1. Identitätsmanagement fürs Internet – Datenklarheit zwischen Nutzer und Anbieter

Die Kommunikation im Internet ist heutzutage ein wichtiges, aber ebenso unsicheres Unterfangen. Oft werden aus den übermittelten Informationen (z.B. Cookies, IP-Adressen) Profile der Nutzer erstellt, die personenbezogene Daten enthalten. Aber welche Angaben müssen durch den Nutzer wirklich freigegeben werden? Und wie kann er die Verbreitung seiner Daten unterbinden? Zur Problemlösung bedarf es einer gewissen Anonymisierung des Nutzers. Durch den Einsatz von Pseudonymen, Zertifikaten und Treuhänderdiensten kann man einen Kompromiss zwischen den Interessen von Nutzern und Anbietern erreichen. Mit DRIM (= Datenschutzgerechtes Identitätsmanagement) entwickelt das Institut für Systemarchitektur der TU Dresden in Zusammenarbeit mit dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein ein prototypisches Identitätsmanagment-System als Open-Source. Im Projekt DRIM werden in erster Linie die Grundlagen, Techniken und Einsatzszenarien datenschutzgerechten Identitätsmanagements erforscht. Am Ende dieser Untersuchung steht ein System, das eine anonyme und pseudonyme Netzwerkkommunikation ermöglicht. Unter Identitätsmanagment versteht man die Verwaltung personenbezogener Daten im eigenen Computer/PDA oder Handy. Im Identitätsmanager ist festgelegt, in welcher Situation die Daten an wen herausgegeben werden. Dabei protokolliert dieser die veröffentlichten Daten, um dem Nutzer einen besseren Überblick zu gewähren. Außerdem kommt es zur Zuordnung unterschiedlicher Pseudonyme für verschiedene Aktionen. Durch die Auswahl solcher "Scheinnamen" kann der Nutzer den Grad seiner Anonymität festlegen. Es ist möglich, personenbezogene Daten durch Zertifikate (beglaubigte) an kryptographische Pseudonyme zu binden. Die Beglaubigung einer solchen Legitimation kann durch verschiedene Treuhänder (z.B. Staat als rechtliche Instanz) erfolgen. So können Dienstanbieter benötigte Daten erhalten, ohne dass der Nutzer seine Identität preisgeben muss. Damit wird auch ein Schutz vor dem Abhören im Netzwerk (z.B. Internet-Service-Provider) gewährt. Das System des Identitätsmanagements wird mit Java entwickelt, um plattformunabhängig zu sein. Zur Datenspeicherung werden verschiedene Datenbanken verwendet. Bisher wurde das DRIM-System am Einsatzszenario des pseudonymen Websurfens erprobt. Dabei legt der Nutzer zuerst fest, unter welchem Pseudonym er gegenüber dem betreffenden Webserver auftreten will. Weiterhin bestimmt er, wie häufig seine Pseudonyme gewechselt werden sollen und welche Daten er herausgeben möchte. Der Server kann definieren, welche Daten er vom Nutzer benötigt. Wobei hier auch von Dritten zertifizierte Daten angefordert werden können. Besonders vorteilhaft lassen sich Identitätsmanagementsysteme im Bereich des E-Commerce und E-Government einsetzen. Deshalb ist die Professur für Datenschutz und -sicherheit an Kooperationspartnern interessiert, die einen Test bzw. die Anpassung des Systems an realistische Einsatzszenarien ermöglichen.

2. Internetprotokollbeschleunigung durch Netzwerkprozessoren für Virtuelle Private Netzwerke (VPN)

Ohne spezielle Vorkehrungen werden Daten im Internet unverschlüsselt übertragen. Dies stellt insbesondere für Unternehmen ein hohes Sicherheitsrisiko dar. Als Konsequenz werden zunehmend Virtuelle Private Netzwerke (VPN) eingesetzt. Dabei handelt es sich um Protokolle, die die Authentizität übertragener Daten gewährleisten, Manipulationen aufdecken und die die Einsichtnahme von Informationen durch Dritte verhindern. Um solche Protokolle erstellen zu können, müssen sehr aufwändige kryptografische Algorithmen vor und nach der Übertragung in ein öffentliches Netz ausgeführt werden. Da auch sehr leistungsfähige Computer heute mit einer Datenübertragungsgeschwindigkeit von höchstens 100 Mbit/s arbeiten, stellt sich für große Unternehmen mit meist mehreren Standorten ein Problem: Weil sie ein sehr hohes Datenaufkommen haben, sind sie zur Bewältigung dieser Mengen bisher auf sehr aufwändige und damit teure Spezialhardwarelösungen angewiesen. Gleiches gilt für Service Provider, die VPN-Dienstleistungen für andere Unternehmen anbieten. In Zusammenarbeit mit Projektpartnern entwickelten Informatiker der TU Dresden einen neuen Lösungsansatz. Dieser sieht eine Partitionierung, d. h. eine teilweise Auslagerung heute eingesetzter VPN-Protokolle (IPSecurity) in speziellen Netzwerkprozessoren vor. Dafür wurde der Datenpfad der Protokollverarbeitung, insbesondere die Verschlüsselungsalgorythmen, hochgradig parallelisiert und optimiert. Die Umsetzung erfolgte prototypisch auf einem Entwicklungssystem als VPN-Gateway. Im Ergebnis können sichere Verbindungen mit deutlich höherer Bandbreite aufgebaut werden als mit vergleichbaren Software-Systemen. Im Vergleich zu bekannten Hardware-basierten VPN-Systemen (ASIC-basierten VPNs) können außerdem die Kosten erheblich gesenkt werden. Die vorgestellte Lösung bietet auch den Vorzug einer besseren Skalierung der Prozessoren. Bei gleicher Systemarchitektur sind diese von 10 Mbit/s bis zu 10 Gbit/s skalierbar. Sie bietet damit für Datenraten, die auch mit Spezial-Hardware bisher nicht sicher übertragen werden konnten, eine Lösung. (cw)

3. Achten Sie auf die „COBRA"

Studenten der Fakultät Elektrotechnik haben in einem neuartigen Projekt Lösungen zur Erhöhung der Datenübertragungsrate bei der mobilen Kommunikation durch den Einsatz von Mehrfachantennen entwickelt. Ihre Ergebnisse stellen sie anhand des Modellsystems „COBRA" (COmputer Based Radio and Antennas) auf der CeBIT in Hannover vor. In den nächsten Jahren wird eine stark wachsende Nachfrage nach Verbindungen mit einer hohen Datenübertragungsrate bei der mobilen Kommunikation erwartet. Ein Grund ist, dass Video und andere interaktive Anwendungen in der drahtlosen Welt Eingang gefunden haben. Um die dafür benötigte Übertragungskapazität bereit zu stellen, sollen Mehrfachantennen verwendet werden, die die räumlichen Eigenschaften des Mobilfunks ausnutzen. Die Leistungsfähigkeit von Übertragungssystemen mit mehreren Antennen am Sender und Empfänger, die bereits durch theoretische Untersuchungen nachgewiesen wurde, soll durch das „COBRA"-System experimentell verifiziert werden. Darüber hinaus werden künftige mobile Endgeräte in verschiedenen Umgebungen eingesetzt und müssen verschiedene Übertragungsstandards realisieren. Diese Flexibilität lässt sich mit so genannten Software Radios erreichen, bei denen die notwendige Signalverarbeitung vollständig in Software programmiert ist. Das Modellsystem „COBRA" wurde entwickelt, um Raum-Zeit-Prozess-Anwendungen für Systeme mit Mehrfachantennen am Sendegerät und Empfänger zu erforschen (MIMO – Multiple Input, Multiple Output, Systeme mit mehreren Ein- und Ausgängen). Es besteht aus einem Sende- und einem Empfangsgerät mit Software basierter Signalverarbeitung im Basisband. Die Datenverarbeitung wird modular auf vernetzten Rechnerknoten in Echtzeit durchgeführt. Ein Computer mit Windows NT-Betriebssystem dient als Programmier- und Kontrollschnittstelle. Am Sender wird das Basisband-Signal in analoge Wellenformen umgewandelt, die anschließend mit einer Trägerfrequenz von 5,2 GHz (HiperLAN/2-Band) oder 5,8 GHz (ISM-Band) abgestrahlt werden. Die zwei empfangenen Antennensignale werden zurück in das Basisband gemischt. Nach der Analog-Digital-Umwandlung findet die weitere Signalverarbeitung wieder vollständig in Software statt. Die Entwicklung des MIMO-Demonstrators ermöglicht es, theoretische Erkenntnisse auf dem Gebiet der Raum-Zeit-Signalverarbeitung in der Praxis verifizieren zu können. Dabei wurde auf eine hohe Flexibilität Wert gelegt. Die komplette Umsetzung der Signalverarbeitungsverfahren in Softwareroutinen erlaubt die spätere Implementierung anderer Übertragungsverfahren als des gegenwärtig realisierten UMTS-Standards. Weiterhin können die Hochfrequenz-Modulatoren zwischen zwei Trägerfrequenzen umgeschaltet werden und so eine Anpassung an europäische oder amerikanische Normen vorgenommen werden. Mit der Umsetzung des Software Radio Konzeptes für mobile Endgeräte und Basisstationen befasst sich der Vodafone-Lehrstuhl "Mobile Nachrichtensysteme" an der TU Dresden, der 1994 von der Firma Vodafone D2 GmbH, Düsseldorf (vormals Mannesmann Mobilfunk GmbH) gestiftet wurde. Er wird von Prof. Dr. G. Fettweis geleitet. Weitere Informationen erhalten Sie unter www.vodafone-chair.com. (cw)

4. „jExam" – Unterstützen mit System

Formularberge, Einschreibschlangen und Wartezeiten – mit dem an der TU Dresden entwickeltem System „jExam" (j steht für die Programmiersprache Java, Exam für Prüfung und Einschreibung) können sie weitgehend vermieden werden. Im heutigen Hochschulbetrieb sind unterstützende Softwaresysteme unabdingbar. jExam ist ein flexibles System, welches viele Anwendungsfelder im Bereich der Studenten- und Studienverwaltung gleichzeitig unterstützt. Bei der Entwicklung wurde besonderer Wert auf Plattformunabhängigkeit und Modularität gelegt. Gleichzeitig berücksichtigte man wichtige Aspekte wie Datenschutz und Datensicherheit, Skalierbarkeit und Kosten schon seit Beginn der Analysephase. Die Idee für jExam lieferte Daniel Schaller, Student der Informatik, im Juni 2000. Genervt von den langen Einschreibezeiten an seiner Fakultät, unterbreitete er den Vorschlag eines Online-Einschreibsystems und fand ideelle und finanzielle Unterstützung. Mit drei weiteren Studenten programmierte Schaller eine „Online-Einschreibung" für Vorlesungen an seiner Fakultät. Die Umsetzung der Idee konnte bereits im Oktober 2001 bei der Übungseinschreibung für die Erstsemester präsentiert werden. Innerhalb von fünf Stunden waren alle Einschreibeformalitäten erledigt. Nutznießer des neuen Einschreibsystems sind nicht nur die Studenten, sondern auch das Prüfungsamt, dem viel Stress und Arbeit erspart bleibt. Die Anwendungsmöglichkeiten beschränken sich jedoch nicht nur auf Online-Einschreibungen, sondern ermöglichen auch die Online-Anmeldung zu Klausuren und Prüfungen. Somit unterstützt jExam aktiv die Verwaltung von Prüfungs- und Klausurterminen, die Ankündigung von Terminen im Web, die Lehrangebots- und Lehrveranstaltungsplanung und das Verwalten von Stammdaten. Es hilft bei der Modellierung von Studien- und Prüfungsordnungen und damit verbunden: bei der Überprüfung von Zulassungsvoraussetzungen. Der grundlegende Aufbau von „jExam" entspricht der Three-Tier-Architektur (dreischichtiges Gebilde): Datenbanksystem – Applikationsserver – Anwendungsprogramme. Die Anwendungsprogramme (Clients) verfügen über einen Aktualisierungsdienst, welcher immer die aktuellste Version gewährleistet. Ein neuartiger Plugin-Mechanismus ermöglicht die einfache und effiziente Erweiterung um beliebige Funktionalitäten. Hierdurch wird auch ein hoher Grad an Wiederverwendbarkeit erzielt, was zur Stabilität des Gesamtsystems beiträgt. Sicherheit gehört von Anbeginn zu den Schwerpunkten in Bezug auf die zugrunde gelegten Entwurfsprinzipien. Dazu zählt jedoch nicht nur der Einsatz kryptographischer Methoden, sondern zusätzlich die Integration datenschutzrechtlicher Forderungen. Beispielsweise wird die komplette Kommunikation SSL verschlüsselt, Ergebnisse sind anonymisiert, der Zugriffschutz erfolgt über Nutzer-Authentifikation. Andere Fakultäten wie die Wirtschaftswissenschaften haben schon Interesse am Projekt bekundet. Schaller und seine Mitstreiter planen inzwischen den Schritt zur Firmengründung.