Sichere IT-Systeme

519 Aufrufe

Veröffentlicht am

SPP 1079: Sicherheit in der Informations- und Kommunikationstechnik
Informatik 2003, 30. September 2003

Veröffentlicht in: Internet
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
519
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
7
Aktionen
Geteilt
0
Downloads
2
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Sichere IT-Systeme

  1. 1. SPP 1079: Sicherheit in der Informations- und Kommunikationstechnik Sichere IT-Systeme Informatik 2003, 30. September 2003 Sven Wohlgemuth Prof. Dr. Günter Müller Institut für Informatik und Gesellschaft Abteilung Telematik Albert-Ludwigs-Universität Freiburg
  2. 2. Sichere IT-Systeme 2 Überblick I. SPP Sicherheit • CeBIT-Szenario • CeBIT-Demonstrator • Einige Zahlen zur Wissenschaft II. ATUS (A Toolkit for Usable Security) • Untersuchte Systeme • Ausgangspunkt: Problemklassen • Usable Security Evaluation (USE) • USE: Beispiel Signtrust Mail • User-Centered Security Engineering (UCSec) • UCSec: Beispiel iManager • UCSec: Online-Befragung III. Zukunft
  3. 3. Sichere IT-Systeme 3 Mobiles Endgerät IT-Infrastruktur I. CeBIT-Szenario: Onboard-Ticketing Sicherheitsmechanismen für Anwender und Anbieter
  4. 4. Sichere IT-Systeme 4 CeBIT-Demonstrator [GeWoMu2003] PolicyMaker (München) Zugriffsschutz für Middleware (Berlin) Pseudo- nymisierung (Dortmund) Effiziente Angriffs- erkennung (Cottbus) IT-Infrastruktur Kryptoanalyse (Karlsruhe) Sicheres Betriebssystem (München) Spontane Vernetzung (Rostock) Digitale Geldbörse (Gießen) E-Ticket (Augsburg) Anondienst JAP (Dresden) Elliptische Kurven (Darmstadt) (Freiburg) Benutzbare Sicherheit (ATUS) Hardwareerweiterung für spontane Vernetzung (Rostock) iManager Biometrisches Signier- werkzeug Mobiles Endgerät SW-Verifikation (DFKI, Augsburg)
  5. 5. Sichere IT-Systeme 5 CeBIT-Messestand
  6. 6. Sichere IT-Systeme 6 173 Veröffentlichungen mit Review: 150 − international: 113 − national: 37 ohne Review: 23 − Zeitschriften: 46 − Konferenzen: 104 • ACM CCS: 2 • ACSAC: 1 • Crypto-Reihe: 5 • ESORICS: 4 • GI-Jahrestagung: 7 • IEEE Symp. on Security and Privacy: 2 • IEEE Computer Security Found.: 2 • Inf. Security (ISC): 2 • Inf. and Comm. Security (ICICS): 2 • Workshop on Design Issues in Anonymity and Unobservability: 4 Einige Zahlen zur Wissenschaft (1)
  7. 7. Sichere IT-Systeme 7 Promotionen – abgeschlossen: 12 – geplante Abschlüsse in Phase III: 20 Publikationen über das SPP Sicherheit – Müller, G., Eckert, C.: Sicherheit 2003, Praxis der Informationsverarbeitung und Kommunikation (PIK), K. G. Saur Verlag, 2003 – Wohlgemuth, S., Gerd tom Markotten, D., Jendricke, U., Müller, G.: DFG- Schwerpunktprogramm „Sicherheit in der Informations- und Kommunikationstechnik“, it-information technology, 45(5), Oldenbourg Verlag, 2003 – Müller, G., Reichenbach, M.: Sicherheitskonzepte für das Internet, Springer Xpert.press, Mai 2001. – Müller, G., Kreutzer, M.: IT Sicherheit, Informationstechnik und Technische Informatik (it+ti), Heft 5, Oldenbourg Verlag, 2001 – Müller, G., Gerd tom Markotten, D.: Wirtschaftsinformatik – Schwerpunkt: Sicherheit in der Informations- und Kommunikationstechnik, Heft 6, Vieweg, 2000 Einige Zahlen zur Wissenschaft (2)
  8. 8. Sichere IT-Systeme 8 Überblick I. SPP Sicherheit • CeBIT-Szenario • CeBIT-Demonstrator • Einige Zahlen zur Wissenschaft II. ATUS (A Toolkit for Usable Security) • Untersuchte Systeme • Ausgangspunkt: Problemklassen • Usable Security Evaluation (USE) • USE: Beispiel Signtrust Mail • User-Centered Security Engineering (UCSec) • UCSec: Beispiel iManager • UCSec: Online-Befragung III. Zukunft
  9. 9. Sichere IT-Systeme 9 II. Untersuchte Systeme • Nutzeranforderungen durch Nutzerbefragung • Entwicklung von – Evaluationsmethode (USE) – Vorgehensweise (UCSec) Sicheres Betriebssystem (München) Spontane Vernetzung (Rostock) Dig. Geldbörse (Gießen) E-Ticket (Augsburg) Anondienst JAP (Dresden) Elliptische Kurven (Darmstadt) (Freiburg) Biometris ches Signier- werkzeug Benutzbare Sicherheit (ATUS) Hardwareerweiterung für spontane Vernetzung (Rostock) iMana ger MobilesEndgerät
  10. 10. Sichere IT-Systeme 10 Sicherheitskonzept nicht vertrautSicherheitskonzept vertraut Gefährdung der • Vertraulichkeit • Integrität • Zurechenbarkeit • Verfügbarkeit Sicherheitskritisches Fehlverhalten Sicherheits- probleme Benutzbarkeits- probleme Sicherheits- kritische Benutzbarkeits- probleme [KaRe2002] Ausgangspunkt: Problemklassen Problemklasse I Problemklasse IV Problemklasse II Problemklasse III
  11. 11. Sichere IT-Systeme 11 Usable Security Evaluation (USE) Inspektionsvorlagen Sicherheits- orientierte Gestaltungs- richtlinien Beispiel- aufgaben Sicherheitscheckliste • Schutzobjekte • Sicherheitskriterien • Sicherheitslücken ähnlicher Anwendungen IT-Sicherheitsevaluation • ITSEC • Common Criteria Methoden der HCI • Heuristische Evaluation • Cognitive Walkthrough [Ge2003] Usable Security Evaluation (USE)
  12. 12. Sichere IT-Systeme 12 Schritt 1: Spezifikation der Rahmenbedingungen – Zielgruppe: Sicherheitslaien – Anwendungskontext – Probanden: Sicherheits- und HCI-Experten – Testumgebung Schritt 2: Durchführung der Evaluation – Sicherheitscheckliste: Schutzobjekte, Kriterien, bekannte Probleme von PGP – Beispielaufgaben – Analyse der Benutzungsschnittstelle – Interview der Probanden Schritt 3: Auswertung der Ergebnisse – Schweregrad – Gestaltungsrichtlinien – Problemklassen USE: Beispiel Signtrust Mail [Ge2003]
  13. 13. Sichere IT-Systeme 13 Ergebnisse: Signtrust Mail (1)
  14. 14. Sichere IT-Systeme 14 Benutzbarkeitsrichtlinien 9 19 48 2 9 13 3 17 0 10 20 30 40 50 60 Fehlervermeidung Erwartungskonformität Selbstbeschreibungsfähigkeit Erstbenutzungsfreundlichkeit Komfort/Effizienz Aufgabenangemessenheit Benutzerführung Vertrauen Anzahl 40 % der Probleme: mangelnde Selbstbeschreibungsfähigkeit Sicherheitsorientierte Gestaltungsrichtlinien Ergebnisse: Signtrust Mail (2) [Ge2003]
  15. 15. Sichere IT-Systeme 15 Ergebnisse: Signtrust Mail (3)
  16. 16. Sichere IT-Systeme 16 • 75% der identifizierten Probleme sind sicherheitskritische Benutzbarkeitsprobleme • Trotz Sicherheitszertifizierung sind Schwachstellen vorhanden 10 48 42 20 0 10 20 30 40 50 60 Problemklasse I Problemklasse II Problemklasse III Problemklasse IV AnzahlderNennungen Ergebnisse: Signtrust Mail (4) [Ge2003]
  17. 17. Sichere IT-Systeme 17 Analyse Implementierung und Test Entwurf Funktions- analyse Analyse Bedrohungs-/ Risikoanalyse Sicherheits-/ Strategiemodell Nutzer als Angriffsobjekt Nutzerverhalten Adäquates Sicherheitsniveau Design und Implementierung Evaluation und Test Design Test Gestaltungsrichtlinien / USE Abschlusstest User-Centered Security Engineering (UCSec) für Problemklasse III [Ge2003]Bewertung von UCSec noch nicht möglich
  18. 18. Sichere IT-Systeme 18 • Nutzer kontrolliert seine persönlichen Daten • Anwendung von UCSec – Analyse: Nutzerbefragung – Entwurf: Schutzzielimplikation – Implementierung: Gestaltungsrichtlinien • Offen – Sicherheitsprotokollzur Authentifikation – Anbindung an Identitätsmanagementsysteme (Passport, Liberty Alliance, ...) – Adaptive Schnittstelle Einkaufen Willi Weber Behörde Teil-Identitäten Freizeit Anonym Name: Willi Weber Kreditkarte: VISA Nr.: 9988 7766 5544 3322 Gültig bis:01.10.2004 Adresse Straße: Friedrichstr. 50 PLZ: 79098 Ort: Hannover Geburtstag: 11.07.1974 Geburtsort: Laatzen Identität Nickname:Webster Verein:Privatheitsfreunde Hannover e.V. [GeJeMu2001] Ziel: Sicherheitswerkzeug für Laien zur Autorisierung UCSec: Beispiel iManager
  19. 19. Sichere IT-Systeme 19 Ziel: Nutzermodellierung für adaptive Schnittstelle Umfrage – Fragebogen im Internet (www.telematik.uni-freiburg.de/umfrage/) – Anwendungskontext: WWW-Nutzung – Sicherheitsbedürfnisse und Lernbereitschaft – Beantwortungszeit: 20 bis 30 Minuten – Zeitraum: Januar bis Mitte April 2003 – Teilnehmer gesamt: 1027 [Ka2003] UCSec: Online-Befragung
  20. 20. Sichere IT-Systeme 20 • Auswertung der Online-Befragung • Verbesserung von UCSec für adaptive Schnittstellen • Fertigstellung des iManagers, insbesondere Erweiterung um Sicherheitsprotokolle zur Authentifikation • Bewertung von UCSec mit Erfahrung aus iManager- Entwicklung III. ATUS in Phase III
  21. 21. Sichere IT-Systeme 21 Phase III: 11 Projekte Anwendungen • Anonymitätsdienst (Dresden) • Identitätsmanagement (Freiburg) Infrastruktur • Spontane Vernetzung – sichere Hardware (Rostock) • Sichere IP-Netze (Duisburg-Essen) • Zugriffsschutzpolitiken für Middleware (Berlin) • Effiziente Angriffserkennung (Cottbus) • Pseudonymisierung (Dortmund) Methoden • Software-Verifikation (DFKI, Augsburg) • Benutzbarkeit und Sicherheit (Freiburg) • Quantenkryptographie (Darmstadt) • Kryptoanalyse (Karlsruhe) Schutzziele Zukunft des SPP
  22. 22. Sichere IT-Systeme 22 Zukunft des SPP Internationale Abschlusskonferenz 2006 • Sicheres Gesamtsystem Menge sicherer Komponenten • Programm – Ausstellung von Demonstratoren / Prototypen – Internationale Forschung – SPP-Forschung – Workshops – Diskussion: Gesellschaft – Technik 
  23. 23. Sichere IT-Systeme 23 Weitere Informationen Sven Wohlgemuth Koordinator SPP Sicherheit 1079 Tel. +49 761 203 4926 Fax +49 761 203 4929 E-Mail wohlgemuth@iig.uni-freiburg.de WWW http://www.telematik.uni-freiburg.de Auf eine gute Zusammenarbeit

×