Home | english  | Impressum | Datenschutz | Sitemap | KIT

Kontakt

Institut für Theoretische Informatik
Arbeitsgruppe Kryptographie und Sicherheit
Carmen Manietta
Am Fasanengarten 5
Geb. 50.34
D-76131 Karlsruhe
Tel.: + 49 721 608-44213
Fax: + 49 721 608-55022
E-Mail: crypto-infoXul8∂iti kit edu
Veröffentlichung

Sieben Thesen zur IT-Sicherheit

PDF herunterladen

Offene Stellen

Sie haben keine passende Stelle gefunden? Auch wenn es nicht immer ausgeschrieben ist, freuen wir uns über neue Doktoranden/Postdocs, die daran interessiert sind, unser Team zu verstärken. Lassen Sie uns hierfür einfach Ihre Initiativbewerbung zukommen. Wir freuen uns auf Sie!


Willkommen bei KASTEL

Das Kompetenzzentrum für angewandte Sicherheitstechnologie (KASTEL) ist eines von deutschlandweit drei Kompetenzzentren für Cybersicherheit, die vom Bundesministerium für Bildung und Forschung (BMBF) im März 2011 initiiert wurden.

Unter dem Motto "Nachvollziehbare Sicherheit in der vernetzten Welt" stellt sich KASTEL den Herausforderungen, die durch eine fortschreitende Vernetzung bisher isolierter Systeme entstehen.

Von besonderer Bedeutung sind die Folgen der Digitalisierung im Bereich der kritischen Infrastrukturen, beispielsweise in der Energiewirtschaft, in der industriellen Produktion oder bei vernetzter Mobilität, aber auch in "intelligenten" Umgebungen.

KASTEL bündelt Kompetenzen rund um die IT-Sicherheit am Forschungsstandort Karlsruhe. Ziel ist die Entwicklung eines umfassenden Ansatzes anstelle isolierter Teillösungen. Dabei soll die Gesamtsicherheit in konkreten Anwendungsbereichen, wie beispielsweise Stromnetzen oder intelligenten Fabriken im Fokus stehen. 

Um diese Sicherheit zu gewährleisten, müssen neue Bedrohungen modelliert, Sicherheitsziele beschrieben und neue Methoden entwickelt werden.

Dies kann nur durch die Zusammenarbeit von Kryptographen, IT-Sicherheitsspezialisten, Software-Ingenieuren, Netzwerkexperten, Juristen und Wirtschafts- und Sozialwissenschaftlern erreicht werden - so wie hier bei KASTEL.

KASTEL startete 2011 mit einer Laufzeit von vorläufig vier Jahren. Ziel war die interdisziplinäre Erforschung und Beantwortung von Fragen rund um die IT-Sicherheit, die anhand von Prototypen und Szenarien praktische Anwendung finden sollten. Dieser als Phase 1 bezeichnete Abschnitt wurde im Herbst 2015 abgeschlossen. Nach einer erfolgreichen Evaluation wurde die Laufzeit der Kompetenzzentren vom BMBF verlängert und KASTEL startete mit neu definierten Forschungsfeldern und Projekten in die zweite Phase. 

 

 

Aktuelles

Privatsphärenschonende Maskenerkennung

Zur Eindämmung des neuartigen Coronavirus sind Masken ein wichtiges Mittel, um die Ausbreitung eines Infizierten über die Atemwege zu erschweren. Dabei setzen viele Staaten auf staatlich regulierte Verpflichtungen. Mit einer solchen rechtlichen Verpflichtung geht jedoch auch eine Prüfung  einher, um zu verhindern, dass sich Personen ohne Masken in Menschenmengen aufhalten.

Durch Fortschritte in sowohl der theoretischen KI-Forschung als auch der praktischen, technischen Umsetzung lassen sich solche Prüfungen sehr kosteneffizient maschinell erledigen. Jedoch besteht dabei die Gefahr der anlasslosen Massenüberwachung, wenn zu viele Daten gesammelt werden.

Um einen Kompromiss zwischen technischem Konfort und der Wahrung der Grundrechte zu gewährleisten, untersuchen Niklas Kühl, Dominik Martin, Clemens Wolff und Melanie Volkamer, wie sich Maskenerkennung privatsphäreschonend umsetzen lässt. Aus diesem Projekt ist nun eine Veröffentlichung entstanden, die in der KIT-Bibliothek eingesehen werden kann.

Webinar „Corona, Tracing & Privacy“

Zur Eindämmung der Ausbreitung des Corona-Virus wurden in den letzten Monaten die unterschiedlichsten Vorschläge vorgebracht. Unterschiedliche Länder haben mittlerweile unterschiedlichste Ansätze erarbeitet, mit der Freiwillige bspw. mittels Contact Tracing Apps auf dem Smartphone dazu beitragen können, die Infektionsraten gering zu halten. Unterschiedliche Ansätze unterscheiden sich hier unteranderem auf ihre Auswirkung auf die Privatsphäre.

In einem Webinar zu „Corona, Tracing & Privacy“ reden KASTEL-PI Prof. Indra Spiecker gen. Döhmann und Prof. Michael Birnhack von der Universität in Tel Aviv über genau diese Themen. Darin gehen sie auch auf Erfahrungen ein, die sie im Zuge der Beschränkungen gemacht haben, und diskutieren die Hürden für Contact Tracing Apps.

Das vollständige Webinar kann hier angesehen werden.

 
BMBF Forschungsprojekt INSPECTION

Unter dem Begriff „phisching” versteht man einen Angriff, bei dem sich der Angreifer als vertrauenswürdige und bereits bekannte Webseite ausgibt, um eigene Produkte zu verkaufen oder Viren zu verteilen. Um hier zu mehr Unachtsamkeit der Anwender zu führen, gehen Phishing-Angriffe teilweise sogar so weit, dass über Sicherheitslücken eigentlich vertrauenswürdige Webseiten von Angreifern übernommen werden, um in deren Namen Produkte und Dienstleistungen anzuwerben und im schlimmsten Fall private Informationen abzugreifen.

Dies kann sogar passieren, ohne dass Webseitenbetreiber dies mitbekommen. Um hier gerade kleineren und mittelgroßen Unternehmen (KMUs) zu helfen, startete das Bundesministerium für Bildung und Forschung am 01. Juni im Rahmen der Initiative „KMU-innovativ“ das Forschungsprojekt INSPECTION. Ziel des Projektes ist es, automatisiert zu erkennen, ob eine Seite gehackt wurde, um die Betreiber darüber zu informieren.

Neben industriellen Mitgliedern wie der mindup GmbH und der BDO Cybersecurity, befindet sich die Forschungsgruppe SECUSO von KASTEL-PI Prof. Melanie Volkamer im Konsortium des Projektes.

Interdisziplitäre Veröffentlichung beim Workshop „Recht und Technik“

Damit Unternehmen zentral auf Datenschutzverstöße und IT-Sicherheitsvorfälle reagieren können, sieht die Meldepflicht vor, dass Verstöße von Mitarbeitenden gemeldet werden. Dies kann jedoch arbeitsschutzrechtliche Konsequenzen mit sich ziehen.

Um dies genauer zu untersuchen, arbeiten die Lehrstühle SECUSO von KASTEL-PI Prof. Melanie Volkamer und der Lehrstuhl für Öffentliches Recht, Umweltrecht, Verwaltungswissenschaft der Goethe-Universität Frankfurt am Main von KASTEL-Pi Prof. Indra Spiecker gen. Döhmann zusammen. Aus dieser Kooperation ist ein Papier zur „Meldepflicht von IT-Sicherheits- und Datenschutzvorfällen durch Mitarbeitende – Betrachtung möglicher arbeitsrechtlicher Konsequenzen“ entstanden, an dem Prof. Volkamer und Dirk Müllmann, ein Doktorand bei Prof. Spiecker, hervorgegangen. Diese Veröffentlichung wurde auf dem Workshop „Recht und Technik“ der Informatik 2020 akzeptiert.

 
Segmentierung von Smart Home Komponenten

Smart Home Netze erlauben das einfache Bedienen der heimischen Komponenten über technische Geräte, wie Handys, Tablets oder Computer. Geräte werden dabei häufig im selben Netzwerk eingehängt, in dem sich auch die Kontrollgeräte befinden. Dies kann jedoch sehr schnell zu Problemen führen: aus kostengründen wird die Sicherheit häufig vernachlässigt. Über ein einzelnenes korrumpiertes Gerät kann somit ein Angreifer Kontrolle über das gesamte Netzwerk erlangen.

Aus einer Kooperation zwischen KASTEL-PI Prof. Thorsten Strufe mit Amr Osman und Stefan Köpsell von der Technischen Universität Dresden und Armin Wasicek vom tschechischen Sicherheitssoftwarehersteller Avast stellen zum Schutz solcher Netzwerke ein jetzt in die Avast-Produkte einfließendes Verfahren vor, das auf Netzwerksegmentierung basiert. Ein zentraler Software-Defined Networking Controller setzt dabei jedes neu angeschlossene Gerät zunächst in Quarantäne, wo es zunächst auf Funktionsweise und bekannte Angriffsstrategien getestet wird. Auf Grundlage der Funktionsweise wird das Gerät dann in ein eigenes Netzwerksegment geleitet. Diese Art des Sandboxing verhindert die Ausbreitung von Schadsoftware innerhalb der Heim-Netzwerke, da Angreifer auf korrumpierten Geräten nur innerhalb ihres Segments kommunizieren können.

Die Ergebnisse werden auf der diesjährigen USENIX HotEdge '20 vorgestellt. In der Publikation wird auch analysiert, wie gut dieser Ansatz Angriffsszenarien verhindert, während es die Funktionatität des Smart Home nur geringfügig einschränkt. Mehr Informationen.

Interview mit Prof. Strufe zur Corona-App

Mit der Corona-Warn-App der Bundesregierung haben Anwender die Möglichkeit, auf freiwilliger Basis ihr Smartphone zu benutzen, um im Falle eines positiven Tests auf das Coronavirus schnell alle Menschen zu informieren, die sich länger in der Nähe des Infizierten aufgehalten haben. Die Nutzung dieser App ist freiwillig – die Regierung setzt darauf, dass möglichst viele Menschen die App auf ihrem Smartphone installieren.

Einer der wohl relevantesten Punkte, die die Entscheidung vieler Leute für oder gegen die Nutzung der App hervorbringen, sind Datenschutzfragen. Für die sichere Funktionsweise ist es nötig, zu speichern, wer wann wie lange mit wem in Kontakt war. Aus Klartextdaten ließen sich hier soziale Graphen ableiten, die hohes Missbrauchspotential hätten. Um solch einen Missbrauch bereits im Kern zu unterbinden, setzt die App auf Pseudonymisierung: Daten können zwar untereinander zugeordnet werden, es ist jedoch nicht möglich, diese effizient einem Handy oder einer Person zuzuordnen – so zumindest die Hoffnung.

In einem Interview mit der BNN klärt KASTEL-PI Prof. Thorsten Strufe über Sicherheits- und Privatsphärebedenken auf. Insbesondere erklärt er, wie gängige Techniken funktionieren, mit denen sich Warnungen zu positiven Tests von Personen, zu denen man Kontakt hatte, eindeutig zu einem Zeitpunkt zuordnen lassen. Damit ließe sich der Kreis der potentiellen Infizierten stark eingrenzen, so Strufe. Dennoch begrüßt er die Corona-Warn-App, legt jedoch nahe, dass Updates zum Schutz vor Stigmatisierung infizierter Personen äußerst wichtig sind und plädiert für eine transparentere Informationspolitik bezüglich bekannter Schwächen.

 

Newsarchiv