Zusammenfassung
In zunehmendem Maße werden Produktfälschungen an den Grenzen zur Europäischen Union (EU) beschlagnahmt. Dabei führen Fälschungen hochpreisiger Produkte, wie pharmazeutische Produkte, die Liste der aufgedeckten Fälle an. Der Einsatz von Identifikationstechniken auf Instanzenebene, z.B. mittels elektronischem Produktcode (EPC), statt der bisherigen Identifikation basierend auf Produktklassen, z.B. mittels elektronischer Artikelnummer (EAN), bildet die Basis für eine feingranularere Verfolgung von Produkten in Lieferketten. Durch Verwendung geeigneter Techniken zum Auslesen von Produktdaten, wie Funkidentifikation (RFID) anstelle von eindimensionalen Strichcodes, können Informationen zur Identifikation von konkreten Produkten künftig automatisch beim Passieren von Lesegeräten abgefragt, geprüft und mit anderen Geschäftsanwendungen, wie Warenwirtschaftssystemen, abgeglichen werden. Dazu werden Datum, Uhrzeit, Standort, sowie für den Geschäftsprozess relevante Aktionen als Ereignisse protokolliert und in IT-Systemen jedes einzelnen Teilnehmers der Lieferkette abgespeichert. Sie können z.B. zur Überprüfung von Produkten und zur Koordination von Rückrufaktionen herangezogen werden. Durch Transformation zu einer RFID-gestützten Lieferkette sind technische Komponenten, wie Lesegeräte, sowie neue IT-Systeme, z.B. zur Speicherung und zum Austausch von Ereignisdaten, erforderlich. Einhergehend müssen sich teilnehmende Unternehmen erstmals einer automatisierten Abfrage von Ereignisdaten durch externe Firmen stellen. Dabei ist der Aspekt der Datensicherheit, z.B. von Ereignisdaten, Kundendaten und Betriebsgeheimnissen, eine der grundlegenden Fragen, die es zu klären gilt. Die vorliegende Arbeit trägt zum Datenschutz in EPCglobal-Netzwerken durch folgende Leistungen bei:
- Entwurf transparenter Sicherheitserweiterungen für EPCglobal-Netzwerke auf Geräte- und Geschäftssoftware-Ebene,
- Definition von Authentifizierungsprotokollen optimiert für den Einsatz auf Geräten mit minimalen Rechenressourcen, z.B. RFID-Tags,
- Entwicklung eines auf der Anfragehistorie basierenden Zugriffskontrollverfahrens für Software-Komponenten in EPCglobal-Netzwerken zum automatisierten Schutz vor dem Ausspionieren von Geschäftsgeheimnissen durch die semantische Kombination von Ereignisdaten,
- Implementierung einer feingranularen kontinuierlichen Filterung von Ereignisdaten anstelle einer üblicherweise binären Zugriffsentscheidung,
- Umsetzung des Zugriffskontrollverfahrens mittels einer auf Hauptspeichertechnologie basierenden Datenbank zur Echtzeit-Analyse der vollständigen Anfragehistorie, sowie die
- Evaluierung der Anwendbarkeit der Sicherheitserweiterungen für die Anforderungen der pharmazeutischen Industrie durch Integration in die EPC- Ereignisdatenbank der Open-Source-Lösung FOSSTRAK.
Die entwickelten Sicherheitserweiterungen beziehen sich auf Ereignisdaten, die im Geschäftskontext als schützenswert einzustufen sind, da sie durch geeignete Kombination zum Ausspähen von Betriebsgeheimnissen, z.B. Geschäftsbeziehungen, herangezogen werden können. Die vorliegende Arbeit stellt dabei strikte Anforderungen an das Antwortzeitverhalten der Sicherheitserweiterungen, um deren wirtschaftlichen Vorteile, z.B. während der automatischen Prüfung von Wareneingängen, nicht zu schmälern.