P301 - Sicherheit 2020 - Sicherheit, Schutz und Zuverlässigkeit
Auflistung nach:
Auflistung P301 - Sicherheit 2020 - Sicherheit, Schutz und Zuverlässigkeit nach Erscheinungsdatum
1 - 10 von 18
Treffer pro Seite
Sortieroptionen
- KonferenzbeitragUsability, Sicherheit und Privatsphäre von risikobasierter Authentifizierung(SICHERHEIT 2020, 2020) Wiefling, StephanRisikobasierte Authentifizierung (RBA) ist eine adaptive Sicherheitsmaßnahme zur Stärkung passwortbasierter Authentifizierung. Sie zeichnet Merkmale während des Logins auf und fordert zusätzliche Authentifizierung an, wenn sich Ausprägungen dieser Merkmale signifikant von den bisher bekannten unterscheiden. RBA bietet das Potenzial für gebrauchstauglichere Sicherheit. Bisher jedoch wurde RBA noch nicht ausreichend im Bezug auf Usability, Sicherheit und Privatsphäre untersucht. Dieser Extended Abstract legt das geplante Dissertationsvorhaben zur Erforschung von RBA dar. Innerhalb des Vorhabens konnte bereits eine Grundlagenstudie und eine darauf aufbauende Laborstudie durchgeführt werden. Wir präsentieren erste Ergebnisse dieser Studien und geben einen Ausblick auf weitere Schritte.
- KonferenzbeitragLean Privacy by Design(SICHERHEIT 2020, 2020) Zibuschka, Jan; Zimmermann, ChristianDurch agile Prozesse und Praktiken können Firmen in komplexen, offenen Ökosystemen flexbiler und effizienter agieren. Agile Methoden werden auch in Anwendungsfeldern verwendet, die sich durch besondere Datenschutz- und Sicherheitsanforderungen auszeichnen. Allerdings wird die gegenwärtig übliche Umsetzung solcher Anforderungen im SCRUM-Vorgehen von SCRUM-Teams als umständlich und schwer nachvollziehbar und seitens der Datenschutzverantwortlichen als kostenintensiv und überkompliziert empfunden. Um diese Probleme zu adressieren, schlagen wir einen auf lean thinking basierenden Ansatz zur Behandlung von Datenschutzanforderungen in agilen Entwicklungsprozessen vor.
- KonferenzbeitragAnalyzing PeerFlow – A Bandwidth Estimation System for Untrustworthy Environments(SICHERHEIT 2020, 2020) Mitseva, Asya; Engel, Thomas; Panchenko, AndriyTor is the most popular low-latency anonymization network comprising over 7,000 nodes run by volunteers. To balance the user traffic load over the diverse resource capabilities of these nodes, Tor guides users to choose nodes in proportion to their available bandwidth. However, self-reported bandwidth values are not trustworthy. Recently, a new bandwidth measurement system, PeerFlow, has been proposed aiming to solve the Tor bandwidth estimation problem. In this work, we introduce the first practical analysis of PeerFlow. We proposed a set of strategies for the practical realization of probation periods in PeerFlow and showed that many Tor nodes cannot recover to their normal state after one measuring period. We also demonstrated that low-bandwidth adversaries gain significantly higher bandwidth estimates exceeding the theoretically defined security boundaries of PeerFlow.
- KonferenzbeitragUrheberrecht ./. Sicherheitsanalyse(SICHERHEIT 2020, 2020) Müller, Nico; Müller, Tilo; Freiling, Felix2007 hat die Bundesregierung im Rahmen des 41. Strafrechtsänderungsgesetzes zur Bekämpfung von Computerkriminalität den umstrittenen Tatbestand des Ausspähens und Abfangens von Daten, inklusive deren Vorbereitung, unter Strafe gestellt. Durch das schon damals äußerst umstrittene Gesetz drohte die Tätigkeit von Sicherheitsforschern kriminalisiert zu werden, weswegen eine Klarstellung der Gesetzeslage durch eine Verfassungsbeschwerde erzwungen wurde. Jedoch wird neben der strafrechtlichen Relevanz von Sicherheitsanalysen oftmals die zivilrechtliche Seite des Urheberrechts übersehen, die eine beinahe ebenso große Bedrohung für Forscher darstellt, die sich kritisch mit der Sicherheit von Software auseinandersetzen. Im Folgenden soll daher die rechtliche Lage zu Sicherheitsanalysen kommerzieller Software für Forschungszwecke erörtert und die existierenden Grauzonen rechtlicher Unsicherheit ausgeleuchtet werden.
- KonferenzbeitragHierarchical Distributed Consensus for Smart Grids(SICHERHEIT 2020, 2020) Stübs, MariusReaching consensus in distributed systems is a topic with a long record of suggestions, discussions and approaches to solve. One instance of such a distributed system is the emerging Internet-of-Energy: Thousands of Smart Grid service providers participate in the orchestration of a multitude of intelligent energy devices and distributed energy resources (DER), to keep the balance between consumption and injection of electrical power. The traditional approach of reaching consensus with Paxos has serious drawbacks regarding scalability and dynamicality of node participation. Our work builds upon the results of Paxos and a number of its successors, such as Raft and Flexible Paxos, and takes on a more topologically driven perspective: We discuss a variant of Paxos that provides two important innovations towards applicability in future Smart Grids. First, leader election is explicitly bound to a number of nodes that are affected of the desired transaction, forming an election cluster. Election clusters (EC) are agreed upon dynamically in each round to achieve parallelizability of consensus depending on the grid topology and inter-dependability of nano- and micro-grids. Second, we describe a hierarchical extension of this scheme, where an aggregation of the achieved consensus is part of a higher level consensus scheme encompassing all nodes. This way, we achieve loose coupling combined with partial order of events, implementing a hierarchically distributed global consensus.
- KonferenzbeitragDatenschutzgerechte und mehrseitig sichere IT-Plattformen für die medizinische Forschung(SICHERHEIT 2020, 2020) Petersen, TomDie medizinische Forschung ist in vielen Fällen auf die Nutzung von zu Patienten erhobenen Gesundheitsdaten angewiesen. Demgegenüber stehen jedoch die besondere Sensibilität dieser Daten und daraus resultierende Datenschutzanforderungen. Das hier vorgestellte Forschungsvorhaben beschäftigt sich mit dem Entwurf von datenschutzgerechten und sicheren IT-Plattformen für die Erhebung, Speicherung und Bereitstellung von Gesundheitsdaten zu Forschungszwecken, um diesen Zielkonflikt zu lösen. Hierzu werden rechtliche Aspekte, Sicherheitsinteressen beteiligter Akteure und mögliche Architekturen betrachtet sowie technische Maßnahmen vorgestellt, die bei der Erfüllung von Datenschutz- und Sicherheitsanforderungen genutzt werden können.
- KonferenzbeitragA Survey on Sender Identification Methodologies for the Controller Area Network(SICHERHEIT 2020, 2020) Kneib, MarcelThe connectivity of modern vehicles is constantly increasing and consequently also the amount of attack vectors. Researchers have shown that it is possible to access internal vehicle communication via wireless connections, allowing the manipulation of safety-critical functions such as brakes and steering. If a Electronic Control Unit (ECU) can be compromised and is connected to the internal vehicle bus, attacks on the vehicle can be carried out in particular by impersonating other bus participants. Problematic is that the Controller Area Network (CAN), the most commonly used bus technology for internal vehicle communication, does not provide trustworthy information about the sender. Thus ECUs are not able to recognize whether a received message was sent by an authorized sender. Due to the limited applicability of cryptographic measures for the CAN, sender identification methods were presented that can determine the sender of a received message based on physical characteristics. Such approaches can increase the security of internal vehicle networks so that, for example, the manipulations can be limited to a single bus segment, thus preventing the propagation of the attack. This paper presents the different methodologies, which can mainly be divided into the categories time- and voltage-based, identifies problems as well as open questions and compares the existing approaches. The work thus offers an introduction into the topic, identifies possible research fields and enables a quick evaluation of the existing technologies.
- KonferenzbeitragSICHERHEIT 2020 - Komplettband(SICHERHEIT 2020, 2020)
- KonferenzbeitragProject OVVL – Threat Modeling Support for the entire secure development lifecycle(SICHERHEIT 2020, 2020) Schaad, AndreasOVVL (the Open Weakness and Vulnerability Modeller) is a tool and methodology to support threat modeling in the early stages of the secure software development lifecycle. We provide an overview of OVVL (https://ovvl.org), its data model and browser-based UI. We equally provide a discussion of initial experiments on how identified threats in the design phase can be aligned with later activities in the software lifecycle (issue management and security testing).
- KonferenzbeitragAbusers don’t get Privacy. Sensitively Logging and Blocking Tor Abuse(SICHERHEIT 2020, 2020) Marx, MatthiasTor has a significant problem with malicious traffic routed through Tor exit nodes. They create a credible reason for websites to discriminate against Tor users. The abuse also creates a strong disincentive to run exit nodes since the exit node operators have to deal with abuse messages and possible law enforcement interactions. We want to detect and mitigate the attacks that happen through Tor exit nodes without undermining Tor users’ anonymity and privacy. We use a modified version of the Tor exit node to enable NIDS (Network Intrusion Detection) monitoring and termination of malicious activity on a per-circuit level. We use the Zeek IDS (formerly Bro) to detect attacks using robust mechanisms that have very low false positive rates. Initial results indicate that, using our approach, the number of abuse cases can be reduced.