Willkommen bei der Forschungsgruppe User-Centered Security, einer gemeinsamen Arbeitsgruppe der h_da/Fachbereich Informatik und der AG ID-Management der FU Berlin.
Wir untersuchen, wie man benutzbare und sichere interaktive/kollaborative Software und IT-Systeme entwirft, entwickelt und evaluiert, denen die Menschen vertrauen können, basierend auf etablierten/neuartigen IT-Sicherheits- und/oder HCI-Prinzipien und -Mechanismen. Siehe Forschungsprojekte, um mehr darüber zu erfahren.
Wir sind mit der Arbeitsgruppe IT-Sicherheit der h_da/Fachbereich Informatik, dem Z.A.I. und dem Nationalen Forschungszentrum für angewandte Cybersicherheit verbunden.
Daten können einen hohen Wert für Wirtschaft und Gesellschaft haben. Analyse, Zusammenführung und Nutzung von Daten stellen neben dem hohen ökonomischen Wert auch einen hohen gesellschaftlichen Nutzen dar, man denke z. B. an die Medizin. Demgegenüber stehen jedoch große Risiken für den Schutz der Privatsphäre jedes Einzelnen.
Im Rahmen der ATHENE-Mission FANCY erfolgt eine integrierte und interdisziplinäre Analyse des Trade-offs zwischen dem Wert von Daten einerseits und Privatsphäre-Risiken andererseits. Mehr zur FANCY Mission finden Sie hier.
Unsere Arbeitsgruppe ist im Teilprojekt “Easy-to-use Processes and Tools for User-Centric Co-Development of PETs” in FANCY vertreten. Im Projekt wollen wir Prozesse und Werkzeuge entwickeln, welche Programmierern helfen, die Benutzbarkeit von Software und den Schutz personenbezogener Daten innerhalb von Software zu erhöhen und somit ungewollte Fehlbedienungen oder unbeabsichtigte Datenabflüsse zu verhindern.
Das Projekt Agile and Easy-to-use Integration of PQC Schemes erforscht als Teil des ATHENE Forschungsbereichs Kryptographie die praktischen Herausforderungen die beim Umstieg von klassichen auf PQC-Verfahren entstehen.
Ansprechpartner: Prof. Dr. Alexander Wiesmaier
Post-Quantum kryptographische Verfahren befinden sich seit mehreren Jahren in der Entwicklung. In naher Zukunft wird es standardisierte Post-Quantum Algorithmen geben, die veraltete oder gebrochene Standards ersetzen. Damit neue quantum-resistente cryptographische Verfahren Anwendung finden, ist mehr nötig als sichere Post-Quantum Algorithmen zu entwickeln und diese in den verwendeten kryptographischen Protokollen zu integrieren. Die Migration zur PQC (Post-Quantum Cryptography) stellt eine große Herausforderung auf vielen Ebenen dar. Darüber hinaus muss das Konzept der Krypto-Agilität etabliert werden, um auf die rapiden Veränderungen der Kryptographie reagieren zu können.
Unsere Forschungsgruppe beschäftigt sich mit den Herausforderungen der Post-Quantum Kryptographie Migration und sucht nach Antworten auf die offenen Fragen in diesem Bereich. Wir bauen auf unseren Erkenntnissen und Analysen auf, um geeignete Lösungen zu finden, um diese Migration zu erreichen und Krypto-Agilität in IT-Systemen zu etablieren. Unser Ziel ist es, solche Lösungen durch Design, Strategien, Frameworks und Schnittstellen zu entwickeln. Zum einen recherchieren wir die neuesten Erkenntnisse zu kryptographischen Maßnahmen und deren Entwicklungsstand. Andererseits tragen wir zu den neuesten Technologien der Post-Quanten-Kryptographie und ihren Anwendungen bei, indem wir unsere theoretischen und wissenschaftlichen Erkenntnisse in praktische Lösungen umsetzen.
Die fortschreitende Entwicklung des Quantencomputers stellt zunehmend eine Gefahr für klassische Krypto-Verfahren dar, die vielfach und vielfältig in heutiger Hard- und Software zum Einsatz kommt. Hier schlägt das Forschungsgebiet der sog. Post-Quantum-Kryptographie Verfahren und Algorithmen vor, die auch einem Angriff mit einem leistungsfähigen Quantencomputer standhalten würden. Im Jahr 2016 hat das US-amerikanische National Institute of Standards and Technology (NIST) einen Aufruf zur Standardisierung solcher PQC-Verfahren gestartet.
Stand heute ist es noch völlig unklar, wie die neuen Verfahren einfach in bestehende und neue Soft- und Hardware integriert werden können. Darüber hinaus sind die neuen PQC-Verfahren in ihrer Handhabe durch einen Software-Entwickler weitaus komplexer und Implementierungsfehler und Fehler im Einsatz sind zu erwarten. Hier setzt das Projekt Use-A-PQClib an. Im Rahmen des Projekts wird eine – aus sich des Entwicklers – leicht zu benutzende API (Programmierschnittstelle) für Post-Quantum-Krypto-Verfahren und die zugehörigen PQC-Implementierungen entwickelt, die im Idealfall eine gemeinsame Abstraktion von klassischer und PQC-Verfahren subsumiert. Damit böte sich eine einfachere und fehlerminimierende Integration dieser Verfahren in aktuelle und zukünftige IT-Sicherheitsprodukte (Hard- und Software) an. Des Weiteren kümmert sich das Projekt um die Implementierung und Bereitstellung eines PQC-Testbeds für Drittanbieter, um die in Zukunft notwendig werdenden Interoperabilitätstests der zukünftigen PQC-Verfahren durchführen zu können.
Das Projekt wird gemeinschaftlich von der Arbeitsgruppe User-Centered Security (UCS) unter Leitung von Prof. Heinemann (Fachbereich Informatik, Hochschule Darmstadt) und der MTG AG (Darmstadt) durchgeführt. UCS übernimmt federführend die wissenschaftlichen Fragestellungen, insbesondere das Design und die Usability-Evaluierung der neu zu erarbeitenden PQC Krypto API und MTG bringt hier seine ausgewiesene Expertise im Bereich der IT-Sicherheitsinfrastrukturen (z.B. Publik-Key-Infrastrukturen) und Know-how zur Implementierung ein. Im Rahmen eines User-Centered Design Ansatzes (genauer Developer-Centered Design) arbeiten UCS und MTG sehr eng in allen Schritten und Arbeitspaketen zusammen. Fördergeber des Projekts ist das Hessisches Ministerium für Wissenschaft und Kunst (HMWK) über die LOEWE-Förderlinie 3, KMU-Verbundvorhaben.
Das Projekt wird nach unserem Kenntnisstand weltweit die erste PQC Krypto API entwickeln, deren Benutzbarkeit durch Software-Entwickler evaluiert wurde. Die Erkenntnisse sollen wissenschaftlich im Rahmen von wissenschaftlichen Veröffentlichungen und einem Promotionsvorhaben der IT-Sicherheitscommunity zugänglich gemacht werden. Die MTG AG wird die Projektergebnisse in ihre IT-Sicherheitsprodukte integrieren bzw. umsetzen können und damit zu den ersten Anbietern gehören, die PQC-Verfahren dem Markt zugänglich machen.
Bei der Betrachtung von IT-Sicherheit in Unternehmen, Behörden, öffentlichen Einrichtungen und anderen Organisationen spielt neben technischen Maßnahmen (z. B. Firewalls, Virenschutz etc.) die Sensibilisierung der Mitarbeiter eine wichtige Rolle, insbesondere da Phishing-Angriffe (z. B. in Form von E-Mails) weit verbreitet sind und eine ernstzunehmende Bedrohung darstellen. Unternehmen stehen somit vor der Herausforderung ihre Mitarbeiter entsprechend zu schulen, damit Social Engineering Angriffe, welche u. a. auf die Leichtgläubigkeit des Nutzers abzielen, ins Leere laufen. Hier setzen Security Awareness Maßnahmen an, die ein Zusammenspiel aus Wissen, Können und Wollen in Bezug auf IT-sicherheitsrelevante Aspekte schulen. Die Entwicklung, Durchführung und Auswertung geeigneter Security Awareness Maßnahmen besitzt noch einen erheblichen Forschungsbedarf. Es ist nicht ausreichend, einem Nutzer ausschließlich Wissen über die Gefahren eines Phishing-Angriffs zu vermitteln, um eine nachhaltige Verhaltensänderung herbeizuführen.
Mit diesem Projekt soll untersucht werden, wie das IT-Sicherheitsverhalten von Anwendern im Rahmen ihrer täglichen Arbeit verbessert und geschult werden kann. Hierbei verfolgen wir als Ziel die Beantwortung der folgenden, noch offenen Forschungsfragen.
Als weiteres Ziel soll ein belastbares Verständnis über das IT-Sicherheits-Know-How von typischen IT-Anwendern erarbeitet werden, um als Grundlage etwaiger zukünftiger Personalentwicklungsmaßnahmen in Unternehmen zu dienen.
Das Projek wurde zum 30.09.2019 abgeschlossen.