10:00 | |
Begrüßung und Moderation
|
|
Andreas Heinemann
Hochschule Darmstadt, CAST e.V
Luigi Lo Iacono
TH Köln
Melanie Volkamer
Karlstad University, TU Darmstadt
|
|
10:10 | |
Zinaida Benenson
FAU Erlangen-Nürnberg
|
Pentesting the Humans: Chancen, Risiken und Nebenwirkungen der simulierten Phishing-Angriffe
Gezielte personenbezogene Phishing-Angriffe (sogenanntes Spear Phishing) sind eine ernstzunehmende Bedrohung. Viele Organisationen führen deswegen simulierte Phishing-Angriffe durch, um das Sicherheitsbewusstsein der Mitarbeiter zu bewerten und zu erhöhen. Im Vortrag werden mögliche unerwünschte Seiteneffekte dieser Methode diskutiert und alternative Lösungen vorgeschlagen.
CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
|
10:45 | |
Sebastian Pape
Universität Frankfurt
|
HATCH: Hack And Trick Capricious Humans A Serious Game on Social Engineering
Bei Social Engineering (SE) wird durch Beeinflussungen der Opfer versucht ein bestimmtes Verhalten hervorzurufen und auszunutzen, um sensible Informationen zu beschaffen. Gegenwärtig wenden Firmen hauptsächlich zwei Strategien an, um sich mit Social Engineering zu befassen. Zum einen beauftragen sie Penetration Tester, die Schwachstellen finden sollen. Bestenfalls finden die Pentester Schwachstellen und die betroffene Firma kann ihre Mitarbeiter schulen. Allerdings haben Experimente gezeigt, dass dieser Ansatz auch dazu führen kann, dass Angestellte demotiviert werden, wenn sie mit den Ergebnissen des Tests konfrontiert werden. Zum anderen führen Firmen Security Awareness Trainings durch, in denen die Mitarbeiter auf Social Engineering Bedrohungen hingewiesen werden. Oft sind diese Schulungen verpflichtend, haben aber keinen lang anhaltenden Effekt Zur Schulung schlagen wir das Serious Game HATCH vor, dass das Verständnis der Arbeitnehmer von SE verbessert. Durch das Spiel entsteht außerdem eine Liste möglicher SE-Bedrohungen, die zur Verbesserung der Sicherheit dienen kann.
CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
|
11:20 | Kaffeepause |
11:50 | |
Lydia Kraus
TU Berlin
|
Smartphone-Sicherheit als Erlebnis
Dieser Vortrag widmet sich verschiedenen Sicherheitsmaßnahmen, die Nutzer auf ihren Smartphones verwenden. Dabei werden zuerst unterschiedliche Dimensionen des Benutzererlebnisses sowie Motivationsfaktoren, die die Nutzung von Sicherheitsmaßnahmen begründen, betrachtet. Aufbauend auf den gewonnenen Erkenntnissen werden Fallstudien präsentiert, in denen verschiedene Sicherheitsmechanismen hinsichtlich ihres Potenzials positive Erlebnisse zu vermitteln getestet wurden.
CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
|
12:25 | |
Frank Schneider
Incloud GmbH
|
Usable Security: Abkürzungen auf dem Weg vom Widerspruch zum Erfolgsrezept
Zehn Jahre nach der Vorstellung des ersten iPhone hat sich, einerseits begünstigt durch immer neue Hardware-Features, andererseits notwendig durch eine steigende Sensibilität für Datensicherheit und Privatsphäre, auch die Art weiterentwickelt, wie wir uns online authentifizieren: Benutzername und Passwort, komplexere Passwörter, Zwei-Faktor-Authentifizierung, zuletzt Fingerabdruck- und Iris-Scanner. Mit diesen Weiterentwicklungen wurden User Interfaces jedoch nicht nur sicherer, sondern auch komplexer, weshalb Usable security mitunter als Oxymoron wahrgenommen wird. Eine der entscheidendsten Herausforderungen, vor der Entwicklungsteams heute stehen, ist also die Vereinbarkeit von maximaler Sicherheit und intuitiver Benutzererfahrung. Welche Voraussetzungen dafür erfüllt, welche Hindernisse aus dem Weg geräumt und welche Fallstricke beachtet werden müssen, diesen Fragestellungen versucht sich der Vortrag durch Einblicke in den Projektalltag anzunähern.
CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
|
13:00 | Mittagsbuffet |
14:00 | |
Hartmut Schmitt
HK Business Solutions GmbH
|
Usable Security Principles, Guidelines und Patterns
Um auf möglichst effiziente Weise Produkte mit dem Qualitätsmerkmal Usable Security zu entwickeln, ist eine Unterstützung in frühen Prozessphasen notwendig. Mängel werden dann bestenfalls von Anfang an vermieden und müssen nicht in späteren, aufwendigen Prozessphasen identifiziert und nachgebessert werden. Da eine umfassende, konsolidierte und deutschsprachige Quelle bislang fehlte, wurden im Rahmen des Projekts "USecureD - Usable Security by Design" Prinzipien, Richtlinien und Musterlösungen entwickelt, die als Arbeitsgrundlage für Softwarearchitekten und -entwickler sowie als Kommunikationsbasis in Entwicklungsteams dienen können.
CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
|
14:35 | |
Peter Leo Gorski
TH Köln
|
Zur Gebrauchstauglichkeit von Security APIs
Zahlreiche aktuelle Sicherheitsstudien stellen kritische Sicherheitslücken in weit verbreiteten Softwareprodukten fest, welche infolgedessen die Informationssicherheit der Anwender kompromittieren. Bei der Ursachenforschung fällt auf, dass Softwareentwickler unwissentlich oder unabsichtlich Fehler bei der Nutzung von Security-APIs machen. Als Grund hierfür konnte in vielen Fällen ein Mangel an Usability im Design dieser APIs identifiziert werden. Bisherige wissenschaftliche Erkenntnisse reichen jedoch bis dato nicht aus, um einen ganzheitlichen Ansatz für die Gebrauchstauglichkeit von Security-APIs skizzieren zu können. Somit fehlt ebenfalls die Grundlage für effektive Usability-Evaluationen. Vor diesem Hintergrund wird in diesem Beitrag ein Modell der API Usability vorgestellt und darauf aufbauend elf spezifische Usability Ziele für Security APIs diskutiert, die aus den Erkenntnissen aktueller Sicherheitsstudien extrahiert werden konnten.
CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
|
15:10 | Kaffeepause |
15:40 | |
Eric Bodden
Universität Paderborn
|
Just-in-Time Static Analysis
We present the concept of Just-In-Time (JIT) static analysis that interleaves code development and bug fixing in an integrated development environment. Unlike traditional static analysis tools, a JIT analysis tool presents warnings to code developers over time, providing the most relevant results quickly, and computing less relevant results incrementally later. We describe general guidelines for designing JIT analyses. We also present a general recipe for turning static data-flow analyses into JIT analyses through a concept of layered analysis execution illustrated through Cheetah, a JIT taint analysis for Android applications. Our empirical evaluation of Cheetah on real-world applications shows that our approach returns warnings quickly enough to avoid disrupting a developer's workflow, a finding confirmed by developers in our user study.
CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
|
16:15 | |
Sergej Dechand
Universität Bonn
|
Usable Malware Analysis
Many aspects of information security combine technical and human factors. If a highly secure system is unusable, users will try to circumvent the system or migrate entirely to less secure but more usable systems. Problems with usability are a major contributor to many recent high-profile security failures. The research domain of usable security and privacy addresses these issues. However, the main focus of researchers in this field has been on the non-expert end-user. After placing this issue in context of current research, the presenter will argue that we need to push the frontiers of usable security research to include the human aspects of system security and the administrators and developers involved in it. The talk will use Malware and Vulnerability Analysis as an example to illustrate usable security and privacy issues across all levels and for all actors involved in the system.
CAST-Mitglieder können hier die Vortragsunterlagen herunterladen.
|
16:50 | |
Andreas Heinemann
Hochschule Darmstadt, CAST e.V.
Luigi Lo Iacono
TH Köln
Melanie Volkamer
Karlstad University, TU Darmstadt
|
Zusammenfassung und Ausblick
|
Wenn Sie noch Fragen haben, wenden Sie sich bitte an:
Luigi Lo Iacono
TH Köln
Tel.: +49 221-8275-2527
E-Mail: luigi.lo_iacono@th-koeln.de
Melanie Volkamer
Karlstad University/TU Darmstadt
Tel.: +49 6151-16-20813
E-Mail: melanie.volkamer@cased.de
Simone Zimmermann
CAST e.V.
Tel.: +49 6151 869-230
E-Mail: simone.zimmermanncast-forum.de
ID:SMART Workshop 2025 | 19.-20.02.2025 |
Recht und IT-Sicherheit | 06.03.2025 |
hot topic "Kryptoagilität" | 15.05.2025 |
MedCAST 25 - Sicheres digitales Gesundheitswesen | 22.05.2025 |
24th International Conference of the Biometrics Special Interest Group (BIOSIG 2025) | 25.-26.09.2025 |
Quantentechnologie und Quantencomputer-resistente Sicherheit | 23.10.2025 |