P345 - Sicherheit 2024 - Sicherheit, Schutz und Zuverlässigkeit
Autor*innen mit den meisten Dokumenten
Neueste Veröffentlichungen
- KonferenzbeitragAn overview of symmetric fuzzy PAKE protocols(Sicherheit 2024, 2024) Ottenhues, JohannesFuzzy password authenticated key exchange (fuzzy PAKE) protocols enable two parties to securely exchange a session-key for further communication. The parties only need to share a low entropy password. The passwords do not even need to be identical, but can contain some errors. This may be due to typos, or because the passwords were created from noisy biometric readings. In this paper we provide an overview and comparison of existing fuzzy PAKE protocols. Furthermore, we analyze certain security properties of these protocols and argue that the protocols can be expected to be slightly more secure in practice than can be inferred from their theoretical guarantees.
- KonferenzbeitragKIM: Kaos In der Medizin(Sicherheit 2024, 2024) Saatjohann, Christoph; Ising, Fabian; Schinzel, SebastianDie sichere E-Mail-Infrastruktur für Ärzt*innen, Apotheker*innen, Krankenversicherungen und Kliniken in Deutschland, KIM - Kommunikation im Gesundheitswesen - ist mit über 200 Millionen E-Mails in den vergangenen zwei Jahren eine der am meisten genutzten Anwendungen in der Telematikinfrastruktur. Mit dem Ausgeben von S/MIME-Zertifikaten für alle medizinische Beteiligten in Deutschland verspricht KIM sichere Ende-zu-Ende-Verschlüsselung von E-Mails zwischen Heilberufler*innen in ganz Deutschland. In diesem Paper analysieren wir die KIM-Spezifikation sowie eine beispielhafte KIM-Installation in einer deutschen Zahnarztpraxis. Wir zeigen, dass KIM kryptografisch ein sehr hohes Sicherheitslevel erfüllt, doch in der Verarbeitung der E-Mails bei den Clients eine schwerwiegende Sicherheitslücke besteht. Weiterhin zeigen wir zwei Sicherheitslücken in dem KIM-Verarbeitungsmodul eines großen deutschen Unternehmens für medizinische Software. Diese Defizite zeigen außerdem Mängel in dem verpflichtenden Zulassungsprozess der KIM-Komponenten auf.
- KonferenzbeitragSelf-Tracking & Running a Marathon: Is your Privacy in Danger?(Sicherheit 2024, 2024) Gordejeva, Jelizaveta; Mayer, Andreas; Pobiruchin, MonikaRunning has become one of the most popular workout activities in the past years. Runners track themselves during training and big events like marathons races with dedicated wearable devices or smartphones. We analyzed freely accessible and supposedly anonymous respectively pseudonymous tracking data of three marathon events. Tracking data were collected by a single live GPS tracking provider, here Racemap. All data were publicly available. Thereby, we found out that it is possible to link these data sources with other public online resources to re-identify a person and to gather further sensible personal information (e.g., private or working addresses). Furthermore, we propose measures that participants, providers and organizers could carry out in order to ensure data privacy.
- KonferenzbeitragTracking or being tracked: How much do self-trackers care about their data’s privacy?(Sicherheit 2024, 2024) Floris, Alice; Astfalk, Stefanie; Sellung, Rachelle; Roßnagel, HeikoThe advancement of tracking technology has given people new ways to understand and rediscover themselves. These technologies provide new and unique challenges to individual privacy, particularly when privacy breaches become less apparent, and users are not adequately aware of privacy regulations and risks. Nonetheless, research on privacy concerns with self-tracking data remains inconclusive and poorly understood. Moreover, the fundamental concept of data self determination — the cornerstone of information privacy — is under attack as users fail to take the necessary precautions to protect themselves. The current study used a quantitative method to examine the overall profile of self-trackers as well as their attitudes, preferences, concerns, and hurdles to (better) privacy protection. Self-trackers, according to the findings, seek control over both their bodies (i.e., self-optimization) and their data. Additionally, people just expect to have full control over their data and are disinterested in enforcing it or devoting effort to it. This suggests that, while privacy is still associated with control, users' actions and decisions make them more susceptible to loss of data control. We contend that these findings are consistent with the privacy paradox as well as the failure of privacy self-management, as defined by [So13].
- KonferenzbeitragSicherheit in der Digitalisierung des Alltags: Definition eines ethnografisch-informatischen Forschungsfeldes für die Lösung alltäglicher Sicherheitsprobleme(Sicherheit 2024, 2024) Eckhardt, Dennis; Freiling, Felix; Herrmann, Dominik; Katzenbeisser, Stefan; Pöhls, C. HenrichIn den vergangenen Jahrzehnten hat es unübersehbar zahlreiche Fortschritte im Bereich der IT-Sicherheitsforschung gegeben, etwa in den Bereichen Systemsicherheit und Kryptographie. Es ist jedoch genauso unübersehbar, dass IT-Sicherheitsprobleme im Alltag der Menschen fortbestehen. Mutmaßlich liegt dies an der Komplexität von Alltagssituationen, in denen Sicherheitsmechanismen und Gerätefunktionalität sowie deren Heterogenität in schwer antizipierbarer Weise mit menschlichem Verständnis und Alltagsgebrauch interagieren. Um die wissenschaftliche Forschung besser auf Menschen und deren IT-Sicherheitsbedürfnisse auszurichten, müssen wir daher den Alltag der Menschen besser verstehen. Das Verständnis von Alltag ist in der Informatik jedoch noch unterentwickelt. Dieser Beitrag möchte das Forschungsfeld „Sicherheit in der Digitalisierung des Alltags“ definieren, um Forschenden die Gelegenheit zu geben, ihre Anstrengungen in diesem Bereich zu bündeln. Wir machen dabei Vorschläge einerseits zur inhaltlichen Eingrenzung der informatischen Forschung. Andererseits möchten wir durch die Einbeziehung von Forschungsmethoden aus der Ethnografie, die Erkenntnisse aus der durchaus subjektiven Beobachtung des „Alltags“ vieler einzelner Individuen zieht, zur methodischen Weiterentwicklung interdisziplinärer Forschung in diesem Feld beitragen. Die IT-Sicherheitsforschung kann dann Bestehendes gezielt für eine richtige Alltagstauglichkeit optimieren und neue grundlegende Sicherheitsfunktionalitäten für die konkreten Herausforderungen im Alltag entwickeln.
- KonferenzbeitragCryptanalysis of the Record Linkage Protocol used by German Cancer Registries(Sicherheit 2024, 2024) Heng, Youzhe; Schnell, Rainer; Armknecht, FrederikFor linking sensitive or medical data in Germany, the widely accepted protocol of the German cancer registries (GCRs) is often used as a baseline model for privacy-preserving record linkage (PPRL). Despite its popularity, no cryptographic analysis of the GCR protocol has been published so far. Given the recent advances in the cryptanalysis of PPRL methods and the resulting increase in privacy demands of PPRL protocols, an evaluation of the GCR protocol is needed. Using the same assumptions as recent attacks on modern PPRL methods, we show that the current GCR protocol cannot protect against attacks. Using a public available database, up to 90% of the encoded records can be correctly re-identified. Therefore, the GCR protocol should no more be used as a blueprint for future registers.
- KonferenzbeitragSieben Handlungsfelder für mehr Cybersicherheit in der Stromwirtschaft(Sicherheit 2024, 2024) Schwarz, Linda; Becker, Nikolas; Dechand, Marius; Federrath, Hannes; Petersen, Tom; Wagner, Jasmin; Wenderoth, FriederikeÜber einen partizipativen Prozess haben wir sieben relevante Handlungsfelder für mehr Cybersicherheit in der Stromwirtschaft identifiziert. Ausgangspunkt ist die vom BMWK initiierte „Branchenplattform Cybersicherheit für die Stromwirtschaft“, für die eine Themenroadmap erarbeitet wurde. Die Handlungsfelder werden den Clustern Governance & Standards, Kapazitätsaufbau & Sensibilisierung, Gesetze sowie Zusammenarbeit zugeordnet.
- KonferenzbeitragAttribution von verdeckten (Informations-)Kanälen im Bereich kritischer Infrastrukturen und Potentiale für Prävention und Reaktion (ATTRIBUT)(Sicherheit 2024, 2024) Dittmann, Jana; Krätzer, Christian; Kiltz, Stefan; Altschaffel, Robert; Vielhauer, Claus; Wendzel, Steffen; Wefel, Sandro; Nitsch, HolgerDieser Beitrag beschreibt Motivation, Perspektiven und Möglichkeiten der Attribution bei StegoMalware im Projekt ATTRIBUT - Attribution von verdeckten (Informations-)Kanälen im Bereich kritischer Infrastrukturen und Potentiale für Prävention und Reaktion. Das Projekt ist durch die Agentur für Innovation in der Cybersicherheit GmbH: Forschung zu “Existenzbedrohenden Risiken aus dem Cyber- und Informationsraum – Hochsicherheit in sicherheitskritischen und verteidigungsrelevanten Szenarien” (HSK) – https://www.cyberagentur.de/tag/hsk/, siehe auch in https://attribut. cs.uni-magdeburg.de/ beauftragt.
- KonferenzbeitragWays for confidential and authenticated hop-by-hop key establishment in QKDN(Sicherheit 2024, 2024) Henrich, Johanna
- KonferenzbeitragWarum Nutzer ihre alternden smarten Geräte ersetzen: Eine Push-Pull-Mooring Perspektive(Sicherheit 2024, 2024) Lenz, JuliaIn den letzten zehn Jahren hat sich das Internet der Dinge (IoT) zu einem zentralen Wegbereiter für technologischen Fortschritt entwickelt. Milliarden von smarten Geräten wurden bisher verkauft. Allerdings erhalten ältere Geräte nach einiger Zeit des Betriebs keine Sicherheitsupdates mehr und führen zu einer Gefahr für die Sicherheit der Endnutzer. In diesem Beitrag analysieren wir, welche Faktoren zu einem Austausch älterer smarter Geräte führen, um die verbundenen Risiken zu mindern. Mit Hilfe der Push-Pull-Mooring-Theorie können die Themen Datenschutz, Technologieakzeptanz und Geräte-Wechsel in einem einheitlichen Rahmen integriert werden. Die empirische Validation wurde mit der Auswertung einer Online-Umfrage unter Besitzern (N = 513) älterer, smarter Geräte (d. h. vor mehr als einem Jahr gekauft) aus Großbritannien über die Prolific-Plattfrom durchgeführt. Die Ergebnisse zeigen, dass vor allem die wahrgenommene Nützlichkeit, Datenschutzbedenken sowie die Wechselkosten die Absicht des Austauschs als Sicherheitsmaßnahme beinflussen. Für mehr als drei Jahre alte Geräte haben die genannten Faktoren einen größeren Einfluss auf die Wechselabsicht.
- «
- 1 (current)
- 2
- 3
- »