Institut für Internet-Sicherheit
if(is)

Links  | Kontakt  | Sitemap  | Impressum  |  if(is) auf Twitter if(is) Facebook if(is)
Bedrohungen im Umgang mit Web 2.0

Desktop-Simulationen

Im Zeitalter der Globalisierung werden Faktoren wie Mobilität und Flexibilität groß geschrieben. Daher liegt es derzeit im Trend, Softwareprogramme nicht mehr ortsgebunden daheim oder im Büro zu installieren, sondern sie mithilfe des Internets an zentralen Stellen anzubieten. Der entscheidende Vorteil: Zugriff von überall und zu jederzeit!

So genannte Desktop-Simulationen greifen diesen Aspekt auf und sind Anwendungen der modernen Art – Anwendungen auf Basis der Web 2.0 Technologie. Diese werden wie bisherige Anwendungen lokal ausgeführt, obwohl im Vorfeld keine lokale Installation, wie sonst bei Anwendungen üblich, stattgefunden hat. Die Bedienung findet einzig und allein über einen Browser mit aktiviertem JavaScript statt. Eine schnelle Anbindung ist zumeist Voraussetzung, um die Desktop-Simulationen in vertretbarer Zeit zu laden sowie die Latenzzeiten der Mensch-Computer-Interaktion möglichst gering zu halten. In Analogie zur so genannten Java Virtual Machine, die es erlaubt Computerprogramme auf Basis der Java-Technologie plattformunabhängig und somit auf nahezu jedem Betriebssystem auszuführen, kann das ebenso plattformunabhängige Web als Betriebssystem für Desktop-Simulationen verstanden werden. Damit können die Anwendungen auf unterschiedlichen Plattformen, wie mobile Geräte (bspw. PDAs und Mobiltelefonen) zum Einsatz kommen, solange sie die notwendigen Anforderungen an die anwendungsabhängigen Ressourcen erfüllen. Dies vereinfacht den Umgang für den Benutzer deutlich.

Web 2.0-Anwendungen haben gegenüber den klassischen Anwendungen besondere Vorteile aber auch Sicherheitsrisiken, die zusammen betrachtet im Folgenden umrissen werden. So muss der Nutzer von Desktop-Simulationen weder eine Software installieren noch neue Updates einspielen, um Features zu erweitern oder Sicherheitslücken zu schließen. Updates müssen nicht mehr einzeln geladen und installiert werden, sondern sind beim nächsten Start einer Desktop-Simulation bereits automatisch integriert.

Die folgende Abbildung skizziert das Szenario einer Desktop-Simulation unter besonderer Berücksichtigung von Gefahren und Risiken in punkto Sicherheit.

Grafik: Desktop-Simulation
Desktop-Simulation auf Basis der Web 2.0 Technologie

Dank moderner Web-Anwendungen kann ein Anwender bestimmte Dokumente auch ohne lokale Installation einer speziellen Software bearbeiten. Dazu können durch Aufruf einer Web 2.0 Anwendung, je nach Art des zu bearbeitenden Dokuments, unterschiedliche Desktop-Simulationen über einen Internetbrowser aufgerufen werden (vgl. Schritt 1 in der Abbildung). Da bei diesem Vorgang keine vertraulichen Daten übertragen werden, ist eine verschlüsselte Verbindung nicht erforderlich. Werden hingegen neben der Übertragung einer Anwendung auch persönliche Profile und somit vertrauliche Daten geladen oder gespeichert, ist eine verschlüsselte Verbindung unumgänglich. Dafür ist es notwendig, dass sich der Nutzer gegenüber dem Anbieter über eine gesicherte Verbindung authentisiert.

Wenn nach erfolgreicher Authentikation der Zugriff auf die Profildaten freigeben wurde, ist es genauso wichtig, dass die Daten beim Empfang und Versand verschlüsselt übertragen werden. Sonst besteht die Gefahr, dass die Daten während der Übertragung unbemerkt von unautorisierten Personen mitgelesen werden.

Abgesehen von diesen Sicherheitsmechanismen muss stets hinterfragt werden, ob der Dienstanbieter von Web 2.0 Anwendungen auch vertrauenswürdig ist. Hat der Anbieter Zugriff auf individuelle Profildaten seiner Kunden, weil sie nicht verschlüsselt hinterlegt werden? Kann der Nutzer der herunter geladenen Software des Dienstanbieters vertrauen oder muss er befürchten, dass mittels ungewollter Zugriffe auf seine lokalen Daten auch pri-vaten Daten unbewusst über die Desktop-Simulation zum Anbieter gelangen? (vgl. Abbildung, Schritt 3)

Es wird daher empfohlen, einen Dienstanbieter für Desktop-Simulationen auszuwählen, welcher als vertrauenswürdige Instanz eingestuft worden ist und ausreichend vor Bedrohungen von außen, aber auch gegen Spionage von innen geschützt ist. So sollten insbesondere sensible Daten nicht im Klartext, sondern verschlüsselt gespeichert werden.

Um die Integrität der Daten zu gewährleisten, sollte neben der Datenverschlüsselung ein digitaler Fingerabdruck (Hash-Wert) generiert werden. Damit hat der Nutzer beim zukünftigen Laden seines Profils die Möglichkeit, die Daten auf Manipulation zu überprüfen (Fingerprint-Vergleich).


Link zum moeglichen Abschlussarbeiten des if(is)
Marktplatz IT-Sicherheit, Lösungen, Anbieter, Dienstleistungen, IT-Jobs
Anbieter finden!
Jobs finden!

Logo zum neuen Studiengang: Master Internet-SicherheitEinstieg auch zum
Sommersemster!

Logo zum Professor des Jahres 2011

Logo: Buch Sicher im Internet

Logo: DIX - Deutscher Internet-Index

Logo: Frühwarn- und Intrusion Detection-System auf der Basis von kombinierten Methoden der KI

Logo: Live Hacking / Awareness Performance

Logo: Turaya

Logo: iTES