© PRAXIS EDV- Betriebswirtschaft- und Software- Entwicklung AG 2007 Praxis LfsService Sicheres Austauschen von Lieferscheinen der Betonbranche Tino Schüttpelz,

Präsentation zum Thema: "© PRAXIS EDV- Betriebswirtschaft- und Software- Entwicklung AG 2007 Praxis LfsService Sicheres Austauschen von Lieferscheinen der Betonbranche Tino Schüttpelz,"—  Präsentation transkript:

1 © PRAXIS EDV- Betriebswirtschaft- und Software- Entwicklung AG 2007 Praxis LfsService Sicheres Austauschen von Lieferscheinen der Betonbranche Tino Schüttpelz, 07/11/23

2 © PRAXIS EDV- Betriebswirtschaft- und Software- Entwicklung AG 2007 ASP.NET WebService Serverbasiertes Programm Internet- oder Intranetlösung Nimmt Anfragen entgegen, wertet sie aus, reagiert und liefert Ergebnisse Authentifizierung und Autorisierung möglich Zertifiziert sichere Kommunikation über SSL (https) möglich (analog zu den Webangeboten von Banken)

3 © PRAXIS EDV- Betriebswirtschaft- und Software- Entwicklung AG 2007 LfsService ASP.NET WebService aus dem Hause PRAXIS Realisiert den sicheren Austausch von Dokumenten: –Benutzerauthentifizierung –Benutzerautorisierung –Tokenbasierte Kommunikation –SSL

4 © PRAXIS EDV- Betriebswirtschaft- und Software- Entwicklung AG 2007 Datenspeicherung und -format Auf einem gesicherten SQLServer 2005 XML-Format –durch ein XML-Schema standardisiert (speziell auf die Branche anpassbar) Jederzeit validierbar, lesbar, importierbar, exportierbar zwischen verschiedenen Programmen, Umgebungen, sogar Betriebssystemen

5 © PRAXIS EDV- Betriebswirtschaft- und Software- Entwicklung AG 2007 Kommunikation

6 © PRAXIS EDV- Betriebswirtschaft- und Software- Entwicklung AG 2007 Authentifizierung Wer ist es, und ist er es? –Abfragen nur mit Login und Passwort –Zuordnung zu einem Benutzer –Grundlage der Autorisierung

7 © PRAXIS EDV- Betriebswirtschaft- und Software- Entwicklung AG 2007 Autorisierung Darf er es? –Einsicht nur in zugehörige Lieferscheine: –Keine Zugriff auf Fremddaten –Hinzufügen von Daten nur durch Lieferanten nur durch diese Zuordnung der Lieferscheine zu Lieferant und Abnehmer, und Einsicht nur durch diese

8 © PRAXIS EDV- Betriebswirtschaft- und Software- Entwicklung AG 2007 …das reicht uns nicht! Token-Verfahren –Jede Anfrage muss autorisiert werden –LfsService erteilt eine Freigabe (token), die nur für einen Zugriff und nur für diesen einen Benutzer innerhalb einer gewissen Zeit gültig ist –Analog zum TAN-Verfahren

9 © PRAXIS EDV- Betriebswirtschaft- und Software- Entwicklung AG 2007 Sicherheitsvorkehrungen Daten liegen auf einem nur durch LfsService zugreifbaren und über das Internet nicht erreichbaren SQL-Server Kommunikation ist verschlüsselt, also nicht abhörbar WebService ist durch alle verfügbaren Massnahmen vor Missbrauch geschützt

10 © PRAXIS EDV- Betriebswirtschaft- und Software- Entwicklung AG 2007 Sicherheitsrisiken LfsService liefert ein Sicherheitsszenario, das dem potenziellen Angreifer nur eine Lücke läßt, die er mit vertretbarem Aufwand ausnutzen kann: Den Benutzer. - Schulungen, Schulungen, Schulungen!

11 © PRAXIS EDV- Betriebswirtschaft- und Software- Entwicklung AG 2007 Fragen? Danke für die Aufmerksamkeit… (Zeit für die Demonstration!)