Logo des Repositoriums

P345 - Sicherheit 2024 - Sicherheit, Schutz und Zuverlässigkeit

https://dl.gi.de/handle/20.500.12116/43948
Auflistung nach:

Auflistung P345 - Sicherheit 2024 - Sicherheit, Schutz und Zuverlässigkeit nach Erscheinungsdatum

Zu einem Punkt im Index springen:
1 - 10 von 25
  • Konferenzbeitrag
    Reliable and secure on-premise e-assessment with psi-exam
    (Sicherheit 2024, 2024) Kirsch, Andreas; Herrmann, Dominik
    Interest in electronic assessment (e-assessment) for higher education is growing, but challenges related to security, deployability, and resource demands persist. Recognizing the shortcomings of current electronic on-premise exam systems, this paper presents psi-exam, an e-assessment solution that combines a simple technological design with low-effort organizational measures to achieve high reliability without compromising security. In psi-exam, students take exams on university- provided laptops, which operate independently during the examination. Developed iteratively through stakeholder engagement, psi-exam has been tested in three real-world exams, each with over 140 participants. Post-exam surveys showed generally positive ratings by examinees. Our contribution shows that an alternative approach to e-assessment can result in a simple, reliable, secure, and flexible system for on-premise examination.
  • Konferenzbeitrag
    A Study of Deanonymization Attacks of Onion Services
    (Sicherheit 2024, 2024) Tippe, Pascal
    Tor is an overlay anonymization network that provides anonymity for clients surfing the web but also allows hosting anonymous services called onion services. These enable whistleblowers and political activists to express their opinion and resist censorship. Administrating an onion service is not trivial and requires extensive knowledge because Tor uses a comprehensive protocol and relies on volunteers. Meanwhile, attackers can spend significant resources to decloak onion services. So far, research is rather focused on improving the Tor protocol than on measures that onion service operators can take individually. This paper analyzes related academic work and evaluates publicly available court documents from 22 criminal cases to determine risks for onion services. The rationale to use court documents is that real-world attacker strategies provide a better threat model for onion service operators. We find that investigative methods used in the court documents deviate from the academic deanonymization attacks.
  • Konferenzbeitrag
    An overview of symmetric fuzzy PAKE protocols
    (Sicherheit 2024, 2024) Ottenhues, Johannes
    Fuzzy password authenticated key exchange (fuzzy PAKE) protocols enable two parties to securely exchange a session-key for further communication. The parties only need to share a low entropy password. The passwords do not even need to be identical, but can contain some errors. This may be due to typos, or because the passwords were created from noisy biometric readings. In this paper we provide an overview and comparison of existing fuzzy PAKE protocols. Furthermore, we analyze certain security properties of these protocols and argue that the protocols can be expected to be slightly more secure in practice than can be inferred from their theoretical guarantees.
  • Konferenzbeitrag
    Sicherheit in der Digitalisierung des Alltags: Definition eines ethnografisch-informatischen Forschungsfeldes für die Lösung alltäglicher Sicherheitsprobleme
    (Sicherheit 2024, 2024) Eckhardt, Dennis; Freiling, Felix; Herrmann, Dominik; Katzenbeisser, Stefan; Pöhls, C. Henrich
    In den vergangenen Jahrzehnten hat es unübersehbar zahlreiche Fortschritte im Bereich der IT-Sicherheitsforschung gegeben, etwa in den Bereichen Systemsicherheit und Kryptographie. Es ist jedoch genauso unübersehbar, dass IT-Sicherheitsprobleme im Alltag der Menschen fortbestehen. Mutmaßlich liegt dies an der Komplexität von Alltagssituationen, in denen Sicherheitsmechanismen und Gerätefunktionalität sowie deren Heterogenität in schwer antizipierbarer Weise mit menschlichem Verständnis und Alltagsgebrauch interagieren. Um die wissenschaftliche Forschung besser auf Menschen und deren IT-Sicherheitsbedürfnisse auszurichten, müssen wir daher den Alltag der Menschen besser verstehen. Das Verständnis von Alltag ist in der Informatik jedoch noch unterentwickelt. Dieser Beitrag möchte das Forschungsfeld „Sicherheit in der Digitalisierung des Alltags“ definieren, um Forschenden die Gelegenheit zu geben, ihre Anstrengungen in diesem Bereich zu bündeln. Wir machen dabei Vorschläge einerseits zur inhaltlichen Eingrenzung der informatischen Forschung. Andererseits möchten wir durch die Einbeziehung von Forschungsmethoden aus der Ethnografie, die Erkenntnisse aus der durchaus subjektiven Beobachtung des „Alltags“ vieler einzelner Individuen zieht, zur methodischen Weiterentwicklung interdisziplinärer Forschung in diesem Feld beitragen. Die IT-Sicherheitsforschung kann dann Bestehendes gezielt für eine richtige Alltagstauglichkeit optimieren und neue grundlegende Sicherheitsfunktionalitäten für die konkreten Herausforderungen im Alltag entwickeln.
  • Konferenzbeitrag
    KIM: Kaos In der Medizin
    (Sicherheit 2024, 2024) Saatjohann, Christoph; Ising, Fabian; Schinzel, Sebastian
    Die sichere E-Mail-Infrastruktur für Ärzt*innen, Apotheker*innen, Krankenversicherungen und Kliniken in Deutschland, KIM - Kommunikation im Gesundheitswesen - ist mit über 200 Millionen E-Mails in den vergangenen zwei Jahren eine der am meisten genutzten Anwendungen in der Telematikinfrastruktur. Mit dem Ausgeben von S/MIME-Zertifikaten für alle medizinische Beteiligten in Deutschland verspricht KIM sichere Ende-zu-Ende-Verschlüsselung von E-Mails zwischen Heilberufler*innen in ganz Deutschland. In diesem Paper analysieren wir die KIM-Spezifikation sowie eine beispielhafte KIM-Installation in einer deutschen Zahnarztpraxis. Wir zeigen, dass KIM kryptografisch ein sehr hohes Sicherheitslevel erfüllt, doch in der Verarbeitung der E-Mails bei den Clients eine schwerwiegende Sicherheitslücke besteht. Weiterhin zeigen wir zwei Sicherheitslücken in dem KIM-Verarbeitungsmodul eines großen deutschen Unternehmens für medizinische Software. Diese Defizite zeigen außerdem Mängel in dem verpflichtenden Zulassungsprozess der KIM-Komponenten auf.
  • Konferenzbeitrag
    Self-Tracking & Running a Marathon: Is your Privacy in Danger?
    (Sicherheit 2024, 2024) Gordejeva, Jelizaveta; Mayer, Andreas; Pobiruchin, Monika
    Running has become one of the most popular workout activities in the past years. Runners track themselves during training and big events like marathons races with dedicated wearable devices or smartphones. We analyzed freely accessible and supposedly anonymous respectively pseudonymous tracking data of three marathon events. Tracking data were collected by a single live GPS tracking provider, here Racemap. All data were publicly available. Thereby, we found out that it is possible to link these data sources with other public online resources to re-identify a person and to gather further sensible personal information (e.g., private or working addresses). Furthermore, we propose measures that participants, providers and organizers could carry out in order to ensure data privacy.
  • Konferenzbeitrag
    5G UnCovert: Hiding Information in 5G New Radio
    (Sicherheit 2024, 2024) Walter, Markus; Keller, Jörg
    Mobile communication has become an indispensable part of our daily lives and the requirements are constantly increasing. 5G, the fifth generation of mobile networks, introduced an enhanced radio access technology, called 5G New Radio, to meet the requirements of several new use cases. We analyze the protocol stack of the 5G air interface to assess its suitability for information hiding. Network covert channels hide the very existence of a data transmission within an overt network communication in a way that is not intended for transferring data. The proposed hiding method exploits reserved bits in the header of the Packet Data Convergence Protocol (PDCP) to create a novel covert channel in 5G New Radio. The covert parties are located in the 5G base station and in the mobile device. Our implementation of the covert channel demonstrates that it is possible to achieve a high covert capacity for broadband transmissions. However, we also show that detection and elimination of the covert channel is relatively simple if a network analyzer is used. Therefore, the feasability of the proposed hiding method depends on the particular application scenario.
  • Konferenzbeitrag
    Chancen zur Effizienzsteigerung bei der Umsetzung einer Regulatorik-konformen Zugriffskontrolle
    (Sicherheit 2024, 2024) Heinemann, Markus; Mayerl, Christian
    Die regulatorischen Vorgaben zum Schutz von Informationen und somit zur Kontrolle des Zugriffs auf diese Informationen steigen stetig an. Die Umsetzung dieser regulatorischen Vor gaben ist zum einen herausfordernd, bietet zum anderen aber auch Chancen, Effizienzsteigerungen in der Ablauforganisation oder durch technische Automatisierungen zu realisieren. Aus der Praxiserfahrung eines Projekts zum Berechtigungsmanagement bei einer Bank sind diese Herausforderungen sowie Chancen zur Effizienzsteigerung mit den korrespondierenden Lösungsansätzen an konkreten Beispielen skizziert. Beispielhaft wurden das gemeinsame Zielbild zum Berechtigungsmanagement, etablierte Rolle-Rechte-Strukturen sowie realisierte effizienzsteigernde Maßnahmen für den vorliegenden Bericht ausgewählt. Abschließend wird auf die wesentlichen Aspekte bei der Übergabe der Projektergebnisse in den Regelbetrieb eingegangen.
  • Konferenzbeitrag
    Attribution von verdeckten (Informations-)Kanälen im Bereich kritischer Infrastrukturen und Potentiale für Prävention und Reaktion (ATTRIBUT)
    (Sicherheit 2024, 2024) Dittmann, Jana; Krätzer, Christian; Kiltz, Stefan; Altschaffel, Robert; Vielhauer, Claus; Wendzel, Steffen; Wefel, Sandro; Nitsch, Holger
    Dieser Beitrag beschreibt Motivation, Perspektiven und Möglichkeiten der Attribution bei StegoMalware im Projekt ATTRIBUT - Attribution von verdeckten (Informations-)Kanälen im Bereich kritischer Infrastrukturen und Potentiale für Prävention und Reaktion. Das Projekt ist durch die Agentur für Innovation in der Cybersicherheit GmbH: Forschung zu “Existenzbedrohenden Risiken aus dem Cyber- und Informationsraum – Hochsicherheit in sicherheitskritischen und verteidigungsrelevanten Szenarien” (HSK) – https://www.cyberagentur.de/tag/hsk/, siehe auch in https://attribut. cs.uni-magdeburg.de/ beauftragt.
  • Konferenzbeitrag
    Warum Nutzer ihre alternden smarten Geräte ersetzen: Eine Push-Pull-Mooring Perspektive
    (Sicherheit 2024, 2024) Lenz, Julia
    In den letzten zehn Jahren hat sich das Internet der Dinge (IoT) zu einem zentralen Wegbereiter für technologischen Fortschritt entwickelt. Milliarden von smarten Geräten wurden bisher verkauft. Allerdings erhalten ältere Geräte nach einiger Zeit des Betriebs keine Sicherheitsupdates mehr und führen zu einer Gefahr für die Sicherheit der Endnutzer. In diesem Beitrag analysieren wir, welche Faktoren zu einem Austausch älterer smarter Geräte führen, um die verbundenen Risiken zu mindern. Mit Hilfe der Push-Pull-Mooring-Theorie können die Themen Datenschutz, Technologieakzeptanz und Geräte-Wechsel in einem einheitlichen Rahmen integriert werden. Die empirische Validation wurde mit der Auswertung einer Online-Umfrage unter Besitzern (N = 513) älterer, smarter Geräte (d. h. vor mehr als einem Jahr gekauft) aus Großbritannien über die Prolific-Plattfrom durchgeführt. Die Ergebnisse zeigen, dass vor allem die wahrgenommene Nützlichkeit, Datenschutzbedenken sowie die Wechselkosten die Absicht des Austauschs als Sicherheitsmaßnahme beinflussen. Für mehr als drei Jahre alte Geräte haben die genannten Faktoren einen größeren Einfluss auf die Wechselabsicht.