P195 - Sicherheit 2012 - Sicherheit, Schutz und Zuverlässigkeit
Autor*innen mit den meisten Dokumenten
Neueste Veröffentlichungen
- KonferenzbeitragAnalyse und Vergleich von BckR2D2-I und II(SICHERHEIT 2012 – Sicherheit, Schutz und Zuverlässigkeit, 2012) Dewald, Andreas; Freiling, Felix C.; Schreck, Thomas; Spreitzenbarth, Michael; Stüttgen, Johannes; Vömel, Stefan; Willems, CarstenIm Oktober 2011 erregte die Veröffentlichung von Details über die inzwischen meist als BckR2D2 bezeichnete Schadsoftware öffentliches Aufsehen. Mitglieder des Chaos Computer Club e.V. veröffentlichten einen ersten Bericht über die Funktionsweise des Trojaners, dem weitere Analysen folgten. In dieser Arbeit geben wir einen Überblick über die bislang veröffentlichen Einzelberichte und über die verschiedenen Komponenten der Schadsoftware sowie deren Funktionsweise. Hierzu präsentiert diese Arbeit die wesentlichen Ergebnisse einer ausführlichen Analyse aller Komponenten des Trojaners und geht insbesondere auf Unterschiede zwischen den beiden bislang bekannten Varianten BckR2D2-I und II ein. Ziel dieser Arbeit ist auch die kritische Überprüfung der von anderen Autoren getroffenen Aussagen über die Schadsoftware.
- KonferenzbeitragIdentifikation von Videoinhalten über granulare Stromverbrauchsdaten(SICHERHEIT 2012 – Sicherheit, Schutz und Zuverlässigkeit, 2012) Greveler, Ulrich; Justus, Benjamin; Löhr, DennisSekundenscharfe Ablese-Intervalle bei elektronischen Stromzählern stellen einen erheblichen Eingriff in die Privatsphäre der Stromkunden dar. Das datenschutzrechtliche Gebot der Datensparsamkeit und Datenvermeidung steht einer feingranularen Messhäufigkeit und der vollständigen Speicherung der Stromverbrauchsdaten entgegen. Wir können experimentell nachweisen, dass neben der Erkennung von im Haushalt befindlichen Geräten eine Erkennung des Fernsehprogramms und eine Identifikation des abgespielten Videoinhalts möglich ist. Alle Messund Testergebnisse wurden zwischen August und November 2011 mithilfe eines geeichten und operativen Smart Meters, der alle zwei Sekunden Messwerte aufzeichnet, gewonnen. Die übertragenen Daten dieses Gerätes waren unverschlüsselt und nicht signiert.
- KonferenzbeitragOn some conjectures in IT security: the case for viable security solution(SICHERHEIT 2012 – Sicherheit, Schutz und Zuverlässigkeit, 2012) Zibuschka, Jan; Roßnagel, HeikoDue to the increased utilization of computers and the Internet the importance of IT security has also increased. Naturally the field of IT security has grown significantly and has provided many valuable contributions in recent years. Most of the work is concerned with the design of systems offering strong technological security. With regard to behavioural factors, researchers build their work on assumptions about human behaviour that are prevalent in the field of IT security without considering the results and insights of related disciplines. In this contribution we challenge some of these widely held conjectures and offer alternative interpretations based on the results of neighbouring disciplines. Based on this analysis, we suggest new directions for the design of security solutions that support the inclusion of insights from reference disciplines during the design process.
- KonferenzbeitragA practical view of privacy preserving biometric authentication(SICHERHEIT 2012 – Sicherheit, Schutz und Zuverlässigkeit, 2012) Zhou, XuebingRecently, biometric market is growing rapidly and biometric applications can be found in diverse areas such as border control, banking, ID-documents, access control, etc. However, usage of personal biometric information can harm privacy of users and raise problems of cross matching and identity theft. Privacy preserving techniques like template protection are an important supplement to biometric systems to prevent abuse of stored biometric information and to improve security of biometric authentication. This work introduces the concept of biometric privacy preserving techniques and shows how to quantify their security and privacy in practice with help of a generalized evaluation framework. The advantages as well as limitations of the existing methods are analyzed. Additionally, systematic security considerations are given and a guideline to successfully design privacy preserving techniques for biometric systems is proposed.
- KonferenzbeitragMentale Modelle der IT-Sicherheit bei der Nutzung mobiler Endgeräte(SICHERHEIT 2012 – Sicherheit, Schutz und Zuverlässigkeit, 2012) Benenson, Zinaida; Kroll-Peters, Olaf; Krupp, MatthiasMobile Endgeräte werden immer leistungsfähiger und damit wächst für die Nutzer auch das Gefahrenpotenzial durch typische IT-Sicherheitsbedrohungen. Ob- wohl die Verantwortung des Benutzers für die Einhaltung der IT-Sicherheit anerkannt und wissenschaftlich belegt ist, konzentriert sich die Forschung zur IT-Sicherheit im mobilen Umfeld meistens auf die technische Seite der Problematik. In dieser Arbeit wird der erste Schritt zur Untersuchung der Rolle der Benutzer in der IT-Sicherheit mobiler Endgeräte unternommen, indem anhand von Interviews entsprechende mentale Modelle erstellt werden. Als mentale Modelle werden Abbildungen der Realität im Bewusstsein des Menschen bezeichnet. Obwohl diese Abbildungen normalerweise ungenau und oft fehlerhaft sind, kann ihre Kenntnis zu Prognosen über Handlungen von Menschen verwendet werden. Mentale Modelle der IT-Sicherheit bilden die Grundlage für die Bemühungen der Nutzer (oder für das Fehlen solcher Bemühungen), die IT-Sicherheit ihrer Systeme zu gewährleisten.
- KonferenzbeitragTowards a secure and trusted business web(SICHERHEIT 2012 – Sicherheit, Schutz und Zuverlässigkeit, 2012) Lotz, VolkmarWe currently see a major shift in development, deployment and operation of Enterprise IT systems and business applications. Driven by cost and effectiveness considerations, and facilitated by virtual infrastructures (aka the cloud) and service orientation, application development is distributed over a variety of entities (ISPs - independent service providers), applications are composed of services from different ISPs, and IT operations is run by independent data and computation centers. Using the Internet as fast and ubiquitous communication infrastructure, we see a fabric of resources, platforms, services and applications emerging forming a number of ecosystems that will drive society and business. For this set of ecosystems and facilitating technology and infrastructure, we have coined the term ”Business Web”. Since the Business Web is going to be the critical infrastructure underlying business and private life, concerns related to security and privacy will inevitably be raised. These concerns are grounded in the open and dynamic nature of the Business Web and its coverage of all aspects of business including the most sensitive areas like finance, healthcare, personal information etc. The strength of the Business Web lies in information sharing and spontaneous interaction with entities, even if they are previously unknown, and there is an inherent risk of information being abused and data owners losing control over their data in terms of usage, consistency or availability. To mitigate these risk while being able to exploit the benefits of collaboration, one needs to determine with whom the collaboration takes place, to express which mutual protection needs are to be met, and which controls can be imposed to actually enforce them. In this talk, we focus on the establishment of trust in services and the complementary support of data-centric services. In addition to traditional means based on observation, recommendation, and reputation which come to their limits upon discovery of new services, rich service descriptions including security and privacy related attributes, attested by trusted parties, provide the needed information and form a service identity where the mere name of the service would not be meaningful. At the same time, such descriptions can serve as a container for policy information expressing the service's protection needs, its abilities to match consumers' policies and its governance. Given that the user can express her policies in a similar, machine-processable way, we are able to match policies and decide if the service can be safely used. When considering the complexity of Business Web structures, however, we have to ensure that the above approach scales to multiple layers of dynamic collaboration. Data are travelling across domains, services and resources, while still being subject to their owners' policies. This motivates a data-centric security concept, where policies are bound to data and travel with them - ßticky policies”. Each processor of the data, even if it cannot be predicted where they will eventually end up, has access to the policy information and can handle the data accordingly. Sticky policies allow for the expression of obligations (like a deletion or retention period) to be met by processing entities. While this concept is theoretically pleasing, it faces practical challenges of performance and enforcement asking for further research. We show how a solution meeting some of these challenges can be provided on top of a distributed Java platform.
- KonferenzbeitragVein pattern recognition using chain codes spatial information and skeleton fusing(SICHERHEIT 2012 – Sicherheit, Schutz und Zuverlässigkeit, 2012) Hartung, Daniel; Pflug, Anika; Busch, ChristophVein patterns are a unique attribute of each individual and can therefore be used as a biometric characteristic. Exploiting the specific near infrared light absorption properties of blood, the vein capture procedure is convenient and allows contact-less sensors. We propose a new chain code based feature encoding method, using spacial and orientation properties of vein patterns. The proposed comparison method has been evaluated in a series of different experiments in single and multi-reference scenarios on different vein image databases. The experiments show a competitive or higher biometric performance compared to a selection of minutiae-based comparison methods and other point-to-point comparison algorithms.
- KonferenzbeitragSecurity und Safety – das Yin und Yang der Systemsicherheit? Beispiel Eisenbahnsignaltechnik(SICHERHEIT 2012 – Sicherheit, Schutz und Zuverlässigkeit, 2012) Braband, JensYin und Yang stehen in der chinesischen Philosophie für Gegensätze, z. B. Kräfte oder Prinzipien, in ihrer wechelseitigen Bezogenheit. In diesem Beitrag wird das Bild von Yin und Yang benutzt, um die Beziehungen zwischen Safety und Security am Beispiel der Eisenbahnsignaltechnik zu erläutern. Dabei werden sowohl die normativen Grundlagen als auch typische Anwendungen diskutiert. Insbesondere die in der Eisenbahnsignaltechik verwendeten Referenzarchitekturen sowie die übliche Kategorisierung von Kommunikationssystemen wird erläutert. Es wird ein Ansatz vorgestellt, der es ermöglichen soll, Safetyund Security-Eigenschaften in der Kommunikationssicherheit soweit möglich zu orthogonalisieren, um insbesondere auch die Aspekte der Zulassung bzw. Zertifizierung soweit möglich zu trennen. Dabei wird auch verschiedene Ansätze zur Zertifizierung eingegangen und konkrete Erfahrungen mit der Erstellung eines Schutzprofils nach Common Criteria werden diskutiert.
- Editiertes Buch
- KonferenzbeitragTriggering IDM authentication methods based on device capabilities information(SICHERHEIT 2012 – Sicherheit, Schutz und Zuverlässigkeit, 2012) Quintino Kuhnen, Marcus; Lischka, Mario; Gómez Mármol, FélixIdentity management systems are a reality today in the Internet. Single sign-on (SSO) systems allow users to authenticate once in the system and interact with different services providers without the need for creating new accounts. However, most identity management systems only support a simple authentication mechanism, which most of the cases is based on login and password, with its well known associated vulnerabilities like phishing attacks, for instance. In order to mitigate those drawbacks and improve the overall security of the system, we propose an enhancement of SSO systems which allows the identity providers to dynamically choose the best authentication method (e.g. fingerprint, digital certificates, smart cards, etc) being applied to the user based on the users' device capabilities and context information.
- «
- 1 (current)
- 2
- 3
- »