SPP 1079: Sicherheit in der Informations- und
Kommunikationstechnik
Sichere IT-Systeme
Informatik 2003, 30. September 2003...
Sichere IT-Systeme 2
Überblick
I. SPP Sicherheit
• CeBIT-Szenario
• CeBIT-Demonstrator
• Einige Zahlen zur Wissenschaft
II...
Sichere IT-Systeme 3
Mobiles
Endgerät
IT-Infrastruktur
I. CeBIT-Szenario: Onboard-Ticketing
Sicherheitsmechanismen für Anw...
Sichere IT-Systeme 4
CeBIT-Demonstrator
[GeWoMu2003]
PolicyMaker
(München)
Zugriffsschutz
für
Middleware
(Berlin)
Pseudo-
...
Sichere IT-Systeme 5
CeBIT-Messestand
Sichere IT-Systeme 6
173 Veröffentlichungen
mit Review: 150
− international: 113
− national: 37
ohne Review: 23
− Zeitschr...
Sichere IT-Systeme 7
Promotionen
– abgeschlossen: 12
– geplante Abschlüsse in Phase III: 20
Publikationen über das SPP Sic...
Sichere IT-Systeme 8
Überblick
I. SPP Sicherheit
• CeBIT-Szenario
• CeBIT-Demonstrator
• Einige Zahlen zur Wissenschaft
II...
Sichere IT-Systeme 9
II. Untersuchte Systeme
• Nutzeranforderungen durch
Nutzerbefragung
• Entwicklung von
– Evaluationsme...
Sichere IT-Systeme 10
Sicherheitskonzept nicht vertrautSicherheitskonzept vertraut
Gefährdung der
• Vertraulichkeit
• Inte...
Sichere IT-Systeme 11
Usable Security Evaluation (USE)
Inspektionsvorlagen
Sicherheits-
orientierte
Gestaltungs-
richtlini...
Sichere IT-Systeme 12
Schritt 1: Spezifikation der Rahmenbedingungen
– Zielgruppe: Sicherheitslaien
– Anwendungskontext
– ...
Sichere IT-Systeme 13
Ergebnisse: Signtrust Mail (1)
Sichere IT-Systeme 14
Benutzbarkeitsrichtlinien
9
19
48
2
9
13
3
17
0 10 20 30 40 50 60
Fehlervermeidung
Erwartungskonform...
Sichere IT-Systeme 15
Ergebnisse: Signtrust Mail (3)
Sichere IT-Systeme 16
• 75% der identifizierten Probleme sind sicherheitskritische
Benutzbarkeitsprobleme
• Trotz Sicherhe...
Sichere IT-Systeme 17
Analyse
Implementierung
und Test
Entwurf
Funktions-
analyse
Analyse
Bedrohungs-/
Risikoanalyse
Siche...
Sichere IT-Systeme 18
• Nutzer kontrolliert seine persönlichen Daten
• Anwendung von UCSec
– Analyse: Nutzerbefragung
– En...
Sichere IT-Systeme 19
Ziel: Nutzermodellierung für adaptive Schnittstelle
Umfrage
– Fragebogen im Internet (www.telematik....
Sichere IT-Systeme 20
• Auswertung der Online-Befragung
• Verbesserung von UCSec für adaptive Schnittstellen
• Fertigstell...
Sichere IT-Systeme 21
Phase III: 11 Projekte
Anwendungen
• Anonymitätsdienst
(Dresden)
• Identitätsmanagement
(Freiburg)
I...
Sichere IT-Systeme 22
Zukunft des SPP
Internationale Abschlusskonferenz 2006
• Sicheres Gesamtsystem Menge sicherer Kompon...
Sichere IT-Systeme 23
Weitere Informationen
Sven Wohlgemuth
Koordinator SPP Sicherheit 1079
Tel. +49 761 203 4926
Fax +49 ...
Nächste SlideShare
Wird geladen in …5
×

Sichere IT-Systeme

515 Aufrufe

Veröffentlicht am

SPP 1079: Sicherheit in der Informations- und Kommunikationstechnik
Informatik 2003, 30. September 2003

Veröffentlicht in: Internet
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
515
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
8
Aktionen
Geteilt
0
Downloads
2
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Sichere IT-Systeme

  1. 1. SPP 1079: Sicherheit in der Informations- und Kommunikationstechnik Sichere IT-Systeme Informatik 2003, 30. September 2003 Sven Wohlgemuth Prof. Dr. Günter Müller Institut für Informatik und Gesellschaft Abteilung Telematik Albert-Ludwigs-Universität Freiburg
  2. 2. Sichere IT-Systeme 2 Überblick I. SPP Sicherheit • CeBIT-Szenario • CeBIT-Demonstrator • Einige Zahlen zur Wissenschaft II. ATUS (A Toolkit for Usable Security) • Untersuchte Systeme • Ausgangspunkt: Problemklassen • Usable Security Evaluation (USE) • USE: Beispiel Signtrust Mail • User-Centered Security Engineering (UCSec) • UCSec: Beispiel iManager • UCSec: Online-Befragung III. Zukunft
  3. 3. Sichere IT-Systeme 3 Mobiles Endgerät IT-Infrastruktur I. CeBIT-Szenario: Onboard-Ticketing Sicherheitsmechanismen für Anwender und Anbieter
  4. 4. Sichere IT-Systeme 4 CeBIT-Demonstrator [GeWoMu2003] PolicyMaker (München) Zugriffsschutz für Middleware (Berlin) Pseudo- nymisierung (Dortmund) Effiziente Angriffs- erkennung (Cottbus) IT-Infrastruktur Kryptoanalyse (Karlsruhe) Sicheres Betriebssystem (München) Spontane Vernetzung (Rostock) Digitale Geldbörse (Gießen) E-Ticket (Augsburg) Anondienst JAP (Dresden) Elliptische Kurven (Darmstadt) (Freiburg) Benutzbare Sicherheit (ATUS) Hardwareerweiterung für spontane Vernetzung (Rostock) iManager Biometrisches Signier- werkzeug Mobiles Endgerät SW-Verifikation (DFKI, Augsburg)
  5. 5. Sichere IT-Systeme 5 CeBIT-Messestand
  6. 6. Sichere IT-Systeme 6 173 Veröffentlichungen mit Review: 150 − international: 113 − national: 37 ohne Review: 23 − Zeitschriften: 46 − Konferenzen: 104 • ACM CCS: 2 • ACSAC: 1 • Crypto-Reihe: 5 • ESORICS: 4 • GI-Jahrestagung: 7 • IEEE Symp. on Security and Privacy: 2 • IEEE Computer Security Found.: 2 • Inf. Security (ISC): 2 • Inf. and Comm. Security (ICICS): 2 • Workshop on Design Issues in Anonymity and Unobservability: 4 Einige Zahlen zur Wissenschaft (1)
  7. 7. Sichere IT-Systeme 7 Promotionen – abgeschlossen: 12 – geplante Abschlüsse in Phase III: 20 Publikationen über das SPP Sicherheit – Müller, G., Eckert, C.: Sicherheit 2003, Praxis der Informationsverarbeitung und Kommunikation (PIK), K. G. Saur Verlag, 2003 – Wohlgemuth, S., Gerd tom Markotten, D., Jendricke, U., Müller, G.: DFG- Schwerpunktprogramm „Sicherheit in der Informations- und Kommunikationstechnik“, it-information technology, 45(5), Oldenbourg Verlag, 2003 – Müller, G., Reichenbach, M.: Sicherheitskonzepte für das Internet, Springer Xpert.press, Mai 2001. – Müller, G., Kreutzer, M.: IT Sicherheit, Informationstechnik und Technische Informatik (it+ti), Heft 5, Oldenbourg Verlag, 2001 – Müller, G., Gerd tom Markotten, D.: Wirtschaftsinformatik – Schwerpunkt: Sicherheit in der Informations- und Kommunikationstechnik, Heft 6, Vieweg, 2000 Einige Zahlen zur Wissenschaft (2)
  8. 8. Sichere IT-Systeme 8 Überblick I. SPP Sicherheit • CeBIT-Szenario • CeBIT-Demonstrator • Einige Zahlen zur Wissenschaft II. ATUS (A Toolkit for Usable Security) • Untersuchte Systeme • Ausgangspunkt: Problemklassen • Usable Security Evaluation (USE) • USE: Beispiel Signtrust Mail • User-Centered Security Engineering (UCSec) • UCSec: Beispiel iManager • UCSec: Online-Befragung III. Zukunft
  9. 9. Sichere IT-Systeme 9 II. Untersuchte Systeme • Nutzeranforderungen durch Nutzerbefragung • Entwicklung von – Evaluationsmethode (USE) – Vorgehensweise (UCSec) Sicheres Betriebssystem (München) Spontane Vernetzung (Rostock) Dig. Geldbörse (Gießen) E-Ticket (Augsburg) Anondienst JAP (Dresden) Elliptische Kurven (Darmstadt) (Freiburg) Biometris ches Signier- werkzeug Benutzbare Sicherheit (ATUS) Hardwareerweiterung für spontane Vernetzung (Rostock) iMana ger MobilesEndgerät
  10. 10. Sichere IT-Systeme 10 Sicherheitskonzept nicht vertrautSicherheitskonzept vertraut Gefährdung der • Vertraulichkeit • Integrität • Zurechenbarkeit • Verfügbarkeit Sicherheitskritisches Fehlverhalten Sicherheits- probleme Benutzbarkeits- probleme Sicherheits- kritische Benutzbarkeits- probleme [KaRe2002] Ausgangspunkt: Problemklassen Problemklasse I Problemklasse IV Problemklasse II Problemklasse III
  11. 11. Sichere IT-Systeme 11 Usable Security Evaluation (USE) Inspektionsvorlagen Sicherheits- orientierte Gestaltungs- richtlinien Beispiel- aufgaben Sicherheitscheckliste • Schutzobjekte • Sicherheitskriterien • Sicherheitslücken ähnlicher Anwendungen IT-Sicherheitsevaluation • ITSEC • Common Criteria Methoden der HCI • Heuristische Evaluation • Cognitive Walkthrough [Ge2003] Usable Security Evaluation (USE)
  12. 12. Sichere IT-Systeme 12 Schritt 1: Spezifikation der Rahmenbedingungen – Zielgruppe: Sicherheitslaien – Anwendungskontext – Probanden: Sicherheits- und HCI-Experten – Testumgebung Schritt 2: Durchführung der Evaluation – Sicherheitscheckliste: Schutzobjekte, Kriterien, bekannte Probleme von PGP – Beispielaufgaben – Analyse der Benutzungsschnittstelle – Interview der Probanden Schritt 3: Auswertung der Ergebnisse – Schweregrad – Gestaltungsrichtlinien – Problemklassen USE: Beispiel Signtrust Mail [Ge2003]
  13. 13. Sichere IT-Systeme 13 Ergebnisse: Signtrust Mail (1)
  14. 14. Sichere IT-Systeme 14 Benutzbarkeitsrichtlinien 9 19 48 2 9 13 3 17 0 10 20 30 40 50 60 Fehlervermeidung Erwartungskonformität Selbstbeschreibungsfähigkeit Erstbenutzungsfreundlichkeit Komfort/Effizienz Aufgabenangemessenheit Benutzerführung Vertrauen Anzahl 40 % der Probleme: mangelnde Selbstbeschreibungsfähigkeit Sicherheitsorientierte Gestaltungsrichtlinien Ergebnisse: Signtrust Mail (2) [Ge2003]
  15. 15. Sichere IT-Systeme 15 Ergebnisse: Signtrust Mail (3)
  16. 16. Sichere IT-Systeme 16 • 75% der identifizierten Probleme sind sicherheitskritische Benutzbarkeitsprobleme • Trotz Sicherheitszertifizierung sind Schwachstellen vorhanden 10 48 42 20 0 10 20 30 40 50 60 Problemklasse I Problemklasse II Problemklasse III Problemklasse IV AnzahlderNennungen Ergebnisse: Signtrust Mail (4) [Ge2003]
  17. 17. Sichere IT-Systeme 17 Analyse Implementierung und Test Entwurf Funktions- analyse Analyse Bedrohungs-/ Risikoanalyse Sicherheits-/ Strategiemodell Nutzer als Angriffsobjekt Nutzerverhalten Adäquates Sicherheitsniveau Design und Implementierung Evaluation und Test Design Test Gestaltungsrichtlinien / USE Abschlusstest User-Centered Security Engineering (UCSec) für Problemklasse III [Ge2003]Bewertung von UCSec noch nicht möglich
  18. 18. Sichere IT-Systeme 18 • Nutzer kontrolliert seine persönlichen Daten • Anwendung von UCSec – Analyse: Nutzerbefragung – Entwurf: Schutzzielimplikation – Implementierung: Gestaltungsrichtlinien • Offen – Sicherheitsprotokollzur Authentifikation – Anbindung an Identitätsmanagementsysteme (Passport, Liberty Alliance, ...) – Adaptive Schnittstelle Einkaufen Willi Weber Behörde Teil-Identitäten Freizeit Anonym Name: Willi Weber Kreditkarte: VISA Nr.: 9988 7766 5544 3322 Gültig bis:01.10.2004 Adresse Straße: Friedrichstr. 50 PLZ: 79098 Ort: Hannover Geburtstag: 11.07.1974 Geburtsort: Laatzen Identität Nickname:Webster Verein:Privatheitsfreunde Hannover e.V. [GeJeMu2001] Ziel: Sicherheitswerkzeug für Laien zur Autorisierung UCSec: Beispiel iManager
  19. 19. Sichere IT-Systeme 19 Ziel: Nutzermodellierung für adaptive Schnittstelle Umfrage – Fragebogen im Internet (www.telematik.uni-freiburg.de/umfrage/) – Anwendungskontext: WWW-Nutzung – Sicherheitsbedürfnisse und Lernbereitschaft – Beantwortungszeit: 20 bis 30 Minuten – Zeitraum: Januar bis Mitte April 2003 – Teilnehmer gesamt: 1027 [Ka2003] UCSec: Online-Befragung
  20. 20. Sichere IT-Systeme 20 • Auswertung der Online-Befragung • Verbesserung von UCSec für adaptive Schnittstellen • Fertigstellung des iManagers, insbesondere Erweiterung um Sicherheitsprotokolle zur Authentifikation • Bewertung von UCSec mit Erfahrung aus iManager- Entwicklung III. ATUS in Phase III
  21. 21. Sichere IT-Systeme 21 Phase III: 11 Projekte Anwendungen • Anonymitätsdienst (Dresden) • Identitätsmanagement (Freiburg) Infrastruktur • Spontane Vernetzung – sichere Hardware (Rostock) • Sichere IP-Netze (Duisburg-Essen) • Zugriffsschutzpolitiken für Middleware (Berlin) • Effiziente Angriffserkennung (Cottbus) • Pseudonymisierung (Dortmund) Methoden • Software-Verifikation (DFKI, Augsburg) • Benutzbarkeit und Sicherheit (Freiburg) • Quantenkryptographie (Darmstadt) • Kryptoanalyse (Karlsruhe) Schutzziele Zukunft des SPP
  22. 22. Sichere IT-Systeme 22 Zukunft des SPP Internationale Abschlusskonferenz 2006 • Sicheres Gesamtsystem Menge sicherer Komponenten • Programm – Ausstellung von Demonstratoren / Prototypen – Internationale Forschung – SPP-Forschung – Workshops – Diskussion: Gesellschaft – Technik 
  23. 23. Sichere IT-Systeme 23 Weitere Informationen Sven Wohlgemuth Koordinator SPP Sicherheit 1079 Tel. +49 761 203 4926 Fax +49 761 203 4929 E-Mail wohlgemuth@iig.uni-freiburg.de WWW http://www.telematik.uni-freiburg.de Auf eine gute Zusammenarbeit

×