Mobile Unternehmensanwendungen können einen groĂen Mehrwert fĂŒr Unternehmen darstellen, sind jedoch auch mit erheblichem Aufwand verbunden. Durch die Ăffnung der Unternehmens-IT fĂŒr mobile Mitarbeiter entstehen zusĂ€tzliche Sicherheitsrisiken, welchen angemessen begegnet werden muss. Die Dissertation stellt eine Architektur und ein Zugriffsmodell vor, bei dem durch eine Mehr-Faktoren-Authentifizierung bei jeder Datenanfrage ein signifikant höheres Sicherheitsniveau erreicht werden kann.
Dazu wird zuerst die Entwicklung mobilgeeigneter Dienste betrachtet. In einem mehrstufigen Verfahren werden die Anforderungen von Unternehmen fĂŒr mobile SaaS-Anwendungen erhoben. Ausgehend von einer Analyse gescheiterter Dienste werden eine qualitative Datenanalyse und darauf aufbauend eine Expertenbefragung durchgefĂŒhrt. Neben der Darstellung von anderen LösungsansĂ€tzen fĂŒr hoch-mobile GerĂ€te wird eine mit Forschungspartnern umgesetzte eigene Lösung dargestellt und evaluiert.
Im nĂ€chsten Teil wird eine zusĂ€tzliche Absicherung des mobilen Zugriffs ĂŒber Smartcards und kontextabhĂ€ngige Zugriffskontrolle vorgestellt. Dazu werden Bedrohungen und Sicherheitsanforderungen erhoben. Daraus wird eine Architektur entwickelt, welche eine 3-Faktor-Authentifizierung mittels Hardware-Sicherheits-Token (Smartcard) und Kontextinformationen realisiert. Diese Architektur ermöglicht es, nicht nur zu Beginn einer Sitzung die Zugangsberechtigung zu prĂŒfen, sondern wĂ€hrend der Nutzung eine permanente BerechtigungsĂŒberprĂŒfung durchzufĂŒhren, ohne den Nutzer bei der Arbeit zu stören. DarĂŒber hinaus können Unternehmensdaten neben den statischen Zugangsberechtigungen um kontextabhĂ€ngige Berechtigungen erweitert werden, um die Kontrolle ĂŒber den Datenzugriff situationsabhĂ€ngig zu gestalten. Zur Modellierung der kontextsensitiven Zugriffskontrolle werden bestehende Zugriffskontrollmodelle beleuchtet und ein Discretionary Acces Controll-Modell um die kontextabhĂ€ngige Zugriffsbeschreibung erweitert. Die Architektur wurde in einem Demonstrator umgesetzt, mit dem der Einsatz von Hardware-Sicherheits-Token evaluiert wurde.