Direkt zu


Informationen für Studierende

zur Startseite

Bachelorarbeit

Vertrauen jenseits Datenschutz und Datensicherheit
Betreuer Dr. rer. nat. Christoph Stach
Prüfer Prof. Dr.-Ing. habil. Bernhard Mitschang
Ende2014/12/19
Beschreibung

Ausgangssituation

Mobiltelefone sind seit Jahren ein fester Bestandteil unseres Alltags. Das Leistungsspektrum dieser Geräte steht heutzutage Desktop-PCs in nichts nach – und so werden sie auch genutzt: Man verwaltet damit Termine und Kontakte, lässt sich navigieren und kann mittels NFC sogar an der Kasse bezahlen. Diese Vielseitigkeit wird durch ein großes Angebot an Drittsoftware weiter begünstigt. Bei der Verwendung jener Anwendungen, den sog. Apps, gehen viele Nutzer oft unbedacht vor, wodurch es häufig zu einer unerwünschten Verwendung von privaten Daten (z.B. Fotos, Kontaktdaten oder Mitteilungen) kommt [1]. Ein zuverlässiges System, das den Zugriff auf private Daten regelt, kann daher ein entscheidendes Kaufargument für oder gegen eine Mobilplattform darstellen. Jede Plattform setzt dabei allerdings auf eine andere Strategie zum Schutz privater Daten [2]. Aus Nutzersicht ist jedoch keiner dieser Ansätze befriedigend, wie zahlreiche Beispiele (z.B. http://goo.gl/keCdf) belegen.

Erschwerend kommt hinzu, dass der Nutzer seine Daten vor zwei grundsätzlich unterschiedlichen Gefahrenquellen schützen muss: Einerseits muss das System (und damit auch die Daten) vor Manipulationen oder illegalen Zugriffen geschützt werden. Hierbei sprechen wir von Information Security: Angreifer nutzen häufig bewusst Sicherheitslücken in Apps oder der mobilen Plattform selbst aus, um so heimlich Aktionen auszuführen, die vom Nutzer nicht legitimiert wurden. Bezeichnend ist, dass der Anteil von solcher Schadsoftware für mobile Plattformen im Vergleich zu herkömmlichen Desktop-PCs überproportional stark wächst [3]. Erst allmählich reagieren Hersteller von Sicherheitssoftware auf diese neuartige Bedrohung und entwickeln spezielle Versionen ihrer Programme für mobile Plattformen (z.B. Kaspersky Internet Security for Android). Andererseits muss dem Nutzer ebenfalls eine Möglichkeit geboten werden, den Umfang und die Art der Daten, auf die eine App legal zugreifen darf, zu reglementieren. Solche Funktionen werden unter dem Begriff der Data Privacy subsummiert. Bislang existieren für beide Bereiche allerdings nur separate Insellösungen. Aus diesem Grund wurde mit der Privacy Management Platform (PMP) [2, 4] ein kontextsensitives und absturzsicheres Berechtigungssystem für Android eingeführt, das Berechtigungsanpassungen zur Laufzeit zulässt und private Daten auf Wunsch beliebig randomisiert. Dabei wird der Nutzer stets über die Konsequenzen, die seine Einstellungen auf den Leistungsumfang einer App haben, informiert. Mittels eines sicheren Datencontainers (SDC) lässt sich die PMP leicht um wichtige, die Information Security betreffende, Funktionen erweitern. Das Vertrauen (Trust) in eine App kann allerdings nicht nur durch erhöhte Privacy- und Security-Maßnahmen gesteigert werden, sondern auch durch weitere Vorkehrungen.

Ziel und Aufgabenstellung

Ziel dieser Arbeit ist es nach Möglichkeiten fernab von Privacy und Security zu suchen, wie einerseits die Anbieter von mobilen Plattformen und andererseits die Entwickler von Apps das Vertrauen der Nutzer für sich gewinnen können. Vorstellbar sind in diesem Bereich beispielsweise Untersuchungen des Kontroll- oder Informationsflusses einer App [5] [6], die Validierung einer App innerhalb einer abgesicherten Sandbox [7] oder der Aufbau eines Rating-Systems inklusive einer Metrik zur mathematischen Berechnung eines Trust-Wertes [8] [9].

Hierfür soll sowohl der aktuelle Stand der Forschung als auch der aktuelle Stand der Technik untersucht werden. Dabei soll ein Best-of-Breed Ansatz herausgearbeitet und prototypisch für den Einsatz in einem PMP-App-Shop implementiert werden. Abschließend sollen die Ergebnisse kritisch bewertet werden. Die Ergebnisse dieser Arbeit müssen in zwei Vorträgen präsentiert werden.

Zu bearbeitende Teilaufgaben

  • Analyse bestehender Techniken zur Erhöhung von Trust-Werten
  • Bewertung der ermittelten Techniken hinsichtlich deren Nutzen in einem PMP-App-Shop
  • Entwurf und prototypische Implementierung eines Best-of-Breed Ansatzes
    • Evaluation des Ansatzes anhand einer Beispiel-PMP-App
    • Präsentation der erarbeiteten Ergebnisse im Rahmen eines Abschlussvortrags

Organisatorisches

Art der Arbeit

Bachelorarbeit

Titel

Vertrauen jenseits des Datenschutzes und der Datensicherheit

Englischer Titel

Trust Beyond Privacy and Security

Betreuer

Dipl.-Inf. Christoph Stach

Prüfer

Prof. Dr.-Ing. habil. Bernhard Mitschang

Literatur

[1]          M. Backes, “New Approach Uncovers Data Abuse on Mobile End Devices,” University Saarland, Tech. Rep., 2012.

[2]          C. Stach and B. Mitschang, “Privacy Management for Mobile Platforms - A Review of Concepts and Approaches,” in MDM’13, Juni 2013.

[3]          B. Uscilowski, “Mobile Adware and Malware Analysis,” Symantec, Security Response, October 2013.

[4]          C. Stach and B. Mitschang, “Design and Implementation of the Privacy Management Platform,” in MDM’14, July 2014.

[5]          P. P. Chan, L. C. Hui, and S. M. Yiu, “DroidChecker: Analyzing Android Applications for Capability Leak,” in WISEC’12, 2012.

[6]          P. Kodeswaran, V. Nandakumar, S. Kapoor, P. Kamaraju, A. Joshi, and S. Mukherjea, “Securing Enterprise Data on Smartphones Using Run Time Information Flow Control,” in MDM’12, 2012.

[7]          R. Xu, H. Sadi, and R. Anderson, “Äurasium: Practical Policy Enforcement for Android Applications,” in Security’12, 2012.

[8]          X. Liu, A. Datta, K. Rzadca, and E.-P. Lim, “StereoTrust: A Group Based Personalized Trust Model,” in CIKM’09, 2009.

[9]          M. Kuehnhausen and V. S. Frost, “Trusting Smartphone Apps? To install or not to install, that is the question,” in CogSIMA’13, 2013.