Refine
Document Type
- Diploma Thesis (1)
- Master's Thesis (1)
Language
- German (2) (remove)
Keywords
- Sicherheit (2) (remove)
Institute
- Institut für Wirtschafts- und Verwaltungsinformatik (2) (remove)
Issue of a catalog of criteria for the guarantee of the technical security of e-Commerce-web pages
(2007)
Das Ziel dieser Diplomarbeit ist es einen Kriterienkatalog zu erarbeiten, anhand dessen die technische Sicherheit von E-Commerce-Webseiten automatisiert überprüft werden kann. Dazu wird wie folgt vorgegangen. Nach einer Einleitung, die die Ausgangslage und die Motivation dieser Diplomarbeit zeigt, wird eine Aufbauanalyse von E-Commerce Webangeboten durchgeführt. Es werden gezielt die technischen Bausteine betrachtet, die für den Aufbau benötigt werden. Anschließend werden technische Schwachstellen (Fehlerquellen) von E-Commerce Webangeboten dargelegt. Der Schwerpunkt liegt dabei auf Programmierfehlern, Konfigurationsfehlern, Konzeptionsfehlern und Fehlern resultierend aus menschlichem Handeln. Parallel zu den Schwachstellen werden die jeweiligen Bedrohungspotentiale für einen E-Commerce Anbieter erörtert. Hierauf folgt eine kurze Vorstellung der generellen Risikopotentiale der verschiedenen Parteien, die bei einer E-Commerce Transaktion beteiligt sind. In dem darauf folgenden Schritt werden etablierte Kriterienkataloge vorgestellt. Diese werden kritisch bewertet, inwieweit sie befähigt sind zur Erstellung des angestrebten Kriterienkataloges beizutragen. Es werden klassische Kataloge wie das Orange Book, Common Criteria aber auch aktuelle Kataloge wie der BSI Grundschutzkatalog begutachtet. In dem nächsten Schritt werden die eigentlichen Kriterien in Listen einsortiert. Es wird differenziert analysiert "was" überprüft werden kann und "was" nicht. Daraufhin werden die Kriterien anhand von Schwachstellen in ein Ebenenmodell unterteilt. Das Ebenenmodell orientiert sich an Vorgaben des BSI und besteht aus der Protokollebene, der Dienstebene und der Anwendungsebene. Im Anschluss daran findet eine Gewichtung aller Kriterien anhand ihrer Automatisierbarkeit, ihrem Schadenspotenial und ihrer Verbreitung statt. Im vorletzten Schritt werden Lösungen vorgestellt, auf welche Weise der Kriterienkatalog automatisiert werden kann. Um einen Marktüberblick zu bieten werden verschiedene Web Vulnerability Scanner von kommerziellen Anbietern in Hinblick auf ihren Funktionsumfang, ihre Preisgestaltung und ihrer Bedienung verglichen. Der letzte Schritt dieser Diplomarbeit behandelt im Gegensatz zu den vorhergehenden Kapiteln weniger die theoretische Ebene. Er bietet stattdessen Anhand von Praxisszenarien dem Leser die Möglichkeit die Auswirkungen von Schwachstellen und Attacken auf reale Anwendungen nach zu vollziehen.
Although e-participation is becoming more and more important, security risks and requirements are so far only superficially regarded. This master thesis aims at contribute to security and privacy of e-participation applications. This paper deals with the users of electronic participation forms. Since personal data has to be transmitted in the e-participation process, systems require trustworthiness, privacy, transparency, availability and legal security between public administration and users. Therefore it is very important to ensure the most of security and privacy standards in information and communication technologies by the administration and the citizens to provide the necessary confidence in using e participation applications. This master thesis examines different e-participation platforms of the areas participatory budgeting, e-consultations, party websites, and e-petitions and explores at first which influence of sensitive e-participation systems on the political system they have. Subsequently, the current safety standard of the e-participation applications is determined. For this purpose an analysis framework is used, regarding on relevant security and privacy issues for e-participation. Based on the results safety levels are deduced from different types of e-participation applications. In addition recommendations for the constitution of e-participation are concluded, which helps to make e participation applications more secure. Furthermore, future technologies with the potential to improve security in the use of electronic public participation are presented.