..
Suche

Personensuche
Veranstaltungssuche
Katalog der UB Siegen
 

Forschunsaktivitäten

Am Lehrstuhl IT-Sicherheitsmanagement werden Fragestellungen zur Informationssicherheit und dem Schutz der Privatsphäre mit empirischen und gestaltungsorientierte Methoden untersucht.

Die empirischen Forschungsaktivitäten verfolgen primär das Ziel, Anwender, Entwickler und Entscheider über Risiken aufzuklären. Konkret geht es mir dabei darum

  1. gut nachvollziehbar darzustellen, welche Risiken für die Privatsphäre die Auswertung von Daten birgt, die inzwischen durch die weitgehende technische Durchdringung des Alltags möglich ist (Inferenzangriffe);
  2. die Realisierbarkeit von Anwendungen zu untersuchen, die erst durch die Auswertung von Nutzerdaten möglich werden, etwa die forensische Analyse von Netzwerkverkehr zur Aufklärung von Straftaten;
  3. Art und Umfang der Umsetzung datenschutzrechtlicher Anforderungen in betrieblichen Anwendungen und Prozessen zu evaluieren, um zu einem sorgfältigeren Umgang mit personenbezogenen Daten beizutragen.
Die gestaltungsorientierten Aspekte der Forschung verfolgen drei Ziele:
  1. Techniken zu entwickeln und zu untersuchen, mit denen sich gebrauchstaugliche und zugleich sicherer Informationssysteme konstruieren lassen;
  2. Mechanismen zu entwerfen, die von Software-Entwicklern verwendet werden können, um es Anwendern zu ermöglichen, die Wirksamkeit von Datenschutzfunktionen leichter nachzuvollziehe;
  3. unaufdringliche und maßgeschneiderte Schutztechniken zu entwickeln, die ihre Wirkung auch ohne Zutun des Nutzers entfalten und somit auch unbedarften Anwendern zugute kommen.

 

Aktuell laufende Projekte

Verhaltensbasierte Wiedererkennung von Internetnutzern: Werbenetze verfolgen heute die Aktivitäten von Internetnutzern mittels aktiver Tracking-Techniken wie Cookies und Browser-Fingerprinting. Es wird untersucht, wie gut sich Internetnutzer mit einem passiven Verfahren wiedererkennen lassen. Dabei wird ausgenutzt, dass die meisten Nutzer charakteristische und wiederkehrende Verhaltensmuster aufweisen. In Zusammenarbeit mit Machine-Learning-Experten werden Praxistauglichkeit der verhaltensbasierten Wiedererkennung und das damit einhergehende Risiko für die Privatsphäre evaluiert.

Gestaltung spezieller Datenschutztechniken: Mit generischen Datenschutztechniken (z. B. Tor) lassen sich beliebige Anwendungen datenschutzfreundlich nutzen. Generische Techniken werden allerdings wegen ihrer geringen Performanz und unzureichenden Benutzbarkeit von den meisten Nutzern nicht akzeptiert. Am Lehrstuhl werden daher Techniken gestaltet, die eine datenschutzfreundliche Nutzung in speziellen Anwendungsfällen ermöglichen. Ein Beispiel ist der Dienst EncDNS sowie ein Verfahren, bei dem der Internetanbieter seinen Kunden äußerst kurzlebige IP-Adressen zuteilt. Dadurch werden die einzelnen Aktivitäten unverkettbar. Geeignete Techniken für "zero-effort privacy" werden im Rahmen des BMBF-Projekts AN.ON-Next untersucht.

Evaluation betrieblicher Datenschutzprozesse: Bürgerinnen und Bürger haben umfangreiche Rechte an ihren personenbezogenen Daten. Inwiefern sich diese Rechte in der Praxis durchsetzen lassen bzw. woran die Durchsetzung scheitert ist noch unbekannt. Am Lehrstuhl wird daher untersucht, wie Unternehmen reagieren, wenn sie aufgefordert werden, über gespeicherte Daten Auskunft zu geben bzw. personenbezogene Daten, die nicht mehr benötigt werden, zu löschen.

 

Abgeschlossene Projekte

Beobachtungsmöglichkeiten im Domain Name System: /* Layout-provided Styles */ div.standard { text-indent: 2em; margin-bottom: 2ex; } Es wurden verschiedene Beobachtungsmöglichkeiten im Domain Name System aufgedeckt und auf das DNS zugeschnittene Schutzmechanismen entworfen.

Website Fingerprinting: Mit Techniken zur Verbindungsverschlüsselung (VPNs, Tunnel, Anonymisierungsdienste) soll verhindert werden, dass Unbefugte ermitteln können, welche Webseiten ein Nutzer abruft. Es wurd ein Website-Fingerprinting-Verfahren entwickelt, um zu demonstrieren, dass gängige Verschlüsselungstechniken weniger Sicherheit bieten als angenommen. Das Verfahren beruht auf Techniken des überwachten maschinellen Lernens und nutzt die Tatsache aus, dass beim Abruf vieler Webseiten charakteristische Folgen von IP-Paketen mit verschiedenen Längen zu beobachten sind.

Validierung von TLS-Zertifikaten im Browser: Die Sicherheit von HTTPS-Verbindungen hängt davon ab, dass die auf Webservern eingesetzten Zertifikate ordnungsgemäß beglaubigt werden. In der Vergangenheit kam es jedoch zur Kompromittierung mehrerer Zertifizierungsstellen. Abhilfe entspricht das Konzept "Laribus", ein Notar-Dienst, der die Validierung von Zertifikaten mittels Peer-to-Peer-Techniken auf mehrere Nutzer verteilt. Im Gegensatz zu anderen Ansätzen wird dabei die Privatsphäre der Nutzer mit geeigneten datenschutzfreundlichen Techniken geschützt.