Kompetenzprofil

Die Forschung in CYSEC deckt ein breites Spektrum ab, von der Grundlagenforschung bis hin zu anwendungsorientierten Lösungen. Auf dieser Seite sind die zehn großen Forschungsschwerpunkte von CYSEC zu finden. Wählen Sie einen Forschungsbereich aus, finden Sie eine Beschreibung sowie die jeweiligen Principal Investigators.

Forschungsgebiete

Kryptografie ist essenziell für den Schutz digitaler Daten in IT-Systemen. Sie ermöglicht Vertraulichkeit, Integrität und Authentizität der Daten: Vertrauliche Daten werden oft verschlüsselt, um Zugriff nur für berechtigte Empfänger zu erlauben; Integrität stellt sicher, dass eine Manipulation der Daten erkennbar ist; Authentizität erlaubt den Nachweis, dass die Daten tatsächlich von der angegebenen Quelle erstellt wurden.

In CYSEC arbeiten Forscherinnen und Forscher an kryptografischen Verfahren, die starke Sicherheitsgarantien – auch gegenüber Angriffen mit Quantencomputern – verbunden mit der nötigen Effizienz in vielfältigen und neuen Anwendungsfeldern gewährleisten.

Der Forschungsbereich Secure Software Systems entwickelt Methoden, Werkzeuge und Techniken, um Softwaresysteme durch einen strikten Entwicklungsprozess sicherer zu machen. Täglich neu entdeckte Sicherheitslücken und aus diesen heraus entstehende Angriffe zeigen, dass gegenwärtige Softwaresysteme von Natur aus unsicher sind. Diese Probleme resultieren aus Software-Entwicklungsprozessen, die die Sicherheit erst nachträglich ins Auge fassen. Auf die Sicherheitsanforderungen von heute können sie in diesem Stadium aber meist keine ganzheitlichen Lösungen mehr anbieten.

Im Forschungsbereich Secure Software Systems entwickeln wir sowohl proaktive wie auch reaktive Ansätze zur Sicherung von Softwaresystemen, wobei beide Ansätze als gleich wichtig erachtet werden. Entwickler wenden den proaktiven Ansatz auf neu zu erstellende Projekte an. Diese Ansätze, meist auf der Grundlage von erweiterten Programmiersprachen und Werkzeugen, ermöglichen es Entwicklern, Software mit bereits integrierter Sicherheit zu erstellen und so eine große Kategorie an Multi-Vektor-Angriffen zu vermeiden. Für die zahlreichen bereits vorhandenen Anwendungen sind reaktive Ansätze besser geeignet. Solche Ansätze analysieren typischerweise den Quellcode oder Laufzeit-Traces des bestehenden Systems, um Schwachstellen zu identifizieren und deren nachteilige Auswirkungen noch rechtzeitig durch Gegenmaßnahmen entgegenzutreten. Das Lab entwickelt auch Ansätze bei denen beide Ideen kombiniert werden, um so für einige Programmteile Schwachstellenfreiheit zu garantieren, während in anderen Programmteilen Sicherheitslücken sicher eingekapselt sind.

Nicht zuletzt versuchen die Forscher den Software-Entwicklungsprozess zu verstehen und zu optimieren. Was sind die Gründe, warum Sicherheitslücken entstehen? Wie können solche Situationen in Zukunft vermieden werden? Welche Methoden und Werkzeuge zeigen wirkliche, positive Effekte in diesem Umfeld? All dies sind Fragen, auf die wir Antworten suchen.

The Internet enables the effective operation of critical infrastructure within our economic and public life. This includes monetary circulation, the health system, food supply chains, and much more. Our electricity network is becoming a “smart grid,” and internet-based smart water supply networks are in our near future. Cybersecurity must be significantly improved: Countless cyberattacks are warded off on a daily basis, while the rest cause serious damage carried out simultaneously by millions of hijacked – computers, SmartTVs and other networked devices. Independent protective walls are needed, including by-design high-security systems, smart virus scanners and attack guards at the server entrances.

The monoculture of the Internet could lead to a “digital pandemic.” We aim to make the Internet resilient by introducing independent, diversified emergency mechanisms that operate offline and on contaminated computers.This requires a joint effort between research organizations, businesses, administrators and the general population. The gains in efficiency achieved by increasing digitalization have enabled dramatic cost savings in many areas, but assume the absence of unknown threats. Resilience against attackers will incurr expense, but the resulting protection of our most critical infrastrucutres is invaluable.

Ausgangspunkt der ethischen und politischen Reflektion über IT-Sicherheit ist das zunehmende Verschwimmen der Grenzen zwischen zwei Aspekten der Sicherheit, „safety“ und „security“. In dieser Unterscheidung behandelt „safety“ Risiken für Mensch, Umwelt und Gesellschaft sowie für politische und technologische Systeme. Diese Risiken gelten als leicht identifizierbar und Sicherheit steht für technische Lösungen zur Reduktion von Gefahren. „Security“ dagegen setzt sich mit der Frage der Vertrauenswürdigkeit einer Technologie in ihren Nutzungszusammenhängen z.B. zum Schutz vor missbräuchlicher oder krimineller Verwendung auseinander. Während „safety“ die Ursachen möglicher Schäden durch Technik beherrschbar macht, stellt „security“ die Bedingungen für Vertrauen in diese her.

Analog zur Kerntechnik wird Informationstechnologie sicher (safe), indem Unfallursachen und weitere technologische Schwachstellen identifiziert und technisch behoben werden. Um Vertrauenswürdigkeit und Sicherheit vor Missbrauch (secure) einer Technologie herzustellen müssen Werte wie beispielsweise Frieden oder Transparenz in dieser verankert, und die Mittel zur Lösung technikbedingter Konflikte bereitgestellt werden. Entgegen einer Reduktion von Sicherheit auf „safety“-Aspekte, z.B. auf lediglich abwehrenden Datenschutz, ermöglicht die Erforschung ethischer Aspekte der IT-Sicherheit eine Integration gesellschaftlicher Werte in den Forschungsprozess. Darüber hinaus sind die Grenzen zwischen den Safety- und Securityanforderungen nicht immer trennscharf. So zeigt das Konzept „Privacy by design“ auf, dass es nicht ausreicht, die rechtliche Anforderungen an den Datenschutz zu operationalisieren um Vertrauen in die gesamten Nutzungszusammenhänge zu generieren. Was kann gemeinsame, interdisziplinäre Forschung dazu beitragen, IT-Sicherheit als Wechselwirkung zwischen safety und security, in ihrer zweifachen Bedeutung zu verwirklichen?

Die zunehmende Digitalisierung und die allgegenwärtige Verfügbarkeit und Nutzung von internetbasierten Diensten verändern das wirtschaftliche Umfeld, das tägliche Leben des Einzelnen und die Gesellschaft als Ganzes. Unterdessen erhöht sich auch die Verwundbarkeit, und viele Unternehmen und Anwender sorgen sich um ihre Sicherheit und Privatsphäre. Um die Wahrscheinlichkeit und auch die Schadenhöhe von Sicherheitsvorfällen zu verringern, werden fortlaufend bessere technische Lösungen entwickelt. Jedoch ist es zur weiteren Verbreitung entscheidend, dass diese Lösungen benutzerfreundlich und zugleich kosteneffizient gestaltet werden. Vor diesem Hintergrund untersucht der Forschungsbereich „IT Security Economics“ die ökonomischen Spielregeln des Angebots und der Nachfrage von bzw. nach IT-Sicherheitslösungen.

Anwender von IT-Sicherheitslösungen können Menschen, Unternehmen oder andere Institutionen, wie etwa Behörden, sein. Ein wesentliches Ziel der Arbeiten in dem Forschungsbereich besteht hierbei zum einen darin, ökonomische Modelle zu entwickeln, die eine Entscheidungsunterstützung in Bezug auf die Frage anbieten, ob sich spezifische Investitionen in IT-Sicherheit lohnen oder nicht. Ein weiterer Baustein ist die Ermittlung von Zahlungsbereitschaften der Nutzer für IT-Sicherheitslösungen. Hierbei kommen zum einen betriebswirtschaftlich-empirische Verfahren zum Einsatz, zum anderen sind aber auch psychologische Aspekte zu berücksichtigen. Ein Beispiel ist das so genannte Privacy-Paradoxon, das besagt, dass Menschen in Befragungen angeben, dass Privatsphäre ihnen sehr wichtig ist, sie sich aber nicht entsprechend verhalten (Intention-Behaviour-Gap). Ähnliche Verhaltensmuster lassen sich auch für IT-Sicherheitslösungen finden. Auch aus diesem Grund soll im Rahmen der Arbeiten in dem Profilbereich „IT Sicherheit“ für mehr „Awareness“ für IT-Sicherheit geworben werden.

Aus Anbietersicht, also aus der Perspektive von IT-Sicherheitsherstellern im engeren und weiteren Sinne steht die Entwicklung von Geschäftsmodellen im Mittelpunkt der Arbeiten. Dabei gilt es zum einen die Erkenntnisse aus Forschungsarbeiten und Praxiserfahrungen auf den Bereich IT-Sicherheit anzuwenden. Hierbei sind wiederum die ökonomischen Spielregeln der IT-Sicherheitsindustrie eine wichtige Grundlage – ebenso wie Erkenntnisse zu den Zahlungsbereitschaften (potenzieller) Nutzer für IT-Sicherheitslösungen. Auf diese Weise lassen sich Handlungsempfehlungen für IT-Sicherheitsanbieter aller Größen bis hin zu Startups ableiten, die dabei helfen können, die Wettbewerbsposition dieser Unternehmen nachhaltig zu verbessern.

Ein spannendes Thema im Rahmen von CYSEC ist auch die Untersuchung der Wirtschaftlichkeit der Nutzung von KI-Algorithmen zur Bekämpfung von Cyber-Attacken.

In recent years, significant or even spectacular successes have been achieved in the areas of the Internet of Things, machine learning and artificial intelligence. Cognitive systems and machines collect digital information from sensor data and networks, deriving conclusions, decisions and taking actions. Learning algorithms work in harmony with their environment to verify and optimize automated speech, image and text recognition. These algorithms advance medical diagnostics, improve translation and text analysis, and make autonomous driving a reality.

CYSEC researches the application of IT security in many areas such as anomaly and attack detection in networks and IT systems, biometric-based authentication procedures and cryptographic issues. The use of machine learning processes and artificial intelligence can help networked IT systems adapt independently to new threats in the future. However, the use of procedures based on AI is extremely demanding. Commissioning such systems is often time consuming. To what extent should humans intervene in the recognition and defense processes?

Dezentrale Systeme bieten eine vielversprechende Alternative zu zentral agierenden Datenmonomoplen und Plattformen. Da in einem dezentralen System kein einzelner Teilnehmer volle Kontrolle über das gesamte System besitzt, wird Datenmissbrauch und Zensur erschwert. Zusätzlich kann durch den Verzicht von „Single-point-of-failures“ die Sicherheit gegen Cyberangriffe signifikant gesteigert werden. Aus ökonomischer und gesellschaftlicher Sicht erleichtern dezentrale Systeme die Kooperation über Organisationsgrenzen hinweg. Dadurch können neue Anwendungsfelder erschlossen und die Datensouveränität von Bürgern und Unternehmen gesteigert werden. CYSEC Forschung im Bereich der dezentralen Cybersicherheit beschäftigt sich mit der Entwicklung und Analyse von sicheren verteilten Software- und Hardwaresystemen. Dabei kommen neue Programmiermodelle und Hardware-Plattformen (z.B. im IoT-Kontext) zum Einsatz. Ein weiterer Schwerpunkt ist die Entwicklung von verteilten kryptographischen Protokollen und deren Einsatz in neuartigen Anwendungsfeldern wie z.B. im Bereich des maschinellen Lernens. Zusätzlich erforschen CYSEC PIs sichere Blockchain-Technologien und Smart Contracts. Dabei sollen wesentliche Herausforderungen wie Skalierbarkeit, Privatheit und praktische Anwendbarkeit der Technologie adressiert werden.

Computerbasierte Systeme können nur dann sicher sein, wenn sowohl die primär technischen Aspekte (z.B. Zuverlässigkeit) als auch die nutzungsorientierten Aspekte (z.B. Gebrauchstauglichkeit) angemessen und ihrem Zusammenwirken berücksichtigt werden. Gute Benutzbarkeit ist dabei ein zentraler Bestandteil für die Verbesserung der Systemsicherheit. Forschung an der Schnittstelle von Sicherheit und Mensch-Computer-Interaktion betrachtet dabei die beide Dimensionen des Sicherheitsbegriffs: Safety (Schutz vor unbeabsichtigten Ereignissen, auch: funktionale Sicherheit) und Security (Schutz vor Angriffen, auch: Informationssicherheit).

Usable Security setzt sich mit der Nutzbarkeit der Sicherheitskonzepte selbst auseinander und entwickelt Konzepte zur Steigerung des Sicherheitsbewusstseins der Nutzer. Usable Safety beschäftigt sich mit der MCI in sicherheitskritischen Kontexten, wie in Leitwarten, der Medizin, im Katastrophenschutz oder im Automobil, sowohl unter Berücksichtigung möglicher Bedrohungsszenarien als auch im Sinne der funktionalen Sicherheit.