Refine
Year of publication
Document Type
- Bachelor Thesis (6)
- Diploma Thesis (4)
- Doctoral Thesis (2)
- Study Thesis (2)
- Master's Thesis (1)
Keywords
Institute
Retrospektive Analyse der Ausbreitung und dynamische Erkennung von Web-Tracking durch Sandboxing
(2018)
Aktuelle quantitative Analysen von Web-Tracking bieten keinen umfassenden Überblick über dessen Entstehung, Ausbreitung und Entwicklung. Diese Arbeit ermöglicht durch Auswertung archivierter Webseiten eine rückblickende Erfassung der Entstehungsgeschichte des Web-Trackings zwischen den Jahren 2000 und 2015. Zu diesem Zweck wurde ein geeignetes Werkzeug entworfen, implementiert, evaluiert und zur Analyse von 10000 Webseiten eingesetzt. Während im Jahr 2005 durchschnittlich 1,17 Ressourcen von Drittparteien eingebettet wurden, zeigt sich ein Anstieg auf 6,61 in den darauffolgenden 10 Jahren. Netzwerkdiagramme visualisieren den Trend zu einer monopolisierten Netzstruktur, in der bereits ein einzelnes Unternehmen 80 % der Internetnutzung überwachen kann.
Trotz vielfältiger Versuche, dieser Entwicklung durch technische Maßnahmen entgegenzuwirken, erweisen sich nur wenige Selbst- und Systemschutzmaßnahmen als wirkungsvoll. Diese gehen häufig mit einem Verlust der Funktionsfähigkeit einer Webseite oder mit einer Einschränkung der Nutzbarkeit des Browsers einher. Mit der vorgestellten Studie wird belegt, dass rechtliche Vorschriften ebenfalls keinen hinreichenden Schutz bieten. An Webauftritten von Bildungseinrichtungen werden Mängel bei Erfüllung der datenschutzrechtlichen Pflichten festgestellt. Diese zeigen sich durch fehlende, fehlerhafte oder unvollständige Datenschutzerklärungen, deren Bereitstellung zu den Informationspflichten eines Diensteanbieters gehören.
Die alleinige Berücksichtigung klassischer Tracker ist nicht ausreichend, wie mit einer weiteren Studie nachgewiesen wird. Durch die offene Bereitstellung funktionaler Webseitenbestandteile kann ein Tracking-Unternehmen die Abdeckung von 38 % auf 61 % erhöhen. Diese Situation wird durch Messungen von Webseiten aus dem Gesundheitswesen belegt und aus technischer sowie rechtlicher Perspektive bewertet.
Bestehende systemische Werkzeuge zum Erfassen von Web-Tracking verwenden für ihre Messung die Schnittstellen der Browser. In der vorliegenden Arbeit wird mit DisTrack ein Framework zur Web-Tracking-Analyse vorgestellt, welches eine Sandbox-basierte Messmethodik verfolgt. Dies ist eine Vorgehensweise, die in der dynamischen Schadsoftwareanalyse erfolgreich eingesetzt wird und sich auf das Erkennen von Seiteneffekten auf das umliegende System spezialisiert. Durch diese Verhaltensanalyse, die unabhängig von den Schnittstellen des Browsers operiert, wird eine ganzheitliche Untersuchung des Browsers ermöglicht. Auf diese Weise können systemische Schwachstellen im Browser aufgezeigt werden, die für speicherbasierte Web-Tracking-Verfahren nutzbar sind.
Business continuity planning
(2008)
Unternehmenskrisen lassen die Weltwirtschaft aufhorchen - gerade in jüngster Zeit häufen sich die Nachrichten über Notfälle und folgenschwere Fehlentscheidungen in Organisationen aller Art. Vieles bekommt die Außenwelt aber gar nicht erst mit, wenn die Ausweitung von Störungen noch in letzter Sekunde verhindert werden kann. Und wenn das Ausmaß zu groß wird? Dann droht oft das wirtschaftliche Aus. Business Continuity Planning ist der Vorsorgeprozess, der eine Institution auf den Ausnahmefall vorbereitet und garantiert, dass deren Existenz zu jeder Zeit gesichert ist und alle geschäftskritischen Prozesse auch während einer Krise aufrecht erhalten werden können. Diese Diplomarbeit erleichtert den Einstieg in das Thema Business Continuity Planning und in die erfolgreiche Umsetzung von Notfallmaßnahmen. Aus dem Blickwinkel der IT werden wertvolle Definitionen und Abgrenzungen gegeben und die Problemstellungen und Lösungswege einer individuellen Notfallvorsorge aufgegriffen. Fokussiert wird ein umfassender Überblick über die zentralen Teilbereiche des Planungsprozesses (und ihrer Erfolgskriterien) und ein praktischer Einblick in das Krisenmanagement.
Issue of a catalog of criteria for the guarantee of the technical security of e-Commerce-web pages
(2007)
Das Ziel dieser Diplomarbeit ist es einen Kriterienkatalog zu erarbeiten, anhand dessen die technische Sicherheit von E-Commerce-Webseiten automatisiert überprüft werden kann. Dazu wird wie folgt vorgegangen. Nach einer Einleitung, die die Ausgangslage und die Motivation dieser Diplomarbeit zeigt, wird eine Aufbauanalyse von E-Commerce Webangeboten durchgeführt. Es werden gezielt die technischen Bausteine betrachtet, die für den Aufbau benötigt werden. Anschließend werden technische Schwachstellen (Fehlerquellen) von E-Commerce Webangeboten dargelegt. Der Schwerpunkt liegt dabei auf Programmierfehlern, Konfigurationsfehlern, Konzeptionsfehlern und Fehlern resultierend aus menschlichem Handeln. Parallel zu den Schwachstellen werden die jeweiligen Bedrohungspotentiale für einen E-Commerce Anbieter erörtert. Hierauf folgt eine kurze Vorstellung der generellen Risikopotentiale der verschiedenen Parteien, die bei einer E-Commerce Transaktion beteiligt sind. In dem darauf folgenden Schritt werden etablierte Kriterienkataloge vorgestellt. Diese werden kritisch bewertet, inwieweit sie befähigt sind zur Erstellung des angestrebten Kriterienkataloges beizutragen. Es werden klassische Kataloge wie das Orange Book, Common Criteria aber auch aktuelle Kataloge wie der BSI Grundschutzkatalog begutachtet. In dem nächsten Schritt werden die eigentlichen Kriterien in Listen einsortiert. Es wird differenziert analysiert "was" überprüft werden kann und "was" nicht. Daraufhin werden die Kriterien anhand von Schwachstellen in ein Ebenenmodell unterteilt. Das Ebenenmodell orientiert sich an Vorgaben des BSI und besteht aus der Protokollebene, der Dienstebene und der Anwendungsebene. Im Anschluss daran findet eine Gewichtung aller Kriterien anhand ihrer Automatisierbarkeit, ihrem Schadenspotenial und ihrer Verbreitung statt. Im vorletzten Schritt werden Lösungen vorgestellt, auf welche Weise der Kriterienkatalog automatisiert werden kann. Um einen Marktüberblick zu bieten werden verschiedene Web Vulnerability Scanner von kommerziellen Anbietern in Hinblick auf ihren Funktionsumfang, ihre Preisgestaltung und ihrer Bedienung verglichen. Der letzte Schritt dieser Diplomarbeit behandelt im Gegensatz zu den vorhergehenden Kapiteln weniger die theoretische Ebene. Er bietet stattdessen Anhand von Praxisszenarien dem Leser die Möglichkeit die Auswirkungen von Schwachstellen und Attacken auf reale Anwendungen nach zu vollziehen.
Confidentiality, integrity, and availability are often listed as the three major requirements for achieving data security and are collectively referred to as the C-I-A triad. Confidentiality of data restricts the data access to authorized parties only, integrity means that the data can only be modified by authorized parties, and availability states that the data must always be accessible when requested. Although these requirements are relevant for any computer system, they are especially important in open and distributed networks. Such networks are able to store large amounts of data without having a single entity in control of ensuring the data's security. The Semantic Web applies to these characteristics as well as it aims at creating a global and decentralized network of machine-readable data. Ensuring the confidentiality, integrity, and availability of this data is therefore also important and must be achieved by corresponding security mechanisms. However, the current reference architecture of the Semantic Web does not define any particular security mechanism yet which implements these requirements. Instead, it only contains a rather abstract representation of security.
This thesis fills this gap by introducing three different security mechanisms for each of the identified security requirements confidentiality, integrity, and availability of Semantic Web data. The mechanisms are not restricted to the very basics of implementing each of the requirements and provide additional features as well. Confidentiality is usually achieved with data encryption. This thesis not only provides an approach for encrypting Semantic Web data, it also allows to search in the resulting ciphertext data without decrypting it first. Integrity of data is typically implemented with digital signatures. Instead of defining a single signature algorithm, this thesis defines a formal framework for signing arbitrary Semantic Web graphs which can be configured with various algorithms to achieve different features. Availability is generally supported by redundant data storage. This thesis expands the classical definition of availability to compliant availability which means that data must only be available as long as the access request complies with a set of predefined policies. This requirement is implemented with a modular and extensible policy language for regulating information flow control. This thesis presents each of these three security mechanisms in detail, evaluates them against a set of requirements, and compares them with the state of the art and related work.
Zum Zeitpunkt der Erstellung der Diplomarbeit wird in der Forschungsgruppe "IT-Risk-Management" von Prof. Dr. Rüdiger Grimm an der Universität Koblenz-Landau eine neue Methode zur Unterstützung der Einhaltung des Urheberrechts entwickelt. Der als Usage Rights Management (URM) bezeichnete Ansatz soll Benutzer über ihre Nutzungsrechte an den, auf dem eigenen Rechner vorhandenen, digitalen Mediendateien informieren. Ein weiterer Bestandteil des URMs ist die Unterstützung des Nutzers mit den Dateien rechtskonform umzugehen. Das Ziel der vorliegenden Diplomarbeit ist es, ein System zum Datenaustausch zu entwerfen und prototypisch umzusetzen. Dieses System soll den Benutzern die Möglichkeit geben, sowohl unter URM stehende digitale Mediendateien von anderen Personen einsehen und downloaden zu können als auch eigene URM-Dateien anderen Benutzern zur Verfügung stellen zu können. Diese Anforderungen sollen mittels eines lizenzbewussten P2P-Client umgesetzt werden.