Direkt zu


Informationen für Studierende

zur Startseite

Fachstudie

Schutz privater Daten auf mobilen Geräten – geht das überhaupt?
Betreuer Dr. rer. nat. Christoph Stach
Prüfer Prof. Dr.-Ing. habil. Bernhard Mitschang
Ende2014/12/02
Beschreibung

Ausgangssituation

Mobiltelefone sind seit Jahren ein fester Bestandteil unseres Alltags. Das Leistungsspektrum dieser Geräte steht heutzutage Desktop-PCs in nichts nach – und so werden sie auch genutzt: Man verwaltet damit Termine und Kontakte, lässt sich navigieren und kann mittels NFC sogar an der Kasse bezahlen. Diese Vielseitigkeit wird durch ein großes Angebot an Drittsoftware weiter begünstigt. Bei der Verwendung jener Anwendungen, den sog. Apps, gehen viele Nutzer oft unbedacht vor, wodurch es häufig zu einer unerwünschten Verwendung von privaten Daten (z.B. Fotos, Kontaktdaten oder Mitteilungen) kommt [2]. Ein zuverlässiges System, das den Zugriff auf private Daten regelt, kann daher ein entscheidendes Kaufargument für oder gegen eine Mobilplattform darstellen. Jede Plattform setzt dabei allerdings auf eine andere Strategie zum Schutz privater Daten [3]. Aus Nutzersicht ist jedoch keiner dieser Ansätze befriedigend, wie zahlreiche Beispiele belegen.

Erschwerend kommt hinzu, dass der Nutzer seine Daten vor zwei grundsätzlich unterschiedlichen Gefahrenquellen schützen muss: Einerseits muss das System (und damit auch die Daten) vor Manipulationen oder illegalen Zugriffen geschützt werden (= Information Security): Angreifer nutzen häufig bewusst Sicherheitslücken in Apps oder der mobilen Plattform selbst aus, um so heimlich Aktionen auszuführen, die vom Nutzer nicht legitimiert wurden. Bezeichnend ist, dass der Anteil von solcher Schadsoftware für mobile Plattformen im Vergleich zu herkömmlichen Desktop-PCs überproportional stark wächst [6]. Erst allmählich reagieren Hersteller von Sicherheitssoftware auf diese neuartige Bedrohung und entwickeln spezielle Versionen ihrer Programme für mobile Plattformen (z.B. Kaspersky Internet Security for Android). Andererseits muss dem Nutzer ebenfalls eine Möglichkeit geboten werden, den Umfang und die Art der Daten, auf die eine App legal zugreifen darf, zu reglementieren (= Data Privacy) subsummiert. Bislang existieren für beide Bereiche allerdings nur separate Insellösungen. Aus diesem Grund wurde mit der Privacy Management Platform (PMP) [4, 5] ein kontextsensitives und absturzsicheres Berechtigungssystem für Android eingeführt, das Berechtigungsanpassungen zur Laufzeit zulässt und private Daten auf Wunsch beliebig randomisiert. Dabei wird der Nutzer stets über die Konsequenzen, die seine Einstellungen auf den Leistungsumfang einer App haben, informiert. Mittels eines sicheren Datencontainers (SDC) lässt sich die PMP leicht um wichtige, die Information Security betreffende, Funktionen erweitern. Das Vertrauen (Trust) in eine App kann allerdings nicht nur durch erhöhte Privacy- und Security-Maßnahmen gesteigert werden, sondern auch durch weitere Vorkehrungen.

Ziel und Aufgabenstellung

Ziel dieser Arbeit ist es bestehende Ansätze zur Steigerung von Privacy, Security und Trust für Android-basierte Geräte zu ermitteln und kritisch zu bewerten. In jedem der drei Bereiche sollen im Rahmen einer empirischen und holistischen Recherche alle relevanten Ansätze und Lösungsstrategien erfasst werden, um so einen möglichst umfassenden Überblick zu erhalten. Dabei soll sowohl das theoretische Konzept der Ansätze bewertet werden als auch deren praktischer Umsetzung (soweit vorhanden). Besonders letzteres ist entscheidend für den Erfolg oder Misserfolg eines Sicherheitssystems, da der Endanwender es verstehen und bedienen können muss [1].

Es soll sowohl der aktuelle Stand der Forschung als auch der aktuelle Stand der Technik auf folgende Aspekte hin untersucht werden:

  • Relevanz des Sicherheitssystems
  • Anforderungen des Sicherheitssystems
  • Arbeitsweise des Sicherheitssystems
  • Funktionsumfang des Sicherheitssystems
  • Ressourcenverbrauch des Sicherheitssystems
  • Schutzmechanismen des Sicherheitssystems
  • Anwendbarkeit des Sicherheitssystems
  • Bedienbarkeit des Sicherheitssystems
  • Interaktionsmöglichkeiten des Sicherheitssystems
  • Zuverlässigkeitdes Sicherheitssystems
  • Robustheit des Sicherheitssystems

Zu Testzwecken wird ein gerootetes NexusOne zur Verfügung gestellt. Der für die Messungen benötigte Programmcode muss, genau wie alle anderen im Rahmen dieser Arbeit angefertigten Artefakte, nach Abschluss der Arbeit der Universität zur Verfügung gestellt werden. Die Ergebnisse dieser Arbeit müssen im Rahmen von zwei hochschulöffentlichen Vorträgen präsentiert werden.

Organisatorisches

Art der Arbeit

Fachstudie

Titel

Schutz privater Daten auf mobilen Geräten – geht das überhaupt?

Englischer Titel

Can Private Data be Secured on Today's Mobile Devices?

Betreuer

Dipl.-Inf. Christoph Stach

Prüfer

Prof. Dr.-Ing. habil. Bernhard Mitschang

Literatur

[1]          Felt, A. P., Egelman, S., and Wagner, D. I’ve Got 99 Problems, but Vibration Ain’t One: A Survey of Smartphone Users’ Concerns. In SPSM’12 (2012).

[2]          O’connor, W. R. Mobile Device Security: Threats and Controls. Nova Science Publishers, Inc., 2013.

[3]          Stach, C. Wie funktioniert Datenschutz auf Mobilplattformen? In Informatik 2013 (2013).

[4]          Stach, C., and Mitschang, B. Privacy Management for Mobile Platforms - A Review of Concepts and Approaches. In MDM’13 (2013).

[5]          Stach, C., and Mitschang, B. Design and Implementation of the Privacy Management Platform. In MDM’14 (2014).

[6]          Uscilowski, B. Mobile Adware and Malware Analysis. Security Response, Symantec, October 2013.