Trust Engineering

TrustEngineering beschreibt ein strukturiertes Vorgehensmodell, das sich als Spezialisierung aus dem Bereich der IT-Sicherheit herausgebildet hat. Trust-Engineering erweitert Sicherheitsarchitekturen um vertrauensbildende Konzepte überprüfbarer Zusicherungen (TrustAssurance) von Systemeigenschaften.

TrustKBB entwickelt Methoden, um Zusicherungen über digitale Identitäten, z. B. während der Ausführung sensibler Transaktionen, mit einem geforderten Vertrauensniveau bereitzustellen. Zusicherungen sind überprüfbar und können im Nachgang nicht unerkannt verändert werden.

Problem –
Fehlendes Vertrauen in Digitalisierung

Gegenüber der Nutzung von Cloud- oder ähnlichen Technologien, zeigt sich immer noch ein großes Misstrauen. Eines der großen Herausforderungen der Digitalisierung besteht darin, dass Anwender von Geschäftsprozessen in die Lage versetzt werden, selbstbestimmt technische, sicherheits- und verhaltensbezogene Ansprüche auf digitale Prozessräume zu übertragen. Gleichermaßen benötigen solche Strukturen vertrauensbildende Architekturelemente, um die konforme Umsetzung authentisch zu attestieren.

Lösung –
Zusicherung für digitale Identitäten

Vertrauenswürdige digitale Identitäten legen den Grundstein für das Trust-Management komplexer digitaler Geschäftsprozesse. Wie lassen sich digitale Identitäten zweifelsfrei einer natürlichen Person zuordnen? Während der Ausführung digitaler Transaktionen T(doc) attestiert ein Trust-Service die sichere Bindung digitaler Identitätsmerkmale ID(z) an eine natürlicher Person PA. Digitale Transaktionen werden mit vertrauenswürdigen Identitäten in Form einer überprüfbaren Zusicherung kryptographisch verknüpft.

Formen vertrauenswürdiger Zusicherungen

Entitäten unterschiedlicher Gesellschaftsbereiche (Sektoren) ist die Nutzung einer digitalen Identität als Repräsentant ihrer eigenen Existenz gemeinsam. Natürliche Personen bilden nur eine Teilmenge. Ob Fahrzeuge, technische Systeme, Industrieprozesse oder Informationen, jeglicher Objektbegriff transformiert sich digital über eine weitere, digitale Identität.

Autoindustrie

Erzeugung von Zusicherungen, dass Fahrzeuge (Fahrzeug-Identität) mit Systemkomponenten (Baugruppen-Identität) mit vorgegebenen Releaseversionen (Software- Identität) ausgestattet sind. Die Zusicherungen attestieren die Bindung von Baustein- und Softwareeigenschaften an identifizierbare Systemkomponenten eines Fahrzeugs.

Cloud-Client und Serversysteme

Erzeugung von Zusicherungen darüber, dass z. B. Hardwarekomponenten von Client- und Serversystemen, bestehend aus Teilkomponenten und Softwarebausteinen der Firmware, Virtualisierungstechnologien, Betriebssystem und digitaler Applikationen mit vorgegebenen Sicherheits- und Technologieeigenschaften bestehen.

Organisationen

Vertrauenswürdige Zusicherungen kennzeichnen Bindungen einer Juristischen Person (z. B. einer GmbH) mit anderen juristischen Einheiten (Aufbaustruktur) und Identitäten natürlicher Personen (z.B. Mitarbeiter, Personal).

Entscheidungen

Im Bereich digitaler Geschäftsprozesse einer Organisation werden digitale Entscheidungen im Form nicht-abstreitbarer Zusicherungen eingebunden. Sie enthalten eine überprüfbare Bindung zwischen der verantwortlichen Akteursidentität und der Entscheidung selbst.

Software-Code

Die Authentizität, Aktualität und Unversehrtheit konkreter Software-Bausteine (Workloads) steht im Mittelpunkt der Zusicherung. Im Rahmen souveräner Cloud-Prozesse bilden vertrauenswürdigen Zusicherungen den Rahmen regulierter Software- bzw. Service- Life-Cycle-Prozesse.

Digitale Schriftgutobjekte

Im behördlichen, ressortübergreifenden Informationsaustausch kennzeichnen Zusicherungen die Bindungen von Schriftgut-Identitäten an konkrete digitale Informationen (Content). Die Bindungen von Schriftgutobjekten an vertrauenswürdige Identitäten einer Organisation ist Aufgabe von spezifischen Zusicherungen über des Bestand einer Organisationen (z. B. Bindung einer E-Akte-an eine Organisation).

Download E-Paper