Am 1. und 2. Oktober 1998 fand an der Universität GH Essen der Workschop Sicherheit und Electronic Commerce WSSEC der Fachgruppe 2.5.3 Verläßliche IT-Systeme (VIS) der Gesellschaft für Informatik (GI) in Zusammenarbeit mit der Industrievereinugung TeleTrusT e.V. und der Competence Center Informatik GmbH (CCI) statt. Die Teilnahme war auf Autoren angenommener Beiträge beschränkt. Von den 24 Einreichungen wurden 17 angenommene Beiträge vorgetragen und im 26 Personen umfassenden Teilnehmerkreis diskutiert. Es fand ein reger Austausch über den aktuellen Stand von Forschung und Entwicklung statt und unterschiedliche Modelle, Forschungsmethoden und technische Lösungsvorschläge wurden erörtert.
Nach einer kurzen Begrüßung durch Herrn Prof. Dr. Günther Pernul wurden drei verschiede formale Ansätze für sicheren Electronic Commerce vorgestellt. Rüdiger Grimm (GMD) stellte ein Modell auf Basis formaler Sprachen vor. Auf dessen Basis wurden die Begriffe "elektronischer Vertrag", seine "Ziele", "Verpflichtungen" und seine "verbindliche Phase" definiert und der "Sogs ins Ziel" durch einen geeignet gestalteten elektronischen Vertrag bewiesen. Danach stellte Heike Neumann von der Universität Gießen eine Authentifikationslogik zur Analyse von Electronic Commerce Protokollen, die beweisbar korrekt ist und durch die Verbindlichkeit modelliert werden kann, vor. Analysierbar ist damit zum Beispiel, ob vorgelegte Beweisstücke (wie digital Signaturen) im Kontext ihrer Kommunikation genügend Evidenzcharakter haben. Gritta Wolf (TU Dresden) präsentierte "Generische, attributierte Aktionsklassen für mehrseitig sichere, verteilte Anwendungen", die durch die Klassifizierung von Schutzzielen dem Anwendungsprogrammierer und dem Endnutzer die Konfiguration von Schutzzielen erleichtern sollen. Zum Thema Risikomanagement stellte Arndt Schönberg (OFFIS) "Ein unscharfes Bewertungskonzept für die Bedrohungs- und Risikoanalyse workflow-basierter Anwendungen" vor, dessen Kern eine Fuzzy-Logik bildet, die sowohl kardinale als auch ordinale Bewertungen im Rahmen einer Risikoanalyse erlaubt. Daniela Da mm (Universität Zürich) präsentierte eine Erweiterung der RSD-Sicherheitskonzeption, welche ein Vorgehen für die sichere Implementierung von Online-Diensten ist, um das Expertensystem RSD-XPS. Torsten Költzsch (Universität Freiburg) schloß den Vormittag mit einem Vortrag mit dem Titel "Risikoanalyse und Risikomanagement digitaler Zahlungssysteme". Die Anforderungen und das Design von sicheren mediatisierten Informationssystemen war Thema des Vortrags von Yücel Karabulut von der Universität Dortmund. In mediatisierten Informationssystemen zum Beispiel im Internet stellen Clients Anfragen an den Mediator, der diese versucht zu erfüllen, indem er auf autonome und heterogene Quellen zugreift. Diese Autonomität und Heterogenität wirkt sich auf die Erfüllung von Sicherheitsdiensten aus. Im Anschluß daran widmete sich Sonja Zwißler (FZI) der nach ihrer Erfahrung vor allem für kleine und mittlere Unternehmen wichtigen Fragestellung nach der "Kopplung und Integration von Diensten im elektronischen Handel". Es wurden die Schwachstellen von heutigen Malls und Shops in diesem Bereich angeführt und eine Architektur zur Lösung der Kopplungsproblematik skizziert. Die Präsentation von Torsten Mandry (Universität GH Essen) hatte zum Inhalt, welche Einsatzmöglichkeiten für mobile Agenten auf elektronischen Märkten gegeben sind und welche Sicherheitseigenschaften dabei beachtet werden müssen. Dabei wurden die Einschränkungen des Einsatzes und mögliche Schutzmaßnahmen kritisch diskutiert. "Sicherheitsaspekte vo n On-Line-Subskription einer TINA-Umgebung" wurden im letzten Vortrag des Tages von Petra Hoepner (GMD) vorgestellt. Die TINA-Dienstarchitektur unterstützt den Zugang und die Nutzung von Telekommunikationsdiensten (z.B. eines elektronischen Marktplatzes) beispielsweise durch einheitliche Subskriptions und Abrechnungsmechanismen. Diskutiert wurde unter anderem die Frage, in welchem Verhältnis Sicherheitsmechanismen in den Anwendungen (TINA) zu Sicherheitsmechanismen im darunterliegenden CORBA stehen.
Zum Abschluß des ersten Tages fand eine Diskussion über die Fragen: "Was sind die Kernfragen von Sicherheit und Elektronic Commerce?" und "Macht es Sinn, einen solchen Workshop nochmals zu veranstalten und - wenn ja in welcher Form?" statt. Eine große Mehrheit der Teilnehmer war der Meinung, daß ein Workshop mit eher wissenschaftlich orientierten Arbeiten zu diesem Themenkreis, trotz einer großen Menge von Veranstaltungen mit Bezug zu Electronic Commerce, noch fehlt und es deshalb sinnvoll erscheint, einen solchen Workshop in dieser oder einer veränderten Form abermals zu veranstalten.
Der zweite Tag begann mit dem lebhaften Vortrag von Roger Bons (Multimedia Skills), in dem eine Methode zum Design vertrauenswürdiger Geschäftsprozesse dargestellt wurde. Danach präsentierte Gaby Herrmann von der Universität GH Essen die Sprache ALMO$T zur Modellierung von sicheren Geschäftstransaktionen, die zur Realisierung in eine Infrastruktur und zur Modellierung in ein Framework eingebettet ist. Übereinstimmend mit dem Vortrag von Roger Bons wurden drei Ebenen der Realisierung von Geschäftstransaktionen identifiziert. Die Session endete nach dem Vortrag von Jens Lechtenbörger (OFFIS) über "Sicherheitsanalyse von Geschäftsprozessen mit CCS", der die Verwendung einer Prozessalgebra zur Verifikation von Eigenschaften von Geschäftsprozessen vorschlug. Nach der Mittagspause erklärte Klaus Schmeh (secunet) die verschiedenen Sicherheitsstandards für Email und deren Entwicklung, sowie ihre Vor- und Nachteile. Detlef Hühnlein (secunet) regte danach durch seinen Vortrag "Die Key-Recovery-Alliance und ihre Auswirkung auf Electronic Commerce" eine rege Diskussion über die Key-Recovery-Alliance an. Der Vortrag von Christian Russ (DFKI) zeigte, daß die Matrixauktion als effizienter Allokationsmechanismus von Transportleistungen eingesetzt werden kann. Zum Abschluß stellte Arnd Weber (Universität Freiburg) die Frage, ob und wie rechtsverbindliche di gitale Signaturen bei den beträchtlichen latenten Sicherheitsrisiken gegenwärtiger Technik möglich sind.
Weitere Informationen sind auf der Homepage des Workshops erhältlich.