Home | english  | Impressum | Datenschutz | Sitemap | KIT

Kontakt

Institut für Theoretische Informatik

Arbeitsgruppe Kryptographie und Sicherheit

Carmen Manietta

Am Fasanengarten 5

Geb. 50.34

D-76131 Karlsruhe

Tel.: + 49 721 608-44213

Fax: + 49 721 608-55022

E-Mail: crypto-infoBwm1∂iti kit edu

 

Veröffentlichung

Sieben Thesen zur IT-Sicherheit

PDF herunterladen

Offene Stellen

Sie haben keine passende Stelle gefunden? Auch wenn es nicht immer ausgeschrieben ist, freuen wir uns über neue Doktoranden/Postdocs, die daran interessiert sind, unser Team zu verstärken. Lassen Sie uns hierfür einfach Ihre Initiativbewerbung zukommen. Wir freuen uns auf Sie!


Willkommen bei KASTEL

Das Kompetenzzentrum für angewandte Sicherheitstechnologie (KASTEL) ist eines von deutschlandweit drei Kompetenzzentren für Cybersicherheit, die vom Bundesministerium für Bildung und Forschung (BMBF) im März 2011 initiiert wurden.

Unter dem Motto "Nachvollziehbare Sicherheit in der vernetzten Welt" stellt sich KASTEL den Herausforderungen, die durch eine fortschreitende Vernetzung bisher isolierter Systeme entstehen.

Von besonderer Bedeutung sind die Folgen der Digitalisierung im Bereich der kritischen Infrastrukturen, beispielsweise in der Energiewirtschaft, in der industriellen Produktion oder bei vernetzter Mobilität, aber auch in "intelligenten" Umgebungen.

KASTEL bündelt Kompetenzen rund um die IT-Sicherheit am Forschungsstandort Karlsruhe. Ziel ist die Entwicklung eines umfassenden Ansatzes anstelle isolierter Teillösungen. Dabei soll die Gesamtsicherheit in konkreten Anwendungsbereichen, wie beispielsweise Stromnetzen oder intelligenten Fabriken im Fokus stehen. 

Um diese Sicherheit zu gewährleisten, müssen neue Bedrohungen modelliert, Sicherheitsziele beschrieben und neue Methoden entwickelt werden.

Dies kann nur durch die Zusammenarbeit von Kryptographen, IT-Sicherheitsspezialisten, Software-Ingenieuren, Netzwerkexperten, Juristen und Wirtschafts- und Sozialwissenschaftlern erreicht werden - so wie hier bei KASTEL.

KASTEL startete 2011 mit einer Laufzeit von vorläufig vier Jahren. Ziel war die interdisziplinäre Erforschung und Beantwortung von Fragen rund um die IT-Sicherheit, die anhand von Prototypen und Szenarien praktische Anwendung finden sollten. Dieser als Phase 1 bezeichnete Abschnitt wurde im Herbst 2015 abgeschlossen. Nach einer erfolgreichen Evaluation wurde die Laufzeit der Kompetenzzentren vom BMBF verlängert und KASTEL startete mit neu definierten Forschungsfeldern und Projekten in die zweite Phase. 

 

 

Aktuelles

Beiträge im Verfassungsblog erschienen

KASTEL-PI Prof. Spiecker gen. Döhmann und Dr. Sebastian Bretthauer veröffentlichten jüngst zwei Beiträge mit Rechtseinschätzungen im Verfassungsblog.

Der erste Beitrag entstand in Zusammenarbeit von Prof. Spiecker und Dr. Bretthauer. Darin analysieren sie ein kürzlich ergangenes Urteil des Bundesverfassungsgerichts (BVerfG) zur Datenverarbeitung gesetzlicher Krankenkassen. Grundlage davon war eine Klage gegen das Digitale-Versorgung-Gesetz, das vorsieht, essentielle Tätigkeiten der medizinischen Versorgung zu digitalisieren und die anfallenden Daten zentral zu speichern, um aus deren Analyse neue Erkenntnisse zu gewinnen. Zwar hat das BVerfG den Klägern recht gegeben, die hier verfassungsrechtliche Bedenken vorbrachten, jedoch wurden keine Maßnahmen verordnet, die bereits laufende Datensammlung zu stoppen. Dieses Ergebnis und die Rechtfertigung davon wird von beiden analysiert.

Im zweiten Beitrag analysiert Dr. Bretthauer die rechtliche Zulässigkeit der Analyse von Standortsdaten zur Eindämmung des Corona-Virus. Dies geht auf einen mittlerweile zurückgezogenen Gesetzesvorstoß zurück, der genau dies legitimieren sollte. Dr. Bretthauer geht in seinem Beitrag insbesondere auf bereits bestehende rechtliche Sonderbehandlungen von Standortdaten ein. Ferner analysiert er, wie und unter welchen Umständen eine Analyse von Standortdaten zulässig ist.

Analyse von Phishing-Kampagnen in Unternehmen

Phishing-Kampagnen in Unternehmen haben das Ziel, Mitarbeiter bewusst zu täuschen, um diese so vor realen Angriffen zu schützen und ein allgemeines Problembewusstsein zu schaffen. Während solche Kampagnen zweifellos wichtig sind, um Mitarbeiter zur Vorsicht zu bewegen, herrschen oft Unsicherheiten darüber, was rechtlich, sicherheitstechnisch und ethisch vertretbar ist.

Um hier mehr Klarheit zu schaffen und einen besseren Überblick zu geben, untersuchte KASTEL-PI Prof. Melanie Volkamer von der Forschungsgruppe SECUSO zusammen mit Prof. Martina Angela Sasse aus der Ruhr Universität Bochum und Prof. Franziska Böhm vom KIT unterschiedliche Phishing-Kampagnen, die in Unternehmen eingesetzt werden. Diese wurden hinsichtlich drei Kategorien überprüft:

(1) Wie hoch ist der Eingriff in die IT-Sicherheit?
(2) Ist die Kampagne rechtlich vertretbar?
(3) Wie reagieren die Mitarbeiter, die hier reingelegt wurden? Wie fühlen sie sich nach einer derartigen Attacke? Wie wirksam ist diese Methode?

Hauptzielgruppe der Veröffentlichung stellen Unternehmen dar, die mit dem Gedanken spielen, selber eine Phishing-Kampagne durchzuführen; diese erhalten mit der Veröffentlichung einen guten Überblick über Verfahren und deren Umsetzbarkeit. Die Veröffentlichung ist in der KIT-Bibliothek verfügbar.

 
Browser-Erweiterung TORPEDO um Blackliste der Cyber Threat Coalition erweitert

Die Browsererweiterung „TORPEDO browser“ für Firefox und Chrome von der Forschungsgruppe „Security • Usablility • Society“ (SECUSO), die von KASTEL-PI Prof. Volkamer geleitet wird, hilft Nutzern dabei, betrügerische Links im Browser zu erkennen. Durch Webstandards wie HTML lassen sich die tatsächlichen Links hinter angezeigten Texten verstecken, die potentiell zu sogenannten Phishing-Webseiten führen. Die Anwendung TORPEDO browser zeigt daher, sobald Nutzer mit der Maus über einen Link fahren, eine Infobox an, in der die genaue Zieladresse sowie Hinweise für den sicheren Umgang zu sehen sind. Bekannte Domains werden dabei durch einen Whitelist-basierten Ansatz als solche gekennzeichnet.

Mit dem neusten Update wurde TORPEDO browser um eine zusätzliche Funktion erweitert, die Anwender explizit vor gefährlichen Links warnt. Als Grundlage dazu dient die Blackliste der COVID-19 Cyber Threat Coalition (CTC). Dort werden von Freiwilligen betrügerische Seiten gesammelt, die im Zuge der COVID-19 Pandemie bereits in Phishing-Mails verwendet wurden.

Prof. Strufe über Contact-Tracing Apps

Um die Ausbreitung des Corona-Virus einzudämmen, soll eine App für Smartphones dabei helfen, Nutzer, die über einen längeren Zeitraum mit infizierten Personen in Kontakt waren, frühzeitig zu warnen. Sobald eine Person positiv getestet wurde, soll über die App eine Warnung an alle Nutzer gesendet werden, die über einen längeren Zeitraum mit der infizierten Person in Kontakt waren, damit sich auch diese in Quarantäne begeben können. Neben Fragen zur Nützlichkeit einer solchen App gibt es hierbei auch viele Bedenken zur Privatsphäre der Anwender.

In einem Beitrag der Webseite der KA-News ging es um eben eine solche App. Dafür wurde KASTEL-PI Prof. Thorsten Strufe als Experte befragt. Im Artikel geht Prof. Strufe auf die Vor- und Nachteile unterschiedlicher Ansätze ein, mit denen sich eine derartige App datenschutzkonform umsetzen lässt. Dabei betont er insbesondere die Relevanz von Datenschutz einer solchen App; selbst wenn grundlegende Prinzipien zur Datensparsamkeit eingehalten werden, enthalten Contact Tracing Daten noch immer sehr viele private Informationen, über die sich beispielsweise Rückschlüsse über Gewohnheiten und das soziale Umfeld der Anwender schließen lassen.

 

 Newsarchiv