Gezielte personenbezogene Phishing-Angriffe (sogenanntes Spear Phishing) sind eine ernstzunehmende Bedrohung. Viele Organisationen führen deswegen simulierte Phishing-Angriffe durch, um das Sicherheitsbewusstsein der Mitarbeiter zu bewerten und zu erhöhen. Im Vortrag werden mögliche unerwünschte Seiteneffekte dieser Methode diskutiert und alternative Lösungen vorgeschlagen.

Bei Social Engineering (SE) wird durch Beeinflussungen der Opfer versucht ein bestimmtes Verhalten hervorzurufen und auszunutzen, um sensible Informationen zu beschaffen.

Gegenwärtig wenden Firmen hauptsächlich zwei Strategien an, um sich mit Social Engineering zu befassen. Zum einen beauftragen sie Penetration Tester, die Schwachstellen finden sollen. Bestenfalls finden die Pentester Schwachstellen und die betroffene Firma kann ihre Mitarbeiter schulen. Allerdings haben Experimente gezeigt, dass dieser Ansatz auch dazu führen kann, dass Angestellte demotiviert werden, wenn sie mit den Ergebnissen des Tests konfrontiert werden. Zum anderen führen Firmen Security Awareness Trainings durch, in denen die Mitarbeiter auf Social Engineering Bedrohungen hingewiesen werden. Oft sind diese Schulungen verpflichtend, haben aber keinen lang anhaltenden Effekt

Zur Schulung schlagen wir das Serious Game HATCH vor, dass das Verständnis der Arbeitnehmer von SE verbessert. Durch das Spiel entsteht außerdem eine Liste möglicher SE-Bedrohungen, die zur Verbesserung der Sicherheit dienen kann.

Dieser Vortrag widmet sich verschiedenen Sicherheitsmaßnahmen, die Nutzer auf ihren Smartphones verwenden. Dabei werden zuerst unterschiedliche Dimensionen des Benutzererlebnisses sowie Motivationsfaktoren, die die Nutzung von Sicherheitsmaßnahmen begründen, betrachtet.

Aufbauend auf den gewonnenen Erkenntnissen werden Fallstudien präsentiert, in denen verschiedene Sicherheitsmechanismen hinsichtlich ihres Potenzials positive Erlebnisse zu vermitteln getestet wurden.

Zehn Jahre nach der Vorstellung des ersten iPhone hat sich, einerseits

begünstigt durch immer neue Hardware-Features, andererseits notwendig durch

eine steigende Sensibilität für Datensicherheit und Privatsphäre, auch die Art

weiterentwickelt, wie wir uns online authentifizieren: Benutzername und

Passwort, komplexere Passwörter, Zwei-Faktor-Authentifizierung, zuletzt

Fingerabdruck- und Iris-Scanner.

Mit diesen Weiterentwicklungen wurden User Interfaces jedoch nicht nur

sicherer, sondern auch komplexer, weshalb „Usable security“ mitunter als

Oxymoron wahrgenommen wird. Eine der entscheidendsten Herausforderungen, vor

der Entwicklungsteams heute stehen, ist also die Vereinbarkeit von maximaler

Sicherheit und intuitiver Benutzererfahrung. Welche Voraussetzungen dafür

erfüllt, welche Hindernisse aus dem Weg geräumt und welche Fallstricke beachtet

werden müssen, diesen Fragestellungen versucht sich der Vortrag durch Einblicke

in den Projektalltag anzunähern.

Um auf möglichst effiziente Weise Produkte mit dem Qualitätsmerkmal Usable Security zu entwickeln, ist eine Unterstützung in frühen Prozessphasen notwendig. Mängel werden dann bestenfalls von Anfang an vermieden und müssen nicht in späteren, aufwendigen Prozessphasen identifiziert und nachgebessert werden.

Da eine umfassende, konsolidierte und deutschsprachige Quelle bislang fehlte, wurden im Rahmen des Projekts "USecureD - Usable Security by Design" Prinzipien, Richtlinien und Musterlösungen entwickelt, die als Arbeitsgrundlage für Softwarearchitekten und -entwickler sowie als Kommunikationsbasis in Entwicklungsteams dienen können.

Zahlreiche aktuelle Sicherheitsstudien stellen kritische Sicherheitslücken in weit verbreiteten Softwareprodukten fest, welche infolgedessen die Informationssicherheit der Anwender kompromittieren. Bei der Ursachenforschung fällt auf, dass Softwareentwickler unwissentlich oder unabsichtlich Fehler bei der Nutzung von Security-APIs machen. Als Grund hierfür konnte in vielen Fällen ein Mangel an Usability im Design dieser APIs identifiziert werden. Bisherige wissenschaftliche Erkenntnisse reichen jedoch bis dato nicht aus, um einen ganzheitlichen Ansatz für die Gebrauchstauglichkeit von Security-APIs skizzieren zu können. Somit fehlt ebenfalls die Grundlage für effektive Usability-Evaluationen.

Vor diesem Hintergrund wird in diesem Beitrag ein Modell der API Usability vorgestellt und darauf aufbauend elf spezifische Usability Ziele für Security APIs diskutiert, die aus den Erkenntnissen aktueller Sicherheitsstudien extrahiert werden konnten.

We present the concept of Just-In-Time (JIT) static analysis that interleaves code development and bug fixing in an integrated development environment. Unlike traditional static analysis tools, a JIT analysis tool presents warnings to code developers over time, providing the most relevant results quickly, and computing less relevant results incrementally later.

We describe general guidelines for designing JIT analyses. We also present a general recipe for turning static data-flow analyses into JIT analyses through a concept of layered analysis execution illustrated through Cheetah, a JIT taint analysis for Android applications. Our empirical evaluation of Cheetah on real-world applications shows that our approach returns warnings quickly enough to avoid disrupting a developer's workflow, a finding confirmed by developers in our user study.

Many aspects of information security combine technical and human factors. If a highly secure system is unusable, users will try to circumvent the system or migrate entirely to less secure but more usable systems. Problems with usability are a major contributor to many recent high-profile security failures. The research domain of usable security and privacy addresses these issues.

However, the main focus of researchers in this field has been on the “non-expert” end-user. After placing this issue in context of current research, the presenter will argue that we need to push the frontiers of usable security research to include the human aspects of system security and the administrators and developers involved in it.

The talk will use Malware and Vulnerability Analysis as an example to illustrate usable security and privacy issues across all levels and for all actors involved in the system.