1. SPP 1079: Sicherheit in der Informations- und
Kommunikationstechnik
Sichere IT-Systeme
Informatik 2003, 30. September 2003
Sven Wohlgemuth
Prof. Dr. Günter Müller
Institut für Informatik und Gesellschaft
Abteilung Telematik
Albert-Ludwigs-Universität Freiburg
2. Sichere IT-Systeme 2
Überblick
I. SPP Sicherheit
• CeBIT-Szenario
• CeBIT-Demonstrator
• Einige Zahlen zur Wissenschaft
II. ATUS (A Toolkit for Usable Security)
• Untersuchte Systeme
• Ausgangspunkt: Problemklassen
• Usable Security Evaluation (USE)
• USE: Beispiel Signtrust Mail
• User-Centered Security Engineering (UCSec)
• UCSec: Beispiel iManager
• UCSec: Online-Befragung
III. Zukunft
6. Sichere IT-Systeme 6
173 Veröffentlichungen
mit Review: 150
− international: 113
− national: 37
ohne Review: 23
− Zeitschriften: 46
− Konferenzen: 104
• ACM CCS: 2
• ACSAC: 1
• Crypto-Reihe: 5
• ESORICS: 4
• GI-Jahrestagung: 7
• IEEE Symp. on Security and Privacy: 2
• IEEE Computer Security Found.: 2
• Inf. Security (ISC): 2
• Inf. and Comm. Security (ICICS): 2
• Workshop on Design Issues in
Anonymity and Unobservability: 4
Einige Zahlen zur Wissenschaft (1)
7. Sichere IT-Systeme 7
Promotionen
– abgeschlossen: 12
– geplante Abschlüsse in Phase III: 20
Publikationen über das SPP Sicherheit
– Müller, G., Eckert, C.: Sicherheit 2003, Praxis der Informationsverarbeitung
und Kommunikation (PIK), K. G. Saur Verlag, 2003
– Wohlgemuth, S., Gerd tom Markotten, D., Jendricke, U., Müller, G.: DFG-
Schwerpunktprogramm „Sicherheit in der Informations- und
Kommunikationstechnik“, it-information technology, 45(5), Oldenbourg
Verlag, 2003
– Müller, G., Reichenbach, M.: Sicherheitskonzepte für das Internet, Springer
Xpert.press, Mai 2001.
– Müller, G., Kreutzer, M.: IT Sicherheit, Informationstechnik und Technische
Informatik (it+ti), Heft 5, Oldenbourg Verlag, 2001
– Müller, G., Gerd tom Markotten, D.: Wirtschaftsinformatik – Schwerpunkt:
Sicherheit in der Informations- und Kommunikationstechnik, Heft 6, Vieweg,
2000
Einige Zahlen zur Wissenschaft (2)
8. Sichere IT-Systeme 8
Überblick
I. SPP Sicherheit
• CeBIT-Szenario
• CeBIT-Demonstrator
• Einige Zahlen zur Wissenschaft
II. ATUS (A Toolkit for Usable Security)
• Untersuchte Systeme
• Ausgangspunkt: Problemklassen
• Usable Security Evaluation (USE)
• USE: Beispiel Signtrust Mail
• User-Centered Security Engineering (UCSec)
• UCSec: Beispiel iManager
• UCSec: Online-Befragung
III. Zukunft
9. Sichere IT-Systeme 9
II. Untersuchte Systeme
• Nutzeranforderungen durch
Nutzerbefragung
• Entwicklung von
– Evaluationsmethode (USE)
– Vorgehensweise (UCSec)
Sicheres Betriebssystem
(München)
Spontane Vernetzung
(Rostock)
Dig. Geldbörse
(Gießen)
E-Ticket
(Augsburg)
Anondienst
JAP
(Dresden)
Elliptische Kurven
(Darmstadt)
(Freiburg)
Biometris
ches
Signier-
werkzeug
Benutzbare Sicherheit (ATUS)
Hardwareerweiterung für spontane Vernetzung
(Rostock)
iMana
ger
MobilesEndgerät
10. Sichere IT-Systeme 10
Sicherheitskonzept nicht vertrautSicherheitskonzept vertraut
Gefährdung der
• Vertraulichkeit
• Integrität
• Zurechenbarkeit
• Verfügbarkeit
Sicherheitskritisches
Fehlverhalten
Sicherheits-
probleme
Benutzbarkeits-
probleme
Sicherheits-
kritische
Benutzbarkeits-
probleme
[KaRe2002]
Ausgangspunkt: Problemklassen
Problemklasse I Problemklasse IV
Problemklasse II Problemklasse III
16. Sichere IT-Systeme 16
• 75% der identifizierten Probleme sind sicherheitskritische
Benutzbarkeitsprobleme
• Trotz Sicherheitszertifizierung sind Schwachstellen vorhanden
10
48
42
20
0
10
20
30
40
50
60
Problemklasse I Problemklasse II Problemklasse III Problemklasse IV
AnzahlderNennungen
Ergebnisse: Signtrust Mail (4)
[Ge2003]
17. Sichere IT-Systeme 17
Analyse
Implementierung
und Test
Entwurf
Funktions-
analyse
Analyse
Bedrohungs-/
Risikoanalyse
Sicherheits-/
Strategiemodell
Nutzer als Angriffsobjekt
Nutzerverhalten
Adäquates
Sicherheitsniveau
Design und
Implementierung
Evaluation
und Test
Design
Test
Gestaltungsrichtlinien /
USE
Abschlusstest
User-Centered Security Engineering (UCSec)
für Problemklasse III
[Ge2003]Bewertung von UCSec noch nicht möglich
19. Sichere IT-Systeme 19
Ziel: Nutzermodellierung für adaptive Schnittstelle
Umfrage
– Fragebogen im Internet (www.telematik.uni-freiburg.de/umfrage/)
– Anwendungskontext: WWW-Nutzung
– Sicherheitsbedürfnisse und Lernbereitschaft
– Beantwortungszeit: 20 bis 30 Minuten
– Zeitraum: Januar bis Mitte April 2003
– Teilnehmer gesamt: 1027
[Ka2003]
UCSec: Online-Befragung
20. Sichere IT-Systeme 20
• Auswertung der Online-Befragung
• Verbesserung von UCSec für adaptive Schnittstellen
• Fertigstellung des iManagers, insbesondere Erweiterung um
Sicherheitsprotokolle zur Authentifikation
• Bewertung von UCSec mit Erfahrung aus iManager-
Entwicklung
III. ATUS in Phase III