Logo des Repositoriums

Auflistung nach Schlagwort "Sicherheit"

1 - 10 von 26
  • Workshopbeitrag
    6. Workshop Mensch-Maschine-Interaktion in sicherheitskritischen Systemen
    (Mensch und Computer 2019 - Workshopband, 2019) Reuter, Christian; Mentler, Tilo; Nestler, Simon; Geisler, Stefan; Herczeg, Michael; Ludwig, Thomas; Pottebaum, Jens; Kaufhold, Marc-André
    Im Zentrum dieses Workshops stehen Erkenntnisse zur Mensch-Computer-Interaktion in sicherheitskritischen Anwen-dungsgebieten. Da in solchen Feldern – etwa Katastrophenma-nagement, Verkehr, Produktion oder Medizin – immer häufiger MCI stattfindet, sind viele wissenschaftliche Gebiete, unter an-derem die Informatik, zunehmend gefragt. Die Herausforderung besteht darin, bestehende Ansätze und Methoden zu diskutie-ren, anzupassen und innovative Lösungsansätze zu entwickeln.
  • Konferenzbeitrag
    Anwendung von maschinellem Lernen zum automatischen Erkennen von Padding-Orakel-Seitenkanälen
    (Softwaretechnik-Trends Band 43, Heft 3, 2023) Priesterjahn, Claudia; Drees, Jan Peter; Gupta, Pritha; Oberthur, Simon
    Vernetzte Geräte finden sich ganz selbstverständlich in fast allen Lebenslagen und ihre Anzahl wächst immer noch stetig. Ein Großteil dieser Geräte enthält Informationen, die schutzenswert sind oder sie sind Bestandteil von Anlagen, deren Ausfall oder Kompromittierung durch einen Cyberangriff schwerwiegende Folgen bis hin zum Verlust von Menschenleben haben kann. Aus diesem Grund ist eine sichere Kommunikation zwischen diesen vernetzten Ger¨aten unerlässlich. Ein Eckpfeiler der sicheren Kommunikation im Internet sind kryptographische Protokolle. In der Computersicherheit ist ein Seitenkanalangriff ein Angriff, der auf Informationen beruht, die aus der Implementierung des Computersystems gewonnen wurden, und nicht auf einer direkten Schwäche im implementierten Algorithmus selbst. Diese Seitenkanäle zuverlässig zu erkennen ist eine offene Herausforderung. Da sich bei jedem Software-Update ein neuer Fehler einschleichen kann, ist kontinuierliches Testen nötig. Unser Beitrag umfasst die Vorstellung eines Verfahrens, das wir gemeinsam im Verbundprojekt AutoSCA entwickelt haben, sowie dessen prototypische Integration in ein Produkt. Durch die Kombination von automatisiertem Testen und maschinellem Lernen ist unser Verfahren in der Lage, Seitenkanäle in TLS-Software zu detektieren, um so künftig die oben genannten schwerwiegenden Sicherheitslucken zu vermeiden. Dabei analysieren wir, ob anhand des beobachtbaren verschlusselten Netzwerkverkehrs Rückschlüsse auf die verschlüsselten Daten gezogen werden können. Dies wurde auf einen Seitenkanal und damit auf eine potenziell schwerwiegende Sicherheitslücke hindeuten. Unser Verfahren kann für sämtliche TLS-Software eingesetzt werden, unabhängig von der Art der Implementierung, der Hardware oder dem Betriebssystem, da die Tests und maschinellen Lernverfahren auf Protokollebene ausgefuhrt werden. Durch die Integration des entwickelten Verfahrens in den TLS Inspector der achelos wird das Verfahren in die breite Anwendung gebracht. Zudem stellen wir unsere gesamte Implementierung kostenlos und quelloffen zur Verfugung.
  • ConferencePaper
    Automated Implementation of Windows-related Security-Configuration Guides
    (Software Engineering 2021, 2021) Stöckle, Patrick; Grobauer, Bernd; Pretschner, Alexander
    Dieser Vortrag wurde auf der 35. IEEE/ACM International Conference on Automated Software Engineering (ASE) präsentiert. Unsicher konfigurierte Geräte stellen ein großes Sicherheitsproblem dar. Eine Möglichkeit, dieses Problem zu lösen, sind öffentlich verfügbare und standartisierte Sicherheitskonfigurationsrichtlinien. Dieser Ansatz birgt jedoch die Schwierigkeit, dass Administratoren auf Basis der Anleitungen in diesen Richtlinien ihre Systeme manuell sichern müssen. Dieses manuelle Sichern ist teuer und fehleranfällig. In unserem Beitrag präsentieren wir einen Ansatz, mit dem wir Richtlinien für Windows-Systeme automatisiert anwenden können. Dafür wenden wir Techniken der Sprachverarbeitung an. Im ersten Teil unserer Evaluation können wir anhand einer öffentlichen Richtlinie für Windows 10 zeigen, dass unser Ansatz für 83% der Regeln keinerlei menschliche Interaktion benötigt. Im zweiten Teil zeigen wir anhand von 12 öffentlichen Richtlinien mit über 2000 Regeln, dass unser Ansatz die Regeln zu 97% korrekt anwendet. So wird die sichere Konfiguration von Windows-Systemen einfacher und wir hoffen, dass dies zukünftig zu weniger Sicherheitsvorfällen führen wird.
  • Zeitschriftenartikel
    Compliance von mobilen Endgeräten
    (HMD Praxis der Wirtschaftsinformatik: Vol. 51, No. 3, 2014) Disterer, Georg; Kleiner, Carsten
    Mobile Endgeräte wie Smartphones und Tablets versprechen einen hohen betrieblichen Nutzen bei zugleich hohem Benutzerkomfort. Deshalb werden sie zunehmend auch im betrieblichen Umfeld eingesetzt. Damit steigen jedoch auch Gefahren und Risiken. So können viele etablierte organisatorische und technische Sicherheitsmaßnahmen nicht greifen, da sich die mobilen Geräte – im Unterschied zu klassischen stationären Geräten – nicht in den Räumen der Unternehmen befinden und über öffentliche Kanäle und Netze kommunizieren. Insgesamt stellen mobile Endgeräte somit für Compliance-Anforderungen eine große Herausforderung dar. Diese wird unter Berücksichtigung verschiedener technischer Realisierungen zur Einbindung der Endgeräte in die Unternehmens-IT diskutiert.
  • Zeitschriftenartikel
    Enterprise Key Recovery Vertrauenswürdige Server mit skalierbarer Sicherheit zur Archivierung von Konzelationsschlüsseln
    (Informatik-Spektrum: Vol. 22, No. 2, 1999) Pohl, Hartmut; Cerny, Dietrich
    Im Electronic Commerce und in der digitalen Welt der zukünftigen globalen Informationsinfrastruktur (GII), bzw. dem Internet als deren Vorläufer, sollen Daten (Nachrichten und Dokumente) zwischen Kommunikationspartnern vertraulich, integer und rechtsverbindlich ausgetauscht und aufbewahrt werden können. Zur Erreichung des Sachziels ‘Vertraulichkeit’ werden Daten bei der Speicherung in unsicherer Umgebung und bei der Übertragung über unsichere Kanäle häufig von Endanwendern verschlüsselt. Dies setzt neben den erforderlichen Verschlüsselungsmechanismen geeignete Verfahren für das Management der Schlüssel voraus, die die Verfügbarkeit der verschlüsselt gespeicherten (oder übertragenen) Daten sicherstellen – auch wenn der originäre Besitzer des Schlüssels nicht verfügbar ist. Enterprise Key Recovery Server stellen Berechtigten bei Bedarf die Konzelationsschlüssel zur Entschlüsselung von Daten zur Verfügung. Ihre Funktionen werden zusammen mit angemessenen Sicherheitsmaßnahmen dargestellt. Für unterschiedliche Anforderungen an das Sicherheitsniveau wird eine skalierbare Sicherungsinfrastruktur für Enterprise Key Recovery Server vorgeschlagen. Die Nutzung von Enterprise Key Recovery Servern für das Management von Schlüsseln für den Nachrichtenaustausch und für digitale Signaturen ist nicht Thema dieser Arbeit. Erst der konsequente Einsatz von Key Recovery Servern sichert bei der Anwendung von Verschlüsselung die Vertraulichkeit und Verfügbarkeit von Daten und die Integrität der benutzten Schlüssel durchgängig ab. Key Recovery Server schließen damit eine empfindliche – bislang nicht genügend berücksichtigte – Sicherheitslücke in der Sicherheitsarchitektur von Unternehmen.Summary In Electronic Commerce and in the digital world of the future Global Information Infrastructure (GII), respective the Internet as it´s predecessor, it is necessary that data (messages and documents) can be exchanged and stored between communicating partners confidentially, correctly and legally binding. To reach the objective of ‘confidentiality’, data will be encrypted by the enduser if they have to be stored in an insecure environment or have to be transmitted over insecure channels. In addition to the necessary cryprographic mechanisms, procedures for the management of keys are required which provide for the availability of the data which are stored (or transmitted) encrypted even if the original owner of the key is not available. On request, Enterprise Key Recovery Servers provide authorized users with the encryption key to decrypt data. The functionality of these servers is described together with adequate security measures. In order to support different security requirements a scalable security infrastructure for Enterprise Key Recovery Servers is proposed. The employment of Enterprise Key Recovery Servers for managing communication keys or keys for Digital Signatures is not part of this work. Only the systematic establishment of Key Recovery Servers provides for thourough confidentiality and availability of data and integrity of keys if encryption is used. Key Recovery Servers therefore close a severe security gap in the security architecture of enterprises, which has not been adequately addressed up to now.
  • Workshopbeitrag
    Entscheidungsautonomie und KI - Methodische Hinweise zur Untersuchung von KI-Nutzung in Sicherheitsbehörden
    (Mensch und Computer 2022 - Workshopband, 2022) Hildebrandt, Julian Romeo; Ziefle, Martina; Calero Valdez, André
    Künstlicher Intelligenz (KI) werden immense Potentiale zugeschrieben. Dies trifft auch auf den Bereich der zivilen Sicherheit zu und wird u.A. in dem BMBF geförderten Forschungsprojekt KISTRA: Einsatz von KI zur Früherkennung von Straftaten erforscht. Ziel des Projektes ist der rechtlich, ethisch und sozial vertretbare Einsatz von KI-Klassifizierern durch das Bundeskriminalamt (BKA) zur Erkennung und Verfolgung von Hasskriminalität in sozialen Netzwerken. Dieser Artikel stellt Forschungsziele aus dem Bereich der Mensch-Technik Interaktion vor und geht hierbei insbesondere auf deren methodische Herangehensweisen und Herausforderungen, sowie erste Ergebnisse des Forschungsprojektes ein. Hierdurch werden für die Forschungsziele Anforderungsanalyse, Konzeption von Nutzerschnittstellen, und Usabilityevaluation Handlungsempfehlungen für zukünftige HCI-Forschung formuliert, wobei insbesondere auf den technischen Kontext der künstlichen Intelligenz und den organisationalen Kontext der Sicherheitsbehörde eingegangen wird.
  • Workshopbeitrag
    Erfahrungen bei der UX-getriebenen Entwicklung Privatsphäre-schonender Anwaltssoftware
    (Mensch und Computer 2021 - Workshopband, 2021) Steinegger, Roland H.; Zinßer, Anna
    Sicherheits-Vorbehalte sind ein starker Grund für Anwälte und Kanzleien keine oder nur sehr eingeschränkt Soft-ware-as-a-Service (SaaS) zu nutzen. Die Erkenntnisse aus der Sicherheits-Forschung finden in bestehender Software wenig Einsatz, wodurch die Vorbehalte derzeit selten adressiert werden. An einem Praxisbeispiel wird gezeigt, wie Sicherheit und Datenschutz in einen UX-getriebenen agilen Entwicklungsprozess integriert werden. Die entstehende Software unterstützt die zentralen Prozesse einer Kanzlei bzw. eines Steuerberatungsbüros. Beispielsweise mit einer Ende-zu-Ende-Verschlüsselung, auch der Dokumente, soll Vertrauen geschaffen werden. Wir gehen auf das Konfliktfeld von Benutzbarkeit und Sicherheit im Rahmen der Cloud-Software ein, geben unsere Erfahrungen mit verschiedenen Werkzeugen wider und zeigen Methoden, die sich etabliert haben oder auf Grund schlechten Feedbacks verworfen wurden.
  • Konferenzbeitrag
    Generische Negativszenarien in der Entwicklung kollaborativer cyber-physischer Systeme
    (Softwaretechnik-Trends Band 40, Heft 1, 2020) Stenkova, Viktoria; Daun, Marian; Brings, Jennifer; Weyer, Thorsten
    Negativszenarien beschreiben beispielhafte Systemabläufe, die nicht gewünscht sind und somit zu Problemen und Gefahren bei der Benutzung des Systems führen können. Für kollaborative cyber-physischen Systeme ergeben sich neue Herausforderungen bezogen auf die Identifikation und Spezifikation von Negativszenarien. Im Zusammenspiel mit anderen Systemen formieren sich dynamische Systemverbünde. Durch die mannigfaltigen Möglichkeiten in der Zusammensetzung dieser Systemverbünde ergibt sich eine sehr große Anzahl zu berücksichtigender Negativszenarien. Generische Negativszenarien fassen mehrere Negativszenarien zusammen und gruppieren durch die Nutzung von Abstraktionsmechanismen gleichartige Instanzen und Nachrichten, um die Lesbarkeit zu erhöhen und den Umfang der Spezifikation zu verringern. Der vorgeschlagene Ansatz zur Spezifikation generischer Negativszenarien wurde bisher an einem industriellen Fallbeispiel evaluiert. Als Beispielsystem wurde eine kooperative adaptive Fahrgeschwindigkeitsregelung ausgewählt.
  • Zeitschriftenartikel
    Governance für sichere Softwareentwicklung
    (HMD Praxis der Wirtschaftsinformatik: Vol. 51, No. 3, 2014) Beißel, Stefan
    Die Governance für sichere Softwareentwicklung umfasst alle Maßnahmen zum Organisieren, Verwalten und Messen der Software-Sicherheit. Best Practices zur sicheren Softwareentwicklung beschreiben diverse Sicherheitspraktiken, von denen sich einige speziell auf die Governance beziehen. Beispiele hierzu sind das „Software Assurance Maturity Model“ (SAMM) sowie das „Building Security In Maturity Model“ (BSIMM). Der Artikel gibt einen Überblick darüber, welche Goverance-Maßnahmen für die Sicherheitspraktiken Strategien und Metriken, Richtlinien und Compliance sowie Weiterbildung angewendet werden können. Strategien und Metriken verhelfen dazu, dass die Planung bei der Softwareentwicklung zielgerichtet erfolgt, Rollen und Verantwortlichkeiten zugewiesen werden und Meilensteine identifiziert werden. Richtlinien und Compliance sind notwendig, um z. B. PCI-DSS- oder BDSG-Anforderungen einzuhalten sowie vertragliche Kontrollmaßnahmen, Sicherheitsrichtlinien und Risikobeurteilungen zu etablieren. Weiterbildung ist wichtig, um das Sicherheitswissen von Softwareentwicklern und -architekten zu erhöhen und damit die Softwarequalität und die Fehlerbehebung zu verbessern.
  • Konferenzbeitrag
    Ein hybrides Zeitstempelsystem
    (Software Engineering 2008, 2008) Marinescu, Cristian
    Eines der größten Probleme, mit denen digitale Beweisstücke und Dokumente konfrontiert werden, ist das Feststellen der exakten Herstellungszeit. Viele Sicherheitsdienste bauen auf der Fähigkeit auf, die Zeit verschiedener Operationen feststellen zu können. Einfache, verknüpfte und verteilte Schemen sind die heute verbreitetsten Methoden digitale Zeitstempel herzustellen. Sind diese aber dazu geeignet, sichere TSA Lösungen zu gewährleisten? Gibt es andere Ansätze, die Probleme der existierenden Methoden zu bewältigen und eine Software-Architektur zu schaffen, die einen sicheren Zeitstempeldienst zur Verfu ̈gung stellt? Folgender State-of-the-Art- Bericht setzt sich mit den Problemen der Zeitstempelschemen auseinander, versucht diese kurz zu analysieren und ein hybrides Zeitstempelsystem als neuen Lösungsansatz zu erforschen.