Willkommen bei der Arbeitsgruppe Kryptographie und Sicherheit des Instituts für Informationssicherheit und Verlässlichkeit

Am 30.06. lud das Land Baden-Württemberg zum Abschluss der 72.

Nobelpreisträgertagung in Lindau die Preisträger*innen zusammen mit

Forschenden zur traditionellen Schifffahrt auf dem Bodensee ein. Das

Abschlussplenum fand anschließend auf der Insel Mainau statt. Die Tagung

hat sich zum Ziel gesetzt, den interdisziplinären Dialog Forschender zu

fördern. Jörn Müller-Quade und Jeremias Mechler von den KASTEL Security

Research Labs am Karlsruher Institut für Technologie stellten den

Geladenen ein kryptographisches Verfahren vor, das privatsphäreschonende

Berechnungen auf privaten Daten ermöglicht. Neu an dem Verfahren ist die

Verwendung von vertrauenswürdiger Hardware, ohne dabei der Hardware voll

vertrauen zu müssen. Das neue Protokoll hat Anwendungen in der Medizin

und stellt eine erste Kooperation mit dem vor Kurzem gegründeten

KIT-Zentrum HealthTech dar. Laut Jörn Müller-Quade und Jeremias Mechler

fand auf der Schifffahrt ein reger Austausch mit den Teilnehmenden

statt. Auf besonderes Interesse stieß die neu entwickelte Software bei

Wissenschaftsministerin Petra Olschowski.

Mit den Auswirkungen des Coronavirus beschäftigen sich weltweit Experten unterschiedlichster Disziplinen; neben Aktivitäten von Virologen und Medizinern im Rahmen von klinischen und anwendungsorientierten Studien, die zur Findung eines Gegenmittels sowie zur Steigerung des Verständnis über das Virus dienen, wirft die Pandemie auch Fragen für Experten anderer Felder auf, wodurch auch Soziologen, Psychologen, Juristen, Wirtschaftswissenschaftler und IT-Sicherheitsexperten gefragt sind.

Um hier die Forschung in Deutschland zu koordinieren und Grundlagenforschung speziell für Themen zu stärken, die in Pandemien wichtig sind, wurde ein interdisziplinäre Kommission von DFG-Präsidentin Prof. Dr. Katja Becker ins Leben gerufen. Unter den 18 Mitgliedern der Kommission, die aus unterschiedlichsten Disziplinen, wie Medizin, Geografie, Virologie, Soziologie, Wirtschaft und Jura stammen, vertritt Institutsleiter Prof. Jörn Müller-Quade für die nächsten zwei Jahre die Seite der IT-Sicherheit. Im Rahmen der Kommission gehört es zu seinen Aufgaben, den Überblick über die Grundlagenforschung in dem Gebiet zu überblicken und darauf nötige Forschungsfragen abzuleiten, die hinsichtlich Pandemien (interdisziplinär) erforscht werden sollten.

Elektronische Mautsysteme werden inzwischen überall auf der Welt benutzt. Sie werden nicht nur verwendet, um die Verkehrsinfrastruktur zu finanzieren, sondern auch für komplexere Ziele, beispielsweise Staumanagement und Reduktion der Luftverschmutzung. Dies wird durch ein adaptives Preisschema realisiert, welches den Nutzer dazu motivieren soll, weniger ausgelastete Strecken zu bevorzugen.

Konventionelle elektronische Mautsysteme identifizieren den Nutzer bei jedem Bezahlvorgang und können dadurch die Bewegungen jedes Autofahrers nachverfolgen – was natürlich die Privatsphäre des Nutzers verletzt.

In einem kürzlich auf dem „Privacy Enhancing Technologies Symposium (PETS)“ vorgestellten Beitrag beschreiben Valerie Fetzer, Matthias Nagel und Rebecca Schwerdt (alle KIT) zusammen mit Andy Rupp (Universite de Luxembourg) und Max Hoffmann (Ruhr-Universität Bochum), wie dies auch ohne Eingriffe in die Privatsphäre funktionieren kann. Der Artikel „P4TC — Provably-Secure yet Practical Privacy-Preserving Toll Collection“ beschreibt ein neuartiges elektronisches Mautverfahren, welches die Privatsphäre des Nutzers respektiert und dabei effizient und beweisbar sicher ist.

Im Internet ist es allgemeine Praxis, dass Internetseiten versuchen, wiederkehrende Nutzer als solche zu identifizieren, um ihnen auf ihre Interessen zugeschnittene Werbung zuzuteilen. Als Abhilfe dagegen bieten moderne Webbrowser wie Firefox und Chrome den sog. „privaten Modus“ (oder „Inkognito-Modus“) an. Dieser soll durch den Verzicht auf Cookies, Browserverlauf und weitere identifizierende Merkmale das Tracking einzelner Nutzer über mehrere Sitzungen hinweg erschweren.

Während Chrome im Inkognito-Modus zwar Cookies, Webseitendaten und Browserverlauf nicht nutzerseitig speichert, um das Tracking bei besuchten Webseiten zu erschweren, liefert der Browser dennoch viele Daten an Google, den Hersteller des Browsers, sowie den besuchten Webseiten aus. Die Frage, ob dies rechtens ist, oder als bewusste Irreführung und Betrug gehandhabt wird, wird momentan in den USA vor Gericht geklärt.

Um genau dieses Thema geht es in einem Artikel der Süddeutschen . Darin wurden Institutsleiter Prof. Jörn Müller-Quade und Prof. Thorsten Strufe von der Arbeitsgruppe Praktische IT-Sicherheit befragt. In dem Artikel plädieren beide für mehr Transparenz bei der Datensammlung und durchleuchten die Möglichkeit, dass es sich um ein allgemeines Missverständnis handelt: während Google die Ansicht vertritt, dass der private Modus Modus lediglich einen Verzicht auf Speicherung von Daten auf dem Nutzergerät beinhaltet, verstehen viele Nutzer den Modus als Freifahrtsschein für anonymes Surfen.

Da aus technischen Gründen jedoch auch im Inkognito-Modus Daten wie die IP-Adresse sowie Browser-spezifische Einstellungen zur korrekten Webseitendarstellung benötigt werden, empfiehlt Prof. Strufe Nutzern, die wirklich anonym surfen wollen, den Tor-Browser .

In der aktuellen SARS-CoV-2 Pandemie könnten Smartphone-Apps zum sog. „Contact Tracing“ den Menschen mehr Freiheiten erlauben, indem anstelle der bisherigen mühsamen Nachverfolgung von Infektionsketten, Menschen automatisch gewarnt werden, die in näherem Kontakt mit einer an Corona infizierten Person waren.

Die Apps messen etwa durch Bluetooth- oder GPS-Module über das Smartphone, ob sich zwei Personen zu Nahe gekommen sind. Es existieren verschiedene Vorschläge, die behaupten privatsphäreschonend zu sein, ohne dass es hierfür bisher eine genaue Definition gab. Prof. Thorsten Strufe hat nun mit seiner Gruppe zum ersten Mal formal definiert, was Privatsphäre im Rahmen von Contact Tracing Apps bedeutet  und unterschiedliche vorgeschlagene Ansätzen diesbezüglich verglichen.

Zur Zeit werden grob zwei Ansätze unterschieden: ein zentraler Ansatz, bei dem in einem zentralen Datenspeicher alle Informationen pseudonymisiert hinterlegt werden und ein die Privatsphäre vor den zentralen Autoritäten stärker schützender dezentraler Ansatz. Ein zentrales Datenlager birgt ein großes Missbrauchspotential, da man trotz der Pseudonymisierung Soziale Graphen ableiten kann oder Rückschlüsse auf den Tagesablauf von Privatpersonen ziehen kann. Dies ist kaum vereinbar mit der Informationellen Selbstbestimmung der Nutzer und schon die Gefahr eines Missbrauchs könnte die soziale Akzeptanz – und damit die Verwendung – einer solchen App stark mindern.

Diese Probleme wurden in einem offenen Brief zusammen gefasst, den auch vom Institutsleiter Prof. Jörn Müller-Quade und sowie von Prof. Thorsten Strufe, Institutsleiter der Arbeitsgruppe Praktische IT-Sicherheit (PS), unterschrieben haben. Der Brief wurde am 20. April veröffentlicht und wurde von insgesamt 300 namenhaften Wissenschaftlern, die auf dem Gebiet der Sicherheit, der Privatsphäre und der Kryptographie tätig sind, unterschrieben.

Der neue berufsbegleitende M.Sc. Studiengang "Information Systems Engineering and Management (ISEM)" ist erfolgreich an der HECTOR School of Engineering and Management gestartet. Im Zentrum des Studiengangs steht die Digitale Transformation von Produkten, Dienstleistungen und Organisationen. Entsprechend gibt es auch ein neues Pflicht-Modul zu Security and Privacy Engineering mit Vorlesungen zu Information Security (Prof. Melanie Volkamer), Applied Cryptography (Prof. Jörn Müller-Quade), Network Security (Prof. Thorsten Strufe), Data Protection Regulations (Prof. Franziska Böhm) und Emerging Technologies and Critical Information Infrastructures (Prof. Ali Sunyeav).

Den Masterstudiengang zeichnet eine Kombination aus Management- und Technologiethemen aus, sowie die Spezialisierungsmöglichkeit in „Digital Services“ oder „Autonomous Robotics“. Wie bei allen Masterprogrammen der HECTOR School profitieren die Teilnehmenden auch bei „Information Systems Engineering and Management“ von einer interdisziplinären und internationalen Gruppe – Diversität ist damit nicht nur ein besonderes Erlebnis, sondern auch Teil der Lernerfahrung und stärkt essenzielle Life und Soft Skills.

Weitere Informationen zum Studiengang und Bewerbung finden Sie auf der Webseite der HECTOR School.

Am 12. Juli 2019 erschien die zweite Ausgabe  der acatech HORIZONTE unter dem Thema „Cyber Security“ in der auch Institutsleiter und acatech-Mitglied Prof. Jörn Müller-Quade vertreten war. Die Ausgabe möchte insbesondere Gesellschaft und Politik über Gefährdungsfelder im Internet aufklären und darauf aufmerksam machen, dass das Thema Cybersicherheit jeden betrifft, denn in der digital vernetzten Welt nehmen die Anzahl und die Qualität von Cyberangriffen weltweit zu. Die Aufklärung über Gefährdungsfelder und Möglichkeiten zum Schutz vor Cyberangriffen sei daher eine wichtige Aufgabe, der sich diese Ausgabe der Publikationsreihe widmet.