Ein großer Anteil heutiger Computerprogramme wird durch verteilte Programme abgedeckt. So werden beispielsweise Dienste für Sicherungskopien, Dateiaustausch und computergestützte Zusammenarbeit üblicherweise durch verteilte Programme realisiert. Hinzu kamen insbesondere in den letzten zwei Jahrzehnten eine Vielzahl von Diensten für soziale Netzwerke zum Austausch von Kurznachrichten und persönlichen Informationen sowie in Form von Partnerbörsen. In jedem dieser Dienste speichern und verarbeiten verteilte Programme vertrauliche Informationen über die Benutzer der Programme oder auch deren Arbeitgeber.

Für Anbieter von Diensten ("service provider") ist es essenziell, die Verarbeitung vertraulicher Informationen abzusichern. Beispielsweise werden Firmen gesetzlich dazu verpflichtet, Maßnahmen gegen finanzielle Interessenskonflikte zu ergreifen. Jenseits gesetzlicher Bestimmungen üben auch Nutzer Druck auf Dienstanbieter aus, Sicherheitsanforderungen wie beispielsweise den Schutz von Profilen und Nachrichten in sozialen Netzwerken umzusetzen. In beiden Fällen stellt bereits die Aussicht auf Sicherheitsverletzungen durch einen Dienstanbieter einen ernstzunehmenden Nachteil dar, der potenzielle Nutzer eines Dienstes abschreckt.

Der Fokus dieser Arbeit ist, Dienstanbietern zu ermöglichen, mit Hilfe von Laufzeit-Sicherheitsmechanismen ("enforcement mechanisms") verteilte Programme abzusichern. Diese Mechanismen setzen Sicherheit in einem gegebenen Programm durch, indem sie das Programmverhalten zur Laufzeit beobachten und in den Programmablauf eingreifen wenn Sicherheitsverletzungen bevorstehen. In einem verteilten Programm umfasst dies nicht nur, das Verhalten der einzelnen verteilten Agenten des Programms abzusichern sondern auch das gemeinsame Verhalten aller dieser Agenten.

Diese Arbeit stellt ein Rahmenwerk für das Durchsetzen von Sicherheit in verteilten Programmen vor. Das Rahmenwerk integriert Werkzeuge und Techniken für die Spezifikation, das Durchsetzen und die Verifikation von Sicherheitsrichtlinien für verteilte Programme. Zur Spezifikation von Sicherheitsrichtlinien ("security policies") stellt das Rahmenwerk eine Policysprache, CoDSPL bereit. Mit Hilfe des Werkzeugs CliSeAu können Sicherheitsmechanismen für gegebene Sicherheitsrichtlinien generiert und diese Mechanismen dann auf gegebene verteilte Programme angewandt werden. Für die Verifikation der so generierten Mechanismen bietet das Rahmenwerk ein formales Modell in der Prozessalgebra CSP an. Diese drei Bestandteile des Rahmenwerks bieten die Möglichkeit zur Kooperation zwischen den verteilten Einheiten des Mechanismus. Zur Unterstützung für die Spezifikation solcher Kooperation stellt das Rahmenwerk zwei Techniken in Form von Erweiterungen von CoDSPL bereit: eine Technik, mit der Kooperation in modularer Form spezifiziert werden kann sowie eine Technik für effektive Kooperation auch in Gegenwart von Race Conditions. Die Crosslining-Technik des Rahmenwerks beschreibt einen allgemeinen Ansatz zur Instrumentierung verteilter Programme mit Mechanismen deren verteilte Einheiten miteinander kooperieren können.

Neu am vorgestellten Rahmenwerk ist inbesondere, dass die gewünschte Form der Kooperation durch Sicherheitsrichtlinien spezifiziert werden kann und auch dann möglich ist, wenn die Agenten des verteilten Programms selbst nicht miteinander kommunizieren. Dadurch ermöglicht das Rahmenwerk sowohl die Spezifikation als auch das Durchsetzen von Sicherheitsrichtlinien mit einer auf das Anwendungsszenario zugeschnittenen Form von Kooperation. So kann Kooperation eingesetzt werden wenn die Sicherheitsanforderung nicht vollständig dezentral durchgesetzt werden kann. Jedoch kann Kooperation auch vermieden werden wenn sie im Anwendungsszenario nicht benötigt wird.

Die in dieser Arbeit vorgestellten Fallstudien bestätigen, dass sich das Rahmenwerk dafür eignet, spezifische Sicherheitsanforderungen in verteilten Diensten durchzusetzen. In den Fallstudien wird das Rahmenwerk verwendet um zwei Laufzeit-Sicherheitsmechanismen zu entwickeln: ein Mechanismus zum Durchsetzen einer Sicherheitsrichtlinie gegen Interessenskonflikte in einem verteilten Speicherdienst sowie ein Mechanismus zum Durchsetzen nutzerspezifischer Datenschutzrichtlinien beim Teilen von Nachrichten in sozialen Netzwerken. Experimentelle Evaluationen zu beiden Fallstudien bestätigen, dass die entwickelten Mechanismen sowohl effektiv als auch, mit einem Overhead im Bereich weniger Millisekunden, effizient sind.