|
|||||
|
|
|
|
|||
|
Die wirtschaftlichen Chancen für den E-Commerce
sind enorm, da sich nahezu grenzenlose Märkte erschließen,
keine beschränkten Geschäftszeiten mehr existieren und die
Möglichkeiten der modernen Informationstechnologien für flexible,
kundengerechte Angebote ständig weiter ausgebaut werden. Der elektronische
Geschäftsverkehr beginnt sich in allen Lebensbereichen durchzusetzen,
wobei jedoch die Geschwindigkeit dieses Prozesses von der Akzeptanz
durch die Akteure abhängt. Ein entscheidendes Akzeptanzkriterium
ist dabei das Vertrauen in die Verlässlichkeit kommerzieller, insbesondere
finanzieller Transaktionen. Über lange
Zeiträume gewachsene Strukturen zur zuverlässigen Abwicklung
des Zahlungsverkehrs sind in immer komplexer werdenden und faktisch
unkontrollierbaren Netzen völlig neuartigen Bedrohungen ausgesetzt.
Die Verfügbarkeit und Verlässlichkeit etablierter Systeme
und Mechanismen sind in dieser weltumspannenden Infrastruktur besonders
gefährdet. Es bedarf daher erheblicher Anstrengungen, um den elektronischen
Geschäftsverkehr im Allgemeinen und den elektronischen Zahlungsverkehr
im Besonderen abzusichern. Angesichts der tragenden
Rolle der Verlässlichkeit im elektronischen Zahlungsverkehr hat
das Bundesministerium für Wirtschaft und Technologie (BMWi) im
Frühjahr 2000 das Verbundvorhaben FairPay gestartet. Unter der
Federführung des DFKI wird eine umfassende Methodologie zum Entwurf
verlässlicher Zahlungsverkehrslösungen entwickelt. Die Arbeiten im
Forschungs- und Entwicklungsprojekt FairPay zielen auf einen ganzheitlichen
Security Engineering Process, der Funktionalität und Sicherheit
gleichberechtigt integriert. Zur Verwirklichung dieses umfassenden Anspruchs
decken die Kompetenzen der beteiligten Partner das ganze Spektrum von
wissenschaftlicher Forschung über die Entwicklung von praxistauglichen
Methoden und Werkzeugen bis hin zu konkreten Anwendungen ab. Auf der Basis der
FairPay-Methodologie und der verfügbaren Werkzeuge wandelt sich
die Entwicklung zuverlässiger Lösungen des E-Commerce zunehmend
von einer durch individuelle Fähigkeiten bestimmten Tätigkeit
zur routinemäßigen Ingenieurleistung; so wie man heute im
Allgemeinen der Stabilität von Brückenkonstruktionen trauen
kann, wird man künftig auch auf die Stabilität von Sicherheitsfunktionen
bauen dürfen. Zentrale Aufgabe
von FairPay ist die Etablierung einer Methodologie zur effektiven Entwicklung
qualitativ hochwertiger Schutzkonzepte. Die entstehende Methodologie
erweitert bekannte Vorgehensmodelle - wie etwa den Rational Unified
Process (RUP) - um die Berücksichtigung von Bedrohungen durch bösartige
Angreifer. Das FairPay-Vorgehensmodell bietet einen einheitlichen Rahmen
für die Gewährleistung von Sicherheit in allen Phasen des
Lebenszyklus von IT-Lösungen, also von der Planung über die
Entwicklung bis zu Pflege und Betrieb.
|
|
Der
Anspruch von FairPay ist, das komplexe Spektrum von Schutzbedürfnissen
aller am elektronischen Zahlungsverkehr beteiligten Akteure einschließlich
der vielschichtigen multilateralen Abhängigkeiten vollständig
zu erfassen. Denn letztlich ermöglicht nur die Orientierung am
multilateralen Zusammenspiel der zum Teil sehr unterschiedlichen Schutzbedürfnisse
eine wirkliche Objektivierung qualitativer Aspekte der IT-Sicherheit. Technologischer
Kern der Objektivierung von Sicherheitsprinzipien und -maßnahmen
ist eine werkzeugunterstützte formale Modellierung. Zum Einsatz
kommt hier unter anderem das im Auftrag des Bundesamtes für Sicherheit
in der Informationstechnik (BSI) entwickelte Verification Support Environment
(VSE). Dieses Tool hat seine Leistungsfähigkeit und Praxistauglichkeit
in mehreren kommerziellen Anwendungen aus dem Bereich des IT-Sicherheit
unter Beweis gestellt. Auf der Basis exakter Beschreibungen erlaubt
VSE den Nachweis von Zuverlässigkeit mit mathematischer Präzision. Mit Hilfe formaler
Methoden gesicherte Ergebnisse erreichen damit ein Niveau an faktischer
Zuverlässigkeit, das keine Schwachstellen unentdeckt lässt.
Die durch formale Methoden erreichbare Zuverlässigkeit führt
zu kalkulierbaren und insbesondere nachprüfbaren Sicherheitsgarantien
durch Anbieter oder Betreiber von Produkten und Diensten des elektronischen
Zahlungsverkehrs. FairPay entwickelt deshalb einen an international
anerkannten Kriterienwerken (insbesondere ITSEC und Common Criteria)
orientierten Katalog von Anforderungen, die einen unabhängigen
Prüfer in die Lage versetzen, die erreichten Zuverlässigkeitsmerkmale
zu bewerten. Anwender des FairPay-Vorgehensmodells können dadurch
ein qualitativ hochwertiges Gütesiegel erwerben, das Dank seiner
Konformität zu anerkannten Kriterienwerken auch internationale
Wertschätzung finden dürfte. Obwohl FairPay hauptsächlich
auf die Verlässlichkeit im elektronischen Zahlungsverkehr zielt,
sind die methodischen Konzepte des Security Engineering selbstverständlich
auf andere sicherheitskritische Bereiche des elektronischen Geschäftsverkehrs
in offenen Netzwerken anwendbar. Dies zeigt sich bereits in den Anwendungen,
die innerhalb von FairPay untersucht bzw. entwickelt werden. So werden
neben reinen Zahlungsverkehrslösungen - wie dem von der Paybox.net
AG in Zusammenarbeit mit der Deutsche Bank AG angebotenen Service für
mobile Bezahlvorgänge - weitere Produkte und Dienste mit hohem
Schutzbedarf betrachtet. Insbesondere sind die Bestandteile der Registration
Authority der Bayerische HypoVereinsbank AG Untersuchungsgegenstand
von FairPay. Weiterhin wurde von der emagine GmbH auf der Basis der
FairPay-Methodologie ein Prototyp für das im Internet nutzbare
Online-Ausschreibungssystem eCompete entwickelt.
|
|||
