CAST-Workshop

Usable Security

Termin: 09.02.2017
Dauer: 10:00-17:00
Ort: Fraunhofer SIT
Rheinstraße 75
64295 Darmstadt

Programm

10:00
Begrüßung und Moderation
Andreas Heinemann
Hochschule Darmstadt, CAST e.V
Andreas Heinemann
Luigi Lo Iacono
TH Köln
Luigi Lo Iacono
Melanie Volkamer
Karlstad University, TU Darmstadt
Melanie Volkamer
10:10
Zinaida Benenson
FAU Erlangen-Nürnberg
Zinaida Benenson
Pentesting the Humans: Chancen, Risiken und Nebenwirkungen der simulierten Phishing-Angriffe

Gezielte personenbezogene Phishing-Angriffe (sogenanntes Spear Phishing) sind eine ernstzunehmende Bedrohung. Viele Organisationen führen deswegen simulierte Phishing-Angriffe durch, um das Sicherheitsbewusstsein der Mitarbeiter zu bewerten und zu erhöhen. Im Vortrag werden mögliche unerwünschte Seiteneffekte dieser Methode diskutiert und alternative Lösungen vorgeschlagen.

10:45
Sebastian Pape
Universität Frankfurt
Sebastian Pape
HATCH: Hack And Trick Capricious Humans – A Serious Game on Social Engineering

Bei Social Engineering (SE) wird durch Beeinflussungen der Opfer versucht ein bestimmtes Verhalten hervorzurufen und auszunutzen, um sensible Informationen zu beschaffen.

Gegenwärtig wenden Firmen hauptsächlich zwei Strategien an, um sich mit Social Engineering zu befassen. Zum einen beauftragen sie Penetration Tester, die Schwachstellen finden sollen. Bestenfalls finden die Pentester Schwachstellen und die betroffene Firma kann ihre Mitarbeiter schulen. Allerdings haben Experimente gezeigt, dass dieser Ansatz auch dazu führen kann, dass Angestellte demotiviert werden, wenn sie mit den Ergebnissen des Tests konfrontiert werden. Zum anderen führen Firmen Security Awareness Trainings durch, in denen die Mitarbeiter auf Social Engineering Bedrohungen hingewiesen werden. Oft sind diese Schulungen verpflichtend, haben aber keinen lang anhaltenden Effekt

Zur Schulung schlagen wir das Serious Game HATCH vor, dass das Verständnis der Arbeitnehmer von SE verbessert. Durch das Spiel entsteht außerdem eine Liste möglicher SE-Bedrohungen, die zur Verbesserung der Sicherheit dienen kann.

11:20 Kaffeepause
11:50
Lydia Kraus
TU Berlin
Lydia Kraus
Smartphone-Sicherheit als Erlebnis

Dieser Vortrag widmet sich verschiedenen Sicherheitsmaßnahmen, die Nutzer auf ihren Smartphones verwenden. Dabei werden zuerst unterschiedliche Dimensionen des Benutzererlebnisses sowie Motivationsfaktoren, die die Nutzung von Sicherheitsmaßnahmen begründen, betrachtet.

Aufbauend auf den gewonnenen Erkenntnissen werden Fallstudien präsentiert, in denen verschiedene Sicherheitsmechanismen hinsichtlich ihres Potenzials positive Erlebnisse zu vermitteln getestet wurden.

12:25
Frank Schneider
Incloud GmbH
Frank Schneider
Usable Security: Abkürzungen auf dem Weg vom Widerspruch zum Erfolgsrezept

Zehn Jahre nach der Vorstellung des ersten iPhone hat sich, einerseits

begünstigt durch immer neue Hardware-Features, andererseits notwendig durch

eine steigende Sensibilität für Datensicherheit und Privatsphäre, auch die Art

weiterentwickelt, wie wir uns online authentifizieren: Benutzername und

Passwort, komplexere Passwörter, Zwei-Faktor-Authentifizierung, zuletzt

Fingerabdruck- und Iris-Scanner.

Mit diesen Weiterentwicklungen wurden User Interfaces jedoch nicht nur

sicherer, sondern auch komplexer, weshalb „Usable security“ mitunter als

Oxymoron wahrgenommen wird. Eine der entscheidendsten Herausforderungen, vor

der Entwicklungsteams heute stehen, ist also die Vereinbarkeit von maximaler

Sicherheit und intuitiver Benutzererfahrung. Welche Voraussetzungen dafür

erfüllt, welche Hindernisse aus dem Weg geräumt und welche Fallstricke beachtet

werden müssen, diesen Fragestellungen versucht sich der Vortrag durch Einblicke

in den Projektalltag anzunähern.

13:00 Mittagsbuffet
14:00
Hartmut Schmitt
HK Business Solutions GmbH
Hartmut Schmitt
Usable Security Principles, Guidelines und Patterns

Um auf möglichst effiziente Weise Produkte mit dem Qualitätsmerkmal Usable Security zu entwickeln, ist eine Unterstützung in frühen Prozessphasen notwendig. Mängel werden dann bestenfalls von Anfang an vermieden und müssen nicht in späteren, aufwendigen Prozessphasen identifiziert und nachgebessert werden.

Da eine umfassende, konsolidierte und deutschsprachige Quelle bislang fehlte, wurden im Rahmen des Projekts "USecureD - Usable Security by Design" Prinzipien, Richtlinien und Musterlösungen entwickelt, die als Arbeitsgrundlage für Softwarearchitekten und -entwickler sowie als Kommunikationsbasis in Entwicklungsteams dienen können.

14:35
Peter Leo Gorski
TH Köln
Peter Leo Gorski
Zur Gebrauchstauglichkeit von Security APIs

Zahlreiche aktuelle Sicherheitsstudien stellen kritische Sicherheitslücken in weit verbreiteten Softwareprodukten fest, welche infolgedessen die Informationssicherheit der Anwender kompromittieren. Bei der Ursachenforschung fällt auf, dass Softwareentwickler unwissentlich oder unabsichtlich Fehler bei der Nutzung von Security-APIs machen. Als Grund hierfür konnte in vielen Fällen ein Mangel an Usability im Design dieser APIs identifiziert werden. Bisherige wissenschaftliche Erkenntnisse reichen jedoch bis dato nicht aus, um einen ganzheitlichen Ansatz für die Gebrauchstauglichkeit von Security-APIs skizzieren zu können. Somit fehlt ebenfalls die Grundlage für effektive Usability-Evaluationen.

Vor diesem Hintergrund wird in diesem Beitrag ein Modell der API Usability vorgestellt und darauf aufbauend elf spezifische Usability Ziele für Security APIs diskutiert, die aus den Erkenntnissen aktueller Sicherheitsstudien extrahiert werden konnten.

15:10 Kaffeepause
15:40
Eric Bodden
Universität Paderborn
Eric Bodden
Just-in-Time Static Analysis

We present the concept of Just-In-Time (JIT) static analysis that interleaves code development and bug fixing in an integrated development environment. Unlike traditional static analysis tools, a JIT analysis tool presents warnings to code developers over time, providing the most relevant results quickly, and computing less relevant results incrementally later.

We describe general guidelines for designing JIT analyses. We also present a general recipe for turning static data-flow analyses into JIT analyses through a concept of layered analysis execution illustrated through Cheetah, a JIT taint analysis for Android applications. Our empirical evaluation of Cheetah on real-world applications shows that our approach returns warnings quickly enough to avoid disrupting a developer's workflow, a finding confirmed by developers in our user study.

16:15
Sergej Dechand
Universität Bonn
Usable Malware Analysis

Many aspects of information security combine technical and human factors. If a highly secure system is unusable, users will try to circumvent the system or migrate entirely to less secure but more usable systems. Problems with usability are a major contributor to many recent high-profile security failures. The research domain of usable security and privacy addresses these issues.

However, the main focus of researchers in this field has been on the “non-expert” end-user. After placing this issue in context of current research, the presenter will argue that we need to push the frontiers of usable security research to include the human aspects of system security and the administrators and developers involved in it.

The talk will use Malware and Vulnerability Analysis as an example to illustrate usable security and privacy issues across all levels and for all actors involved in the system.

16:50
Andreas Heinemann
Hochschule Darmstadt, CAST e.V.
Luigi Lo Iacono
TH Köln
Melanie Volkamer
Karlstad University, TU Darmstadt
Zusammenfassung und Ausblick

Informationen und Kontakt

Wenn Sie noch Fragen haben, wenden Sie sich bitte an:

Moderation

Luigi Lo Iacono
TH Köln
Tel.: +49 221-8275-2527
E-Mail:

Melanie Volkamer
Karlstad University/TU Darmstadt
Tel.: +49 6151-16-20813
E-Mail:

Administration

Claudia Prediger
CAST e.V.
Tel.: +49 6151 869-230
E-Mail:

Cluster Management Excellence>

Wichtige Links