13.5.13 Mitarbeiterkontrolle 313
13.5.14 Einsatz rechtssicherer Spam und Contentfilter 314
13.5.15 Gestaltung von Betriebsvereinbarungen 315
13.5.16 Abwesentheit von Mitarbeitern 316
Sachwortverzeichnis 317