Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

Sichere IT-Systeme

598 Aufrufe

Veröffentlicht am

SPP 1079: Sicherheit in der Informations- und Kommunikationstechnik
Informatik 2003, 30. September 2003

Veröffentlicht in: Internet
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Sichere IT-Systeme

  1. 1. SPP 1079: Sicherheit in der Informations- und Kommunikationstechnik Sichere IT-Systeme Informatik 2003, 30. September 2003 Sven Wohlgemuth Prof. Dr. Günter Müller Institut für Informatik und Gesellschaft Abteilung Telematik Albert-Ludwigs-Universität Freiburg
  2. 2. Sichere IT-Systeme 2 Überblick I. SPP Sicherheit • CeBIT-Szenario • CeBIT-Demonstrator • Einige Zahlen zur Wissenschaft II. ATUS (A Toolkit for Usable Security) • Untersuchte Systeme • Ausgangspunkt: Problemklassen • Usable Security Evaluation (USE) • USE: Beispiel Signtrust Mail • User-Centered Security Engineering (UCSec) • UCSec: Beispiel iManager • UCSec: Online-Befragung III. Zukunft
  3. 3. Sichere IT-Systeme 3 Mobiles Endgerät IT-Infrastruktur I. CeBIT-Szenario: Onboard-Ticketing Sicherheitsmechanismen für Anwender und Anbieter
  4. 4. Sichere IT-Systeme 4 CeBIT-Demonstrator [GeWoMu2003] PolicyMaker (München) Zugriffsschutz für Middleware (Berlin) Pseudo- nymisierung (Dortmund) Effiziente Angriffs- erkennung (Cottbus) IT-Infrastruktur Kryptoanalyse (Karlsruhe) Sicheres Betriebssystem (München) Spontane Vernetzung (Rostock) Digitale Geldbörse (Gießen) E-Ticket (Augsburg) Anondienst JAP (Dresden) Elliptische Kurven (Darmstadt) (Freiburg) Benutzbare Sicherheit (ATUS) Hardwareerweiterung für spontane Vernetzung (Rostock) iManager Biometrisches Signier- werkzeug Mobiles Endgerät SW-Verifikation (DFKI, Augsburg)
  5. 5. Sichere IT-Systeme 5 CeBIT-Messestand
  6. 6. Sichere IT-Systeme 6 173 Veröffentlichungen mit Review: 150 − international: 113 − national: 37 ohne Review: 23 − Zeitschriften: 46 − Konferenzen: 104 • ACM CCS: 2 • ACSAC: 1 • Crypto-Reihe: 5 • ESORICS: 4 • GI-Jahrestagung: 7 • IEEE Symp. on Security and Privacy: 2 • IEEE Computer Security Found.: 2 • Inf. Security (ISC): 2 • Inf. and Comm. Security (ICICS): 2 • Workshop on Design Issues in Anonymity and Unobservability: 4 Einige Zahlen zur Wissenschaft (1)
  7. 7. Sichere IT-Systeme 7 Promotionen – abgeschlossen: 12 – geplante Abschlüsse in Phase III: 20 Publikationen über das SPP Sicherheit – Müller, G., Eckert, C.: Sicherheit 2003, Praxis der Informationsverarbeitung und Kommunikation (PIK), K. G. Saur Verlag, 2003 – Wohlgemuth, S., Gerd tom Markotten, D., Jendricke, U., Müller, G.: DFG- Schwerpunktprogramm „Sicherheit in der Informations- und Kommunikationstechnik“, it-information technology, 45(5), Oldenbourg Verlag, 2003 – Müller, G., Reichenbach, M.: Sicherheitskonzepte für das Internet, Springer Xpert.press, Mai 2001. – Müller, G., Kreutzer, M.: IT Sicherheit, Informationstechnik und Technische Informatik (it+ti), Heft 5, Oldenbourg Verlag, 2001 – Müller, G., Gerd tom Markotten, D.: Wirtschaftsinformatik – Schwerpunkt: Sicherheit in der Informations- und Kommunikationstechnik, Heft 6, Vieweg, 2000 Einige Zahlen zur Wissenschaft (2)
  8. 8. Sichere IT-Systeme 8 Überblick I. SPP Sicherheit • CeBIT-Szenario • CeBIT-Demonstrator • Einige Zahlen zur Wissenschaft II. ATUS (A Toolkit for Usable Security) • Untersuchte Systeme • Ausgangspunkt: Problemklassen • Usable Security Evaluation (USE) • USE: Beispiel Signtrust Mail • User-Centered Security Engineering (UCSec) • UCSec: Beispiel iManager • UCSec: Online-Befragung III. Zukunft
  9. 9. Sichere IT-Systeme 9 II. Untersuchte Systeme • Nutzeranforderungen durch Nutzerbefragung • Entwicklung von – Evaluationsmethode (USE) – Vorgehensweise (UCSec) Sicheres Betriebssystem (München) Spontane Vernetzung (Rostock) Dig. Geldbörse (Gießen) E-Ticket (Augsburg) Anondienst JAP (Dresden) Elliptische Kurven (Darmstadt) (Freiburg) Biometris ches Signier- werkzeug Benutzbare Sicherheit (ATUS) Hardwareerweiterung für spontane Vernetzung (Rostock) iMana ger MobilesEndgerät
  10. 10. Sichere IT-Systeme 10 Sicherheitskonzept nicht vertrautSicherheitskonzept vertraut Gefährdung der • Vertraulichkeit • Integrität • Zurechenbarkeit • Verfügbarkeit Sicherheitskritisches Fehlverhalten Sicherheits- probleme Benutzbarkeits- probleme Sicherheits- kritische Benutzbarkeits- probleme [KaRe2002] Ausgangspunkt: Problemklassen Problemklasse I Problemklasse IV Problemklasse II Problemklasse III
  11. 11. Sichere IT-Systeme 11 Usable Security Evaluation (USE) Inspektionsvorlagen Sicherheits- orientierte Gestaltungs- richtlinien Beispiel- aufgaben Sicherheitscheckliste • Schutzobjekte • Sicherheitskriterien • Sicherheitslücken ähnlicher Anwendungen IT-Sicherheitsevaluation • ITSEC • Common Criteria Methoden der HCI • Heuristische Evaluation • Cognitive Walkthrough [Ge2003] Usable Security Evaluation (USE)
  12. 12. Sichere IT-Systeme 12 Schritt 1: Spezifikation der Rahmenbedingungen – Zielgruppe: Sicherheitslaien – Anwendungskontext – Probanden: Sicherheits- und HCI-Experten – Testumgebung Schritt 2: Durchführung der Evaluation – Sicherheitscheckliste: Schutzobjekte, Kriterien, bekannte Probleme von PGP – Beispielaufgaben – Analyse der Benutzungsschnittstelle – Interview der Probanden Schritt 3: Auswertung der Ergebnisse – Schweregrad – Gestaltungsrichtlinien – Problemklassen USE: Beispiel Signtrust Mail [Ge2003]
  13. 13. Sichere IT-Systeme 13 Ergebnisse: Signtrust Mail (1)
  14. 14. Sichere IT-Systeme 14 Benutzbarkeitsrichtlinien 9 19 48 2 9 13 3 17 0 10 20 30 40 50 60 Fehlervermeidung Erwartungskonformität Selbstbeschreibungsfähigkeit Erstbenutzungsfreundlichkeit Komfort/Effizienz Aufgabenangemessenheit Benutzerführung Vertrauen Anzahl 40 % der Probleme: mangelnde Selbstbeschreibungsfähigkeit Sicherheitsorientierte Gestaltungsrichtlinien Ergebnisse: Signtrust Mail (2) [Ge2003]
  15. 15. Sichere IT-Systeme 15 Ergebnisse: Signtrust Mail (3)
  16. 16. Sichere IT-Systeme 16 • 75% der identifizierten Probleme sind sicherheitskritische Benutzbarkeitsprobleme • Trotz Sicherheitszertifizierung sind Schwachstellen vorhanden 10 48 42 20 0 10 20 30 40 50 60 Problemklasse I Problemklasse II Problemklasse III Problemklasse IV AnzahlderNennungen Ergebnisse: Signtrust Mail (4) [Ge2003]
  17. 17. Sichere IT-Systeme 17 Analyse Implementierung und Test Entwurf Funktions- analyse Analyse Bedrohungs-/ Risikoanalyse Sicherheits-/ Strategiemodell Nutzer als Angriffsobjekt Nutzerverhalten Adäquates Sicherheitsniveau Design und Implementierung Evaluation und Test Design Test Gestaltungsrichtlinien / USE Abschlusstest User-Centered Security Engineering (UCSec) für Problemklasse III [Ge2003]Bewertung von UCSec noch nicht möglich
  18. 18. Sichere IT-Systeme 18 • Nutzer kontrolliert seine persönlichen Daten • Anwendung von UCSec – Analyse: Nutzerbefragung – Entwurf: Schutzzielimplikation – Implementierung: Gestaltungsrichtlinien • Offen – Sicherheitsprotokollzur Authentifikation – Anbindung an Identitätsmanagementsysteme (Passport, Liberty Alliance, ...) – Adaptive Schnittstelle Einkaufen Willi Weber Behörde Teil-Identitäten Freizeit Anonym Name: Willi Weber Kreditkarte: VISA Nr.: 9988 7766 5544 3322 Gültig bis:01.10.2004 Adresse Straße: Friedrichstr. 50 PLZ: 79098 Ort: Hannover Geburtstag: 11.07.1974 Geburtsort: Laatzen Identität Nickname:Webster Verein:Privatheitsfreunde Hannover e.V. [GeJeMu2001] Ziel: Sicherheitswerkzeug für Laien zur Autorisierung UCSec: Beispiel iManager
  19. 19. Sichere IT-Systeme 19 Ziel: Nutzermodellierung für adaptive Schnittstelle Umfrage – Fragebogen im Internet (www.telematik.uni-freiburg.de/umfrage/) – Anwendungskontext: WWW-Nutzung – Sicherheitsbedürfnisse und Lernbereitschaft – Beantwortungszeit: 20 bis 30 Minuten – Zeitraum: Januar bis Mitte April 2003 – Teilnehmer gesamt: 1027 [Ka2003] UCSec: Online-Befragung
  20. 20. Sichere IT-Systeme 20 • Auswertung der Online-Befragung • Verbesserung von UCSec für adaptive Schnittstellen • Fertigstellung des iManagers, insbesondere Erweiterung um Sicherheitsprotokolle zur Authentifikation • Bewertung von UCSec mit Erfahrung aus iManager- Entwicklung III. ATUS in Phase III
  21. 21. Sichere IT-Systeme 21 Phase III: 11 Projekte Anwendungen • Anonymitätsdienst (Dresden) • Identitätsmanagement (Freiburg) Infrastruktur • Spontane Vernetzung – sichere Hardware (Rostock) • Sichere IP-Netze (Duisburg-Essen) • Zugriffsschutzpolitiken für Middleware (Berlin) • Effiziente Angriffserkennung (Cottbus) • Pseudonymisierung (Dortmund) Methoden • Software-Verifikation (DFKI, Augsburg) • Benutzbarkeit und Sicherheit (Freiburg) • Quantenkryptographie (Darmstadt) • Kryptoanalyse (Karlsruhe) Schutzziele Zukunft des SPP
  22. 22. Sichere IT-Systeme 22 Zukunft des SPP Internationale Abschlusskonferenz 2006 • Sicheres Gesamtsystem Menge sicherer Komponenten • Programm – Ausstellung von Demonstratoren / Prototypen – Internationale Forschung – SPP-Forschung – Workshops – Diskussion: Gesellschaft – Technik 
  23. 23. Sichere IT-Systeme 23 Weitere Informationen Sven Wohlgemuth Koordinator SPP Sicherheit 1079 Tel. +49 761 203 4926 Fax +49 761 203 4929 E-Mail wohlgemuth@iig.uni-freiburg.de WWW http://www.telematik.uni-freiburg.de Auf eine gute Zusammenarbeit

×