Sichere Nutzungskontrolle für mehr Transparenz in Finanzmärkten

ZusammenfassungGegenwärtige Mechanismen können die Sicherheitsanforderungen in dezentralen IT-Infrastrukturen, wie sie von den Finanzmarktanwendungen genutzt werden, nicht zuverlässig umsetzen. Damit Regularien wirksam werden können, ist die Zugangskontrolle zu den Objekten und Ressourcen nicht ausreichend, sondern es muss direkt die Nutzung der Anwendungen und ihre Ressourcen kontrolliert werden. Nutzungskontrollmechanismen schaffen – so der Anspruch – die nötige Transparenz und Evidenz, um die regelkonforme Nutzung der IT-Infrastruktur zu belegen. Mit Verfahren zur Informationsflusskontrolle und zur Umschreibung von Prozessen sind grundlegende Mechanismen hierzu vorhanden. Der Beitrag stellt die Verbindungen zwischen den Sicherheitseigenschaften gegenwärtiger IT-Infrastrukturen und den dezentralen Entscheidungssituationen auf Finanzmärkten zur Diskussion. Er zeigt, dass mit Mechanismen zur Nutzungskontrolle und entpersonalisierter Kommunikation Frühwarnsysteme für gesamtwirtschaftliche Ziele aufgebaut werden können, ohne die Handlungsfreiheit einzelner Akteure einzuschränken.

[1]  Martin Kähmer ExPDT: Vergleichbarkeit von Richtlinien für Selbstregulierung und Selbstdatenschutz , 2010 .

[2]  Boudewijn F. van Dongen,et al.  Workflow mining: A survey of issues and approaches , 2003, Data Knowl. Eng..

[3]  Alexander Pretschner,et al.  On Obligations , 2005, ESORICS.

[4]  Rafael Accorsi Automated counterexample-driven audits of authentic system records , 2008 .

[5]  André Zúquete,et al.  Enforcing Obligation with Security Monitors , 2001, ICICS.

[6]  Günter Müller WI – Für Sie gelesen , 2008, Wirtsch..

[7]  Friedemann Mattern Die Informatisierung des Alltags , 2007 .

[8]  Stefan Sackmann,et al.  ExPDT: Ein Policy-basierter Ansatz zur Automatisierung von Compliance , 2008, Wirtsch..

[9]  A. Yao,et al.  Fair exchange with a semi-trusted third party (extended abstract) , 1997, CCS '97.

[10]  Günter Müller,et al.  On Information Flow Forensics in Business Application Scenarios , 2009, 2009 33rd Annual IEEE International Computer Software and Applications Conference.

[11]  Hans Ulrich Buhl,et al.  Ursachen und Auswirkungen der Subprime-Krise , 2009, Informatik-Spektrum.

[12]  Nenad Stojanovic,et al.  Using Control Patterns in Business Processes Compliance , 2007, WISE Workshops.

[13]  Alexander Pretschner,et al.  Distributed usage control , 2006, CACM.

[14]  Günter Müller,et al.  Telematik- und Kommunikationssysteme in der vernetzten Wirtschaft , 2003 .

[15]  Rafael Accorsi Automated Privacy Audits to Complement the Notion of Control for Identity Management , 2007, IDMAN.

[16]  Lorrie Faith Cranor,et al.  The platform for privacy preferences , 1999, CACM.

[17]  Martin Leucker,et al.  A brief account of runtime verification , 2009, J. Log. Algebraic Methods Program..

[18]  Paulo Ferreira,et al.  Obligation policies: an enforcement platform , 2005, Sixth IEEE International Workshop on Policies for Distributed Systems and Networks (POLICY'05).

[19]  Stefan Sackmann Assessing the effects of IT changes on IT risk - A business process-oriented view , 2008, Multikonferenz Wirtschaftsinformatik.

[20]  Sven Wohlgemuth Privatsphäre durch die Delegation von Rechten , 2009 .

[21]  Lorin M. Hitt,et al.  Beyond the productivity paradox , 1998, CACM.

[22]  Sushil Jajodia,et al.  Provisional Authorizations , 2001, E-Commerce Security and Privacy.

[23]  Shaomin Li,et al.  Costs and benefits of XBRL adoption: early evidence , 2008, CACM.

[24]  Andreas Nutz,et al.  eXtensible Business Reporting Language (XBRL) , 2002, Wirtsch..

[25]  Jan Jürjens,et al.  Rubacon: automated support for model-based compliance engineering , 2008, ICSE '08.

[26]  U. Mäder,et al.  Die Verantwortung des Staates: "Problemverschiebung ins Private" , 2004 .

[27]  Sebastian Rudolph,et al.  Semantic Web: Grundlagen , 2008 .

[28]  Christian Schaefer,et al.  Usage Control Enforcement: Present and Future , 2008, IEEE Security & Privacy.

[29]  Carl E. Landwehr,et al.  Basic concepts and taxonomy of dependable and secure computing , 2004, IEEE Transactions on Dependable and Secure Computing.

[30]  Wil M. P. van der Aalst,et al.  Process Mining and Security: Detecting Anomalous Process Executions and Checking Process Conformance , 2005, WISP@ICATPN.

[31]  Fred B. Schneider,et al.  Enforceable security policies , 2000, Foundations of Intrusion Tolerant Systems, 2003 [Organically Assured and Survivable Information Systems].

[32]  Yoshinori Sato,et al.  Compliance-Monitor zur Frühwarnung vor Risiken , 2008, Wirtsch..

[33]  Sebastian Höhn,et al.  Model-based reasoning on the achievement of business goals , 2009, SAC '09.

[34]  Rafael Accorsi,et al.  Safe-Keeping Digital Evidence with Secure Logging Protocols: State of the Art and Challenges , 2009, 2009 Fifth International Conference on IT Security Incident Management and IT Forensics.

[35]  Lujo Bauer,et al.  Edit automata: enforcement mechanisms for run-time security policies , 2005, International Journal of Information Security.

[36]  Alexander Pretschner,et al.  Towards Systematic Achievement of Compliance in Service-Oriented Architectures: The MASTER Approach , 2008, Wirtsch..

[37]  P. Samarati,et al.  Access control: principle and practice , 1994, IEEE Communications Magazine.

[38]  Whitfield Diffie Information security: 50 years behind, 50 years ahead , 2008, CACM.

[39]  Günter Müller,et al.  Sicherheit im Ubiquitous Computing: Schutz durch Gebote? , 2007 .

[40]  R. Sandhu,et al.  Access control: principles and practice , 1994, IEEE Commun. Mag..

[41]  Paul R. Ashley,et al.  Enterprise Privacy Authorization Language , 2003 .