| Vorwort | 7 |
| Inhaltsverzeichnis | 10 |
| 1 Elemente zur Berechtigungssteuerung | 18 |
| 1.1 Berechtigung | 18 |
| 1.2 Rolle | 27 |
| 1.2.1 Business-Rolle | 27 |
| 1.2.2 Technische Rolle | 29 |
| 1.3 Attribut | 29 |
| 1.4 Gruppe | 31 |
| 1.5 Arbeitsplatzprofil | 32 |
| 1.6 Workset | 32 |
| 1.7 Profil | 33 |
| 1.8 Sammelprofil | 36 |
| 2 Identitätsmanagement | 38 |
| 2.1 Der Identitätsbegriff | 38 |
| 2.2 Identitätsarten | 40 |
| 2.3 Identitätsträger | 42 |
| 2.4 Identifizierung einer Identität | 46 |
| 2.4.1 Identifizierung über Namen | 46 |
| 2.4.2 Identifizierung mit abstrakten Bezeichnern | 48 |
| 2.4.3 Fazit | 50 |
| 2.5 Schutz der Privatheit | 50 |
| 2.5.1 Identitätsgefahren | 51 |
| 3 Rollenkonzept | 58 |
| 3.1 Motivation für die Verwendung von Rollen | 58 |
| 3.2 Rollenfindung und Rollenbildung | 62 |
| 3.2.1 Auswertung von Dokumentationen | 62 |
| 3.2.2 Aufnahme der Tätigkeiten | 64 |
| 3.3 Rollenhierarchie | 72 |
| 3.3.1 Rollenbeziehungen | 72 |
| 3.3.2 Vererbung von Rollen | 76 |
| 3.4 Anwendungsbeispiel der Rollenhierarchie | 77 |
| 3.5 Rollenmodelle | 84 |
| 3.5.1 Multiple Role Model | 84 |
| 3.5.2 Single Role Model | 85 |
| 4 Role Based Access Control | 86 |
| 4.1 Core RBAC | 87 |
| 4.1.1 Referenzmodell | 87 |
| 4.1.2 Funktionale Spezifikation | 88 |
| 4.2 Hierarchical RBAC | 92 |
| 4.2.1 Referenzmodell | 92 |
| 4.2.2 Funktionale Spezifikation für das General Hierarchical RBAC | 93 |
| 4.3 Constrained RBAC | 94 |
| 5 Berechtigungssteuerung | 97 |
| 5.1 Die zwei seiten der Berechtigungsthematik | 97 |
| 5.1.1 Seite der Identitäten | 97 |
| 5.1.2 Seite der Ressourcen | 98 |
| 5.2 Quelldaten | 100 |
| 5.2.1 Personaldaten | 101 |
| 5.2.2 Organisationsdaten | 103 |
| 5.2.3 Systemdaten | 103 |
| 5.2.4 Applikationsdaten | 104 |
| 5.3 Rollenbasierte Berechtigungssteuerung | 104 |
| 5.4 Attributsbasierte Berechtigungssteuerung | 109 |
| 5.5 Gruppenbasierte Berechtigungssteuerung | 111 |
| 5.6 Kombinierte Berechtigungssteuerung | 112 |
| 5.7 Granularität der Berechtigungssteuerung | 120 |
| 5.8 Berechtigungsmodelle | 125 |
| 6 Provisioning | 131 |
| 6.1 User und Ressource Provisioning | 132 |
| 6.1.1 User Provisioning | 132 |
| 6.1.2 Ressource-Provisioning | 136 |
| 6.2 Server Provisioning | 139 |
| 6.3 Service Provisioning | 140 |
| 6.4 Mobile Subscriber Provisioning | 142 |
| 6.5 Mobile Content Provisioning | 142 |
| 7 Zugriffskontrolle über Authentifizierung | 143 |
| 7.1 UserlD und Passwort | 144 |
| 7.2 Splitted Password | 148 |
| 7.3 Challenge Response | 149 |
| 7.4 Ticket-Systeme | 152 |
| 7.5 Authentifiziefung nach Needham und Schfoedef | 152 |
| 7.5.1 Kerberos | 153 |
| 7.5.2 SESAME | 156 |
| 7.5.3 DCE - Distributed Computer Environment | 157 |
| 7.6 Authentifizierung über Token | 157 |
| 7.6.1 Synchrone laken-Erstellung | 158 |
| 7.6.2 Asynchrone Token-Erstellung | 159 |
| 7.6.3 Duale Authentifizierung | 159 |
| 7.7 Digitale Zertifikate und Signaturen | 160 |
| 7.7.1 Digitale Zertifikate | 160 |
| 7.7.2 Digitale Signatur | 162 |
| 7.8 Biometrie | 164 |
| 7.8.1 Biometrie in der praktischen Anwendung | 165 |
| 7.9 PKI- Public Key Infrastructure | 168 |
| 7.10 Anforderungen an Authentifizierungsdienste | 170 |
| 8 Zugriffskontrolle über Autorisierung | 174 |
| 8.1 Identitätsbezogene Zugriffskontrolle | 177 |
| 8.2 Ressourcenorientierte Zugriffskontrolle | 177 |
| 8.3 Klassifizierungsorientiert am Objekt und Subjekt (Macintosh)- Sensi'tivity Labels | 179 |
| 8.4 Rollenbasierte Zugriffskontrolle | 179 |
| 8.5 Zugriffskontrolltechnologien | 180 |
| 8.5.1 Rollenbasierte Zugriffskontrolle | 180 |
| 8.5.2 Regelbasierte Zugriffskontrolle | 181 |
| 8.5.3 Schnittstellen mit eingeschränkten Rechten | 181 |
| 8.5.4 Zugriffskontrollmatrix | 182 |
| 8.5.5 Autorisierungstabellen | 182 |
| 8.5.6 Zugriffskontrolllisten - ACL - Access Control List | 183 |
| 8.5.7 Inhaltsabhängige Zugriffskontrolle | 183 |
| 8.6 Verwaltung der Zugriffskontrolle | 183 |
| 8.6.1 Zentralisierte Verwaltung | 184 |
| 8.6.2 RADIUS | 185 |
| 8.6.3 TACACS | 185 |
| 8.6.4 Dezentralisierte Verwaltung | 186 |
| 8.6.5 Hybride Verwaltung | 187 |
| 8.7 Methoden der Zugriffskontrolle | 188 |
| 8.8 Zugriffskontrollstufen | 188 |
| 8.8.1 Physische Kontrolle | 188 |
| 8.8.2 Technische Kontrolle | 189 |
| 8.8.3 Adminstrative Kontrollen | 191 |
| 9 Single Sign On | 195 |
| 9.1 Problematik multipler Zugänge | 195 |
| 9.1.1 Erhöhter Helpdesk-Aufwand | 195 |
| 9.1.2 Produktivitätsverlust durch Mehrfachanwendungen | 196 |
| 9.1.3 Steigende Kompromittierungsgefahren | 197 |
| 9.1.4 Sinkende Anwenderakzeptanz und sinkende Transparenz | 197 |
| 9.2 Entwicklung von 550 | 199 |
| 9.2.1 Passwortsynchronisierung durch den Benutzer | 199 |
| 9.2.2 Passwortzentralisierung über die Plattform-Anmeldung | 200 |
| 9.2.3 Passwortsynchronisierung im Backend | 202 |
| 9.2.4 Erste echte SSQ-Ansätze | 203 |
| 9.2.5 Grenzen von SSO bei Legacy-Systemen | 204 |
| 9.3 Au'fbau eines Single Sign On-Systems | 205 |
| 9.3.1 Repository der Zugangsdaten | 207 |
| 9.3.2 Verwaltungssystem für die Zugangsdaten | 209 |
| 9.3.4 Strenge Authentifizierung der zentralen Anmeldung | 213 |
| 9.3.5 Verwaltung der strengen Authentifizierung | 214 |
| 9.4 Single-Sign-On - Die Realisierungsvarianten | 215 |
| 9.4.1 Multifunktionale Smartcards | 215 |
| 9.4.2 SSO über Kerberos | 216 |
| 9.4.3 SSO über Portallösungen | 217 |
| 9.4.4 SSO über Ticketsysteme | 218 |
| 9.4.5 SSO über lokale Systeme | 219 |
| 9.4.6 SSO mittels PKI | 219 |
| 9.4.7 SSO über Firewall-Erweiterungen | 219 |
| 9.4.8 SSO über IdM-Systeme | 220 |
| 9.4.9 SSO über RAS-Zugänge | 220 |
| 9.4.10 SSO für Webanwendungen mit Authentication Tokens | 221 |
| 9.5 Technologie und Herstelleransätze für die Realisierung von550 | 221 |
| 9.5.1 Microsoft Passport | 221 |
| 9.5.2 Das Liberty Alliance Project | 222 |
| 9.5.3 Shibboleth | 223 |
| 9.5.4 OpenlD | 223 |
| 9.5.5 Der Central Authentication Server (CAS) | 224 |
| 9.6 Realisierung von SSO im Unternehmen | 225 |
| 9.6.1 Vor- und Nachteile SSO | 225 |
| 9.6.2 Kosten und Nutzen SSO | 226 |
| 9.6.3 Auswahl eines SSO Systems | 227 |
| 9.6.4 Wie kann man schnell SSO einführen | 227 |
| 10 Systemnahes Berechtigungskonzept | 229 |
| 10.1 Der Aufbau von ACF2 | 229 |
| 10.1.1 BenutzerID-Record | 230 |
| 10.1.2 Der UID- User Identification String | 233 |
| 10.1.3 Die Data Set Rule | 234 |
| 10.1.4 Die Resource Rule | 238 |
| 10.1.5 Resume | 239 |
| 11 Meta Directory | 242 |
| 11.1 Die neue Zentralität | 242 |
| 11.2 zentrales Repository | 249 |
| 11.3 Au'fbau eines Berechtigungssystems | 252 |
| 11.3.1 Datenablage (Repository) | 252 |
| 11.3.2 Zugangsschnittstelle für die Administration | 253 |
| 11.3.3 Rule Engine | 253 |
| 11.3.4 Provisioning-Komponente | 253 |
| 11.3.5 Verwaltungssystem | 256 |
| 11.3.6 Kommunikationskomponente | 256 |
| 11.4 Grundkonzept Verzeichnisdienst | 257 |
| 11.5 Verzeichnisstandards | 263 |
| 11.6 Meta-Funktionalität | 265 |
| 11.7 Meta Directory im Berechtigungsmanagement | 267 |
| 12 Förderierte Identitäten - Identity Federation | 271 |
| 12.1 Problem der Identitätsgrenze | 272 |
| 12.2 Unternehmensübergreifende Kommunikation | 273 |
| 12.2.1 Klassische Kommunikationsmittel | 273 |
| 12.2.2 Übertragung elektronischer Informationen | 274 |
| 12.2.3 Übertragung strukturierter elektronischer Informationen | 274 |
| 12.3 Konzept des Service-Netzes | 275 |
| 12.3.1 Webservices | 275 |
| 12.3.2 Anwendungsszenarien | 275 |
| 12.3.3 Zugriff auf externe Anwendungen | 275 |
| 12.4 Aufbau des Protokollstacks | 277 |
| 12.4.1 Hypertext Transfer Protrocol und Extensible Markup Language | 277 |
| 12.4.1 Hypertext Transfer Protrocol und Extensible Markup Language | 277 |
| 12.4.2 SOAP - Simple Object Access Protocol | 277 |
| 12.4.3 WSDL - Web Services Description Services | 278 |
| 12.4.4 SAML - Security Assertion Markup Language | 280 |
| 12.4.5 SPML - Service Provisioning Markup Language | 282 |
| 12A.6 DSML - DIrectory Service Markup Languge | 284 |
| 12.4.7 XACML - eXtensible Access Control Markup Language | 287 |
| 12.4.8 WS-Security | 288 |
| 12.4.9 ID-FF -Identity Federation Framework | 288 |
| 12.4.10 ADFS· Active Directory Federation Services | 289 |
| 12.4.11 FIDIS - Future of Identity in the Information Society | 290 |
| 12.4.12 Zukunftsausblick Quantenverschlüsselung | 290 |
| 13 Rechtliche Rahmenbedingungen | 292 |
| 13.1 SOX | 294 |
| 13.2 KonTraG | 296 |
| 13.3 GoBS | 298 |
| 13.4 Datenschutzrechtliche Einflüsse | 298 |
| 13.5 Weitere Vorschriften und Richtlinien | 302 |
| 13.5.1 Das Internet und die GEZ | 302 |
| 13.5.2 Neue Gesetze | 303 |
| 13.5.3 Informations- und Risikomanagement | 304 |
| 13.5.4 Baselll | 305 |
| 13.5.5 MaRisk | 306 |
| 13.5.6 Die Rechtsfolgen von Non-Compliance | 307 |
| 13.5.7 Strafverfolgung der Emittlungsbehörden | 308 |
| 13.5.8 Vorratsdatenspeicherung | 308 |
| 13.5.9 Haftungsfragen | 308 |
| 13.5.10 Identitätsdiebstahl | 311 |
| 13.5.11 Archivierungspflichten und digitale Betriebsprüfung | 311 |
| 13.5.12 Elektronische Rechnungen | 312 |
| 13.5.13 Mitarbeiterkontrolle | 313 |
| 13.5.14 Einsatz rechtssicherer Spam und Contentfilter | 314 |
| 13.5.15 Gestaltung von Betriebsvereinbarungen | 315 |
| 13.5.16 Abwesentheit von Mitarbeitern | 316 |
| Sachwortverzeichnis | 317 |
