User-Centered Security

Willkommen bei der Forschungsgruppe User-Centered Security, einer gemeinsamen Arbeitsgruppe der h_da/Fachbereich Informatik und der AG ID-Management der FU Berlin.

Wir untersuchen, wie man benutzbare und sichere interaktive/kollaborative Software und IT-Systeme entwirft, entwickelt und evaluiert, denen die Menschen vertrauen können, basierend auf etablierten/neuartigen IT-Sicherheits- und/oder HCI-Prinzipien und -Mechanismen. Siehe Forschungsprojekte, um mehr darüber zu erfahren.

Wir sind mit der Arbeitsgruppe IT-Sicherheit der h_da/Fachbereich Informatik, dem Z.A.I. und dem Center for Research in Security and Privacy (CRISP) verbunden.

Forschungsprojekt - Use-A-PQClib

Die fortschreitende Entwicklung des Quantencomputers stellt zunehmend eine Gefahr für klassische Krypto-Verfahren dar, die vielfach und vielfältig in heutiger Hard- und Software zum Einsatz kommt. Hier schlägt das Forschungsgebiet der sog. Post-Quantum-Kryptographie Verfahren und Algorithmen vor, die auch einem Angriff mit einem leistungsfähigen Quantencomputer standhalten würden. Im Jahr 2016 hat das US-amerikanische National Institute of Standards and Technology (NIST) einen Aufruf zur Standardisierung solcher PQC-Verfahren gestartet.

Stand heute ist es noch völlig unklar, wie die neuen Verfahren einfach in bestehende und neue Soft- und Hardware integriert werden können. Darüber hinaus sind die neuen PQC-Verfahren in ihrer Handhabe durch einen Software-Entwickler weitaus komplexer und Implementierungsfehler und Fehler im Einsatz sind zu erwarten. Hier setzt das Projekt Use-A-PQClib an. Im Rahmen des Projekts wird eine – aus sich des Entwicklers – leicht zu benutzende API (Programmierschnittstelle) für Post-Quantum-Krypto-Verfahren und die zugehörigen PQC-Implementierungen entwickelt, die im Idealfall eine gemeinsame Abstraktion von klassischer und PQC-Verfahren subsumiert. Damit böte sich eine einfachere und fehlerminimierende Integration dieser Verfahren in aktuelle und zukünftige IT-Sicherheitsprodukte (Hard- und Software) an. Des Weiteren kümmert sich das Projekt um die Implementierung und Bereitstellung eines PQC-Testbeds für Drittanbieter, um die in Zukunft notwendig werdenden Interoperabilitätstests der zukünftigen PQC-Verfahren durchführen zu können.

Das Projekt wird gemeinschaftlich von der Arbeitsgruppe User-Centered Security (UCS) unter Leitung von Prof. Heinemann (Fachbereich Informatik, Hochschule Darmstadt) und der MTG AG (Darmstadt) durchgeführt. UCS übernimmt federführend die wissenschaftlichen Fragestellungen, insbesondere das Design und die Usability-Evaluierung der neu zu erarbeitenden PQC Krypto API und MTG bringt hier seine ausgewiesene Expertise im Bereich der IT-Sicherheitsinfrastrukturen (z.B. Publik-Key-Infrastrukturen) und Know-how zur Implementierung ein. Im Rahmen eines User-Centered Design Ansatzes (genauer Developer-Centered Design) arbeiten UCS und MTG sehr eng in allen Schritten und Arbeitspaketen zusammen. Fördergeber des Projekts ist das Hessisches Ministerium für Wissenschaft und Kunst (HMWK) über die LOEWE-Förderlinie 3, KMU-Verbundvorhaben.

Das Projekt wird nach unserem Kenntnisstand weltweit die erste PQC Krypto API entwickeln, deren Benutzbarkeit durch Software-Entwickler evaluiert wurde. Die Erkenntnisse sollen wissenschaftlich im Rahmen von wissenschaftlichen Veröffentlichungen und einem Promotionsvorhaben der IT-Sicherheitscommunity zugänglich gemacht werden. Die MTG AG wird die Projektergebnisse in ihre IT-Sicherheitsprodukte integrieren bzw. umsetzen können und damit zu den ersten Anbietern gehören, die PQC-Verfahren dem Markt zugänglich machen.

Forschungsprojekt - Training Security Awareness on the Job

Bei der Betrachtung von IT-Sicherheit in Unternehmen, Behörden, öffentlichen Einrichtungen und anderen Organisationen spielt neben technischen Maßnahmen (z. B. Firewalls, Virenschutz etc.) die Sensibilisierung der Mitarbeiter eine wichtige Rolle, insbesondere da Phishing-Angriffe (z. B. in Form von E-Mails) weit verbreitet sind und eine ernstzunehmende Bedrohung darstellen. Unternehmen stehen somit vor der Herausforderung ihre Mitarbeiter entsprechend zu schulen, damit Social Engineering Angriffe, welche u. a. auf die Leichtgläubigkeit des Nutzers abzielen, ins Leere laufen. Hier setzen Security Awareness Maßnahmen an, die ein Zusammenspiel aus Wissen, Können und Wollen in Bezug auf IT-sicherheitsrelevante Aspekte schulen. Die Entwicklung, Durchführung und Auswertung geeigneter Security Awareness Maßnahmen besitzt noch einen erheblichen Forschungsbedarf. Es ist nicht ausreichend, einem Nutzer ausschließlich Wissen über die Gefahren eines Phishing-Angriffs zu vermitteln, um eine nachhaltige Verhaltensänderung herbeizuführen.

Mit diesem Projekt soll untersucht werden, wie das IT-Sicherheitsverhalten von Anwendern im Rahmen ihrer täglichen Arbeit verbessert und geschult werden kann. Hierbei verfolgen wir als Ziel die Beantwortung der folgenden, noch offenen Forschungsfragen.

  • Wie lassen sich Security Awareness Maßnahmen möglichst natürlich in Arbeitsabläufe von Mitarbeitern integrieren?
  • Können sog. teachable moments im Arbeitsablauf identifiziert und genutzt werden?
  • Ob und wie lässt sich der Erfolg oder Misserfolg einer Security Awareness Maßnahme bzgl. Cyberangriffen messen?

Als weiteres Ziel soll ein belastbares Verständnis über das IT-Sicherheits-Know-How von typischen IT-Anwendern erarbeitet werden, um als Grundlage etwaiger zukünftiger Personalentwicklungsmaßnahmen in Unternehmen zu dienen.

Die aus den Projekten resultierenden Publikationen, Stellenausschreibungen und offene Abschlussarbeiten finden Sie weiter unten auf dieser Seite.

Lehrveranstaltungen

Die aktuellen Lehrveranstalltungen können Sie auf der Webseite von Prof. Dr. Andreas Heinemann entnehmen.

Abgeschlossene Arbeiten

 

2019

  • V. Erbenich, "Entwicklung einer Phishing-Laborstudie zur Evaluation von URL-Visualisierungen," Master Thesis, Hochschule Darmstadt, 2019. Die Ergebnisse werden auf der HAISA 2019 veröffentlicht.

2018

  • A. Zeier, “Benutzbarkeit von zustandsbehafteten, Hash-basierten Signaturverfahren,” Master Thesis, Hochschule Darmstadt, 2018. Die Ergebnisse werden auf der IWSEC 2019 veröffentlicht.

2017

  • D. Träder, “FIDO-konforme abgeleitete eID im E-Gouverment,” Master Thesis, Hochschule Darmstadt, 2017.

2016

  • A. Zeier, “Mobile Client/Server Anwendung zur anonymen Nachrichtenverbreitung mithilfe dynamischer MAC-Adressen,” Bachelor Thesis, Hochschule Darmstadt, 2016. Die Ergebnisse wurden auf der D-A-CH Security 2016 veröffentlicht. 

2015

  • F. Otterbein, “Konzeption und Sicherheitsevaluierung einer mobilen Online-Ausweisfunktion,” Master Thesis, Hochschule Darmstadt, 2015. 

2014

  • F. Otterbein, “Entwicklung eines sicheren Kurznachrichtendienstes unter dem Aspekt der User-Centered Security,” Bachelor Thesis, Hochschule Darmstadt, 2014. 
  • D. Träder, “Mobile Navigation für Rollstuhlfahrer,” Bachelor Thesis, Hochschule Darmstadt, 2014. 

Publikationen

 

2019

  • A. Zeier, A. Wiesmaier and A. Heinemann, "API Usability of Stateful Signature Schemes". To appear in Advances in Information and Computer Security (IWSEC), 2019.
  • V. Erbenich, D. Träder, A. Heinemann and M. Nural, "Phishing Attack Recognition by End-Users: Concepts for URL Visualization and Implementation". To be published at HAISA 2019. 
  • A. Heinemann and T. Straub, “Datenschutz muss benutzbar sein,” Datenschutz und Datensicherheit – DuD, vol. 43, iss. 1, pp. 7-12, 2019. 
    doi:10.1007/s11623-019-1052-3

    2018

    • D. Träder, A. Zeier, and A. Heinemann, “Auf dem Weg zu sicheren abgeleiteten Identitäten mit Payment Service Directive 2,” in Sicherheit 2018, Bonn, 2018, pp. 183-196. 
      [Download PDF]

    2017

    • D. Träder, A. Zeier, and A. Heinemann, “Design and implementation aspects of mobile derived identities,” Arxiv preprint arxiv:1707.06505, 2017. 
      [Download PDF]
    • D. Träder, A. Zeier, and A. Heinemann, “Design and Implementation Aspects of Mobile Derived Identities,” in Open identity summit, 2017. 
      [Download PDF]
    • D. Träder, A. Zeier, and A. Heinemann, “Design- und Implementierungsaspekte mobiler abgeleiteter IDs,” in D-A-CH Security 2017 Tagungsband, 2017, pp. 70-80. 
      [Download PDF]
    • G. Schembre and A. Heinemann, “Zur Wirksamkeit von Security Awareness Maßnahmen,” in D-A-CH Security 2017 Tagungsband, 2017, pp. 13-23. 
      [Download PDF]

    2016

    • A. Zeier and A. Heinemann, “AnonDrop — Räumlich begrenzte anonyme Informationsverbreitung,” in D-A-CH Security 2016 Tagungsband, 2016, pp. 241-252. 
      [Download PDF]
    • A. Heinemann, F. Kern, S. Lange, M. Margraf, and F. Otterbein, “Security-Management-as-a-Service für die öffentliche Verwaltung,” in D-A-CH Security 2016 Tagungsband. SECMGT Workshop, 2016. 
      [Download PDF]
    • S. Kostic, A. Heinemann, and M. Margraf, “Usability-Untersuchung eines Papierprototypen für eine mobile Online-Ausweisfunktion des Personalausweises,” in INFORMATIK 2016. Workshop Nutzerzentrierte Sicherheit, LNI Tagungsband, 2016. 
      [Download PDF]
    • J. Willomitzer, A. Heinemann, and M. Margraf, “Zur Benutzbarkeit der AusweisApp2,” in Mensch und Computer 2016 — Workshopband, Aachen, 2016. 
      [Download PDF]
    • F. Otterbein, T. Ohlendorf, and M. Margraf, “Mobile authentication with german eID,” in 11th International IFIP Summer School on Privacy and Identity Management, 2016. 
    • M. Margraf, S. Lange, and F. Otterbein, “Security Evaluation of Apple Pay at Point-of-Sale Terminal,” in 10th International Conference on Next Generation Mobile Applications, Services and Technologies, 2016. 

    2015

    • R. Creutzburg, M. Höding, R. Kirmes, K. Kröger, M. Margraf, M. Mertins, and E. von Faber, Praxis des Security Managements: Status Quo – Anwendung – Werkzeuge, S. Paulus, Ed., München, Deutschland: Open Source Press, 2015. 
    • M. Margraf and S. Pfeiffer, “Benutzerzentrierte Entwicklung für das Internet der Dinge,” Datenschutz und Datensicherheit – DuD, vol. 39, iss. 4, pp. 246-249, 2015. 

    2014

    • F. Breitinger, G. Ziroff, S. Lange, and H. Baier, “Similarity Hashing Based on Levenshtein Distances,” in Advances in Digital Forensics X – 10th IFIP WG 11.9 International Conference, 2014, Revised Selected Papers, 2014, pp. 133-147. 
    • S. Lange, M. Margraf, S. T. Ruehl, and S. A. W. Verclas, “On Valid and Optimal Deployments for Mixed-Tenancy Problems in SaaS-Applications,” in 2014 IEEE World Congress on Services, SERVICES 2014, 2014, pp. 287-294. 

    2012

    • M. Margraf, “Der elektronische Identitätsnachweis,” in RFID für Bibliothekare: Ein Vademecum, Verlag News & Media, 2012. 

    Kontakt

    Forschungsleiter
    Prof. Dr. Andreas Heinemann

    : D19,2.04
    +49.6151.16-38482
    andreas.heinemann@h-da.de
    Details zur Person

    Forschungsleiter
    Prof. Dr. Steffen Lange

    : D14,0.09
    +49.6151.16-38417
    steffen.lange@h-da.de
    Details zur Person

    Forschungsleiter
    Dr. Marian Margraf

    : D14,2.08
    +49.6151.16-38457
    marian.margraf@h-da.de