SlideShare ist ein Scribd-Unternehmen logo
SPP 1079: Sicherheit in der Informations- und
Kommunikationstechnik
Sichere IT-Systeme
Informatik 2003, 30. September 2003
Sven Wohlgemuth
Prof. Dr. Günter Müller
Institut für Informatik und Gesellschaft
Abteilung Telematik
Albert-Ludwigs-Universität Freiburg
Sichere IT-Systeme 2
Überblick
I. SPP Sicherheit
• CeBIT-Szenario
• CeBIT-Demonstrator
• Einige Zahlen zur Wissenschaft
II. ATUS (A Toolkit for Usable Security)
• Untersuchte Systeme
• Ausgangspunkt: Problemklassen
• Usable Security Evaluation (USE)
• USE: Beispiel Signtrust Mail
• User-Centered Security Engineering (UCSec)
• UCSec: Beispiel iManager
• UCSec: Online-Befragung
III. Zukunft
Sichere IT-Systeme 3
Mobiles
Endgerät
IT-Infrastruktur
I. CeBIT-Szenario: Onboard-Ticketing
Sicherheitsmechanismen für Anwender und Anbieter
Sichere IT-Systeme 4
CeBIT-Demonstrator
[GeWoMu2003]
PolicyMaker
(München)
Zugriffsschutz
für
Middleware
(Berlin)
Pseudo-
nymisierung
(Dortmund)
Effiziente
Angriffs-
erkennung
(Cottbus)
IT-Infrastruktur
Kryptoanalyse
(Karlsruhe)
Sicheres Betriebssystem
(München)
Spontane Vernetzung
(Rostock)
Digitale
Geldbörse
(Gießen)
E-Ticket
(Augsburg)
Anondienst
JAP
(Dresden)
Elliptische Kurven
(Darmstadt)
(Freiburg)
Benutzbare Sicherheit (ATUS)
Hardwareerweiterung für spontane Vernetzung
(Rostock)
iManager
Biometrisches
Signier-
werkzeug
Mobiles Endgerät
SW-Verifikation
(DFKI, Augsburg)
Sichere IT-Systeme 5
CeBIT-Messestand
Sichere IT-Systeme 6
173 Veröffentlichungen
mit Review: 150
− international: 113
− national: 37
ohne Review: 23
− Zeitschriften: 46
− Konferenzen: 104
• ACM CCS: 2
• ACSAC: 1
• Crypto-Reihe: 5
• ESORICS: 4
• GI-Jahrestagung: 7
• IEEE Symp. on Security and Privacy: 2
• IEEE Computer Security Found.: 2
• Inf. Security (ISC): 2
• Inf. and Comm. Security (ICICS): 2
• Workshop on Design Issues in
Anonymity and Unobservability: 4
Einige Zahlen zur Wissenschaft (1)
Sichere IT-Systeme 7
Promotionen
– abgeschlossen: 12
– geplante Abschlüsse in Phase III: 20
Publikationen über das SPP Sicherheit
– Müller, G., Eckert, C.: Sicherheit 2003, Praxis der Informationsverarbeitung
und Kommunikation (PIK), K. G. Saur Verlag, 2003
– Wohlgemuth, S., Gerd tom Markotten, D., Jendricke, U., Müller, G.: DFG-
Schwerpunktprogramm „Sicherheit in der Informations- und
Kommunikationstechnik“, it-information technology, 45(5), Oldenbourg
Verlag, 2003
– Müller, G., Reichenbach, M.: Sicherheitskonzepte für das Internet, Springer
Xpert.press, Mai 2001.
– Müller, G., Kreutzer, M.: IT Sicherheit, Informationstechnik und Technische
Informatik (it+ti), Heft 5, Oldenbourg Verlag, 2001
– Müller, G., Gerd tom Markotten, D.: Wirtschaftsinformatik – Schwerpunkt:
Sicherheit in der Informations- und Kommunikationstechnik, Heft 6, Vieweg,
2000
Einige Zahlen zur Wissenschaft (2)
Sichere IT-Systeme 8
Überblick
I. SPP Sicherheit
• CeBIT-Szenario
• CeBIT-Demonstrator
• Einige Zahlen zur Wissenschaft
II. ATUS (A Toolkit for Usable Security)
• Untersuchte Systeme
• Ausgangspunkt: Problemklassen
• Usable Security Evaluation (USE)
• USE: Beispiel Signtrust Mail
• User-Centered Security Engineering (UCSec)
• UCSec: Beispiel iManager
• UCSec: Online-Befragung
III. Zukunft
Sichere IT-Systeme 9
II. Untersuchte Systeme
• Nutzeranforderungen durch
Nutzerbefragung
• Entwicklung von
– Evaluationsmethode (USE)
– Vorgehensweise (UCSec)
Sicheres Betriebssystem
(München)
Spontane Vernetzung
(Rostock)
Dig. Geldbörse
(Gießen)
E-Ticket
(Augsburg)
Anondienst
JAP
(Dresden)
Elliptische Kurven
(Darmstadt)
(Freiburg)
Biometris
ches
Signier-
werkzeug
Benutzbare Sicherheit (ATUS)
Hardwareerweiterung für spontane Vernetzung
(Rostock)
iMana
ger
MobilesEndgerät
Sichere IT-Systeme 10
Sicherheitskonzept nicht vertrautSicherheitskonzept vertraut
Gefährdung der
• Vertraulichkeit
• Integrität
• Zurechenbarkeit
• Verfügbarkeit
Sicherheitskritisches
Fehlverhalten
Sicherheits-
probleme
Benutzbarkeits-
probleme
Sicherheits-
kritische
Benutzbarkeits-
probleme
[KaRe2002]
Ausgangspunkt: Problemklassen
Problemklasse I Problemklasse IV
Problemklasse II Problemklasse III
Sichere IT-Systeme 11
Usable Security Evaluation (USE)
Inspektionsvorlagen
Sicherheits-
orientierte
Gestaltungs-
richtlinien
Beispiel-
aufgaben
Sicherheitscheckliste
• Schutzobjekte
• Sicherheitskriterien
• Sicherheitslücken
ähnlicher Anwendungen
IT-Sicherheitsevaluation
• ITSEC
• Common Criteria
Methoden der HCI
• Heuristische Evaluation
• Cognitive Walkthrough
[Ge2003]
Usable Security Evaluation (USE)
Sichere IT-Systeme 12
Schritt 1: Spezifikation der Rahmenbedingungen
– Zielgruppe: Sicherheitslaien
– Anwendungskontext
– Probanden: Sicherheits- und HCI-Experten
– Testumgebung
Schritt 2: Durchführung der Evaluation
– Sicherheitscheckliste:
Schutzobjekte, Kriterien, bekannte
Probleme von PGP
– Beispielaufgaben
– Analyse der Benutzungsschnittstelle
– Interview der Probanden
Schritt 3: Auswertung der Ergebnisse
– Schweregrad
– Gestaltungsrichtlinien
– Problemklassen
USE: Beispiel Signtrust Mail
[Ge2003]
Sichere IT-Systeme 13
Ergebnisse: Signtrust Mail (1)
Sichere IT-Systeme 14
Benutzbarkeitsrichtlinien
9
19
48
2
9
13
3
17
0 10 20 30 40 50 60
Fehlervermeidung
Erwartungskonformität
Selbstbeschreibungsfähigkeit
Erstbenutzungsfreundlichkeit
Komfort/Effizienz
Aufgabenangemessenheit
Benutzerführung
Vertrauen
Anzahl
40 % der Probleme: mangelnde Selbstbeschreibungsfähigkeit
Sicherheitsorientierte Gestaltungsrichtlinien
Ergebnisse: Signtrust Mail (2)
[Ge2003]
Sichere IT-Systeme 15
Ergebnisse: Signtrust Mail (3)
Sichere IT-Systeme 16
• 75% der identifizierten Probleme sind sicherheitskritische
Benutzbarkeitsprobleme
• Trotz Sicherheitszertifizierung sind Schwachstellen vorhanden
10
48
42
20
0
10
20
30
40
50
60
Problemklasse I Problemklasse II Problemklasse III Problemklasse IV
AnzahlderNennungen
Ergebnisse: Signtrust Mail (4)
[Ge2003]
Sichere IT-Systeme 17
Analyse
Implementierung
und Test
Entwurf
Funktions-
analyse
Analyse
Bedrohungs-/
Risikoanalyse
Sicherheits-/
Strategiemodell
Nutzer als Angriffsobjekt
Nutzerverhalten
Adäquates
Sicherheitsniveau
Design und
Implementierung
Evaluation
und Test
Design
Test
Gestaltungsrichtlinien /
USE
Abschlusstest
User-Centered Security Engineering (UCSec)
für Problemklasse III
[Ge2003]Bewertung von UCSec noch nicht möglich
Sichere IT-Systeme 18
• Nutzer kontrolliert seine persönlichen Daten
• Anwendung von UCSec
– Analyse: Nutzerbefragung
– Entwurf: Schutzzielimplikation
– Implementierung: Gestaltungsrichtlinien
• Offen
– Sicherheitsprotokollzur
Authentifikation
– Anbindung an
Identitätsmanagementsysteme
(Passport, Liberty Alliance, ...)
– Adaptive Schnittstelle
Einkaufen
Willi Weber
Behörde
Teil-Identitäten
Freizeit
Anonym
Name:
Willi Weber
Kreditkarte: VISA
Nr.: 9988 7766 5544 3322
Gültig bis:01.10.2004
Adresse
Straße: Friedrichstr. 50
PLZ: 79098
Ort: Hannover
Geburtstag: 11.07.1974
Geburtsort: Laatzen
Identität
Nickname:Webster
Verein:Privatheitsfreunde
Hannover e.V.
[GeJeMu2001]
Ziel: Sicherheitswerkzeug für Laien zur Autorisierung
UCSec: Beispiel iManager
Sichere IT-Systeme 19
Ziel: Nutzermodellierung für adaptive Schnittstelle
Umfrage
– Fragebogen im Internet (www.telematik.uni-freiburg.de/umfrage/)
– Anwendungskontext: WWW-Nutzung
– Sicherheitsbedürfnisse und Lernbereitschaft
– Beantwortungszeit: 20 bis 30 Minuten
– Zeitraum: Januar bis Mitte April 2003
– Teilnehmer gesamt: 1027
[Ka2003]
UCSec: Online-Befragung
Sichere IT-Systeme 20
• Auswertung der Online-Befragung
• Verbesserung von UCSec für adaptive Schnittstellen
• Fertigstellung des iManagers, insbesondere Erweiterung um
Sicherheitsprotokolle zur Authentifikation
• Bewertung von UCSec mit Erfahrung aus iManager-
Entwicklung
III. ATUS in Phase III
Sichere IT-Systeme 21
Phase III: 11 Projekte
Anwendungen
• Anonymitätsdienst
(Dresden)
• Identitätsmanagement
(Freiburg)
Infrastruktur
• Spontane Vernetzung –
sichere Hardware
(Rostock)
• Sichere IP-Netze
(Duisburg-Essen)
• Zugriffsschutzpolitiken für
Middleware
(Berlin)
• Effiziente Angriffserkennung
(Cottbus)
• Pseudonymisierung
(Dortmund)
Methoden
• Software-Verifikation
(DFKI, Augsburg)
• Benutzbarkeit und Sicherheit
(Freiburg)
• Quantenkryptographie
(Darmstadt)
• Kryptoanalyse
(Karlsruhe)
Schutzziele
Zukunft des SPP
Sichere IT-Systeme 22
Zukunft des SPP
Internationale Abschlusskonferenz 2006
• Sicheres Gesamtsystem Menge sicherer Komponenten
• Programm
– Ausstellung von Demonstratoren / Prototypen
– Internationale Forschung – SPP-Forschung
– Workshops
– Diskussion: Gesellschaft – Technik

Sichere IT-Systeme 23
Weitere Informationen
Sven Wohlgemuth
Koordinator SPP Sicherheit 1079
Tel. +49 761 203 4926
Fax +49 761 203 4929
E-Mail wohlgemuth@iig.uni-freiburg.de
WWW http://www.telematik.uni-freiburg.de
Auf eine gute Zusammenarbeit

Weitere ähnliche Inhalte

Ähnlich wie Sichere IT-Systeme

Innovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht ForschungInnovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht Forschung
Fraunhofer AISEC
 
Sicherheit für das Energieinformationsnetz
Sicherheit für das EnergieinformationsnetzSicherheit für das Energieinformationsnetz
Sicherheit für das Energieinformationsnetz
Fraunhofer AISEC
 
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for SecurityCybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
Fraunhofer AISEC
 
Cyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftCyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der Wissenschaft
Fraunhofer AISEC
 
Marktchancen mit IT-Sicherheit
Marktchancen mit IT-SicherheitMarktchancen mit IT-Sicherheit
Marktchancen mit IT-Sicherheit
Fraunhofer AISEC
 
Ubiquitous Microblogging für flexible Informationssysteme
Ubiquitous Microblogging für flexible InformationssystemeUbiquitous Microblogging für flexible Informationssysteme
Ubiquitous Microblogging für flexible Informationssysteme
Martin Böhringer
 
Fraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativFraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC
 
Schaeffer Jester Smart Metering Datensicherheit
Schaeffer Jester Smart Metering DatensicherheitSchaeffer Jester Smart Metering Datensicherheit
Schaeffer Jester Smart Metering Datensicherheit
Philippe A. R. Schaeffer
 
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
lernet
 
Proaktive Sicherheit durch Threat Modeling
Proaktive Sicherheit durch Threat ModelingProaktive Sicherheit durch Threat Modeling
Proaktive Sicherheit durch Threat Modeling
Philippe A. R. Schaeffer
 
Sicherheit im Internet Sichere Identität, sichere Dienste und Compliance
Sicherheit im Internet Sichere Identität, sichere Dienste und ComplianceSicherheit im Internet Sichere Identität, sichere Dienste und Compliance
Sicherheit im Internet Sichere Identität, sichere Dienste und Compliance
Fraunhofer AISEC
 
Rahmenbedingungen mobile security
Rahmenbedingungen mobile securityRahmenbedingungen mobile security
Rahmenbedingungen mobile security
Peter Teufl
 
Angewandte Informatik - Systems Engineering: Die Mischung macht´s!
Angewandte Informatik - Systems Engineering: Die Mischung macht´s!Angewandte Informatik - Systems Engineering: Die Mischung macht´s!
Angewandte Informatik - Systems Engineering: Die Mischung macht´s!
starchaser
 
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Fujitsu Central Europe
 
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über  IT-Sicherheit in Industrie 4.0 Projekten der DST consulting Whitepaper über  IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Hans Peter Knaust
 
Risikofakor Cloud Dnd09
Risikofakor Cloud Dnd09Risikofakor Cloud Dnd09
Risikofakor Cloud Dnd09
Tim Cole
 
Regelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenRegelkonformität durch neue Architekturen
Regelkonformität durch neue Architekturen
ICT Economic Impact
 
Internet of (Every)Thing
Internet of (Every)ThingInternet of (Every)Thing
Internet of (Every)Thing
Fraunhofer AISEC
 
LSZ Kurzpräsentation
LSZ KurzpräsentationLSZ Kurzpräsentation
LSZ Kurzpräsentation
Andreas Tomek
 
'Industrie 4.0' Security
'Industrie 4.0' Security 'Industrie 4.0' Security
'Industrie 4.0' Security
Erwin Hoffmann
 

Ähnlich wie Sichere IT-Systeme (20)

Innovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht ForschungInnovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht Forschung
 
Sicherheit für das Energieinformationsnetz
Sicherheit für das EnergieinformationsnetzSicherheit für das Energieinformationsnetz
Sicherheit für das Energieinformationsnetz
 
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for SecurityCybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
 
Cyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftCyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der Wissenschaft
 
Marktchancen mit IT-Sicherheit
Marktchancen mit IT-SicherheitMarktchancen mit IT-Sicherheit
Marktchancen mit IT-Sicherheit
 
Ubiquitous Microblogging für flexible Informationssysteme
Ubiquitous Microblogging für flexible InformationssystemeUbiquitous Microblogging für flexible Informationssysteme
Ubiquitous Microblogging für flexible Informationssysteme
 
Fraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativFraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativ
 
Schaeffer Jester Smart Metering Datensicherheit
Schaeffer Jester Smart Metering DatensicherheitSchaeffer Jester Smart Metering Datensicherheit
Schaeffer Jester Smart Metering Datensicherheit
 
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
 
Proaktive Sicherheit durch Threat Modeling
Proaktive Sicherheit durch Threat ModelingProaktive Sicherheit durch Threat Modeling
Proaktive Sicherheit durch Threat Modeling
 
Sicherheit im Internet Sichere Identität, sichere Dienste und Compliance
Sicherheit im Internet Sichere Identität, sichere Dienste und ComplianceSicherheit im Internet Sichere Identität, sichere Dienste und Compliance
Sicherheit im Internet Sichere Identität, sichere Dienste und Compliance
 
Rahmenbedingungen mobile security
Rahmenbedingungen mobile securityRahmenbedingungen mobile security
Rahmenbedingungen mobile security
 
Angewandte Informatik - Systems Engineering: Die Mischung macht´s!
Angewandte Informatik - Systems Engineering: Die Mischung macht´s!Angewandte Informatik - Systems Engineering: Die Mischung macht´s!
Angewandte Informatik - Systems Engineering: Die Mischung macht´s!
 
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
 
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über  IT-Sicherheit in Industrie 4.0 Projekten der DST consulting Whitepaper über  IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
 
Risikofakor Cloud Dnd09
Risikofakor Cloud Dnd09Risikofakor Cloud Dnd09
Risikofakor Cloud Dnd09
 
Regelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenRegelkonformität durch neue Architekturen
Regelkonformität durch neue Architekturen
 
Internet of (Every)Thing
Internet of (Every)ThingInternet of (Every)Thing
Internet of (Every)Thing
 
LSZ Kurzpräsentation
LSZ KurzpräsentationLSZ Kurzpräsentation
LSZ Kurzpräsentation
 
'Industrie 4.0' Security
'Industrie 4.0' Security 'Industrie 4.0' Security
'Industrie 4.0' Security
 

Mehr von Sven Wohlgemuth

A Secure Decision-Support Scheme for Self-Sovereign Identity Management
A Secure Decision-Support Scheme for Self-Sovereign Identity ManagementA Secure Decision-Support Scheme for Self-Sovereign Identity Management
A Secure Decision-Support Scheme for Self-Sovereign Identity Management
Sven Wohlgemuth
 
Competitive Compliance with Blockchain
Competitive Compliance with BlockchainCompetitive Compliance with Blockchain
Competitive Compliance with Blockchain
Sven Wohlgemuth
 
Secure Sharing of Design Information with Blockchains
Secure Sharing of Design Information with BlockchainsSecure Sharing of Design Information with Blockchains
Secure Sharing of Design Information with Blockchains
Sven Wohlgemuth
 
個人情報の有効活用を可能にする (Enabling effective use of personal information)
 個人情報の有効活用を可能にする (Enabling effective use of personal information) 個人情報の有効活用を可能にする (Enabling effective use of personal information)
個人情報の有効活用を可能にする (Enabling effective use of personal information)
Sven Wohlgemuth
 
Tagging Disclosure of Personal Data to Third Parties to Preserve Privacy
Tagging Disclosure of Personal Data to Third Parties to Preserve PrivacyTagging Disclosure of Personal Data to Third Parties to Preserve Privacy
Tagging Disclosure of Personal Data to Third Parties to Preserve Privacy
Sven Wohlgemuth
 
Privacy-Enhancing Trust Infrastructure for Process Mining
Privacy-Enhancing Trust Infrastructure for Process MiningPrivacy-Enhancing Trust Infrastructure for Process Mining
Privacy-Enhancing Trust Infrastructure for Process Mining
Sven Wohlgemuth
 
Privacy in Business Processes by User-Centric Identity Management
Privacy in Business Processes by User-Centric Identity ManagementPrivacy in Business Processes by User-Centric Identity Management
Privacy in Business Processes by User-Centric Identity Management
Sven Wohlgemuth
 
WP14 Workshop "From Data Economy to Secure Logging as a Step towards Transpar...
WP14 Workshop "From Data Economy to Secure Logging as a Step towards Transpar...WP14 Workshop "From Data Economy to Secure Logging as a Step towards Transpar...
WP14 Workshop "From Data Economy to Secure Logging as a Step towards Transpar...
Sven Wohlgemuth
 
Privacy in e-Health
Privacy in e-HealthPrivacy in e-Health
Privacy in e-Health
Sven Wohlgemuth
 
On Privacy in Medical Services with Electronic Health Records
On Privacy in Medical Services with Electronic Health RecordsOn Privacy in Medical Services with Electronic Health Records
On Privacy in Medical Services with Electronic Health Records
Sven Wohlgemuth
 
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementEN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
Sven Wohlgemuth
 
Privacy with Secondary Use of Personal Information
Privacy with Secondary Use of Personal InformationPrivacy with Secondary Use of Personal Information
Privacy with Secondary Use of Personal Information
Sven Wohlgemuth
 
International Workshop on Information Systems for Social Innovation (ISSI) 2009
International Workshop on Information Systems for Social Innovation (ISSI) 2009International Workshop on Information Systems for Social Innovation (ISSI) 2009
International Workshop on Information Systems for Social Innovation (ISSI) 2009
Sven Wohlgemuth
 
Durchsetzung von Privacy Policies in Dienstenetzen
Durchsetzung von Privacy Policies in DienstenetzenDurchsetzung von Privacy Policies in Dienstenetzen
Durchsetzung von Privacy Policies in Dienstenetzen
Sven Wohlgemuth
 
Privacy in Business Processes by User-Centric Identity Management
Privacy in Business Processes by User-Centric Identity ManagementPrivacy in Business Processes by User-Centric Identity Management
Privacy in Business Processes by User-Centric Identity Management
Sven Wohlgemuth
 
Privacy in Business Processes by Identity Management
Privacy in Business Processes by Identity ManagementPrivacy in Business Processes by Identity Management
Privacy in Business Processes by Identity Management
Sven Wohlgemuth
 
Schlüsselverwaltung - Objektorientierter Entwurf und Implementierung
Schlüsselverwaltung - Objektorientierter Entwurf und ImplementierungSchlüsselverwaltung - Objektorientierter Entwurf und Implementierung
Schlüsselverwaltung - Objektorientierter Entwurf und Implementierung
Sven Wohlgemuth
 
Resilience by Usable Security
Resilience by Usable SecurityResilience by Usable Security
Resilience by Usable Security
Sven Wohlgemuth
 
Sicherheit in einer vernetzten Welt
Sicherheit in einer vernetzten WeltSicherheit in einer vernetzten Welt
Sicherheit in einer vernetzten Welt
Sven Wohlgemuth
 
Solutions for Coping with Privacy and Usability
Solutions for Coping with Privacy and UsabilitySolutions for Coping with Privacy and Usability
Solutions for Coping with Privacy and Usability
Sven Wohlgemuth
 

Mehr von Sven Wohlgemuth (20)

A Secure Decision-Support Scheme for Self-Sovereign Identity Management
A Secure Decision-Support Scheme for Self-Sovereign Identity ManagementA Secure Decision-Support Scheme for Self-Sovereign Identity Management
A Secure Decision-Support Scheme for Self-Sovereign Identity Management
 
Competitive Compliance with Blockchain
Competitive Compliance with BlockchainCompetitive Compliance with Blockchain
Competitive Compliance with Blockchain
 
Secure Sharing of Design Information with Blockchains
Secure Sharing of Design Information with BlockchainsSecure Sharing of Design Information with Blockchains
Secure Sharing of Design Information with Blockchains
 
個人情報の有効活用を可能にする (Enabling effective use of personal information)
 個人情報の有効活用を可能にする (Enabling effective use of personal information) 個人情報の有効活用を可能にする (Enabling effective use of personal information)
個人情報の有効活用を可能にする (Enabling effective use of personal information)
 
Tagging Disclosure of Personal Data to Third Parties to Preserve Privacy
Tagging Disclosure of Personal Data to Third Parties to Preserve PrivacyTagging Disclosure of Personal Data to Third Parties to Preserve Privacy
Tagging Disclosure of Personal Data to Third Parties to Preserve Privacy
 
Privacy-Enhancing Trust Infrastructure for Process Mining
Privacy-Enhancing Trust Infrastructure for Process MiningPrivacy-Enhancing Trust Infrastructure for Process Mining
Privacy-Enhancing Trust Infrastructure for Process Mining
 
Privacy in Business Processes by User-Centric Identity Management
Privacy in Business Processes by User-Centric Identity ManagementPrivacy in Business Processes by User-Centric Identity Management
Privacy in Business Processes by User-Centric Identity Management
 
WP14 Workshop "From Data Economy to Secure Logging as a Step towards Transpar...
WP14 Workshop "From Data Economy to Secure Logging as a Step towards Transpar...WP14 Workshop "From Data Economy to Secure Logging as a Step towards Transpar...
WP14 Workshop "From Data Economy to Secure Logging as a Step towards Transpar...
 
Privacy in e-Health
Privacy in e-HealthPrivacy in e-Health
Privacy in e-Health
 
On Privacy in Medical Services with Electronic Health Records
On Privacy in Medical Services with Electronic Health RecordsOn Privacy in Medical Services with Electronic Health Records
On Privacy in Medical Services with Electronic Health Records
 
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementEN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
 
Privacy with Secondary Use of Personal Information
Privacy with Secondary Use of Personal InformationPrivacy with Secondary Use of Personal Information
Privacy with Secondary Use of Personal Information
 
International Workshop on Information Systems for Social Innovation (ISSI) 2009
International Workshop on Information Systems for Social Innovation (ISSI) 2009International Workshop on Information Systems for Social Innovation (ISSI) 2009
International Workshop on Information Systems for Social Innovation (ISSI) 2009
 
Durchsetzung von Privacy Policies in Dienstenetzen
Durchsetzung von Privacy Policies in DienstenetzenDurchsetzung von Privacy Policies in Dienstenetzen
Durchsetzung von Privacy Policies in Dienstenetzen
 
Privacy in Business Processes by User-Centric Identity Management
Privacy in Business Processes by User-Centric Identity ManagementPrivacy in Business Processes by User-Centric Identity Management
Privacy in Business Processes by User-Centric Identity Management
 
Privacy in Business Processes by Identity Management
Privacy in Business Processes by Identity ManagementPrivacy in Business Processes by Identity Management
Privacy in Business Processes by Identity Management
 
Schlüsselverwaltung - Objektorientierter Entwurf und Implementierung
Schlüsselverwaltung - Objektorientierter Entwurf und ImplementierungSchlüsselverwaltung - Objektorientierter Entwurf und Implementierung
Schlüsselverwaltung - Objektorientierter Entwurf und Implementierung
 
Resilience by Usable Security
Resilience by Usable SecurityResilience by Usable Security
Resilience by Usable Security
 
Sicherheit in einer vernetzten Welt
Sicherheit in einer vernetzten WeltSicherheit in einer vernetzten Welt
Sicherheit in einer vernetzten Welt
 
Solutions for Coping with Privacy and Usability
Solutions for Coping with Privacy and UsabilitySolutions for Coping with Privacy and Usability
Solutions for Coping with Privacy and Usability
 

Sichere IT-Systeme

  • 1. SPP 1079: Sicherheit in der Informations- und Kommunikationstechnik Sichere IT-Systeme Informatik 2003, 30. September 2003 Sven Wohlgemuth Prof. Dr. Günter Müller Institut für Informatik und Gesellschaft Abteilung Telematik Albert-Ludwigs-Universität Freiburg
  • 2. Sichere IT-Systeme 2 Überblick I. SPP Sicherheit • CeBIT-Szenario • CeBIT-Demonstrator • Einige Zahlen zur Wissenschaft II. ATUS (A Toolkit for Usable Security) • Untersuchte Systeme • Ausgangspunkt: Problemklassen • Usable Security Evaluation (USE) • USE: Beispiel Signtrust Mail • User-Centered Security Engineering (UCSec) • UCSec: Beispiel iManager • UCSec: Online-Befragung III. Zukunft
  • 3. Sichere IT-Systeme 3 Mobiles Endgerät IT-Infrastruktur I. CeBIT-Szenario: Onboard-Ticketing Sicherheitsmechanismen für Anwender und Anbieter
  • 4. Sichere IT-Systeme 4 CeBIT-Demonstrator [GeWoMu2003] PolicyMaker (München) Zugriffsschutz für Middleware (Berlin) Pseudo- nymisierung (Dortmund) Effiziente Angriffs- erkennung (Cottbus) IT-Infrastruktur Kryptoanalyse (Karlsruhe) Sicheres Betriebssystem (München) Spontane Vernetzung (Rostock) Digitale Geldbörse (Gießen) E-Ticket (Augsburg) Anondienst JAP (Dresden) Elliptische Kurven (Darmstadt) (Freiburg) Benutzbare Sicherheit (ATUS) Hardwareerweiterung für spontane Vernetzung (Rostock) iManager Biometrisches Signier- werkzeug Mobiles Endgerät SW-Verifikation (DFKI, Augsburg)
  • 6. Sichere IT-Systeme 6 173 Veröffentlichungen mit Review: 150 − international: 113 − national: 37 ohne Review: 23 − Zeitschriften: 46 − Konferenzen: 104 • ACM CCS: 2 • ACSAC: 1 • Crypto-Reihe: 5 • ESORICS: 4 • GI-Jahrestagung: 7 • IEEE Symp. on Security and Privacy: 2 • IEEE Computer Security Found.: 2 • Inf. Security (ISC): 2 • Inf. and Comm. Security (ICICS): 2 • Workshop on Design Issues in Anonymity and Unobservability: 4 Einige Zahlen zur Wissenschaft (1)
  • 7. Sichere IT-Systeme 7 Promotionen – abgeschlossen: 12 – geplante Abschlüsse in Phase III: 20 Publikationen über das SPP Sicherheit – Müller, G., Eckert, C.: Sicherheit 2003, Praxis der Informationsverarbeitung und Kommunikation (PIK), K. G. Saur Verlag, 2003 – Wohlgemuth, S., Gerd tom Markotten, D., Jendricke, U., Müller, G.: DFG- Schwerpunktprogramm „Sicherheit in der Informations- und Kommunikationstechnik“, it-information technology, 45(5), Oldenbourg Verlag, 2003 – Müller, G., Reichenbach, M.: Sicherheitskonzepte für das Internet, Springer Xpert.press, Mai 2001. – Müller, G., Kreutzer, M.: IT Sicherheit, Informationstechnik und Technische Informatik (it+ti), Heft 5, Oldenbourg Verlag, 2001 – Müller, G., Gerd tom Markotten, D.: Wirtschaftsinformatik – Schwerpunkt: Sicherheit in der Informations- und Kommunikationstechnik, Heft 6, Vieweg, 2000 Einige Zahlen zur Wissenschaft (2)
  • 8. Sichere IT-Systeme 8 Überblick I. SPP Sicherheit • CeBIT-Szenario • CeBIT-Demonstrator • Einige Zahlen zur Wissenschaft II. ATUS (A Toolkit for Usable Security) • Untersuchte Systeme • Ausgangspunkt: Problemklassen • Usable Security Evaluation (USE) • USE: Beispiel Signtrust Mail • User-Centered Security Engineering (UCSec) • UCSec: Beispiel iManager • UCSec: Online-Befragung III. Zukunft
  • 9. Sichere IT-Systeme 9 II. Untersuchte Systeme • Nutzeranforderungen durch Nutzerbefragung • Entwicklung von – Evaluationsmethode (USE) – Vorgehensweise (UCSec) Sicheres Betriebssystem (München) Spontane Vernetzung (Rostock) Dig. Geldbörse (Gießen) E-Ticket (Augsburg) Anondienst JAP (Dresden) Elliptische Kurven (Darmstadt) (Freiburg) Biometris ches Signier- werkzeug Benutzbare Sicherheit (ATUS) Hardwareerweiterung für spontane Vernetzung (Rostock) iMana ger MobilesEndgerät
  • 10. Sichere IT-Systeme 10 Sicherheitskonzept nicht vertrautSicherheitskonzept vertraut Gefährdung der • Vertraulichkeit • Integrität • Zurechenbarkeit • Verfügbarkeit Sicherheitskritisches Fehlverhalten Sicherheits- probleme Benutzbarkeits- probleme Sicherheits- kritische Benutzbarkeits- probleme [KaRe2002] Ausgangspunkt: Problemklassen Problemklasse I Problemklasse IV Problemklasse II Problemklasse III
  • 11. Sichere IT-Systeme 11 Usable Security Evaluation (USE) Inspektionsvorlagen Sicherheits- orientierte Gestaltungs- richtlinien Beispiel- aufgaben Sicherheitscheckliste • Schutzobjekte • Sicherheitskriterien • Sicherheitslücken ähnlicher Anwendungen IT-Sicherheitsevaluation • ITSEC • Common Criteria Methoden der HCI • Heuristische Evaluation • Cognitive Walkthrough [Ge2003] Usable Security Evaluation (USE)
  • 12. Sichere IT-Systeme 12 Schritt 1: Spezifikation der Rahmenbedingungen – Zielgruppe: Sicherheitslaien – Anwendungskontext – Probanden: Sicherheits- und HCI-Experten – Testumgebung Schritt 2: Durchführung der Evaluation – Sicherheitscheckliste: Schutzobjekte, Kriterien, bekannte Probleme von PGP – Beispielaufgaben – Analyse der Benutzungsschnittstelle – Interview der Probanden Schritt 3: Auswertung der Ergebnisse – Schweregrad – Gestaltungsrichtlinien – Problemklassen USE: Beispiel Signtrust Mail [Ge2003]
  • 13. Sichere IT-Systeme 13 Ergebnisse: Signtrust Mail (1)
  • 14. Sichere IT-Systeme 14 Benutzbarkeitsrichtlinien 9 19 48 2 9 13 3 17 0 10 20 30 40 50 60 Fehlervermeidung Erwartungskonformität Selbstbeschreibungsfähigkeit Erstbenutzungsfreundlichkeit Komfort/Effizienz Aufgabenangemessenheit Benutzerführung Vertrauen Anzahl 40 % der Probleme: mangelnde Selbstbeschreibungsfähigkeit Sicherheitsorientierte Gestaltungsrichtlinien Ergebnisse: Signtrust Mail (2) [Ge2003]
  • 15. Sichere IT-Systeme 15 Ergebnisse: Signtrust Mail (3)
  • 16. Sichere IT-Systeme 16 • 75% der identifizierten Probleme sind sicherheitskritische Benutzbarkeitsprobleme • Trotz Sicherheitszertifizierung sind Schwachstellen vorhanden 10 48 42 20 0 10 20 30 40 50 60 Problemklasse I Problemklasse II Problemklasse III Problemklasse IV AnzahlderNennungen Ergebnisse: Signtrust Mail (4) [Ge2003]
  • 17. Sichere IT-Systeme 17 Analyse Implementierung und Test Entwurf Funktions- analyse Analyse Bedrohungs-/ Risikoanalyse Sicherheits-/ Strategiemodell Nutzer als Angriffsobjekt Nutzerverhalten Adäquates Sicherheitsniveau Design und Implementierung Evaluation und Test Design Test Gestaltungsrichtlinien / USE Abschlusstest User-Centered Security Engineering (UCSec) für Problemklasse III [Ge2003]Bewertung von UCSec noch nicht möglich
  • 18. Sichere IT-Systeme 18 • Nutzer kontrolliert seine persönlichen Daten • Anwendung von UCSec – Analyse: Nutzerbefragung – Entwurf: Schutzzielimplikation – Implementierung: Gestaltungsrichtlinien • Offen – Sicherheitsprotokollzur Authentifikation – Anbindung an Identitätsmanagementsysteme (Passport, Liberty Alliance, ...) – Adaptive Schnittstelle Einkaufen Willi Weber Behörde Teil-Identitäten Freizeit Anonym Name: Willi Weber Kreditkarte: VISA Nr.: 9988 7766 5544 3322 Gültig bis:01.10.2004 Adresse Straße: Friedrichstr. 50 PLZ: 79098 Ort: Hannover Geburtstag: 11.07.1974 Geburtsort: Laatzen Identität Nickname:Webster Verein:Privatheitsfreunde Hannover e.V. [GeJeMu2001] Ziel: Sicherheitswerkzeug für Laien zur Autorisierung UCSec: Beispiel iManager
  • 19. Sichere IT-Systeme 19 Ziel: Nutzermodellierung für adaptive Schnittstelle Umfrage – Fragebogen im Internet (www.telematik.uni-freiburg.de/umfrage/) – Anwendungskontext: WWW-Nutzung – Sicherheitsbedürfnisse und Lernbereitschaft – Beantwortungszeit: 20 bis 30 Minuten – Zeitraum: Januar bis Mitte April 2003 – Teilnehmer gesamt: 1027 [Ka2003] UCSec: Online-Befragung
  • 20. Sichere IT-Systeme 20 • Auswertung der Online-Befragung • Verbesserung von UCSec für adaptive Schnittstellen • Fertigstellung des iManagers, insbesondere Erweiterung um Sicherheitsprotokolle zur Authentifikation • Bewertung von UCSec mit Erfahrung aus iManager- Entwicklung III. ATUS in Phase III
  • 21. Sichere IT-Systeme 21 Phase III: 11 Projekte Anwendungen • Anonymitätsdienst (Dresden) • Identitätsmanagement (Freiburg) Infrastruktur • Spontane Vernetzung – sichere Hardware (Rostock) • Sichere IP-Netze (Duisburg-Essen) • Zugriffsschutzpolitiken für Middleware (Berlin) • Effiziente Angriffserkennung (Cottbus) • Pseudonymisierung (Dortmund) Methoden • Software-Verifikation (DFKI, Augsburg) • Benutzbarkeit und Sicherheit (Freiburg) • Quantenkryptographie (Darmstadt) • Kryptoanalyse (Karlsruhe) Schutzziele Zukunft des SPP
  • 22. Sichere IT-Systeme 22 Zukunft des SPP Internationale Abschlusskonferenz 2006 • Sicheres Gesamtsystem Menge sicherer Komponenten • Programm – Ausstellung von Demonstratoren / Prototypen – Internationale Forschung – SPP-Forschung – Workshops – Diskussion: Gesellschaft – Technik 
  • 23. Sichere IT-Systeme 23 Weitere Informationen Sven Wohlgemuth Koordinator SPP Sicherheit 1079 Tel. +49 761 203 4926 Fax +49 761 203 4929 E-Mail wohlgemuth@iig.uni-freiburg.de WWW http://www.telematik.uni-freiburg.de Auf eine gute Zusammenarbeit