Erinnerung: Bis zum 31. Mai können aktuellen Beiträge aus dem Bereich Usable Security können für das European Symposium on Usable Security (EuroUSEC) 2024 eingereicht werden. Beiträge müssen bis zum 27. Mai 2024 registriert werden, eine Einreichung ist bis zum 31. Mai 2024 möglich. EuroUSEC wird, wie in den vergangenen Jahren, als eigenständige Konferenz stattfinden. Angenommene Beiträge werden als Teil der International Conference Proceeding Series (ICPS) von ACM veröffentlicht. EuroUSEC 2023 wird am 30.09. und 1.10.2024 in Karlstad, Schweden, stattfinden. Anne Hennig unterstützt EuroUSEC als Programm-Komitee Mitglied.

Anne Hennig und Maxime Veit unterstützen die Poster-Jury des Twentieth Symposium on Usable Privacy and Security (SOUPS 2024). SOUPS akzeptiert Poster und Poster-Abstracts zu aktuellen oder laufenden Forschungsarbeiten im Zusammenhang mit Usable Security and Privacy. Eingereicht werden können vorläufige Ergebnisse laufender Arbeiten, Forschungsprojekte von Studierenden oder Poster zu Arbeiten zum Thema Usable Security and Privacy, die kürzlich (2023 bis 2024) zu anderen Konferenzen veröffentlicht wurden. Einreichungsfrist für Poster ist Donnerstag, der 23. Mai 2024. SOUPS 2024 findet vom 11. bis 13. August 2024 zusammen mit dem 33. USENIX Security Symposium in Philadelphia, PA, USA, statt.

Peter Mayer unterstützt die Program Committee des 20. Symposium on Usable Privacy and Security (SOUPS 2024), des 24. Privacy Enhancing Technologie Symposiums (PETS 2024) und der European Interdisciplinary Cybersecurity Conference (EICC 2024). SOUPS 2024 findet vom 11. bis 13. August 2024 in Philadelphia, PA, statt. PETS 2024 findet vom 15. bis 20. July 2024 in Bristol, UK, statt. EICC 2024 findet am 5. und 6. Juni 2024 an der University of Thrace, Xanthi, Griechenland, statt. Registrierung für EICC 2024 ist bereits möglich.

Erinnerung: Noch bis zum 15. Mai 2024 können Beiträge zu den Tracks Tracks "Security, Usability, and Technical Issues" sowie "Governance of E-Voting" für E-Vote-ID 2024 eingereicht werden. Bis zum 10. Juli 2024 können Beiträge für den Track "Election and Practical Experiences" sowie für das PhD Colloquium eingereicht werden. Für die "Poster and Demo Session" endet die Einreichungsfrist am 15. September 2024. Angenommene Beiträge werden entweder in den Springer LNCS Proceedings oder über die Gesellschaft für Informatik (GI) als Open Access veröffentlicht. E-Vote-ID 2024 wird vom 2. bis 4. Oktober 2024 in Tarragona, Spanien, stattfinden. Melanie Volkamer unterstützt die Veranstaltung als General Chair gemeinsam mit David Duenas-Cid, Kozminski University Polen, und Peter Rønne, Universität Luxemburg.

Benjamin Berens und Anne Hennig unterstützen das Program Committee der International Conference on Availability, Reliability and Security (ARES 2024). ARES verwandelt europäische Städte einmal im Jahr zu einem Zentrum für Wissensaustausch und rückt die entscheidenden Aspekte von Verlässlichkeit - Verfügbarkeit, Zuverlässigkeit und Sicherheit - in den Mittelpunkt der Diskussionen. ARES 2024 findet vom 30. Juli bis 2. August an der Universität Wien, Österreich, statt. Eine Registrierung ist ab dem 3. Mai 2024 möglich.

Das Paper "Exploring Phishing Threats through QR Codes in Naturalistic Settings" von Filipo Sharevski, Mattia Mossano, Maxime Veit, Gunther Schiefer und Melanie Volkamer, das am 26. Februar 2023 auf dem Symposium on Usable Security (USEC 2024) in San Diego, Kalifornien, vorgestellt wurde, hat den Distinguished Paper Award gewonnen. Die Autor:innen untersuchten, wie sich Menschen in einer natürlichen Umgebung mit QR-Codes verhalten, die Phishing-Links enthalten könnten.

Am 01.04.2024 beginnt am KIT das Sommersemester. Folgende Lehrveranstaltungen werden in diesem Semester von der Forschungsgruppe SECUSO veranstaltet oder mit veranstaltet: Die Vorlesung Informationssicherheit (Bachelor), das Praktikum "Security, Usability, Society" (Bachelor und Master), das Seminar "Digital Citizen Science" (Bachelor und Master), das Seminar "Team-Projekt Softwareentwicklung" (Bachelor und Master) und das Seminar "E-Voting" (Master). Eine Anmeldung für die Veranstaltung ist ab sofort möglich.

Das Karlsruher Institut für Technologie (KIT) sucht eine engagierte und kreative Persönlichkeit für die Position der Projektkoordination und des Marketings für die Plattform wir-forschen.digital. Die Plattform bietet die Möglichkeit zur Teilnahme an empirischen Studien am KIT und hat derzeit etwa 150 Bürgerinnen und Bürger im Panel. Ziel der Stelle ist es, das Panel in den nächsten zwei Jahren auf mindestens 5.000 Teilnehmende zu erweitern und gleichzeitig die Anzahl der angebotenen Studien unter Federführung von KIT-Forschenden auf mindestens 20 zu steigern. Im Rahmen dessen sollen Bewerber:innen u.a. ein Konzept zur Vergrößerung des Panels erarbeiten und entsprechende Konzepte zur Öffentlichkeitsarbeit planen und umsetzen. Weitere Informationen und Qualifikationsanforderungen finden sich in der Stellenausschreibung.

Das Paper “Better Together: The Interplay Between a Phishing Awareness Video and a Link-centric Phishing Support Tool" von Benjamin Berens, Florian Schaub, Mattia Mossano und Melanie Volkamer wurde zur Veröffentlichung bei der Conference on Human Factors in Computing Systems (CHI 2024) akzeptiert, welche vom 11. Mai bis 16. Mai 2024 in Honolulu, Hawai'i, USA stattfindet. Das Paper beschreibt eine Online-Studie, in der die Wirksamkeit des NoPhish-Videos und TORPEDO sowie deren Kombination verglichen wird. Die Kombination der beiden zeigt dabei nochmal deutlich bessere Ergebnisse in der Effektivität zur Unterscheidung zwischen Phishing und legitimen Nachrichten.

Am kommenden Donnerstag, 29. Februar 2024, begrüßen wir Prof. Florian Schaub von der Michigan University zu einem Gastvortrag im Rahmen des SECUSO Research Seminars. Prof. Schaub wird über "Human-centric Privacy Design and Engineering" sprechen. Ausgehend von seinen Forschungsergebnissen wird Prof. Schaub in seinem Vortrag erörtert, wie und warum Datenschutzkontrollen oft nicht mit den Bedürfnissen der Nutzer übereinstimmen, wie öffentliche Maßnahmen zum Schutz der Privatsphäre oft zu kurz greifen und wie ein auf den Menschen ausgerichteter Ansatz für Datenschutzdesign und -technik zu einem brauchbaren und nützlichen Datenschutz führen kann, der die Bedürfnisse der Nutzer besser erfüllt und auch für Unternehmen von Vorteil sein kann. Der Vortrag findet auf englisch und in hybrider Form statt. Gäste sind wie immer herzlich willkommen!

Im Rahmen des Leibniz WissenschaftsCampus "Digital Transformation in Research" (DiTraRe) setzen FIZ Karlsruhe und KIT den Schwerpunkt auf die "Digitale Transformation" und analysieren in vier Forschungsclustern die interdisziplinären Auswirkungen der wachsenden Digitalisierung im wissenschaftlichen Bereich. Am 23. Januar 2024 fand nun ein zweites konsitutionelles Treffen im Institut für Technikfolgenabschätzung/ITAS statt. Die Zusammenkunft hatte das Ziel, wichtige Aspekte der digitalen Transformation in der Forschung zu erörtern und strategisch voranzutreiben. Ein Diskussionspunkt war die Weiterentwicklung der DiTraRe-Webseite, die nicht nur als Plattform zur Präsentation von Forschungsergebnissen dienen soll, sondern auch als benutzerfreundliche Informationszentrale für Interessierte konzipiert wird.

Aktuellen Beiträge aus dem Bereich Electronic Voting können für E-Vote-ID 2024 eingereicht werden. Die Einreichung von Beiträgen für die Tracks "Security, Usability, and Technical Issues" sowie "Governance of E-Voting" ist bis zum 15. Mai 2024 möglich. Bis zum 10. Juli 2024 können Beiträge für den Track "Election and Practical Experiences" sowie für das PhD Colloquium eingereicht werden. Für die "Poster and Demo Session" endet die Einreichungsfrist am 15. September 2024. Angenommene Beiträge werden entweder in den Springer LNCS Proceedings oder über die Gesellschaft für Informatik (GI) als Open Access veröffentlicht. E-Vote-ID 2023 wird im Oktober 2024 in Tarragona, Spanien, stattfinden. Melanie Volkamer unterstützt die Veranstaltung als General Chair gemeinsam mit David Duenas-Cid, Kozminski University Polen, und Peter Rønne, Universität Luxemburg

Die eigenen Passwörter regelmäßig zu ändern ist ein oft anzutreffender Ratschlag. Gerade heute am „Change Your Password Day“ ist er wieder in vieler Munde. Die Gedanken dahinter scheint nachvollziehbar: Wenn das Passwort regelmäßig geändert wird, ist es erstens schwerer zu erraten und zweitens nutzt ein Passwort, das in falsche Hände geraten ist, dem Angreifer nur bis zur nächsten Änderung. Doch die Wissenschaft zeigt uns, dass beides Missverständnisse sind: Regelmäßig geänderte Passwörter sind gar nicht schwieriger zu erraten und regelmäßiges Ändern von Passwörtern führt nicht automatisch zu sicheren Passwörtern. Zum Change Your Password Day haben wir (altbekanntes) Hintergrundwissen neu verlinkt.

Seit gestern, Montag, 29.01.2024, bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seinen Webseiten den Cybersicherheits-Lotsen an. Dieser soll eine Orientierungshilfe für Verbraucherinnen und Verbraucher sein und diese zu bestimmtem Themen an geeignete Akteure und Angebote im Digitalen Verbraucherschutz vermitteln. Im Piloten zum Thema Phishing sind auch die NoPhish-Angebote der Forschungsgruppe SECUSO vertreten.

Wir haben die neueste Version des Privacy Friendly QR-Code Scanners veröffentlicht! Wir haben mehrere neue Funktionen hinzugefügt und einige Fehler behoben. Es kann jetzt in der App gezoomt und die Kamera ausgewählt werden. Außerdem kann beliebiger Text mit der App geteilt werden um direkt einen QR-Code daraus zu erzeugen. Der PFA QR Code Scanner ist eine der Privacy Friendly Apps für Android, die von der Forschungsgruppe SECUSO entwickelt wurden. Alle PFAs sind im Google Play Store und im FDroid Store verfügbar.

Im Rahmen der Jahrestagung der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) sprach Melanie Volkamer im November 2021 zum Thema "Online Wahlen und Beschlussfassungen im Gesellschaftsrecht". Der Beitrag ist nun im DGRI Jahrbuch 2021/2022 erschienen. In dem Beitrag "Online Wahlen und digitale Abstimmungen - eine Einordnung aktueller Entwicklungen" beschreiben Melanie Volkamer, Andreas Mayer, Stephen Neumann, Bernhard Beckert, Jurlind Budurushi, Armin Grünwald, Robert Krimmer, Oksana Kulyk, Ralf Küsters und Jörn Müller-Quade das Verfahren von Online-Wahlen am Beispiel des CDU Bundesparteitags 2021, Online-Wahlen an der Uni Jena und Aktionärswahlen, die während der Corona-Pandemie online stattfanden.

Das Vision-Paper "Towards Fully Shoulder-Surfing Resistant and Usable Authentication for Virtual Reality" von Tobias Länge, Philipp Matheis, Reyhan Düzgün, Melanie Volkamer und Peter Mayer wurde zur Präsentation auf dem Symposium on Usable Security (USEC 2024) akzeptiert. Virtual Reality (VR) findet in letzter Zeit immer mehr Anwendung sowohl im privaten als auch kommerziellen Bereich. Um Daten auf VR-Geräten zu schützen wird ein sicheres Authentifizierungsverfahren benötigt, welches auch einem Beobachtungangriff (Shoulder-Surfing) stand halten kann. In dem Paper werden verschiedene Authentifizierungsverfahren, die gegen Shoulder-Surfing resistent sind vorgestellt und in einer Nutzerstudie evaluiert. USEC 2024 findet am 26. Februar 2024 in San Diego, Kalifornien statt. 

Mit 2023 geht für SECUSO ein sehr schönes Jahr mit vielfältiger Forschungsarbeit zu Ende. Insgesamt 17 wissenschaftliche Veröffentlichungen über E-Mail-Sicherheit, Online-Wahlen und einiges mehr sind dieses Jahr erschienen. Beendet haben wir das dreijährige vom BMBF geförderte Projekt INSPECTION. Seit diesem Jahr sind außerdem alle unsere Privacy Friendly Apps durch den Anschluss an die Backup-App noch besser geworden – App-Pat:innen werden übrigens weiterhin gesucht!  Auch im SECUSO-Team und bei unseren Alumnis gab es einige Änderungen. Besonders gefreut haben wir uns über den Besuch von unserer Kollegin Sanchari Das von der University of Denver im Oktober. Alle Informationen haben wir in unserer Weihnachtspost zusammengefasst. Viel Freude beim Lesen!

Zur Weihnachtspost

Der Workshop befasst sich mit dark patterns (z.B. Cookie-Bannern) in digitalen Diensten, d.h. mit irreführenden Designs, die die Entscheidungsfindung beeinflussen. Er konzentriert sich auf die Einhaltung von Vorschriften wie dem Digital Services Act (DSA) und bringt Experten aus den Bereichen Recht, Mensch-Computer-Interaktion und Wirtschaft zusammen. Der Workshop will Leitlinien für die Umsetzung, ein gemeinsames transdisziplinäres Vokabular für komplexe Konzepte wie digitale Fairness, Manipulationsarten und Autonomie und schließlich eine bereich-übergreifende Gemeinschaft erarbeiten, die an verschiedenen Aktivitäten mitwirkt, um das Feld zu beleben und konkrete Lösungen für dark patterns zu entwickeln. Der Workshop findet vom 29. Januar bis 2. Februar 2024 am Lorentz Center @ Oort statt. 

In der aktuellen Ausgabe der Fachzeitschrift pvt POLIZEI VERKEHR + TECHNIK wurde über das Projekt INSPECTION berichtet. Webseitenhackings werden im Projekt INSPECTION automatisiert von außen erkannt. Dadurch können die Verursacher gezielter identifiziert, die Betroffenen zielgerichtet informiert und Prävention entlang von Beispielen plastisch gemacht werden. Die Erkennung des Webseiten-Hackings von außen ist möglich, weil die Betrüger die gute Positionierung bestehender Seiten nutzen, um mit manipulierten Inhalten auf missbräuchliche Angebote wie Fake-Shops, Ransomware-Downloads, Bitcoin-Portale, Phishing, Pornographie und Casino-Seiten weiterzuleiten. Der Webauftritt bleibt dabei aus Nutzersicht unauffällig, d.h. die normale Verwendbarkeit der Webseite bleibt erhalten. Deshalb fallen die Hackings den Betroffenen über Monate, häufig sogar Jahre, nicht auf.

Der Beitrag "Taking 5 Minutes Protects You for 5 Months: Evaluating an Anti-Phishing Awareness Video" von Benjamin Berens, Mattia Mossano und Melanie Volkamer wurde zur Veröffentlichung im Journal "Computer & Security" akzeptiert. Phishing ist weiterhin ein weit verbreitetes Problem und Phishing Awareness Videos können einen Beitrag leisten, das Wissen schnell weit zu verbreiten. Es stellt sich aber die Frage, wie lange das Wissen dann anhält. Der Artikel beschreibt eine Studie, die den positiven Effekt, auf die Erkennung von Phishing, eines fünf minütigen Videos über fünf Monate nachweisen konnte.

Der Schock ist groß, wenn plötzlich unerklärlicherweise Geld auf dem Konto fehlt. Mit immer neuen Methoden bringen Cyberkriminelle zunehmend Bankkunden um ihr Geld. Die Kunden bleiben dabei häufig auf dem Schaden sitzen. Melanie Volkamer erklärt im Beitrag, wie man Betrugsversuche auch in Zeiten von KI und ausgefeilter Betrugsmaschen erkennen kann. Indem man sich nämlich klar macht, was in einer E-Mail nicht gefälscht werden kann: Die Webadresse, die hinter einem Link steckt. Nuzter:innen sollten sich daher immer Zeit nehmen, Links genau zu prüfen.

Dr. Sanchari Das war vom 1. bis 31. Oktober 2023 zu Gast bei der Forschungsgruppe SECUSO. Sanchari Das ist Assistant Professor am Fachbereich Informatik in der Ritchie School of Engineering and Computer Science an der University of Denver. Ihr Forschungslabor - Security and Privacy Research in New-Age Technology (SPRINT) - beschäftigt sich mit Computersicherheit, Datenschutz, Bildung, Mensch-Computer-Interaktion, Social Computing, Zugänglichkeit und Nachhaltigkeit von New-Age-Technologien. Während ihrer Zeit in Karlsruhe hielt Sanchari Das zwei Vorträge, einen im AIFB-Kolloquium zum Thema "Beyond the Norm: Erkundung der Authentifizierungsherausforderungen für ältere Erwachsene und Nicht-WEIRD-Populationen".

Der Beitrag "Cookie disclaimers: Dark patterns and lack of transparency" von Benjamin Berens, Mark Bohlender, Heike Dietmann, Chiara Krisam, Oksana Kulyk und Melanie Volkamer wurde zur Veröffentlichung im Journal "Computer & Security" akzeptiert. Eine informierte Entscheidung zur Zustimmung zur Datenerhebung über Cookies wird durch verschiedene Faktoren behindert, z. B. durch sogenannte "dark patterns" oder mangelnde Transparenz seitens der Dienstanbieter. Der Artikel enthält Empfehlungen, wie die Situation für verschiedene Interessengruppen, insbesondere für Entwickler und politische Entscheidungsträger, verbessert werden kann.

Melanie Volkamer ist Associate Chair (AC) für die Konferenz Human Factors in Computing Systems (CHI 2024) 'Privacy & Security'. Associate Chairs vermitteln Beiträge an Reviewer mit dem Ziel, dass Experten jeden Beitrag begutachten. Dieses Matching wird durch eine Kombination aus dem, was der Associate Chair über den Gutachter weiß - aus seiner Publikationsprobe und/oder aus seinem Forschungsprofil im Internet - und dem, was er über den Beitrag weiß, ermöglicht. CHI wird vom 11. bis 16. Mai 2024 auf der Insel Oʻahu, Hawaiʻi, USA, stattfinden.

Am kommenden Donnerstag, 19. Oktober 2023, findet die nächste KASTEL Distinguished Lecture statt. Gastredner ist Martin Kleppmann, Leiter der Forschungsgruppe Distributed Systems & Operating Systems an der Technischen Universität München. Der Titel des Vortrags lautet "Byzantine Fault Tolerance for Peer-to-Peer Collaboration Software", in dem es um aktuelle Forschungsarbeiten geht, die sich mit der Entwicklung von Kollaborations-Software beschäftigt, die robust gegenüber schädlichen Akteuren (Byzantine) ist. Vorwarnung: Es sind weder Consensus Algorithmen noch Blockchains involviert! Der Vortrag findet um 16 Uhr im Tulla-Hörsaal (CS, Gebäude 11.40) des KIT statt.

Mit Blick auf Rhein und Bodensee trafen sich Konsortialpartner und Interessierte im Rahmen des INSPECTION-Projekts am Montag, 25.09.2023, zu einem vorläufigen Abschlusstreffen in Konstanz. Für alle Arbeitspakete wurden die - teilweise vorläufigen - Ergebnisse vorgestellt und zusammengefasst. Außerdem wurde ein Ausblick auf mögliche weitere Fragestellungen gegeben, sie sich aus den Projektergebnisse ergaben. Anne Hennig stellte stellvertretend für die Forschungsgruppe SECUSO die vorläufigen Ergebnisse des Benachrichtigungsexperiments vor und präsentierte eine erste Version des zweiten Awareness-Videos. Für die mindup Web & Intelligence GmbH endet die Projektlaufzeit Ende September 2023, die BDO Wirtschaftsprüfungsgesellschaft und die Forschungsgruppe SECUSO werden noch bis Ende November 2023 die Ergebnisse finalisieren. Im Vordergrund wird hier die Evaluation des zweiten Awareness-Videos und die Aufbereitung der Hinweise für Betroffene stehen.

Der ECO Verband der Internetwirtschaft interviewte Dr. Peter Mayer und Anne Hennig zum Forschungsprojekt INSPECTION. Unter anderem wurde die Frage geklärt, was INSPECTION überhaupt ist und, welche Fragestellungen im Rahmen des Projekts untersucht werden. Auch wurde ein Ausblick gegeben, wie die Forschungsergebnisse weiter genutzt werden können und welche Erkenntnisse für zukünftige Projekte und Forschungsansätze sich aus dem Projekt ergeben. Die im Projekt gewonnenen Erkenntnisse wird Anne Hennig auch am 21. September 2023 im Rahmen der Internet Security Days (ISD 2023) im Phantasialand in Brühl vorstellen. 

Der Trier Volksfreund stellt 11 Schritte vor, wie man das eigene Smartphone möglichst sicher gestalten kann. Die ersten drei Tipps, so die Zeitung, sind "Updates installieren", "nur notwendige Apps installieren" sowie "Jailbreaks vermeiden". Zitiert werden dabei Prof. Melanie Volkamer und Dr. Peter Mayer. Übrigens: Auch die SECUSO Privacy Friendly Apps ermöglichen es, mehr Kontrolle über das eigene Endgerät zu behalten.

Zwei weitere SECUSO-Paper wurden für das European Symposium on Usable Security (EuroUSEC 2023) angenommen. Organisationen können nur dann effektiv auf Informationssicherheitsvorfälle reagieren, wenn die Mitarbeiter wissen, wie sie diese erkennen und melden können. In ihrer Arbeit "Encouraging Organisational Information Security Incident Reporting" haben Fabian Lucas Ballreich, Melanie Volkamer, Dirk Müllmann, Benjamin Maximilian Berens, Elena Marie Häußler und Karen V. Renaud einen Informationstext für Mitarbeiter entwickelt, diesen mit einer Nutzerstudie evaluiert und in einem Unternehmen praktisch angewendet. Die Arbeit "Influence of URL Formatting on Users' Phishing URL Detection" von Mattia Mossano, Oksana Kulyk, Benjamin Berens, Elena Häuser und Melanie Volkamer evaluiert die Auswirkung der URL-Formatierung (auch bekannt als "Domain Highlighting") auf die Fähigkeit von Nutzer:innen, zwischen Phishing-URLs und legitimen URLs zu unterscheiden. Die Ergebnisse zeigen, dass die URL-Formatierung allein nur einen geringen Einfluss auf die Erkennung von Phishing-URLs hat, während andere Faktoren wie das Geschlecht oder die Zeit, die mit dem Lesen der URL verbracht wird, einen signifikanten Einfluss darauf haben. EuroUSEC 2023 findet am 16. und 17. Oktober 2023 an der IT-Universität Kopenhagen (ITU) in Kopenhagen, Dänemark, statt. Die Anmeldung ist bis zum 16. September 2023 möglich.

Wie schon angekündigt, findet am 15. September 2023 das 5. CyberSicherheitsForum in den Räumen der IHK Region Stuttgart und online statt. Das Thema des diesjährigen CyberSicherheitsForums ist "Cyber-Resilienz". SECUSO wird zum CyberSicherheitsForum STAR präsentieren und weitere Informationsmaterialien aus dem Bereich Prävention ausstellen. Organisiert wird das Event vom Ministerium des Inneren, für Digitalisierung und Kommunen sowie dem Ministerium für Wirtschaft, Arbeit und Tourismus in Baden-Württemberg, der Cybersicherheitsagentur, dem Landeskriminalamt und dem Verfassungsschutz in Baden-Württemberg und der IHK Region Stuttgart. Das Programm und die Anmeldung sind ab sofort auf der Veranstaltungswebseite verfügbar.

Das Poster "Beware of website hackers: Developing an awareness video to warn for website hacking" von Anne Hennig, Leoni Schmidt-Enke, Miriam Mutter und Peter Mayer, das vergangene Woche auf dem 19. Symposium on Usable Privacy and Security (SOUPS 2023) in Anaheim, CA, vorgestellt wurde, hat den Poster Award gewonnen. Die Autor:innen beschreiben die Erstellung eines Awareness-Videos, dass Nutzer:innen für Hackerangriffen sensibilisieren soll, bei dem Weiterleitungen zu Fake Shops im Dateisystem der Websites platziert werden.

Am Donnerstag, 20. Juli 2023, fand am Englischen Insitut in Heidelberg der zweite partizipative Schulworkshop im Rahmen des Workstreams "UpSchooling" im „Dialog für Cyber-Sicherheit“ statt. Anne Hennig vertritt die Forschungsgruppe SECUSO in diesem Jahr beim Dialog für Cybersicherheit und beteiligte sich in diesem Rahmen an der Ausarbeitung und der Durchführung der Module für den Workshop an der Heidelberger Schule. In dem Projekt "Dialog für Cybersicherheit" tauschen sich verschiedene Akteure aus der Zivilgesellschaft sowie aus Wissenschaft, Kultur und Medien, Wirtschaft und Staat in Workstreams zu Cybersicherheits-Themen miteinander aus. Für den aktuellen Zyklus wurden zwei Workstreams ausgewählt, "BuntesBugBounty" und "UpSchooling". 

Die Themen für das Praktikum "Security, Usability and Society" im Wintersemester sind veröffentlicht. In dem Praktikum befassen sich die Studierenden sowohl mit der Programmierung von benutzerfreundlichen Anwendungen im Bereich Sicherheit und Datenschutz als auch mit der Durchführung von Benutzerstudien. Themen in diesem Jahr umfassen zum Beispiel die Evaluation von Sicherheitshinweisen in ChatGPT, die Untersuchung des Privacy Tradeoffs bei der Nutzung von ChatGPT oder die Durchführung einer Nutzerstudie zur Authentifizierung bei Mobiltelefonen für Personen mit rheumatischer Arthritis. Die Anmeldung erfolgt über das WiWi-Portal (BA / MA). Die Themen werden in der Reihenfolge des Eingangs vergeben, bis alle Plätze vergeben sind.

Mehrere unserer Privacy Friendly Apps (PFAs) haben ein Update bekommen: Die Apps "Pausing Healthy", "Aktivpause to Go" und "Shoppingliste" unterstützen nun auch die Back-up Funktionalitäten der datensparsamenen Back-up-App. Außerdem wurden ein paar kleinere Bugs behoben. Die Apps sind nun in der neuen Version im Google PlayStore und auf FDroid verfügbar.

Mattia Mossano wurde eingeladen, einen Gastvortrag zum Thema Phishing im Rahmen des Masterstudiengangs "Usable Security and Privacy" zu halten, der von Prof. Dr. Patricia Arias Cabarcos organisiert wird. Prof. Cabarcos ist Leiterin der Human-Centered IT Security (HITS) Gruppe am Institut für Informatik der Universität Paderborn. Die Vorlesung findet am Dienstag, 4. Juli 2023, statt.

Das Paper "Nutzerzentrierter Ansatz zur Vereinfachung des Auffindens von Security Policies" von Lukas Aldag, Fabian Ballreich, Benjamin Berens und Melanie Volkamer wurde zur Präsentation auf der Mensch und Computer 2023 (MUC 23) akzeptiert. Ein wichtiger Faktor für die Effektivität von Security Awareness-Maßnahmen in Unternehmen sind die Bekanntheit und Konsistenz von Security Policies. Im Rahmen einer Case Study wurde mit einem nutzerzentrierten Ansatz ein Dokument entwickelt, das den Nutzer:innen eine Übersicht über alle relevanten Einzeldokumente gibt. Weiterhin wurde ein Prozess zur Bekanntmachung des Ansatzes iterativ entwickelt, evaluiert und Lessons Learned abgeleitet. MUC 2023 findet vom 3. bis 6. September 2023 in Rapperswill, CH statt.

Benjamin Berens sprach vom 05. Juni bis 07. Juni 2023 in London mit anderen Forscherinnen und Forschern über die Zukunft der auf den Menschen fokussierten Privatsphäre-Forschung. Mit Experten aus den Bereichen Sicherheit, Datenschutz / Privatsphäre und Human Computer Interaction (HCI) wurden zukünftige Herausforderungen und offene Forschungsfragen diskutiert. Themen waren z.B. Inklusive Privatsphäre, Schutz der Privatsphäre & KI, Mehrbenutzer-Datenschutz oder Entscheidungen und Kommunikation zum Schutz der Privatsphäre. Zusätzlich präsentierten die Anwesenden ihre bisherige Forschung in diesem Bereich - SECUSO beispielsweise die Arbeit im Bereich Smart Home Umgebungen und Cookie Disclaimer.

Aktuellen Beiträge aus dem Bereich Electronic Voting können für E-Vote-ID 2023 eingereicht werden. Die Einreichung von Beiträgen für die Tracks "Security, Usability, and Technical Issues" sowie "Governance of E-Voting" sind abgeschlossen. Allerdings können noch bis zum 10. Juli 2023 Beiträge für den Track "Election and Practical Experiences" sowie für das PhD Colloquium eingereicht werden. Für die "Poster and Demo Session" endet die Einreichungsfrist sogar erst am 15. September 2023. Angenommene Beiträge werden in den Proceedings veröffentlicht. E-Vote-ID 2023 wird vom 3. bis 6. Oktober 2023 in Luxemburg, Luxemburg, stattfinden.

Aktuellen Beiträge im Bereich Usable Security können für EuroUSEC 2023 eingereicht werden. Die Einreichung von Beiträgen für das diesjährige European Symposium on Usable Security (EuroUSEC) ist jetzt möglich. Beiträge für den Research Track - ausgereifte, abgeschlossene Arbeiten - und den Vision Track - work in progress oder konkrete Ideen für Arbeiten, die noch nicht begonnen haben - müssen bis zum 5. Juni 2023 angemeldet werden. Die Beiträge müssen bis zum 9. Juni 2023 eingereicht werden. Angenommene Beiträge werden in den ACM Proceedings veröffentlicht. EuroUSEC 2023 wird am 16. und 17. Oktober 2023 in Kopenhagen, Dänemark, stattfinden.

Dr. Peter Mayer, ehemaliger Mitarbeiter der Forschungsgruppe SECUSO, wurde als KASTEL Security Research Lab Fellow aufgenommen. Peter Mayer war bis 2022 als PostDoc am KIT für die Forschungsgruppe SECUSO tätig. Zum 1. Januar 2023 wechselte Dr. Mayer an das Department of Mathematics and Computer Science, Section of Artificial Intelligence, Cybersecurity, and Programming Languages an der University of Southern Denmark (SDU), bleibt dem KIT aber weiterhin verbunden. Derzeit ist er Koordinator und Co-Sprecher der Forschungsgruppe "Human and Societal Factors" im von der Helmholtz-Gemeinschaft geförderten Subtopic "Engineering Secure Systems".

Die Verbraucherschutzzentrale NRW verweist in ihrem Artikel zu Phishing nun auch auf TORPEDO. TORPEDO ist ein Add-On zur Benutzerunterstützung bei der Erkennung von betrügerischen E-Mails mit gefährlichen Links (oft auch als Phishing E-Mails bezeichnet). Das Add-on zeigt die für die Prüfung relevanten Informationen direkt bei dem Link in einem Tooltip(-overlay) an, so dass es mit TORPEDO einfacher ist, die Legitimitäts-Prüfung bei E-mails durchzuführen. Außerdem unterscheidet TORPEDO verschiedene Risikostufen von Links und zeigt Ihnen so auf, wann es wichtig ist, die Webadresse hinter dem Link vor dem Klicken des Links zu prüfen. TORPEDO setzt auf dem NoPhish-Konzept von SECUSO auf bzw. kann auch als Ergänzung zu diesem eingesetzt werden. 

Am 10. Mai 2023 stellt Joachim Feist, Geschäftsführer der mindUp Web + Intelligence GmbH und Konsortialpartner im Forschungsprojekt INSPECTION, das Projekt und die Erkennung gehackter Websites im Rahmen der "Beratertagung" für die IT-Sicherheitsbotschafter der Handwerkskammern in Baden-Württemberg vor. Im Rahmen des vom Bundesministerium für Bildung Forschung (BMBF) geförderten Forschungsprojekts INSPECTION werden Websites gefunden, die Weiterleitungen zu Fake Shops aufweisen.

Am Mittwoch, 29. März 2023, sprach Anne Hennig im Rahmen des Innovationsforums auf der 21. Fachmesse für Elektro, Energie, Gebäude und Industrie (eltefa 2023) zum Thema "Cybersicherheit im Netz - Was tun, wenn meine Unternehmenswebsite gehackt wurde?". Im Rahmen des vom BMBF geförderten Forschungsprojekts INSPECTION werden Websites gefunden, die Weiterleitungen zu Fake Shops aufweisen. Dies ist ein Indiz dafür, dass Dritte sich über eine Sicherheitslücke unbefugt Zugriff auf das Dateisystem verschaffen konnten. In dem Vortrag wurde diese Problematik vorgestellt, ebenso eine Möglichkeit, das Hacking selbst zu identifizieren. Außerdem wurden Hinweise zur Problembehebung und Schutzmaßnahmen vor zukünftigen Hackings erläutert. 

Die Forschungsgruppe SECUSO betreute dieses Jahr ein Projekt für die Lehrveranstaltung "Teamprojekt Softwareentwicklung". Das Teamprojekt ist eine gemeinsame Initiative der KIT-Fakultät für Informatik und der KIT-Fakultät für Wirtschaftswissenschaften, um Studierenden der Wirtschaftsinformatik den Entwicklungsprozess eines Softwareprojekts näher zu bringen. Im Rahmen des SECUSO Themas haben sich fünf Studierende mit dem Thema "Digital Citizen Science" beschäftigt und eine App entwickelt, mit der in Zukunft Bürger:innen zu verschiedenen Forschungsprojekten auf einfache Weise beitragen können. Wir freuen uns auf neue spannende Projekte im nächsten Wintersemester!

Anlässlich des Girls'Day am KIT am 27. April 2023, welcher das erste Mal seit Beginn der Corona Pandemie wieder in Präsenz stattfinden wird, präsentiert SECUSO Security Challenges zum Thema "Internet Security - Schütze dich im Netz". Hierbei werden spannende Inhalte zu den Themenbereichen "Phishing", "PIN-Sicherheit" und "Verschlüsselungsverfahren" spielerisch an die Teilnehmerinnen vermittelt, um so schon möglichst früh junge, angehende Forscherinnen für die Thematik IT-Sicherheit zu begeistern. Hiermit leisten wir unseren Beitrag in Richtung einer gleichgestellten Gesellschaft und versuchen das Rollenbild der typisch männlich-geprägten Welt der Informatik aufzubrechen, um so neue Perspektiven und Chancengleichheit für alle zu schaffen.

Der Call for Paper für das diesjährige European Symposium on Usable Security (EuroUSEC) ist veröffentlicht: Bis zum 9. Juni 2023 können Beiträge für den Research Track, mature work that has been completed, und den Vision Track, work in progress or concrete ideas for work that has yet to begin, eingereicht werden (Registrierung jeweils bis 5. Juni 2023). EuroUSEC dient als europäisches Forum für Forschung und Diskussion im Bereich Human Facors in Security and Privacy. Oksana Kulyk, IT University of Copenhagen (Dänemark) und Farzaneh Karegar, Karlstad University (Schweden), leiten die diesjährige Konferenz. Von der Forschungsgruppe SECUSO wird Anne Hennig auf in diesem Jahr die Konferenz als Publicity Chair unterstützen, gemeinsam mit Agnieszka Kitkowska, Karlstad University (Schweden), und Ali Farooq, University of Turku (Finnland). EuroUSEC 2023 findet am 16. und 17. Oktober 2023 in Kopenhagen, Dänemark, statt.

Im Projekt „Dialog für Cyber-Sicherheit“ tauschen sich verschiedene Akteure aus der Zivilgesellschaft sowie aus Wissenschaft, Kultur und Medien, Wirtschaft und Staat in Workstreams zu Cybersicherheits-Themen miteinander aus. Für den aktuellen Zyklus wurden zwei Workstreams ausgewählt, "BuntesBugBounty" und "UpSchooling". Nach einer ersten Planungs- und Recherchephase gehen die Workstreams nun in die Planungs- und Umsetzungsphase über. Anne Hennig vertritt die Forschungsgruppe SECUSO in diesem Jahr beim Dialog für Cybersicherheit im Workstream "Upschooling", in dem ein partizipativer Workshop für Schüler:innen zu aktuellen Themen der IT-Sicherheit konzipiert werden soll.

Das Magazin für Computer-Technik c't hat im Heft 2/2023 über eine der Privacy Friendly Apps (PFA) von SECUSO, den PFA Passwort Generator, berichtet. Sichere Passwörter erfinden und trotzdem nicht den Überblick verlieren – bei dieser Aufgabe unterstützen Passwortgeneratoren. Generator-Apps, wie der Privacy Friendly Passwort Generator, unterstützen Nutzer:innen beim Finden sicherer Passwörter, indem sie sichere, dienstspezifsche Passwörter berechnen. Im Gegensatz zu anderen Generator-Apps kommt der PFA Passwort Generator ohne Berechtigungen aus und speichert die Passwörter nicht. Auch ein speichern in der Zwischenablage ist standardmäßig nicht eingestellt. Zudem verzichten wir bei allen PFAs grundsätzlich auf Werbung. 

Das Forschungsprojekt INSPECTION, das eigentlich Ende Mai 2023 enden sollte, geht in die Verlängerung. Das Ende des Projektzeitraums ist nun auf Ende November 2023 datiert. Ziel des INSPECTION Projekts ist es, gehackte Webseiten durch das Durchsuchen des deutschsprachigen Internets und durch Klassifikation der Seiten mit Methoden der künstlichen Intelligenz von außen automatisiert zu identifizieren. Es werden zudem Methoden entwickelt, die es erlauben, Betroffene zu informieren, den Schaden zu beheben und das Risiko zukünftiger erfolgreicher Angriffe zu reduzieren. Dabei sollen sowohl Betroffene als auch allgemein Stakeholder im Umfeld von Websites für die Probleme sensibilisiert werden. 

Im Rahmen einer Studie zum Testen eines innovativen Passwortverfahrens für die Augmented Reality Brille Microsoft HoloLens suchen wir ab sofort Testpersonen. Die Studie wird im Gebäude am Kronenplatz, Kaiserstraße 89 durchgeführt und dauert etwa 30 Minunten. Teilnehmende erhalten nach erfolgreicher Teilnahme eine Aufwandsentschädigung von 15€. Brillenträger:innen sind von der Teilnahme ausgeschlossen. Eine Teilnahme mit Kontaktlinsen ist allerdings möglich. Die Anmeldung erfolgt über ar(at)secuso.org.

Am Freitag, den 24. Februar 2023, wird Melanie Volkamer den Keynote Vortrag für die 9. International Conference on Information System Security and Privacy (ICISSP 2023) halten. Prof. Volkamer wird über Probleme mit bestehenden security interventions sprechen. Sie wird auch ein Framework vorschlagen, um bestehende Unzulänglichkeiten in Bezug auf zukünftige security interventions zu addressieren. ICISSP ist eine Veranstaltung, auf der sich Forscher und Praktiker treffen und den neuesten Stand der Forschung zu den technologischen, sozialen und rechtlichen Herausforderungen in Bezug auf die Sicherheit, den Datenschutz und das Vertrauen in moderne Informationssysteme diskutieren können.

Das Paper "Awareness, Intention, (In)Action: Individuals’ Reactions to Data Breaches" von Peter Mayer, Yixin Zou, Byron M. Lowens, Hunter A. Dyer, Khue Le, Florian Schaub, und Adam J. Aviv wurde zur Veröffentlichung im Journal ACM Transactions on Computer-Human Interaction (TOCHI) akzeptiert. Die Studie ist ein Follow-up zu dem USENIX Paper "'Now I'm a bit angry:' Individuals' Awareness, Perception, and Responses to Data Breaches that Affected Them"aus 2021. Ergänzt wurde die erste Studie, in der Betroffene über Data Breaches informiert wurden, durch eine zweite Studie in der die Autoren die betroffenen Personen noch einmal kontaktierten, um zu untersuchen, ob diese ihre Absichten, Handlungen zu ergreifen, weiter verfolgt hatten.

Am Donnerstag, 26. Januar 2023, stellte Dr. Peter Mayer beim "Open Source & Cybersecurity - Celebrating International Data Privacy Day 2023", einem Event der Legal Hackers Group Luxemburg, die SECUSO Privacy Friendly Apps und das Patenprogramm vor. Ende Oktober wurden einige Apps aus dem Google Play Store und dem FDroid Store genommen, da der Wartungsaufwand zu hoch wurde. Interessierte können aber die Patenschaften für eine oder mehrere Apps übernehmen, z.B. indem sie die Verantwortung für die Weiterentwicklung übernehmen oder das PFA-Team mit personellen oder finanziellen Ressourcen unterstützen.

Am 28. Februar wird Benjamin Berens bei der 1. Tagung „Digitaler Alltag in Gefahr?“ das Thema "IT-Sicherheit mit und für Verbraucher gestalten" gemeinsam mit Prof. Kerstin Lemke-Rust (Hochschule Bonn-Rhein-Sieg) und Dr. Frank Pallas (TU Berlin) diskutieren. Die Tagung wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam mit dem Institut für Verbraucherinformatik der Hochschule Bonn-Rhein-Sieg und dem Kompetenzzentrum Verbraucherforschung Nordrhein-Westfalen der Verbraucherzentrale NRW e.V. organisiert. Anmeldeschluss für die Teilnahme an der Tagungs ist der 10. Februar.

Am 30. Januar 2023 stellt sich das KIT-Zentrum Information - Systeme - Technologien (KCIST) im Bürgersaal im Rathaus Karlsruhe vor. Das KCIST adressiert aktuelle Forschungsfragen und entwickelt Technologien und ganzheitliche Systeme für die Digitalisierung und anwendungsgetriebene Künstliche Intelligenz (KI). Hierzu bündelt KCIST Expertisen und Kompetenzen aus Informatik, Wirtschaftswissenschaften, Elektrotechnik und Maschinenbau, Informationstechnik sowie Sozialwissenschaften. Bei der vom ZAK koordinierten Veranstaltung am 30. Januar geben Wissenschaftler:innen allen Interessierten Einblicke in die Forschung und Arbeit des KIT-Zentrums. Zu diesem Anlass wird auch Prof. Melanie Volkamer über "Nutzer-zentrierte IT-Sicherheitsforschung" sprechen.

Seit Elon Musk im Oktober zum Twitter CEO wurde, gewinnt das Netzwerk Mastodon als Alternative an Beliebtheit. Im Gegensatz zu Twitter ist Mastodon dezentral aufgebaut, Nutzer:innen müssen sich also zwischen mehr als 12.000 sogenannten Instanzen entscheiden, wenn sie ihr Profil anlegen, können aber dennoch mit dem ganzen Netzwerk kommunizieren. Seit Dezember gibt es eine eigene Instanz der Helmholtz-Gemeinschaft für die institutionelle Wissenschaftskommunikation: https://helmholtz.social/explore. Die Forschungsgruppe SECUSO ist bereits seit Februar 2022 mit einem Profil auf der Mastodon-Instanz des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg zu finden.

Für die 16. Folge des Security Awareness Insider Podcast sprach Melanie Volkamer Anfang des Jahres mit Katja Dörlemann, SWITCH, und Markus Beyer über "Phishing-Training - Von Sinn und Unsinn der Tests und Simulationen". Simulierte Phishing-Kampagnen versprechen ein Rundumsorglos-Paket. Das dies ein Trugschluss ist und warum simulierte Phishing-Kampagnen dem Unternehmen im Gegensatz sogar schaden können, erklärt Melanie Volkamer im Podcast. Der Podcast ist nun auch online verfügbar.

Die Badischen Neustesten Nachrichten (BNN) haben Anfang des Jahres einen Artikel zu den Privacy Friendly Apps veröffentlich. Anlass war die Verleihung des Digital Autonomy Award, der der Forschungsgruppe für die Privacy Friendly Apps und den damit verbundenen "Beitrag zur Steigerung der individuellen digitalen Souveränität" verliehen wurde.

Ab sofort haben wir einen eigenen Newsletter für Themen rund um die Privacy Friendly Apps (PFAs). Ziel ist es, Interessierte gezielt über Updates, Neuveröffentlichungen oder andere PFA-Neuigkeiten zu informieren. So wurden zum Beispiel Ende Oktober einige Apps aus dem Google Play Store und dem FDroid Store genommen, da der Wartungsaufwand zu hoch wurde. Auch das PFA-Patenprogramm wurde in diesem Zusammenhang weiterentwickelt. Interessierte können so Patenschaften für eine oder mehrere Apps übernehmen, z.B. indem sie die Verantwortung für die Weiterentwicklung übernehmen oder das PFA-Team mit personellen oder finanziellen Ressourcen unterstützen.

Am 27. Oktober 2022, stellte Anne Hennig das Forschungsprojekt INSPECTION beim Swiss Websecurity Day 2022 (SWSD) vor. Die eintägige Veranstaltung behandelte aktuelle Sicherheitsfragen für Schweizer Registrare und Webhoster. Ziel des INSPECTION Projekts ist es, das deutschsprachige Internet automatisiert mit Methoden der Künstlichen Intelligenz nach gehackten Websites zu durchsuchen. Weiterhin werden Methoden entwickelt, betroffene Websites effektiv zu informieren und Website-Besitzer:innen Materialien an die Hand zu geben, den Schaden zu beheben und sich vor zukünftigen Angriffen zu schützen. Die Aufzeichnung des Vortrags ist nun verfügbar.

Nachdem Anfang des Jahres der erste Zyklus des Projekts "Dialog für Cybersicherheit" zu Ende gegangen ist, steht nun auch das Ergebnis des Workstream 4 “Effektive IT-Security Awareness” zur Verfügung. Workstream 4 wurde von Melanie Volkamer (SECUSO) und Angela Sasse (Ruhr-Universität Bochum) betreut. Ziel des Workstreams war die Erarbeitung eines Leitfadens zur Erstellung wirkungsvoller Awarenessmaßnahmen. In dem Projekt "Dialog für Cybersicherheit" tauschen sich verschiedene Akteure aus der Zivilgesellschaft sowie aus Wissenschaft, Kultur und Medien, Wirtschaft und Staat miteinander aus.

Das Poster “The Phishing Master Anti-Phishing Game" von Heike Dietmann, Tobias Länge, Philipp Matheis, Aleksandra Pawelek, Benjamin Berens, Mattia Mossano, Maxime Veit, Peter Mayer und Melanie Volkamer wurde zur Präsentation auf der Annual Computer Security Applications Conference (ACSAC 2022) akzeptiert. Die Autoren stellen ein Anti-Phishing-Spiel für öffentliche Nutzung vor. Bei einer ersten Studie wurde Feedback von den Probanden gesammelt, welches insgesamt sehr positiv ausfiel und das Anti-Phishing-Spiel als lohnende Alternative zu klassischen Anti-Phishing-Materialien erscheinen lässt. ACSAC 2022 findet vom 5. bis 9. Dezember 2022 in Austin, Texas, statt.

Rund die Hälfte der deutschen Unternehmen ist bereits Opfer von Cyberattacken geworden und auch die IT-Infrastruktur des KIT ist ständig Cyberangriffen unterschiedlichster Art ausgesetzt. In der aktuellen November-Ausgabe des Mitarbeiter:innenmagazins "KITdialog" wird das Projekt "Effektive Security Awareness am KIT" vorgestellt, in dem eine verpflichtende Onlineschulung für Mitarbeitende des KIT entwickelt und evaluiert wird. Verantwortlich sind die Forschungsgruppe SECUSO sowie der Informationssicherheitsbeauftragte des KIT (Philipp Bunten) und das SCC, insbesondere die Abteilungen IT-Security und Service-Management sowie KIT-CERT mit Unterstützung des IT-Expert:innenkreises.

Zum Artikel 

Wir begrüßen Tobias Länge und Philipp Matheis als neue Wissenschaftliche Mitarbeiter im SECUSO Team! Tobias und Philipp unterstützen die SECUSO Forschungsgruppe bereits seit Mai 2022 als wissenschaftliche Hilfskräfte. Tobias war hier hauptsächlich bei der Entwicklung und Unterstützung der Privacy Friendly Apps (PFA) tätig. Philipp war hauptsächlich bei der Unterstützung von AR und VR-Studien tätig. Beide absolvierten ihren Master in Informatik am KIT und unterstützen SECUSO seit dem 01.11.2022 in den Themengebieten Privacy Friendly Apps bzw. Authentifizierung für VR und AR sowie in weiteren Projekten.

Dr. Karen Renaud wird bis zum 30. November 2022 als KIT International Fellow die Forschungsgruppe SECUSO begleiten. Der Besuch war bereits für 2021 geplant und musste mehrfach verschoben werden. Dr. Karen Renaud ist Chancellor's Fellow an der University of Strathclyde in Glasgow. Ihr Forschungsschwerpunkt liegt im Bereich Human-Centered Security. Sie interessiert sich für das Zusammenspiel zwischen Nutzern und Sicherheit im Kontext gesellschaftlicher und industrieller Nutzung. Dr. Renaud hat grundlegende Arbeiten zum Verständnis der mentalen Modelle der Menschen über Sicherheit in einer Vielzahl von Anwendungen und Kontexten durchgeführt.

Die Anzahl unserer Privacy Friendly Apps hat über die Zeit stark zugenommen. Gleichzeitig wurde der Aufwand für die Wartung der Apps sehr groß. Leider reichen die Ressourcen unserer Forschungsgruppe momentan nicht mehr aus, um alle Apps gleichzeitig funktionsfähig zu halten. Um den Nutzern weiterhin eine möglichst reibungslose Nutzung der Privacy Friendly Apps ermöglichen zu können, werden wir in den kommenden Tagen einige Apps aus dem Play Store sowie F-droid entfernen. Dazu gehören die folgenden Apps: Wetter, Schrittzähler, Net Monitor, WiFi Manager und Werwolf App. Der Source Code der Apps wird weiterhin auf GitHub verfügbar sein. Bei Interesse können Nutzer die Apps herunterladen und nutzen. Wir freuen uns jederzeit über Interessenten, die im Rahmen einer Patenschaft die Betreuung der Apps übernehmen möchten.

Infos zur Patenschaft 

SMILE-4-VIP war unter den fünf nominierten Konzepten für den diesjährigen NEO Innovationspreis. Die Preisverleihung fand am 21.Oktober 2022 in der Stadthalle Ettlingen statt. SMILE-4-VIP unterstützt Menschen mit hochgradiger Sehbehinderung und Blindheit dabei, Phishing-E-Mails zu erkennen. Das Programm verbindet die Phishing-Forschung mit den Arbeitstechniken seheingeschränkter Personen im Umgang mit E-Mails. SMILE-4-VIP ist eine Erweiterung für die bekanntesten E-Mail-Clients und reichert dort die E-Mails im Gefährdungsfall mit Hinweisen an. Mit dem NEO-Innovationspreis, der von der TechnologieRegion Karlsruhe GmbH verliehen wird, sollen innovative Lösungen aus verschiedenen Bereichen der Cybersicherheit sichtbar gemacht und ausgezeichnet werden.

Am 13. Oktober hat das DigiLog Projekt ein Abschlussevent im Zentrum für Kunst und Medien in Karlsruhe abgehalten. Es wurden die Ergebnisse einiger Projekte vorgestellt und anschließend darüber diskutiert.  Ebenso gab es eine Podiumsdiskussion über die aktuelle digitale Lage in Deutschland, welche Herausforderungen das Projekt aufzeigt, aber auch welche mögliche Perspektiven geboten werden. Auch unser Thema TrustD (Trust indicators in the digital world) wurde in einem Video der Öffentlichkeit vorgestellt. Dieses Video wird in naher Zukunft verfügbar gestellt. Mehr Informationen zu TrustD oder den anderen spannenden Themen sind auf der offiziellen Webseite von DigiLog zu finden.

Vom 04. bis 07. Oktober fand in Bregenz, Österreich, die Siebte International Joint Conference on Electronic Voting (E-Vote-ID 2022) statt. Mit 168 Teilnehmenden von allen Kontinenten der Erde konnte zwar die Anzahl der Teilnehmer:innen von 2021 nicht ganz erreicht werden. Die Konferenz selbst bot aber viele Highlights und großartige Kulissen für Fotos. Die Konferenz wurde von Melanie Volkamer, SECUSO, Robert Krimmer, University of Tartu, Estland, und David Duenas-Cid, Gdansk University of Technology, Polen, organisiert. Im nächsten Jahr wird E-Vote-ID in Luxemburg stattfinden.

Vom 29. bis 30. September fand in Karlsruhe das European Symposium on Usable Security (EuroUSEC 2022) statt. Mit beinahe 40 Teilnehmenden vor Ort und 15 Teilnehmenden online war die diesjährige Konferenz geprägt von persönlichem Austausch und Gesprächen. Die Konferenz wurde von Oksana Kulyk, IT University of Copenhagen, Dänemark, und Karen Renaud, University of Strathclyde, UK, organisiert. Melanie Volkamer und Peter Mayer unterstützten die Organisation vor Ort. Anne Hennig begleitete die Konferenz als Publicity Co-Chair. Im nächsten Jahr wird EuroUSEC in Kopenhagen, Dänemark stattfinden.

Die Forschungsgruppe SECUSO erhält den Bundespreis Verbraucherschutz der Deutschen Stiftung Verbraucherschutz (DSV)! Verliehen wird der Preis für die Entwicklung nutzerfreundlicher und einfacher Konzepte und Tools, die Anwender:innen von Online-Diensten, Apps und Software helfen, ihre Privatsphäre und Datensicherheit zu wahren. Mit dem Preis zeichnet die Stiftung des Verbraucherzentrale Bundesverbands herausragende Verbraucherschutz-Projekte aus. Der Preis wurde am Montag, 26. September 2022, in Berlin verliehen. Dr. Peter Mayer nahm den Preis stellvertretend für die Forschungsgruppe entgegen.

Am 26. und 27. Oktober wird Melanie Volkamer im Rahmen des SWITCH Security Awareness Day 2022 (SSAD) und des Swiss Website Security Day 2022 (SWSD) jeweils einen Vortrag halten. Beim SSAD wird das Thema “Phishing Training without Phishing Simulation” diskutiert. Der SWITCH Security Awareness Day soll einen Einblick in die verschiedenen Möglichkeiten geben, mit Security Awareness umzugehen, und aufzeigen, wo man Unterstützung erhält und was für den Erfolg entscheidend ist. Zum Swiss Website Security Day wird Melanie Volkamer das Projekt INSPECTION vorstellen. Die eintägige Veranstaltung behandelt aktuelle Sicherheitsfragen für Schweizer Registrare und Webhoster.

Über 40 Teilnehmer:innen haben sich bereits für das diesjährige European Symposium on Usable Security (EuroUSEC 2022) registriert. Um auch kurzentschlossenen noch die Möglichkeit zur Teilnahme zu ermöglichen, wurde die Registrierungsperiode verlängert: Eine Registrierung für die in-person Teilnahme ist noch bis Donnerstag, 22. September 2022, möglich. Eine Registrierung für die Online-Teilnahme ist noch bis einen Tag vor Konferenzbeginn, Mittwoch, 28. September 2022, möglich. Für alle, die schon einmal einen Blick ins Programm werfen wollen: Die Proceedings für EuroUSEC 2022 sind ab sofort verfügbar!

Durch Kommunikation mit dem BSI und Google, konnten wir auf eine Sicherheitslücke im QR-Scanner auf dem Google Pixel hinweisen. Mit dem neusten Android Update (Android 13), wurde diese Sicherheitslücke beseitigt. Das Problem war, dass ab einer gewissen Länge des Links nicht mehr die Domain angezeigt wurde und so diese durch beliebiges ersetzt werden konnte, ohne eine Möglichkeit die tatsächliche Domain zu überprüfen. Wer also noch nicht das Google Pixel geupdated hat, in jedem Fall nachholen.

Für mehr Informationen gibt es eine kleine Zusammenfassung.

Wir gratulieren Dr. Jurlind Budurushi zur Berufung als Lecturer! Jurlind Budurushi war von 2012 bis 2016 erst als Doktorand und anschließend als PostDoc an der TU Darmstadt für die Forschungsgruppe SECUSO tätig. Anschließend wechselte er in die freie Wirtschaft. Seit August 2022 ist er nun als Dozent im Fachbereich “Computer Science and Engineering” (CSE) an der Qatar University in Doha tätig. 

Die Forschungsgruppe SECUSO hat in diesem Jahr mit den Privacy Friendly Apps den Digital Autonomy Award gewonnen. Auf der Mensch und Computer (MUC) 2022 Konferenz in Darmstadt wurden nun die Privacy Friendly Apps (PFA) noch einmal vorgestellt. Dabei konnten Gäste die Apps testen und sich über die Eigenschaften der Apps informieren. Am Ende des Events wurde im Rahmen der Preisverleihung dem PFA Team noch einmal zu ihrem Preis gratuliert. Das Digital Autonomy Hub verlieh 2022 erstmalig den Digital Autonomy Award an das Projekt Privacy Friendly Apps für seinen Beitrag zur Steigerung der individuellen digitalen Souveränität.

Das Programm für das 2022 European Symposium on Usable Security (EuroUSEC 2022)  ist veröffentlicht worden. Die Konferenz findet am 29. und 30. September als hybrides Event in Karlsruhe, Deutschland statt. Die Konferenz wird von Oksana Kulyk, IT University of Copenhagen, Dänemark, und Karen Renaud, University of Strathclyde, UK, organisiert. Melanie Volkamer und Peter Mayer unterstützen die Organisation vor Ort. Anne Hennig begleitet die Konferenz als Publicity Co-Chair. Die Registrierung für EuroUSEC ist ab sofort möglich!

Das Paper “Council of Europe Guidelines on the use of ICT in electoral processes" von Ardita Driza Maurer, Melanie Volkamer und Robert Krimmer wurde zur Publikation auf dem 1st International Workshop on Election Infrastructure Security (EIS 2022) akzeptiert. In dem Paper beschreiben die Autor*innen die Entwicklung von Richtlinien für Wahl-Technologien durch den Europarat. EIS 2022 findet gemeinsam mit dem 27. European Symposium on Research in Computer Security (ESORICS 2022) vom 26. bis 30. September in Kopenhagen, Dänemark, statt.

Peter Mayer ist von seinem Research Visit im George Washington University Usable Security and Privacy Lab (GWUSEC), der Forschungsgruppe von Prof. Adam J. Aviv an der George Washington University, nach Karlsruhe zurückgekehrt. Der Research Visit wurde durch das Topic “Engineering Secure Systems”, subtopic “46.23.01 Methods for Engineering Secure Systems”, der Helmholtz Gemeinschaft (HGF) finanziell unterstützt.

Das Paper “Why is Online Voting Still Largely a Black Box?" von Michael Kirsten, Melanie Volkamer und Bernhard Becker wurde zur Publikation auf dem 1st International Workshop on Election Infrastructure Security (EIS 2022) akzeptiert. In der Studie wurden Expert*innen und Stakeholder befragt, warum Online-Voting ein in weiten Teilen immer noch undurchsichtiger Prozess ist. EIS 2022 findet gemeinsam mit dem 27. European Symposium on Research in Computer Security (ESORICS 2022) vom 26. bis 30. September in Kopenhagen, Dänemark, statt.

Unser NoPhish Konzept wächst und wächst. Deshalb haben wir an dieser Stelle nochmal eine ausführliche Zusammenfassung des Konzepts und seiner Bestandteile erstellt. Hier erklären wir die Bestandteile des Konzept und stellen alle 10 bisherigen Maßnahmen kurz vor, vom Flyer bis hin zum humanoiden Roboter (STAR). Auch geben wir Einblicke an welchen Veranstaltungen wir bisher mit unserem Material in der Vergangenheit teilgenommen haben. Auch ein paar Zahlen zur aktuellen Nutzung von unserem Material findet sich in dieser Zusammenfassung. Dazu listen wir die aktuelle Forschung von Veröffentlichungen bis zu Abschlussarbeiten auf.

Das Paper “Why Users (Don't) Use Password Managers at a Large Educational Institution" von Peter Mayer, Collins Munyendo, Michelle Mazurek und Adam J. Aviv wurde zur Publikation auf dem 31. USENIX Security Symposium (USENIX 2022) akzeptiert. In der Studien wurden 277 Beschäftigte und Studierende zu ihrer Passwortmanager-Nutzung befragt. Die Autor:innen konnten zeigen, dass einfache Benutzbarkeit der wichtigste Faktor für die Nutzung eines Passwortmangers ist. Usability sollte daher im Fokus von Kommunikationskampagnen stehen. USENIX Security findet dieses Jahr als hybrides Event vom 10. bis 12. August in Boston, USA, statt.

Das Paper “Individual Verifiability with Return Codes: Manipulation Detection Efficacy” von Paul Tim Thürwächter, Melanie Volkamer und Oksana Kulyk wurde zur Publikation in den Springer Lecture Notes in Computer Science (LNCS) bei der siebten internationale “Joint Conference on Electronic Voting” (E-Vote-ID 2022) akzeptiert. Ziel der Studie war es, herauszufinden, ob durch ein Informationsvideo im Vorfeld der elektronischen Stimmabgabe die Manipulation Detection Rate bei Online-Wahlen gesteigert werden kann. In dem Video wurden erklärt, welche Schritte zur Stimmabgabe und der individuellen Verifizierung notwendig sind. Die Ergebnisse weisen darauf hin, dass es besser ist, Nutzer:innen für Verifizierbarkeit zu sensibilisieren, statt ihnen den Ablauf einer Online-Wahl zu erklären. E-Vote-ID findet dieses Jahr als hybrides Event vom 4. bis 7. Oktober in Bregenz, Österreich, statt.

Das Poster “PassSec+ - An add-on that protects your passwords, payment data and privacy” von Maxime Veit und Melanie Volkamer wurde zur Präsentation auf dem 18. Symposium on Usable Privacy and Security (SOUPS 2022) akzeptiert. Im Jahr 2015 wurde das PassSec+ Konzept entwickelt, um Nutzer:innen effizient und effektiv bei der Entdeckung unseriöser Websites zu unterstützen. Zudem wurde ein entsprechendes Add-on für den Browser entwickelt. In den vergangenen Jahren wurde PassSec+ genauer unter die Lupe genommen und wir konnten einige Defizite feststellen. Das Poster zeigt nun auf, welche Anpassungen wir an der zugrunde liegende Logik und dem User Interface vorgenommen haben. SOUPS findet dieses Jahr als hybrides Event vom 7. bis 9. August in Boston, USA, statt.

Am 21.07. findet von 18.00 - 19.30 Uhr das Colloquium Fundamentale zum Thema “Politik in der Wissenschaft. Vom Zweck der Forschung in modernen Gesellschaften“ im Foyer des Präsidiumsgebäudes statt. Das Verhältnis von Politik und Wissenschaft wird oft als spannungsreich beschrieben. In der letzten Veranstaltung der Reihe “Colloquium Fundamentale” soll gemeinsam mit Vertreter*innen von Politik und Universität besprochen werden, wie Wissenschaftsfreiheit verstanden werden muss, um eine angemessene Gestaltung des Verhältnisses zwischen Wissenschaft und Politik zu ermöglichen.

TORPEDO (Tooltip-poweRed Phishing Email DetectiOn) ist ein Add-On zur Benutzerunterstützung bei der Erkennung von betrügerischen E-Mails mit gefährlichen Links (oft auch als Phishing E-Mails bezeichnet). NEU: Wir haben einen kleinen Loader eingebaut. Dieser soll helfen, dass auf Geräten mit niedriger Leistung sichergestellt ist, dass keine Artefakte bei der Erstellung der Tooltips sichtbar sind. Das Update gibt es sowohl für die Webextension z.B. für Firefox oder Chrome, als auch für die Thunderbird Version von TORPEDO. 

Das Poster “'Now I'm a bit angry:' Individuals' Awareness, Perception, and Responses to Data Breaches that Affected Them" von Peter Mayer, Yixin Zou, Florian Schaub und Adam J. Aviv wurde zur Präsentation auf dem 18. Symposium on Usable Privacy and Security (SOUPS 2022) akzeptiert. In der Studie, die Probanden erstmalig mit sie betreffenden Daten-Lecks konfrontierte, zeigten Forschenden, dass den Probanden 74% der sie betreffenden Daten-Lecks zuvor unbekannt waren. Zudem wurde identifiziert, dass die meisten Opfer von Daten-Lecks ihre eigenen Verhaltensweisen als Grund sehen. Das Paper, dass die volle Studie beschreibt, wurde im vergangen Jahr beim USENIX Security Symposium (USENIX 2021) vorgestellt. SOUPS findet dieses Jahr als hybrides Event vom 7. bis 9. August in Boston, USA, statt.

Prof. Hanselka gratulierte Prof. Melanie Volkamer, Dr. Peter Mayer und Reyhan Düzgün zum Erhalt eines Facebook Research Awards. Vergeben wurde der Research Award von Facebook für explorative Forschungsarbeiten zum Thema “Trust in AR, VR, and Smart Devices”. Im Zuge der Ausschreibung erhielt das durch das SECUSO-Team eingereichte Projekt mit dem Titel “Secure and usable authentication for augmented and virtual reality devices” den Zuschlag. Reyhan Düzgün, Doktorandin in der Forschungsgruppe SECUSO, hat am diesjährigen Ehrenabend des Präsidenten am 2. Juli 2022 die Auszeichnung vom Präsidenten des Karlsruher Instituts für Technologie, Prof. Dr. Hanselka, stellvertretend für das gesamte Team in Empfang genommen.

Knapp zwei Jahre nach dem Kick-off Meeting in Karlsruhe, fand am Dienstag, 28.06.2022 das mittlerweile fünfte INSPECTION Projektmeeting wieder teilweise vor Ort statt. Herr Feist, mindUp Web + Intelligence GmbH, sprach über die Notwendigkeit einer security.txt auf Websites. Herr Halder, BDO AG, stellte weitere Ergebnisse aus der forensischen Analyse betroffener Webseiten vor. Dr. Peter Mayer und Anne Hennig, die die Forschungsgruppe SECUSO im Projekt vertreten, berichtete über erste Ergebnisse eines Benachrichtigungs-Experiments, bei dem die Effektivität verschiedener Anschreiben getestet wird. Einleitend zu dem Thema Entwicklung von Awareness-Materialien, das im nächsten Projektzeitraum im Fokus der Konsortialpartner stehen wird, stelle Frau Prof. Volkamer einen Leitfaden für das Erstellen von Security-Awareness-Maßnahmen vor. 

Vergangenen Freitag wurden die Benachrichtigungen über akzeptierte Beiträge für die International Conference for Electronic Voting (E-Vote-ID 2022) versendet. Die Mitglieder des Programmkomitees wählten 19 Paper für die Präsentation aus. Etwa die Hälfte der ausgewählten Beiträge wird in den Lecture Notes in Computer Science (LNCS), die andere Hälfte in den Proceedings der Universität Tartu veröffentlicht. Alle Beiträge, auch die in den LNCS, werden in diesem Jahr Open Access veröffentlicht. Die Konferenz findet hybrid vom 4. bis 7. Oktober 2022 in Bregenz, Österreich, statt. Herzlichen Glückwunsch an alle Autor:innen!

Nächste Woche, am Freitag den 1.07.2022, findet in Karlsruhe die Bunte Nacht der Digitalisierung statt. Die Forschungsgruppe SECUSO beteiligt sich mit einem Quiz zum Erkennen von Phishing-URLs. Zudem besteht die Möglichkeit, in unseren NoPhish Videos mehr über das Erkennen betrügerischer Nachrichten zu erfahren. Unter allen Quiz-Teilnehmer*innen werden Gutscheine im Wert von 2 x 50€ und 2 x 30€ verlost. Also kommt am 1. Juli in die Triangel, Kaiserstraße 93, Karlsruhe und beteiligt euch!

Aufgepasst! Cyberkriminelle möchten an Ihre vertraulichen Daten gelangen oder Zugriff auf Ihr Benutzerkonto erhalten. Im Rahmen des Digitaltags 2022 veranschaulicht die Forschungsgruppe SECUSO mit einem “Digitalen Selbstverteidigungskurs NoPhish” verschiedene Tricks der Betrüger und Sie lernen, wie diese erkannt werden können. Der Workshop findet online statt. Für die Teilnahme ist keine Anmeldung erforderlich.

Die Paper “SoK: A Systematic Literature Review of Knowledge-Based Authentication on Augmented Reality Head-Mounted Displays” von Reyhan Düzgün, Naheem Noah, Peter Mayer, Sanchari Das und Melanie Volkamer sowie “Cookie Disclaimers: Impact of Design and Users’ Attitude” von Benjamin Maximilian Berens, Heike Dietmann, Chiara Krisam, Oksana Kulyk und Melanie Volkamer wurden zur Präsentation auf der 17. International Conference on Availability, Reliability and Security (ARES 2022) akzeptiert. Die Konferenz findet vom 23. bis 26. August 2022 in Wien statt.

Dieses Jahr durfte die Forschungsgruppe SECUSO auf der Hannover Messe einen Teil der Materialien aus dem NoPhish-Konzept vorstellen. Mit dabei waren das NoPhish-Quiz, das Online Game Phishing Master und STAR, der Security Teaching & Awareness Roboter der Forschungsgruppe, der am sowohl den Präsidenten des KIT, Prof. Hanselka, als auch den Bundeskanzler Olaf Scholz und sein Team zur offiziellen Eröffnung der Hannover Messe begrüßte. Mit allen vorgestellten Materialien kann interaktiv und mit Formaten, die jeweils unterschiedliche Zielgruppen ansprechen, das Erkennen betrügerischer Nachrichten trainiert werden.

Noch bis zum 10. Juli können für die Tracks 3 “Election and Practical Experiences” und 5 “PhD Colloquium” Beiträge eingereicht werden. In Track 3 können Reviews zu Entwicklungen im Bereich der angewandten elektronischen Wahlen oder Berichte zu Erfahrungen und der Vorbereitung von elektronischen Wahlen eingereicht werden. In Track 5 können Forschungsvorhaben als extended abstracts eingereicht werden. E-Vote-ID sieht sich als Forum für interdisziplinäre und offenen Diskussionen zu allen Themen im Bereich elektronische Wahlen (z.B. Wahllokale, Kiosks, Wahlzettel-Scanner oder Online-Wahlen). Die Konferenz findet vom 4. bis 7 Oktober 2022 in Bregenz, Österreich, statt. 

Das Paper “Your Cookie Disclaimer is not in line with the ideas of the GDPR. Why?” von Anne Hennig, Heike Dietmann, Franz Lehr, Miriam Mutter, Melanie Volkamer und Peter Mayer wurde zur Präsentation auf dem 16. International Symposium on Human Aspects of Information Security & Assurance (HAISA 2022) akzeptiert. Das Paper berichtet über eine Studie, in der die Datenschutzbeauftragten von 150 deutschen Websites zu (möglichen) nicht datenschutzkonformen Cookie-Bannern befragt wurden. Die Konferenz findet vom 6. bis 7. Juli 2022 in Mytilini, Griechenland, statt. 

Wir vergrößern unser SECUSO-Team und suchen zum nächstmöglichen Zeitpunkt eine:n wissenschaftliche:n Mitarbeiter:in! Zu den Tätigkeiten zählt die Forschung im Bereich Human Factors in Security & Privacy. Für unser interdisziplinäres Team suchen wir Wissenschaftler:innen mit unterschiedlichsten Abschlüssen, wie Informatik, Wirtschaftsinformatik, Medieninformatik, Wirtschaftsingenieurwesen, Mathematik, Kommunikationswissenschaften, Psychologie oder verwandter Bereiche. Programmiererfahrung und Erfahrung in der Durchführung qualitativer und quantitativer Studien sind von Vorteil. Die Stelle ist sowohl für PhD-Kandidat:innen als auch PostDocs geeignet. Eine Vergütung nach EG 13 TvÖD wird angestrebt.

STAR, der Security Teaching & Awareness Roboter der Forschungsgruppe SECUSO, wird uns nächste Woche auf die Hannover-Messe begleiten. Dort wird ein Teil der Materialien aus dem NoPhish-Konzept Betrügerische Nachrichten in Form von interaktiven Angeboten vorgestellt. NoPhish hilft Nutzer:innen dabei, betrügerische E-Mails und andere Nachrichten zu erkennen und sich davor schützen zu können. Das Erkennen betrügerischer Nachrichten kann auf der diesjährigen Hannover-Messe mit STAR interaktiv trainiert werden. Besuchen Sie uns doch vom 30. Mai bis 2. Juni 2022 im Future Hub, Halle 2, Stand B40! 

Im Rahmen des internen Informationsformats “DVS Open” des Bundesamts für Sicherheit in der Informationstechnik (BSI) stellten Dr. Peter Mayer und Anne Hennig am 17.05.2022 das Forschungsprojekt INSPECTION vor. DVS steht für “Digitaler Verbraucherschutz”. Peter Mayer und Anne Hennig präsentierten die Ziele und aktuellen Ergebnisse aus dem INSPECTION-Projekt. Das Projekt beschäftigt sich mit dem Identifizieren gehackter Websites, der Benachrichtigung von Betroffenen und der Sensibilisierung verschiedener Stakeholder, um das Risiko künftiger Angriffe zu verringern. 

Am Dienstag, 10. Mai 2022, präsentierte Melanie Volkamer die Ergebnisse des Workstream 4 “Effektive IT-Security Awareness” im Projekt „Dialog für Cyber-Sicherheit“. In dem Projekt tauschten sich verschiedene Akteure aus der Zivilgesellschaft sowie aus Wissenschaft, Kultur und Medien, Wirtschaft und Staat (Dialogpartner:innen) in fünf Themenfeldern (“Workstreams”) miteinander aus. Workstream 4 wurde von Melanie Volkamer (SECUSO) und Angela Sasse (Ruhr-Universität Bochum) betreut. Ziel des Workstreams war die Erarbeitung eines Leitfadens zur Erstellung wirkungsvoller Awarenessmaßnahmen.

Benjamin Berens unterstützt in diesem Jahr das Programm-Komitee der International Conference on Availability, Reliability and Security (ARES 2022). Die Konferenz findet vom 23. bis 26. August 2022 in Wien statt. Die Autor:innen werden bis zum 16. Mai über eine Annahme ihrer Einreichungen benachrichtigt.

Auch beim Digitaltal 2022, bieten wir den digitalen Selbstverteidigungskurs an. Dieser wird aller Voraussicht am 24.06.2022, online stattfinden. Der Workshop klärt über Phishingmethoden auf und wie verschiedene Phishingangriffe erkannt werden können.

Betrügerische Nachrichten kommen als E-Mails, aber auch in anderen Formen daher. Wie Nutzerinnen und Nutzer sie erkennen und sich davor schützen können, vermittelt das NoPhish-Konzept der Forschungsgruppe SECUSO am KIT. In Form von interaktiven Angeboten wird die Forschungsgruppe einen Teil der Materialien aus dem Konzept auf der diesjährigen Hannover-Messe vorstellen. Besuchen Sie uns doch vom 30. Mai bis 2. Juni 2022 im Future Hub, Halle 2, Stand B40! 

Das Bundesministerium für Bildung und Forschung (BMBF) hat nun auch die Informationen veröffentlicht, dass die SECUSO Privacy Friendly Apps in diesem Jahr den Digital Autonomy Award gewonnen haben. Das Thema wurde auch in verschiedenen Pressemedien aufgegriffen, zum Beispiel in den Badischen Neuesten Nachrichten (BNN), dem Tagesspiegel (paywall) oder dem Online-Magazin “Gründermetropole”.

Am 05.05.2022 veranstalten die Forschungsgruppe Security-Usability-Society (SECUSO) und Praktische IT-Sicherheit (PS) des Karlsruher Instituts für Technologie von 19-20 Uhr einen Cybersicherheitskurs zugunsten der Betroffenen des Ukraine-Kriegs. Für die Teilnahme an der Veranstaltung wird keine Gebühr erhoben, es wird stattdessen um eine freiwillige Spende für die Ukraine gebeten (z.B. Aktion Deutschland Hilft e.V. DE62 3702 0500 0000 1020 30). Themen werden das Erkennen von Phishing E-Mails und anderen betrügerischen Nachrichten sowie das Erkennen von Fake News, u.a. in Sozialen Medien sein. Der Kurs wird online stattfinden.

Viele Beschäftigte und Unternehmen sind auch künftig – unabhängig von der Corona-Pandemie – offen für das Arbeiten im Homeoffice. Sie ziehen es sogar häufig dem Arbeiten im Büro vor. Berufsarbeit in der eigenen Wohnung bringt neben zahlreichen Vorteilen aber auch Herausforderungen mit sich. Die Initiative „wir-forschen.digital“ des Karlsruher Instituts für Technologie (KIT) lädt Bürgerinnen und Bürger dazu ein, unter wir-forschen.digital/home-office/ ihre persönlichen Herausforderungen einzubringen, für die sie sich Unterstützung von der Wissenschaft wünschen. Gemeinsam mit den Forschenden und Studierenden werden dann Lösungsvorschläge erarbeitet.

Am 29. März 2022 stellte Anne Hennig, wissenschaftliche Mitarbeiterin der Forschungsgruppe SECUSO,  gemeinsam mit Herrn Feist von der mindUp Web und Intelligence GmbH das Forschungsprojekt INSPECTION den IT-Sicherheitsbeauftragten der deutschen Industrie- und Handelskammern (IHK) vor. Ziel des Projekts ist es, gehackte Websites zu finden und die Websitebesitzer:innen durch effektive Ansprache auf das Problem aufmerksam zu machen. Dabei ist es auch wichtig, mögliche Mediatoren auf das Problem aufmerksam zu machen.

Am 31.03.2022 wird Mattia Mossano von der Forschungsgruppe SECUSO einen Vortrag zum Thema “Security and Privacy for everyone” bei der Deutschen Flugsicherung (DFS) halten. Zunehmende Vernetzungsmöglichkeiten bedeuten auch zunehmende Datenschutz- und Sicherheitsrisiken. In seinem Vortrag wird Mattia Mossano einen Überblick über aktuelle Risiken bei der Kommunikation sprechen und Schutzmechanismen vorstellen

Das Paper “Standing out among the daily spam: How to catch website owners attention by means of vulnerability notifications" von Anne Hennig, Fabian Neusser, Aleksandra Pawelek, Dominik Herrmann und Peter Mayer wurde zur Veröffentlichung bei der Conference on Human Factors in Computing Systems (CHI 2022) akzeptiert, welche vom 30. April bis 5. Mai 2022 in New Orleans, LA, USA stattfindet. Das Paper beschreibt eine Interview-Studie mit deutschen Website-Besitzer:innen, bei der Wege zur effektiven Schwachstellen-Benachrichtigung identifiziert wurden.

Der Call for Paper für die diesjährige EuroUSEC-Konferenz ist raus! Die Konferenz findet am 29. und 30. Oktober 2022 in Karlsruhe statt. Einreichungen zu allen Themen aus dem Bereich Usable Security and Privacy sind willkommen. Die Deadline für die Registrierung eines Papers ist am Montag, 6. Juni 2022. Von der SECUSO Forschungsgruppe unterstützen Prof. Melanie Volkamer und Dr. Peter Mayer, Steering Committee, und Anne Hennig, Publicity Chair, die Veranstaltung.

Am 25. November 2021 hielt Dr. Karen Renaud in der Reihe KIT International Excellence Talk einen Vortrag zum Thema “Moving from ‘Human as Problem’ to ‘Human as Solution’ in Cyber Security”. Das Video zum Talk ist nun online auf dem YouTube-Kanal des KIT verfügbar. Dr. Karen Renaud wird die Forschungsgruppe SECUSO als KIT International Fellow 2021 unterstützen.

Mit der App des Landesbeauftragten für Datenschutz und Informationsfreiheit in Baden-Württemberg (LfDI) können Nutzer:innen zum Beispiel Inhalte der Behörde von Mastodon, der LfDI-Webseite und dem Podcast abrufen. Nachdem bereits eine iPhone-Version veröffentlicht wurde, steht die App nun auch als Android Version zur Verfügung, entwickelt von der Forschungsgruppe SECUSO. Die Zusammenarbeit entstand, nachdem Dr. Stefan Brink die Privacy Friendly Apps von SECUSO als besonders datenschutzfreundlich lobte. Christopher Beckmann und Noah Schlegl waren hauptsächlich für die Entwicklung der App zuständig. 

Unter dem Titel „Secure your success - it’s a CXO topic“ war Melanie Volkamer am vergangenen Mittwoch, 2.03.2022, zu Gast auf der Telekom-Bühne auf dem Mobile World Congress 2022 in Barcelona. Gemeinsam mit Naby Diaw, CISO Lufthansa, und Thomas Tschersich, CSO Deutsche Telekom, diskutierte Prof. Volkamer die aktuelle Bedrohungslage aus wissenschaftlicher Sicht und welche Verantwortungen der Unternehmensspitze zukommt, das Unternehmen vor Cyberangriffen zu schützen.

Wir haben die Funktionalität/Logik und die User Interfaces von PassSec+ an die von TORPEDO angepasst. Dies ist Teil unserer Aktivitäten im Helmholtz Topic Engineering Secure Systems. Da wir analog zu der Entscheidung der Webbrowser, ein Extended Validation Zertifikat nicht mehr als geringes Risiko einstufen führt das dazu, dass einige Seiten (insbesondere von Banken) nun nicht mehr direkt als niedriges Risiko eingestuft werden sondern als unbekanntest Risiko.

Für die 16. Folge des Security Awareness Insider Podcast sprach Melanie Volkamer mit Katja Dörlemann, SWITCH, und Markus Beyer über "Phishing-Training - Von Sinn und Unsinn der Tests und Simulationen". Simulierte Phishing-Kampagnen versprechen ein Rundumsorglos-Paket. Das dies ein Trugschluss ist und warum simulierte Phishing-Kampagnen dem Unternehmen im Gegensatz sogar schaden können, erklärt Melanie Volkamer im Podcast.

Am 07.Oktober 2021 war Melanie Volkamer auf einen virtuellen Espresso zu Gast bei Dirk Arendt, Head of Government & Public bei Trend Micro. Das Thema der Espressorunde war “IT Security kann nur funktionieren, wenn alle mitmachen - doch wie schafft man Awareness bei den Mitarbeiter*innen?” Das Gespräch wurde aufgezeichnet und ist nun als Video verfügbar.

Die von SECUSO entwickelten Privacy Friendly Apps (PFA) wurden für den Digital Autonomy Award nominiert. Wenn ihr auch der Meinung seid, dass unsere Apps das Rennen machen sollten, dann stimmt doch beim Online-Voting für unsere PFAs!! Die offene Abstimmung läuft noch bis zum 18. Februar. Also schnell den Link öffnen und mit ein paar Klicks habt ihr schon eure Stimme für uns abgegeben!

Am heutigen 8. Februar ist Safer Internet Day! Die Forschungsgruppe SECUSO beteiligt sich auch in diesem Jahr mit verschiedenen Informationsmaterialien zum Thema Sicherheit im Netz: Wie man herausfinden kann, ob die eigene Website gehackt ist, haben wir in unseren INSPECTION FAQs zusammengefasst. Melanie Volkamer und Peter Mayer stellen in einem Expertenbrief neue Forschung zum Thema Authentifizierungsmechanismen für Kinder vor. Aber vor allem hat heute unser neues NoPhish Video Premiere!

Das Paper “Phishing awareness and education – When to best remind?" von Benjamin Maximilian Berens, Katerina Dimitrova, Mattia Mossano und Melanie Volkamer wurde für das Symposium on Usable Security and Privacy (USEC’22) akzeptiert. Das Symposium USEC’22  wird voraussichtlich am 23. April 2022 in San Diego abgehalten werden.

Peter Mayer unterstützt in diesem Jahr das Programm-Komitee der Konferenz Symposium on Usable Privacy and Security (SOUPS 2022). Die Konferenz findet vom 7. bis 9. August 2022 in Boston (USA) statt. Paper müssen bis zum 11. Februar zur Einreichung registriert werden, die Einreichung ist bis zum 17. Februar möglich.

Die Registrierung für die dritte Distinguished Lecture ist nun freigeschaltet. Am 11. Februar 2022 wird Prof. Angela Sasse zum Thema “Behavioural Science Meets Security: Why a Little Knowledge is a Dangerous Thing” sprechen. Prof. Sasse leitet den Lehrstuhl Human-Centered Security am Horst Görtz Institute for IT Security an der Ruhr Universität Bochum. Aufgrund der andauernden COVID-19 Pandemie wird die Veranstaltung wieder ausschließlich online stattfinden.

Das Paper “Research Opportunities in Evidence-Based Elections" von Josh Benaloh, Philip B. Stark, Vanessa Teague, Melanie Volkamer und Dan Wallace wurde vom Computing Community Consortium (CCC) als White Paper veröffentlicht. In dem Paper wird die Notwendigkeit von evidenzbasierten Wahlen hervorgehoben, mit denen Wähler*innen von der Richtigkeit der Wahlergebnisse überzeugt werden können. Die Autor*innen schlagen verschiedene Technologien vor, die dabei eine Rolle spielen können. Der Fokus dabei liegt auf risikominimierenden Audits und Ende-zu-Ende Verifizierbarkeit.

Die von SECUSO entwickelten Privacy Friendly Apps (PFA) wurden für den Digital Autonomy Award nominiert und stellen sich nun als eine der zehn besten Einreichungen dem Online-Voting. Bis zum 18. Februar kann für die PFAs abgestimmt werden! Der Digital Autonomy Award zeichnet digitale Lösungen, Produkte und Services aus, die dazu beitragen Menschen einen reflektierten und selbstbestimmten Umgang mit ihren Daten zu ermöglichen.

Am 18. Dezember 2021 fand im Zentrum für Kunst und Medien Karlsruhe (ZKM) die Eröffnung der Ausstellung “Digiloglounge N°1: Wem können wir vertrauen” statt. Die Eröffnungsveranstaltung wurde aufgezeichnet und steht nun als Video zur Verfügung. Im Rahmen der Ausstellung werden das Online-Spiel “Phishing Master” und das NoPhish-Quiz gezeigt. Beide Materialien wurden von bzw. mit der Forschungsgruppe SECUSO erstellt. Das Online-Spiel wurde von zwei Studierenden ausgearbeitet und im Rahmen des digilog@bw Projekts, welche vom Ministerium für Wissenschaft, Forschung und Kunst (MWK) finanziert wird, betreut. 

Die Forschungsgruppe SECUSO wurde bzw. wird von Anne Hennig gleich bei zwei Konferenzen als Publicity Chair vertreten: Gemeinsam mit Dr. Peter Mayer (Program Committee Chair) bei EuroUSEC 2021 (11. und 12. Oktober 2021) und im kommenden Jahr bei der Fachtagung “Sicherheit 2022” des Fachbereichs “Sicherheit - Schutz und Zuverlässigkeit” der Gesellschaft für Informatik e.V. (GI). Die GI-Sicherheit 2022 findet vom 5. bis 8. April in Karlsruhe statt.

Gleich drei Paper die von oder in Zusammenarbeit mit der Forschungsgruppe SECUSO entstanden sind, erreichten in diesem Jahr mehr als 1000 Downloads. Zu den Top 3 in 2021 gehören das Paper “Phishing-Kampagnen zur Mitarbeiter-Awareness : Analyse aus verschiedenen Blickwinkeln: Security, Recht und Faktor Mensch” von Melanie Volkamer, Angela M. Sasse und Franziska Boehm (2020), das Paper “Mental Models: General Introduction and Review of Their Application in Human-Centred Security” (2013) von Melanie Volkamer und Karen Renaud und das Positionspapier “Aktuelle Entwicklungen im Kontext von Online-Wahlen und digitalen Abstimmungen” (2021), das direkt auf Platz drei landete. 

Am 07. Juni 2021 war Melanie Volkamer als Gastrednerin zur Distinguished Lecture des Exzellenzclusters CASA - Cyber Security in the Age of Large-Scale Adversaries. CASA ist Teil des Horst-Görtz-Instituts für IT-Sicherheit an der Ruhr-Universität Bochum. Prof. Volkamer sprach über “Usable Verifiable Electronic Voting”. Das Video zum Vortrag ist nun auf dem YouTube-Kanal von CASA verfügbar. 

Die Landeshauptstadt Stuttgart wird ab sofort das von der Forschungsgruppe SECUSO entwickelte NoPhish-Quiz für die Schulung der Beschäftigten nutzen. Wir freuen uns, dass wir insgesamt zehn neue Nutzer und Unterstützer des NoPhish Konzepts in diesem Jahr dazu gewinnen konnten. Unter anderem das Bundesamt für Sicherheit in der Informationstechnik (BSI), die Verbraucherzentrale Nordrhein-Westfalen und zuletzt das Deutsche Spionage-Museum in Berlin.

Die Ampel-Parteien planen laut Koalitionsvertrag, Online-Hauptversammlungen von börsennotierten Unternehmen, wie sie während der Corona-Pandemie übergangsweise eingeführt wurden, dauerhaft zu ermöglichen. Prof. Volkamer bemängelt in einem Expertenbrief die nicht Verifizierbarkeit vieler derzeit eingesetzter Black-Box-Systeme und weist auf Schwachstellen hin. Die Meldung wurde unter anderem auf Zeit Online, der Süddeutschen Zeitung, den Badischen Neuesten Nachrichten, dem Merkur, dem General-Anzeiger sowie in den RTL News und zahlreichen Fachmedien und Online-Portalen geteilt (datensicherheit.de, IT-daily, t-online, finanzen.net, u.v.m.). 

Seit Beginn der Pandemie stehen viele Institutionen (inkl. Vereinen, Unternehmen und Behörden) vor der Frage, wie sie ihre Wahlen und geheimen Abstimmungen organisieren sollen – ohne die Gesundheit der Wähler*innen und Wahlhelfer*innen zu gefährden. Umso mehr freuen wir uns, dass das Positionspapier “Aktuelle Entwicklungen im Kontext von Online Wahlen und digitalen Abstimmungen”, das von der Forschungsgruppe SECUSO, den KIT Instituten KASTEL und ITAS gemeinsam mit anderen Forscher*innen im September veröffentlicht wurde, mehr als 1000 Downloads verzeichnet.

Das Deutsche Spionage-Museum in Berlin zeigt unter dem Thema Cyber-Spionage nun auch die NoPhish-Videos der SECUSO Forschungsgruppe. Außerdem konnten in interessanten Gesprächen weitere Vereinbarungen über Kooperationen getroffen werden. So werden wahrscheinlich auch die NoPhish Challenge-Karten in Form von kleinen Spielen Teil der Ausstellung in Berlin werden.

Im Rahmen einer Online-Fortbildung zum Thema Cybercrime der United Nations African Union Mission in Darfur (UNAMID) wurden auch die NoPhish-Forschungsergebnisse der SECUSO Forschungsgruppe behandelt. KHK Rühl, Polizeipräsidium Südhessen, setzte in Absprache mit SECUSO die englische Version der NoPhish-Videos ein, um die Mitarbeiter:innen im Umgang mit E-Mails zu schulen. Insbesondere internationale Organisationen sind regelmäßig Ziel organisierter Cyberangriffe.

Dass es insbesondere an Schulen an digitalen Prozessen fehlt, hat die Corona-Pandemie deutlich gezeigt. In vielen Fällen wurde die Funktionalität über Datenschutz- oder Sicherheitsanforderungen gestellt. Umso erfreulicher ist es, dass das Kant-Gymnasium in Karlsruhe sich für einen anderen Weg entschieden hat: Zugangsdaten und Passwörter sollen in Zukunft nutzer:innenfreundlich und sicher gespeichert werden. Dr. Peter Mayer hielt dazu im Rahmen der Gesamtkonferenz einen Vortrag zum Thema Passwortsicherheit und erarbeitete mit dem Lehrerkollegium Strategien für eine sichere Verwendung von Passwörtern.

Kostenfreie Apps finanzieren sich in den meisten Fällen über Werbung, Tracker und Nutzerdaten. Nicht so unsere Privacy Friendly Apps: Hier werden keine Daten gesammelt und keine Nutzerprofile erstellt. Chip.de stellt in einem ausführlichen Testbericht die Privacy Friendly Wetter-App vor. Das Fazit: einfach zu bedienen, keine nervigen Standortabfragen, clevere Funktionen. Und das alles kostenlos und datensparsam!

Wir freuen uns sehr den Vortrag von Dr. Karen Renaud im Rahmen der KIT International Excellence Talks anzukündigen. Dr. Renaud wird über ihre Forschung zum Thema “Moving from ‘Human as problem’ to ‘Human as Solution’ in Cybersecurity” sprechen. Karen Renaud ist Dozentin an der Strathclyde University und KIT International Excellence Fellow 2021. Der Vortrag kann am 25. November um 18 Uhr über Zoom verfolgt werden. Eine Registrierung ist nicht notwendig.

In der Nacht vom 26. November findet auch dieses Semester die "Nacht der Wissenschaft" statt. Viele spannende Vorträge aus den verschiedensten Fachbereichen warten auf die virtuellen Besucher:innen. Mattia Mossano wird die SECUSO Forschungsgruppe mit einem Vortrag zum Thema “Security and Privacy for Everyone” vertreten. Der Vortrag findet auf englisch statt und kann um 21 Uhr online im Hörsaal 2 verfolgt werden.

Die "Sicherheit" ist die regelmäßig stattfindende Fachtagung des Fachbereichs ”Sicherheit – Schutz und Zuverlässigkeit” der Gesellschaft für Informatik e.V. Die kommende Tagung findet vom 5. bis 8. April 2022 in Karlsruhe statt und wird organisiert von Delphine Reinhardt, Georg-August-Universität Göttingen, und Christian Wressnegger, KASTEL Security Research Labs am KIT. Von der SECUSO Forschungsgruppe unterstützt Anne Hennig die Tagung als Publicity Chair.

Für Online-Abstimmungen werden insbesondere in Deutschland häufig sogenannte Black-Box-Abstimmungssysteme eingesetzt. Forscher*innen befürworten hingegen „Ende-zu-Ende“ verifizierbare Online-Wahlsysteme. Im Rahmen der Reihe “Mittwochsseminar” an der Hochschule Ravensburg-Weingarten wird Melanie Volkamer am 24. November 2021 über die Risiken von Blackbox-Abstimmungssystemen sowie die Chancen und Herausforderungen von Ende-zu-Ende verifizierbaren Online-Wahlsystemen sprechen.

Die mit dem digitalen Wandel verbundenen Herausforderungen im Bereich Cyber-Sicherheit können nur im Dialog mit allen gesellschaftlichen Gruppen bewältigt werden. Im Projekt „Dialog für Cyber-Sicherheit“ tauschen sich verschiedene Akteure aus der Zivilgesellschaft sowie aus Wissenschaft, Kultur und Medien, Wirtschaft und Staat (Dialogpartner:innen) in fünf Themenfeldern (“Workstreams”) miteinander aus. Workstream 4 “Effektive IT-Security Awareness” wird von Melanie Volkamer (SECUSO) und Angela Sasse (Ruhr-Universität Bochum) betreut. Start der fünf Workstreams war im Juli 2021. Der Austausch läuft bis März 2022.

Wahlchaos in Berlin mit ungültigen Wahlzetteln, langen Schlangen vor Wahllokalen und verspäteten Ergebnissen. Doch sind digitale Wahlen wirklich eine Alternative? Prof. Melanie Volkamer erklärt im Interview mit radioeins, warum dies auf Grundlage der Vorgaben vom Bundesverfassungsgericht für Bundestagswahlen aktuell nicht der Fall ist. 

Prof. Melanie Volkamer wird im Rahmen des Events “Nichts sehen. Nichts hören. Nichts sagen.” der Karlsruher IT-Sicherheitsinitiative (KA-IT-Si) am 21.10.2021 zum Thema “Der Faktor Mensch im IT-Sicherheitskonzept” einen Vortrag halten. Im Rahmen des Vortrags wird diskutiert, welche Security Awareness Maßnahmen als Teil des IT-Sicherheitskonzepts in Unternehmen umgesetzt werden sollten und warum diese eine wichtige Vorbedingung für ein effektives IT-Sicherheitskonzept sind. 

Save the date: Am 07.Oktober wird Melanie Volkamer mir Dirk Arendt, Head of Government & Public bei Trend Micro, über IT-Security im Unternehmenskontext sprechen. IT Security kann nur funktionieren, wenn alle mitmachen - doch wie schafft man Awareness bei den Mitarbeiter*innen? Eine Anmeldung zur “Espressorunde” am 7.10.2021 von 9 - 9.30 Uhr ist erforderlich.

Nicht vergessen: Vom 5. bis 10. Oktober wird in diesem Jahr zum ersten Mal die KIT Science Week stattfinden. Die Forschungsgruppe SECUSO wird sich mit dem Workshop “Digitaler Selbstverteidigungskurs - NoPhish” beteiligen. Der Workshop wird als Präsenzveranstaltung stattfinden und die Plätze sind limitiert. Die Anmeldung erfolgt über die Seite der Science Week. 

Melanie Volkamer und Jörn Müller-Quade äußerten sich diese Woche im Rahmen eines KIT-Expert*innenbriefs zum Thema “Anforderungen an sichere Online-Wahlen”. Dabei bezogen sie sich auf die Inhalte des Positionspapiers “Aktuelle Entwicklungen im Kontext von Online-Wahlen und digitalen Abstimmungen”. Unter anderem wurde der Brief von den Zeitschriften “IT-Zoom” und “Elektronik Praxis” aufgegriffen. 

Anlässlich des 200. Geburtstags von Hermann von Helmholtz präsentiert die Helmholtz-Gemeinschaft dieses Jahr 200 große wissenschaftliche Herausforderungen, zu denen aktuell in den Helmholtz-Zentren geforscht wird. Challenge 65 ist dem Thema Sicheres E-Voting gewidmet. Während insbesondere auch in Hinblick auf die anstehende Bundestagswahl, immer mehr Bürger:innen eine Online-Wahl befürworten würden, sind noch wichtige Forschungsfragen offen, zum Beispiel: Wie kann das Wahlgeheimnis angemessen abgesichert werden? Wie kann das Vertrauen der Wähler:innen in Online-Wahlverfahren erhöht werden?

Laut aktuellen Untersuchungen könnten sich zwei Drittel der Bürger:innen eine Online-Wahl vorstellen. Eine Frage die allerdings nicht immer gestellt wird, ist die nach der Sicherheit und dem Vertrauen in einen solchen Prozess. Prof. Volkamer erklärt bei #meetdigilog, wem bei einer digitalen Wahl vertraut werden muss und wieso der analogen Wahl mehr Zuversicht geschenkt wird als einer Fernwahl via Brief oder Internet. #meetdigilog wird am 23. September von 17.30 - 18 Uhr live über den Instagram-Kanal des Zentrum für Kunst und Medien Karlsruhe (ZKM) ausgetragen.

Laut der Anfang September veröffentlichten Bitkom Umfrage sprechen sich zwei Drittel der Befragten für eine Online-Stimmabgabe bei Bundestagswahlen aus.  Warum die digitale Durchführung einer Wahl wesentlich schwieriger abzusichern ist als z.B. der digitale Einkauf, erklären die Forschungsgruppe SECUSO, die KIT Institute KASTEL und ITAS gemeinsam mit anderen Forscher*Innen in einem gerade veröffentlichten Papier. Außerdem bietet das Papier eine Einordnung einiger in Deutschland durchgeführter Online-Wahlen sowie eine Erläuterung vorhandener Anforderungskatalogen.

Vom 25.-27.11.2021 findet in Leipzig die diesjährige Jahrestagung der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) statt. Prof. Melanie Volkamer, Leiterin der Forschungsgruppe SECUSO, wird dort im Themenblock “Digitale Herausforderungen für die Unternehmensführung” am 27.11. zum Thema “Online-Wahlen und Beschlussfassungen im Gesellschaftsrecht” sprechen. Die Tagung findet weitgehend als Präsenzveranstaltung statt. Eine Anmeldung ist erforderlich. 

Unser SECUSO-Erklärvideo ist nun auch auf Englisch verfügbar. Unter dem Titel “Voting over the Internet - Maybe an option you think of … during the pandemic” erklären wir, warum aktuelle Online-Wahlsysteme zwar einfach, aber nicht sicher sind. Und welche Alternativen es für die Durchführung von Online-Wahlen gibt.

Melanie Volkamer war im Gespräch mit Adrian Hartschuh von der Tageszeitung "Die Reihnpfalz".
Dabei ging es um E-Voting und die dringliche Forderung von Ende-zu-Ende verifizierbaren Online-Wahlsystemen.
Mehr Infos und Hintergründe können in dem Artikel nachgelesen werden.

Auf der digilog-bw.de Website ist ein Beitrag als Spotlight zum Thema Cookies im Hinblick auf Privatsphäre und Datenschutz erschienen. Im Artikel werden folgende Aspekte beleuchtet: die Ausgestaltung von Cookie-Meldungen bei bekannten Websites, die aktuelle Rechtslage dazu und die Handlungsfelder im Zusammenhang mit Cookies.
Hierbei sind die Nutzer:innen der Websites eingeladen, die Datenschutzbeauftragten oder die Betreiber:innen der Websites anzuschreiben und mit uns in Kontakt zu treten. Die Erstellung des Artikels wurde im Rahmen des digilog@bw Projekts, welches vom Ministerium für Wissenschaft, Forschung und Kunst (MWK) finanziert wird, erarbeitet.

Die Registrierung für EuroUSEC 2021 ist online! Die Teilnahme ist kostenfrei, eine Registrierung ist aber dennoch notwendig. EuroUSEC 2021 wird am 11. und 12. Oktober 2021 online stattfinden. Es warten spannende Forschungsbeiträge rund um die Themen Usable Security and Privacy auf die Teilnehmenden. Eine rekordverdächtige Anzahl von 62 Beiträgen wurde in diesem Jahr akzeptiert. Von der SECUSO Forschungsgruppe werden Dr. Peter Mayer, Program Co-Chair, und Anne Hennig, Publicity Co-Chair, die Veranstaltung unterstützen.

Am 27.07.2021 wird die US Federal Trade Commission die sechste PrivacyCon veranstalten. PrivacyCon 2021 wird Vertreter aus Wissenschaft, Industrie, Verbraucherschutz und Regierung zusammenbringen, um aktuelle Trends in Bezug auf Privatheit und Datensicherheit von Verbrauchern zu diskutieren. Im Zuge der Veranstaltung wird SECUSO Forschungsergebnisse aus einer Studie zu Datenlecks vorstellen. Diese Ergebnisse zu Awareness, Wahrnehmung und Reaktionen auf Datenlecks, von denen die Probanden betroffen waren, wurden auch als Paper zur Veröffentlichung beim USENIX Security Symposium 2021 akzeptiert.

Das Paper "Evaluation der interaktiven NoPhish Präsenzschulung" von Benjamin Berens, Lukas Aldag und Melanie Volkamer wurde beim Mensch und Computer Workshop (MuC 2021) akzeptiert.
In dem Paper wird die Langzeit-Effektivität des Anti-Phishing Workshops „NoPhish“ evaluiert und schließt damit eine Lücke zu bisherigen Forschungsergebnissen. Der Workshop wird als hybrides Event vom 5. bis 8. September 2021 online und an der Technischen Hochschule Ingolstadt stattfinden.

Das zweite Paper der SECUSO-Forschungsgruppe, das beim European Symposium on Usable Security (EuroUSEC 2021) angenommen wurde, befasst sich mit populären YouTube Videos zur Passwortsicherheit. Mathieu Christman, Peter Mayer und Melanie Volkamer konnten zeigen, dass die verfügbaren Videos nur einen Teil dessen abdecken, was als Basiswissen in Bezug zur Sicherheit von Passwörtern angesehen werden kann. Das Vision-Paper mit dem Titel “What Johnny learns about Password Security from Videos posted on YouTube” wird im Rahmen von EuroUSEC 2021 am 11. und 12. Oktober online präsentiert.

Das Paper „Usable Verifiable Secrecy-Preserving E-Voting“ von Oksana Kulyk, ITU Center for Information Security and Trust, Reto König, Berner Fachhochschule BFH, Philipp Locher, Jonas Ludwig und Melanie Volkamer, SECUSO-Forschungsgruppe am Karlsruher Institut für Technologie (KIT), wurde für die Präsentation bei der diesjährigen E-Vote-ID Konferenz akzeptiert. In dem Paper werden verschieden Szenarien für Stimmabgabe und Stimmverifikation bei code-based Wahlsystem hinsichtlich Nutzerfreundlichkeit evaluiert. Die E-Vote-ID Konferenz wird vom 5. bis 8. Oktober online stattfinden.

Das Paper “How to Improve Awareness for Password Security by Shifting to a State-of-the-art Password Policy” von Mathieu Christmann, Peter Mayer und Melanie Volkamer wurde beim “7. Who are you?! Adventures in Authentication Workshop” (WAY 2021) akzeptiert. Der Workshop findet am 8. August als Online-Event statt. 

Das Internet bietet eine Fülle von Möglichkeiten, wie man mit der Pandemie Geld machen kann. Waren es zu Beginn Schutzmasken, sind es später noch Corona-Tests, die über gefakte Webseiten angeboten werden. Peter Mayer im Interview mit Stefan Fuchs vom Campusradio über Schnelltests, Sicherheitslücken und Schutzmaßnahmen.

In der ersten Studie, die Probanden mit sie betreffenden Daten-Lecks konfrontierte, zeigten Forscher von SECUSO, der University of Michigan und der George Washington University 413 Probanden Informationen zu jeweils bis zu drei Daten-Lecks, in die ihre persönlichen Informationen betroffen waren. Die zeigte, dass den Probanden 74% der sie betreffenden Daten-Lecks zuvor unbekannt waren. Zudem wurde identifiziert, dass die meisten Opfer von Daten-Lecks ihre eigenen Verhaltensweisen als Grund sehen und nicht etwa die laxen Sicherheitsmaßnahmen der Firmen, bei denen das Daten-Leck auftrat. Das Paper, dass die volle Studie beschreibt, wird beim diesjährigen USENIX Security Symposium vorgestellt. Der Pre-Print kann bereits auf der Webseite eingesehen werden.

Prof. Melanie Volkamer und Benjamin Bachmann, Director Cyber Security bei EXXETA, haben sieben Handlungsempfehlungen für Informationssicherheitsbeauftragte in Unternehmen zusammengefasst. Anhand zahlreicher Vorschläge von Dritten konnten einige Kleinigkeiten in dem auf wissenschaftlichen Erkenntnissen und praktischen Erfahrungen basierende Leitfaden noch einmal konkretisiert werden. Version 1.1 ist nun unter einem neuen Link verfügbar.

Sichere Passwörter müssen nicht komplex sein: Prof. Melanie Volkamer und Dr. Peter Mayer erklären in der SWR Landesschau, was ein Passwort sicher macht und welche Vorteile ein Passwortmanager bietet. In Hinblick auf Passwortsicherheit ist zum Beispiel Länge wichtiger als Komplexität. Denn lange Passwörter werden durch viele Kombinationsmöglichkeiten für Angreifende unattraktiv.  

Das Lehrbuch “Sicherheitskritische Mensch-Computer-Interaktion” ist in zweiter Auflage erschienen. Melanie Volkamer, Peter Mayer, Benjamin Reinheimer und weitere ehemalige SECUSO - Mitglieder haben das Kapitel “Human Factors in Security” beigetragen. Das Kapitel gibt eine Einführung in das Thema mit Fokus auf den Endanwender. Dabei wird zunächst das Problem allgemein eingeführt und an den konkreten Beispielen „E-Mail-Verschlüsselung“, „HTTPS-Verbindungen im Internet“ sowie „Passwörter“ beschrieben und diskutiert.

Die Vorlesung Informationssicherheit wird in diesem Semester von Dr. Peter Mayer und Dr. Marco Ghiglieri gehalten. Im Rahmen der Vorlesung findet auch dieses Jahr wieder ein Gastvortrag statt. Dr. Stefan Brink, Landesbeauftragter für Datenschutz und Informationssicherheit Baden-Württemberg, wird dazu am 5. Juli zum Thema Datenschutz und Privacy sprechen.

Das SECUSO-Team hat ein neues Mitglied! STAR ist ein humanoider Roboter, der die SECUSO-Forschungsgruppe bei der Arbeit im Bereich Security Awareness unterstützen wird. So soll er zum Beispiel zur Bunten Nacht der Digitalierung in Karlsruhe und im Zentrum für Kunst und Medien Karlsruhe (ZKM) eingesetzt werden. Dort wird er den Besucher:innen E-Mails zeigen, die diese dann in legitime und betrügerische Nachrichten unterscheiden sollen. STAR steht für Security Teaching and Awareness Robot.

Bewegungsmangel am Arbeitsplatz? Nicht mit der “Aktivpause to Go”! Das Betriebliche Gesundheitsmanagement am KIT unterstützt mit der von der Forschungsgruppe SECUSO entwickelten App "Aktivpause to Go" Beschäftigte und Studierende dabei, Bewegungsmangel durch langanhaltendes Sitzen zu verhindern und daraus resultierenden Schmerzen und Beschwerden entgegenzuwirken. Einfach mal ausprobieren!

Die Privacy Friendly Wetter App wurde in den letzten Monaten grundlegend verbessert und erweitert. Ob aktuelles Wetter, stündliche Vorhersagen für die nächsten 2 Tage oder eine Wochentagesvorschau mit Verlaufsgraphen, alles ist übersichtlich pro gewähltem Ort auffindbar. Zusätzlich kann ein Regenradar eingesehen werden, das Wetter in einer Radiussuche für Orte in der Nähe verglichen werden oder mittels vier verschiedener Widgets auf dem Home-Bildschirm überprüft werden. Die App ist auf Google Play und F-Droid verfügbar.

Gerade in Zeiten, in denen Geschäftsprozesse zunehmend digitalisiert werden, darf das Thema der IT-Sicherheit in Unternehmen nicht vernachlässigt werden. Melanie Volkamer spricht dazu zum Thema “Der Faktor Mensch im IT-Sicherheitskonzept” auf der diesjährigen IT-Konferenz der IHK Reutlingen am 29. Juni 2021. Die Konferenz findet online statt, Anmeldungen sind über die Seite der IHK möglich. 

Melanie Volkamer unterstützt in diesem Jahr das Programm-Komitee des Workshops “FoPI2021 (Future of PI - Challenges and Perspectives of Personal Identification)”. Der Workshop findet am 6. September 2021 im Rahmen des diesjährigen EuroS&P (7. bis 10. September) als virtuelles Event statt. Einreichungen für Talks sind bis zum 21. Mai möglich. 

“There is no glory in prevention” - Warnungen vor Sicherheitslücken in IT-Systemen sind unumgänglich. Doch wie kann man Bürger:innen in dieser Frage abholen, ohne, dass durch solche Warnmeldungen unnötige Panik entsteht? Felix Schledde vom WDR ist dieser Frage nachgegangen und hat sich mit Melanie Volkamer darüber unterhalten, wie man Bürger:innen dabei helfen kann, entsprechende Warnungen besser zu verstehen und einzuordnen. 

Vergangene Woche diskutierte Melanie Volkamer, Leiterin der Forschungsgruppe SECUSO, gemeinsam mit anderen IT-Sicherheitsforscher:innen über das Thema “Usable Security in KMUs”. Die Aufzeichnung zum Webinar ist nun auf YouTube verfügbar.

In der neuen Episode des eGovernment Podcast haben Torsten Frenzel und Dirk Arendt mit Prof. Dr. Melanie Volkamer über eVoting gesprochen. U.a. geht es darum, welche verschiedenen Verfahren es gibt, wie man die Stimmabgabe absichern und die Auszählung nachvollziehen kann. Wer überlegt, eine Wahl oder Abstimmung durchzuführen oder bei einer Online-Wahl wahlberechtigt ist, dem legen wir den Podcast besonders ans Herz. 

Melanie Volkamer, Leiterin der Forschungsgruppe SECUSO, wird am Dienstag, 27.04.2021, gemeinsam mit anderen IT-Sicherheitsforscher:innen über das Thema “Usable Security in KMUs” diskutieren. Im Fokus stehen die Fragen, welche Strategien für Unternehmer:innen wirklich sinnvoll sind und wie und an welcher Stelle Mitarbeiter:innen eingebunden werden müssen. Die Teilnahme am Webinar und der anschließenden Networking-Phase ist kostenfrei, um Anmeldung wird gebeten.

Die Gesellschaft für Informatik (GI) hat in ihrem letzten Newsletter das Thema „Bilder statt Passwörter“ in den Fokus genommen. Seit vielen Jahren weisen Studien darauf hin, dass sich Personen und hier insbesondere Kinder, Bilder besser merken können als komplexe alphanumerische Strings. Statt also schwache Passwörter zu verwenden, erscheint es sinnvoll, Bilder zur Authentifizierung beim Login einzusetzen. Im Rahmen einer Studie wurden 44 Grundschüler:innen darauf getestet, wie gut sie Fotos im Gedächtnis behalten. Das Ergebnis: Bleibt man nah an der Erlebniswelt der Kinder, sind grafische Authentifizierungsverfahren sehr gut für Kinder geeignet.

Auf der digilog-bw.de Seite ist ein Blogbeitrag zum oben genannten Online-Spiel „Phishing Master“ erschienen. Im Blog werden zunächst allgemeine Informationen zum Thema Phishing vorgestellt, mit Verweisen auf die SECUSO Forschungsseite, wenn zusätzliches Wissen gewünscht wird. Dieses unterhaltsame Spiel entwickelten die beiden Studenten Tobias Länge und Philipp Matheis im Rahmen des SECUSO Praktikums. In diesem etwas anderen Shooting Game lernen die Nutzer zwischen betrügerischen und echten (legitimen) Nachrichten zu unterscheiden. Die Idee, die Inhalte auf spielerische Art und Weise zu vermitteln, kann auch neue Personengruppen für dieses aktuelle Thema ansprechen und gewinnen.
Die Ausarbeitung des Spiels wurde im Rahmen des digilog@bw Projekts, welche vom Ministerium für Wissenschaft, Forschung und Kunst (MWK) finanziert wird, betreut.

In der juristischen Fachzeitschrift Recht der Datenverarbeitung (RDV 2021, S. 7) erschien der von den KASTEL-Mitarbeiter:innen Dr. iur. Anne Steinbrück, Dr. rer. pol. Marcus Wiens, Dr. ing. Pascal Birnstill, Florian Kaiser, Dr. Tim Zander, Prof. (apl.) Dr. Oliver Raabe, Prof. Dr. Frank Schultmann und Prof. Dr. Melanie Volkamer verfasste Beitrag „Ein neues „Datenkartellrecht“ zum Schutz der informationellen Selbstbestimmung im Markt der sozialen Plattformen?“ Dieser Beitrag nimmt eine ökonomische Analyse der rechtlichen Argumente aus dem Beschluss des OLG Düsseldorf v. 26.08.2019, Az.: VI Kart 1/19 (V) vor und begründet die datenschutz- und kartellrechtlichen Wechselwirkungen im Kontext der sozialen Plattformen.

Die Zeitschrift „Computer und Arbeit“ greift in ihrer neusten Ausgabe 02|2021 die Themen Phishing und Mitarbeiter:innen-Sensibilisierung auf. Prof. Volkamer, Leiterin der Forschungsgruppe SECUSO, erklärt, warum Phishing-Trainings nicht zu empfehlen sind und zeigt Alternativen auf. Insbesondere Sensibilisierungsmaßnahmen sind wichtig, da auch die Angriffsmethoden immer raffinierter werden. Automatisierte Informationsgewinnung mit KI-Systemen werden den Cyberkriminellen hier in die Hände spielen, prognostiziert Prof. Müller-Quade, Leiter der Arbeitsgruppe Kryptographie und Sicherheit am Institut für Theoretische Informatik des KIT.

ACSAC bringt Wissenschaftler und Security Professionals aus den Bereichen Forschung, Industrie und öffentlicher Verwaltung zusammen, um aktuelle Ergebnisse und Themen der IT-Sicherheit zu präsentieren und zu diskutieren. Die Konferenz bietet Tracks mit peer-reviewed Papern, Gastvorträge, Panels, Workshops, Diskussionen zu Themen der öffentlichen Verwaltung sowie Kurse für fachliche Weiterbildung und Training. Damit leistet sie einen großen Beitrag zu Erforschung und Entwicklung von praktischen Lösungen in den Bereichen der Computer- und Netzwerksicherheit. Dieses Jahr wird die Konferenz vom 6. bis 10. Dezember stattfinden.

Am Mittwoch, 24.03.2021, fand das zweite Projekttreffen für das vom Bundesministerium für Bildung und Forschung (BMBF) geförderte Projekt INSPECTION statt. Neben der Präsentation der aktuellen Ergebnisse durch die Projektpartner MindUp Web & Intelligence GmbH, BDO AG Wirtschaftsprüfungsgesellschaft und Forschungsgruppe SECUSO des KIT, stellten auch die assoziierten Projektpartner:innen und Interessierte u.a. von der Allianz für Sicherheit in der Wirtschaft (ASW), dem Baden-Württembergischen Handwerkstag (BWHT), Deutschland sicher im Netz e.V., eco - Verband der Internetwirtschaft, dem Fachverband Elektro- und Informationstechnik Baden Württemberg (FV EIT BW), der Swiss Internet Security Alliance, Watchlist Internet und der Verbraucherzentrale Nordrhein-Westfalen, aktuelle Projekte vor. Das Forschungsprojekt INSPECTION beschäftigt sich mit der Identifizierung einer speziellen Form des Hackings durch Fake Shops im Internet. Die Forschungsgruppe SECUSO, vertreten durch Dr. Peter Mayer und Anne Hennig, M.A., forscht zu Möglichkeiten der Kontaktierung von Betroffen und Awareness-Maßnahmen.

Mit dem Update haben wir die Funktionalitäten von TORPEDO noch einmal verbessert. Eine der bisherigen Stärken, das Tutorial von TORPEDO, wurde nochmal verbessert und gibt nun einen sehr guten Überblick über die Funktionalität und Einstellungen des Add-ons. Außerdem wurden die Tooltip-Informationen überarbeitet und die Texte verständlicher gestaltet. In diesem Sinne: Add on!
Sie haben noch Ideen, wie wir das Add-on besser gestalten können? Um TORPEDO besser weiterentwickeln zu können, planen wir eine Feldstudie. Wer Interesse hat, an der Weiterentwicklung mitzuwirken, kann sich gerne über Twitter oder E-Mail an uns wenden.

Die Expertenmail zum Thema Corona Selbsttests und Fake Shops wurde in den Medien vielfältig aufgegriffen. In vielen Fällen wurde die Pressemeldung der Deutschen Presseagentur (dpa) verwendet und sowohl in regionalen als auch in überregionalen Zeitungen (z.B. Süddeutsche Zeitung oder Frankfurter Rundschau ) sowie Online-Angeboten (z.B. Zeit Online oder Deutsche Handwerks Zeitung) veröffentlicht. Doch auch Fernsehsender wie N-TV oder Magazine wie Galileo verarbeiteten die bereitgestellten Informationen.
HR4 und Stern online veröffentlichten ein Interview mit Dr. Mayer und auch das Pro7-Magazin „taff“ und „RTLextra" holten sich Expertenmeinung für ihre Beiträge.

Mit dem Format „Digital-Dialog“ etablierte der Landkreis Marburg-Biedenkopf eine Veranstaltungsreihe zu Hintergrundthemen des digitalen Wandels. In diesem Rahmen hielt Frau Prof. Volkamer am Dienstag, 09. März 2021, einen Online-Vortrag zum Thema Cybersicherheit. Digitale Angebote, die gerade in Zeiten der Pandemie besonders häufig genutzt werden, bieten Einfallstore für gefälschte E-Mails und Internetkriminelle. Doch wie kann man Phishing-Nachrichten identifizieren? Wie kann man sich vor Betrügern im Internet schützen? Dazu gab Frau Prof. Volkamer praktische Tipps und Hinweise. Außerdem klärte sie über Gefahren im Netz auf. Mehr als 50 Personen nutzen das Online-Angebot des Landkreises, um sich zu informieren und sich an einer regen Diskussion zu beteiligen.

Eine beliebte Maßnahme, Mitarbeiter:innen in Hinblick auf Phishing-Nachrichten zu sensibilisieren, sind simulierte Phishing Trainings. Aber vielen Unternehmen ist nicht bewusst, dass diese Maßnahmen nicht besonders effektiv sind und das Vertrauen der Mitarbeiter:innen in die Security Abteilung herabsetzen. Prof. Melanie Volkamer, Leiterin der SECUSO Forschungsgruppe am Karlsruher Institut für Technologie, Prof. Martina Angela Sasse, Professorin für Human-Centered Security an der Ruhr Universität Bochum, und Prof. Franziska Böhm, Professorin am Zentrum für Angewandte Rechtswissenschaften des Karlsruher Instituts für Technologie, haben diese simulierten Phishing Kampagnen evaluiert. Die Autorinnen kommen zu dem Schluss, dass simulierte Phishing-Trainings, die Sicherheitsprobleme minimieren, nicht gleichzeitig rechtskonform und aussagekräftig sein können. In Anbetracht der hohen Kosten und der negativen Auswirkungen für die Sicherheit des Unternehmens, das Vertrauen der Mitarbeiter:innen untereinander und das Vertrauen der Mitarbeiter:innen in das Unternehmen, empfehlen die Autorinnen, von diesen Kampagnen Abstand zu nehmen.

Zum diesjährigen Safer Internet Day (SID) war die SECUSO Forschungsgruppe mit verschiedenen Aktivitäten zu den Themen Fake Shops im Internet und Erkennen von Phishing Nachrichten vertreten. Beide Themen trafen auch in der Presse auf Resonanz. So interviewten SWR 4 und Radio Lotte Prof. Melanie Volkamer zum Thema Sicherheit im Netz. SWR 3 nahm die Cyberattacke auf ein Wasserwerk in Florida zum Anlass, mit Frau Prof. Volkamer über die Sicherheit kritischer Infrastrukturen in Deutschland zu reden und BadenTV interviewte Frau Prof. Volkamer und Herrn Dr. Mayer zum Phishing Master Game. Nach dem SID ist vor dem SID - in diesem Sinne bleiben unsere Aktionen natürlich auch weiterhin verfügbar!

Im Rahmen des KASTEL Praktikums entwickelten die beiden Studenten Tobias Länge und Philipp Matheis ein unterhaltsames Online-Spiel namens „Phishing Master“, das etwas andere Shooting Game. In diesem Spiel lernen die Nutzer zwischen betrügerischen und echten (legitimen) Nachrichten zu unterscheiden. Die Arbeit wurde im Rahmen des digilog@bw Projekts, welche vom MWK finanziert wird, betreut. Das Spiel kann ab sofort online gespielt werden und ist einer unserer Beiträge zum Safer Internet Day am 09.02.2021.

Eine dringende Nachricht von der Chefabteilung: Es muss sofort ein sehr hoher Betrag überwiesen werden. Mehr Informationen gibt es in dem angegebenen Link - Doch halt! Sollten Sie den Link wirklich öffnen?
Internetbetrüger:innen nutzen verschiedene Strategien, um Ihnen und/oder Ihrem Unternehmen zu schaden. Eine beliebte und weit verbreitete Methode ist es, Ihnen Nachrichten mit gefährlichen Inhalten zu schicken. Dabei können die Nachrichten auf unterschiedliche Art und Weise gefährlich sein. Die Nachricht kann Sie auffordern Überweisungen oder (kostenpflichtige) Anrufe zu tätigen, gefährliche Links aufzurufen und/oder gefährliche Anhänge zu öffnen. Ist diese Aufforderung per E-Mail gekommen, spricht man von Phishing-E-Mails. Zum Safer Internet Day 2021 haben wir weitere NoPhish-Maßnahmen veröffentlicht. In einem einfachen Test können Sie prüfen, ob Sie betrügerische Nachrichten zuverlässig entlarven können. Testen Sie es aus!

Das NoPhish Konzept zielt darauf ab, dass möglichst jede Bürgerin und jeder Bürger betrügerische Nachrichten (auch Phishing Nachrichten) mit gefährlichen Links und Anhängen erkennen kann. Dazu stellen wir aktuell eine Schulung (für Bürger und Bürgerinnen), zwei Videos, mehrere Challenge Poster, ein Poster mit Regeln und eine InfoKarte zu Verfügung. Im Rahmen der Veranstaltung BSI im Dialog 2020 lobte Arne Schönbohm, Präsident des BSI unsere Materialien: "Ich bin der Forschungsgruppe SECUSO am KIT in Karlsruhe besonders dankbar, denn sie stellen sehr gute Awareness-Materialien zur Verfügung, um sich gegen Betrüger im Internet zu schützen." Viele der Materialien sind sowohl in Deutsch und Englisch verfügbar.

Dir ist deine Privatsphäre wichtig? Dann nimm den Tag zum Anlass und tausche die eine oder andere App auf Deinem Smartphone gegen eine unserer Privacy Friendly Apps und das ohne Verletzung des eigenen Rechts auf informationelle Selbstbestimmung befürchten zu müssen. Daher begrüßt auch Dr. Stefan Brink, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg die SECUSO Apps.

Unser NoPhish Konzept wird auch in der neuen CyberFibel des BSI empfohlen.
Die Fibel ist für Menschen, die beruflich oder ehrenamtlich in der Verbraucherberatung/-aufklärung arbeiten. Diese Menschen sollen mit der CyberFibel in Vereinen, Stiftungen, Bildungseinrichtungen oder Verbänden einen Beitrag dazu leisten, dass andere Personen einen sichereren Umgang mit der Digitalen Welt erreichen. Das NoPhish Konzept soll hier einen Beitrag leisten, dass jeder Phishing Nachrichten bzw. Betrügerische Nachrichten schneller und besser erkennt.

https://www.cyberfibel.de/webcode/extra-risiken-verstehen-02/
 

Am 14.1 findet der erste CAST Workhop für das Jahr 2021 statt. Der wegen der Pandemie im April 2020 ausgefallene Workshop wird online nachgeholt. Neben SECUSO/KASTEL@KIT sind u.a. Speaker folgender Organisationen eingeladen: Fraunhofer IESE, DHBW  Stuttgart, Ruhr Universität Bochum. Unser Kooperationpartner Dr. Ghiglieri von SICHER3 wird ebenfalls sprechen. Der SECUSO Vortrag trägt den Titel "Wirksame Maßnahmen zur Steigerung der IT-Sicherheits-Awareness". CAST ist das Competence Center for Applied Security Technology in Darmstadt.

Wir haben die Highlights von 2020 zusammen gestellt. Wir bedanken uns herzlich bei allen Kooperationspartnern für das Jahr 2020 und freuen uns auf spannende Forschung und Lehre im Jahr 2021.

Dr. Niklas Kühl (IISM / KSRI) im Interview mit Radio Regenbogen zu unserem gemeinsamen HICSS Paper: '“Healthy surveillance”: Designing a concept for privacy-preserving mask recognition AI in the age of pandemics'

Die Special Session on Humans And Cyber Security 2020 (HACS 2020) wird online am 2. Dezember 2020 als Teil der 6th IEEE International Conference on Collaboration and Internet Computing stattfinden. Die Special Session bietet Experten aus Forschung und Praxis die Möglichkeit sich über die neuesten Entwicklungen im Bereich Mensch und Cybersicherheit auszutauschen. SECUSO Teammitglied Peter Mayer nimmt bei HACS 2020 als Panelist an der Diskussionsrunde zum Thema "State-of-the-art research from academic front on 'hacking the human'" teil.

Das studiengangsübergreifende KASTEL-Zertifikat zeichnet Studierende des KIT für ihre Fähigkeiten im Bereich IT-Sicherheit aus. Es kann sowohl im Master als auch in der Promotion erworben werden. Unter anderem erhielten in diesem Jahr haben bei uns Katerina Dimitrova im Rahmen Ihres Masters und Peter Mayer im Rahmen seiner Promotion das KASTEL-Zertifikat.

Im Rahmen des EXU-Vorhabens „KIT Future Fields“ erhalten Prof. Weinhardt (IISM), Prof. Mädche (IISM), Prof. Nieken (IBU), Prof. Scheibehenne (IISM), Prof. Szech (ECON), Prof. Volkamer (AIFB) und Prof. Woll (IfSS) eine 18-monatige Förderung für das Projekt "Digital Citizen Science @ KD²Ex": Experimentalforschung zu Wohlbefinden, Arbeit und Bildung zu Hause".

Der Kompromiss zwischen Schutz personenbezogener Daten und KI-Leistung ist ein spannendes Forschungsfeld. Im aktuellen Kampf gegen die Verbreitung des neuartigen Coronavirus COVID-19 haben viele Regierungen ihren BürgerInnen empfohlen oder sogar verpflichtet, Masken als wirksame Gegenmaßnahme zu tragen. In einer interdisziplinären, institutsübergreifenden Arbeit (IISM, KSRI und AIFB / KASTEL / SECUSO) zeigen Niklas Kühl, Dominik Martin, Clemens Wolff und Melanie Volkamer, wie ein privatsphäre-freundliches Maskenerkennungsvideosystem aussehen könnte. Es handelt sich hierbei um ein Update des bereits im Sommer veröffentlichten Papers.

Prof. Dr. Melanie Volkamer, Dr. Peter Mayer und Reyhan Düzgün von der Forschungsgruppe SECUSO sowie Dr. Sanchari Das von der University of Denver haben für ihre Forschung zu sicheren und anwenderfreundlichen Authentifizierungsmethoden in der Augmented und Virtual Reality Technologie einen Research Award von Facebook gewonnen. AR & VR Geräte bieten vermehrt soziale Aktivitäten an, die eine sichere sowie anwenderfreundliche Authentifizierung erfordern. SECUSO schlägt das ZeTA (Zero-Trust-Authentifizierung)-Protokoll vor, das eine sichere Authentifizierung in gemeinsam genutzten Räumen ermöglicht und mit den verfügbaren Interaktionsmethoden von Head-Mounted Displays verwendet werden kann. 

Christopher Beckmann ist seit dem 01. Oktober Mitglied der Forschungsgruppe SECUSO am Karlsruher Institut für Technologie (KIT). Er studierte IT-Security an der Technischen Universität (TU) Darmstadt und unterstützt SECUSO als Wissenschaftlicher Mitarbeiter in der Lehre und der Weiterentwicklung der Privacy Friendly Apps.

In Pandemie-Zeiten suchen viele nach sicheren Alternativen für geheime Präsenz-Abstimmungen/ Wahlen (inkl. für die Sozialversicherungswahlen). In 2:20 Minuten erklären wir auf YouTube was bei Online-Wahlen zu berücksichtigen ist. Ein herzliches Dankeschön für konstruktives Feedback gehen an: Prof. Bernhard Beckert und Michael Kirsten vom KIT, Prof. Rüdiger Grimm vom Fraunhofer SIT, Prof. Robert Krimmer von der Uni Tartu, Prof. Oksana Kulyk von der IT University in Kopenhagen und Prof. Reto König von der Berner Fachhochschule.

The Zeek Week 2020 findet dieses Jahr vom 13. bis 15. Oktober online statt. SECUSO stellt dabei zusammen mit der Forschungsgruppe Dezentrale Systeme und Netzdienste (DSN) von Prof. Hartenstein ihr Tool Emojifier vor und leiten im Anschluss eine Diskussion zur zukünftigen Forschung in diesem Bereich. Das Emojifier Tool soll den Nutzern von Zeek Logs helfen dabei helfen die verschiedenen Nachrichten schneller zu trennen und zuordnen zu können. Unser Vortrag wird am 14.10 um 21:20 stattfinden.

Der Blog Beitrag zu "Stresstest für Verwaltungsangestellte - Sie überlegen Security-Awareness mittels simulierten Phishing-Kampagnen zu erreichen? Dann besser erstmal hier lesen." von Prof. Dr. Melanie Volkamer, Prof. Dr. Franziska Boehm (KIT, FIZ Karlsruhe) und Prof. Dr. Angela Sasse (Universität Bochum, Horst-Görtz Institut) wurde auf der Plattform Verwaltung der Zukunft veröffentlicht.

Die diesjährige E-Vote-ID-Konferenz findet vom 7. bis 9. Oktober digital statt. Die Konferenz wird von Robert Krimmer und Melanie Volkamer organisiert. Bernhard Beckert von KASTEL ist einer der Track Chairs und damit verantwortlich für die Entscheidung, welche Papiere bei Springer angenommen und veröffentlicht werden sollen. Besonderer Dank geht an David Duenas-Cid für die Durchführung der digitalen Konferenz. Die Registrierung ist noch offen.

Am 22. und 23.10 diesen Jahres findet die Cybersecurity Conference in Mannheim statt. Ziel ist es die Wirtschaft, Wissenschaft und Öffentlichkeit besser zu vernetzen. Cybersicherheit hat noch nicht das notwendige Level erreicht, dass nötig ist um Deutschland sicher zu machen, deshalb ist der Wissenstransfer zwischen diesen Partnern besonders wichtig. Im Rahmen der Konferenz wird SECUSO einen Vortrag zum Thema Phishing Awareness halten und von unseren Erkenntnissen im Bezug auf die Entwicklung und Durchführung von Material berichten. 

Der Blog Beitrag zu "Wie Sie Ihre Mitarbeiter für IT-Sicherheit sensibilisieren - Sieben Empfehlungen für Informationssicherheitsbeauftragte" von Prof. Dr. Melanie Volkamer und Benjamin Bachmann (Director Cyber Security bei EXXETA AG) wurde veröffentlicht auf der Plattform Verwaltung der Zukunft.

Die kostenlosen Android Apps von SECUSO greifen nur auf notwendige Berechtigungen zu und zeigen keine Werbung an. Mehr als 70.000 Mal wurden die Apps bereits installiert. Besonders beliebt sind zum Beispiel die Sudoku App, die Shoppingliste und der Passwort Generator. Gute Bewertungen erhielten auch die Apps für die PIN Merkstrategien und das NoPhish Training. Neben dem Google Play Store können unsere Apps auch auf F-Droid heruntergeladen werden.

Prof. Christof Weinhardt (IISM), Prof. Alexander Mädche (IISM), Prof. Petra Nieken (IBU), Prof. Benjamin Scheibehenne (IISM), Prof. Nora Szech (ECON), Melanie Volkamer (AIFB) und Prof. Alexander Woll (IFSS), haben gemeinsam eine Förderung für den Aufbau des Karlsruhe Decision & Design Experimentation Ecosystem (KD²Ex) erhalten. Die Förderung im Rahmen einer KIT Future Fields Sonderausschreibung für Investitionen ermöglicht neue Formen der partizipativen Forschung: Digital Citizen Science mit Fokus auf den Bereich "Wellbeing at Home".

Die Zahl der Referenzanwender unserer NoPhish Materialien steigt immer weiter.
Mittlerweile wissen wir von 31 Organisationen, die unser Material verwenden. Besonders freuen wir uns, dass in letzter Zeit auch andere Universitäten und Hochschulen dazugekommen sind (Ruhr-Universität Bochum, Universität Duisburg-Essen, Hochschule Koblenz, Universität Würzburg, Technische Universität Braunschweig, Hochschule Konstanz, Fernuniversität Hagen, Hochschule Worms, Universität Bamberg, Universität Mannheim).
 

Das Paper “Towards Secure and Usable Authentication for Augmented and Virtual Reality Head-Mounted Displays” von Reyhan Düzgün, Peter Mayer, Sanchari Das und Melanie Volkamer wurde zur Präsentation bei dem Workshop Who Are You?! Adventures in Authentication (WAY) 2020 akzeptiert. Das Paper stellt die Nutzung des ZeTA Authentifizierungsprotokolls von Andreas Gutmann et al. mit AR und VR Brillen vor. Der Workshop findet online am 7. Augst 2020, zusammen mit der Konferenz SOUPS, statt.

In unserem aktualisierten Flyer „Aktive Pause und Aktivpause to Go“ sind nun auch Informationen zur App „Aktivpause to Go“ zu finden. Die in Zusammenarbeit mit dem Institut für Sport und Sportwissenschaft des KIT erstellte App hilft bei der Durchführung von selbständigen Bewegungspausen im Arbeitsalltag. Weitere Informationen zur App und den Link zum Google Play Store können Sie aus dem Flyer entnehmen

Das Paper “Analysis of publicly available anti-phishing webpages: contradicting information, lack of concrete advice, and very narrow attack vector” von Mattia Mossano, Kami Vaniea, Lukas Aldas, Reyhan Düzgün, Peter Mayer und Melanie Volkamer, in Zusammenarbeit mit der TULiPS-Forschungsgruppe der Universität von Edinburgh, wurde zur Veröffentlichung auf der EuroUSEC 2020 akzeptiert.

https://eusec20.cs.uchicago.edu/#submission

Das Forschungsprojekt INSPECTION ist am 01.06.2020 gestartet. Es verfolgt das Ziel, durch Crawling des deutschsprachigen Internets, gehackte Webseiten von außen zu identifizieren und die Betreiber gezielt zu informieren. Das Projekt wird gefördert vom Bundesministerium für Bildung und Forschung in der Initative „KMU-innovativ“. Neben SECUSO sind Experten der mindUp GmbH und BDO Cybersecurity Teil des Projektkonsortiums.
https://web-inspection.de/

In der "Baden TV Aktuell"-Sendung vom 26.05.2020 sprach Prof. Melanie Volkamer über die SECUSO Forschung und insbesondere über den Human Centered Design Ansatz (9:30): https://baden-tv.com/baden-tv-aktuell-dienstag-2/

Gemeinsam mit Prof. Franziska Boehm (KIT/ZAR und FIZ Karlsruhe) und Prof. Martina Angela Sasse (RUB / CASA / HGI) wurde eine interdisziplinäre Analyse von Phishing-Kampagnen in Unternehmen und Organisationen durchgeführt. Die Ergebnisse der Analyse sind insbesondere für alle wichtig, die überlegen Phishing-Kampagnen gegen Angestellte und/oder Kollegen durchzuführen. Sie finden die Ergebnisse unter:
https://publikationen.bibliothek.kit.edu/1000119662

Philip Heller und Jannik Dresselhaus verstärken seit dem 15. April 2020 das SECUSO Team. Philip wird in der Entwicklung von Anti-Phishing Tools im Zuge des Google Faculty Award, welchen SECUSO im März 2020 erhalten hat, aushelfen. Jannik wird bei der Entwicklung von Tools für Studien im Bereich der Nutzerauthentifizierung helfen.

Die Zahl der Anwender unseres NoPhish Material steigt und steigt. Derzeit nutzen schon über
20 Organisationen/Unternehmen unsere Materialien z.B. Berliner Verkehrsbetriebe, HEAG, Polizeipräsidium Einsatz in Baden-Württemberg, Stadt Hamm oder Landesamt für
Geoinformation und Landesvermessung Niedersachsen (LGLN). Wir freuen uns, dass unser Material so gut ankommt, von vielen Organisationen verwendet oder darauf verwiesen wird. Und hoffe auch in Zukunft weiteren Organisationen, aber auch einzelnen Personen, beim Erkennen von betrügerischen Nachrichten zu helfen.
https://secuso.aifb.kit.edu/betruegerische_nachrichten_erkennen.php

Benjamin Reinheimer ist im Programmkomittee des 6. Usable Security und Privacy Workshop, MuC 2020. Dieser findet im Rahmen der Mensch und Computer vom 6.-9. September in Magdeburg statt. https://muc2020.mensch-und-computer.de/eng

Der neue berufsbegleitende M.Sc. Studiengang "Information Systems Engineering and Management (ISEM)" ist erfolgreich an der HECTOR School of Engineering and Management gestartet. Im Zentrum des Studiengangs steht die Digitale Transformation von Produkten, Dienstleistungen und Organisationen. Entsprechend gibt es auch neu ein Pflicht-Modul zu Security and Privacy Engineering mit Vorlesungen zu Information Security (Prof. Melanie Volkamer), Applied Cryptography (Prof. Jörn Müller-Quade), Network Security (Prof. Thorsten Strufe), Data Protection Regulations (Prof. Franziska Böhm) und Emerging Technologies and Critical Information Infrastructures (Prof. Ali Sunyeav). Weitere Informationen zum Studiengang und Bewerbung finden Sie auf der Webseite der HECTOR School.

http://www.hectorschool.kit.edu/ISEM.php

Bald startet das neue Semester! Um Euch die Entscheidung zu erleichtern, wie Ihr Euer Studium gestalten könnt, haben wir eine Übersicht unserer Veranstaltungen im Sommer- und Wintersemester vorbereitet. Außerdem haben wir für Studenten aus dem Studiengang Wirtschaftsingenieurwesen Empfehlungen zusammengestellt, wie unsere Veranstaltungen im Studium eingebracht werden können. PDF

Wirtschaftsingenieure und Wirtschaftsinformatiker können nun das KASTEL Zertifikat ebenfalls erwerben. Daher haben wir für Sie wichtige Informationen zum Erlangen des Zertifikats zusammengestellt. Hier finden Sie eine Liste von anrechenbaren Veranstaltungen sowie Empfehlungen für mögliche Modul-Kombinationen. Hier zur PDF

"Im Netz ist alles hackbar. Wie verhindern wir das Schlimmste?" so lautet der Titel des Artikel und des Podcast von Lisa Hegemann und Meike Laff. Thema ist, dass oft fälschlicherweise der Mensch als größte Schwachstelle beschrieben wird, wenn ein Computersystem gehackt wurde. Prof. Volkamer räumt mit dieser falschen Annahme auf.
http://www.zeit.de/digital/internet/2020-03/it-sicherheit-datenschutz-digitalisierung-internet-digitalpodcast

Prof. Melanie Volkamer und Florian Schaub haben einen der sieben diesjährigen Google Faculty Research Awards im Bereich Security bekommen. Der Award wurde für das Projekt “Link-centric Phishing Warnings for Online Email Clients” verliehen.  Wir freuen uns auf die Zusammenarbeit mit Florian Schaub und der University of Michigan. Auch vielen Dank an unsere Fürsprecher bei Google Patrick Gage und Alexander de Luca.

https://ai.googleblog.com/2020/02/announcing-2019-google-faculty-research.html

Reyhan Düzgün ist seit dem 01. Februar das neuste Mitglied der Forschungsgruppe SECUSO am Karlsruher Institut für Technologie (KIT). Sie studierte Wirtschaftsingenieurwesen am KIT und wird in Zukunft die Forschungsgruppe in der Methodenforschung im Bereich Usable Security unterstützen.

Das Paper "Towards Improving the Efficacy of Code-Based Verification in Internet Voting" von Oksana Kulyk, Melanie Volkamer, Monika Müller und Karen Renaud wurde bei dem Financial Crypto Workshop Voting 2020 akzeptiert. Der Workshop findet am 14. Februar 2020 in Sabah (Malaysia) bereits zum 5. mal statt.

https://fc20.ifca.ai/voting/program.html

Der Call for Papers des 5th European Workshop on Usable Security wurde veröffentlicht. Die PC Chairs des diesjährigen Workshops sind Peter Mayer und Blase Ur. Die Deadline für Einreichungen ist der 16. März 2020 (Anywhere on Earth).
https://eusec20.cs.uchicago.edu/

Mattia Mossano ist seit dem 01. Dezember 2019 das neueste Mitglied von SECUSO. Er wird in Zukunft im Bereich von Phishing bzw. Anti-Phishing Schulungen arbeiten. In der Vergangenheit hat er Philosophie an der Universität von Genua und Kognitionswissenschaften an der Universität von Edinburgh studiert. https://secuso.aifb.kit.edu/english/Staff_1091.php

Das Paper "Security and Privacy Awareness in SmartEnvironments – A Cross-Country Investigation" von Oksana Kulyk, Benjamin Maximilian Reinheimer, Lukas Aldag, Nina Gerber, Peter Mayer and Melanie Volkamer wurde zur Präsentation bei dem Workshop AsiaUSEC 2020 akzeptiert. Der Workshop findet vom 13. bis 15. Februar 2020 in Sabah (Malaysia), zusammen mit der Konferenz Financial Cryptography, statt.

https://easychair.org/cfp/AsiaUSEC20

GUDialog wird vom Institut für Gesellschaft und Digitales der Fachhochschule Münster veranstaltet. Peter Mayer ist eingeladen, am 15.1.2020 einen Vortrag zum Thema "Der Sichere Umgang mit Passwörtern" zu halten. Das Angebot richtet sich sowohl an das Fachpublikum als auch an interessierte Bürgerinnen und Bürger.

https://www.fh-muenster.de/gud/gud/gudialog_Kalendar.php?termin=5294

Der fünfte European Workshop on Usable Security wird als Pre-Conference Workshop am 15.06.2020 im Rahmen des IEEE European Symposium on Security and Privacy in Genua (Italien) stattfinden. Der CfP und genaue Informationen folgen in den kommenden Wochen.

Am Nachmittag des 23.10.2020 findet in Karlsruhe das 36. AIK-Symposium statt: Zunächst werden der AIK-Verein, das Institut AIFB und KASTEL vorgestellt. Anschließend folgen vier Fachvorträge: Prof. Buchmann (Experte für Post-Quantenkryptographie von der TU Darmstadt), Dr. Meletiadou (Head of Privacy Management bei Vodafone), Dr. Achenbach (Leiter des Kompetenzzentrums IT-Sicherheit und der Cyberwehr am FZI) und Dr. Mayer (Experte für usable & secure user authentication stellt die Forschung von SECUSO vor).

Wir freuen uns mitzuteilen, dass ein weiteres Video unserer NoPhish Reihe nun verfügbar ist. In einem  fünfminütigen Video wird anschaulich erklärt, was gefährliche Nachrichtenanhänge sind und wie man diese erkennt. Die NoPhish Videos sind kurze Videos zum Thema Identifizierung und Vermeidung von Gefahren durch Aufklärung. Sie sind ist das Ergebnis verschiedener Wirksamkeitsstudien und beruhen auf unseren Forschungsergebnissen. Das Video wurde in Kooperation mit Alexander Lehmann erstellt.

https://s.kit.edu/it-sicherheit.betrueg-nachrichten.videos

Wir haben unseren Flyer "Betrügerische Nachrichten - Wie Sie betrügerische Nachrichten und insbesondere Phishing Nachrichten erkennen können“ und die dazu passenden Materialien (Infocard und Poster) aktualisiert. Neben dem Erkennen betrügerischer Nachrichten steht auch die Reaktion auf betrügerische Nachrichten im Fokus. Hier verweisen wir im neuen Flyer auf das BSI (Bundesamt für Sicherheit in der Informationstechnik): Wer unsicher ist, ob eine Nachricht eine Phishing Nachricht ist oder wer auf eine betrügerische Nachricht reingefallen ist, kann sich zur Beratung telefonisch oder per Mail ans BSI melden.

https://secuso.aifb.kit.edu/betr-nachrichten-flyer

Melanie Volkamer nimmt an der Podiumsdiskussion im Rahmen des Projektabschluss „Institutionalisierung des gesellschaftlichen Dialogs“  beim BSI am 28.11.2019 teil. Diskutiert wird über die Zukunft des gesellschaftlichen Dialogs und wie sich Cyber-Sicherheit für die Gesellschaft gestalten lässt.
https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/Digitale_Gesellschaft/IdgD/IdgD_node.html

Das Internet und der Umgang mit anderen Digitaltechniken bergen Risiken, die die meisten Anwender kaum erkennen und einschätzen können. Seien es konkrete technische Probleme oder aber mögliche Anwendungsfehler, die einen selber oder den Arbeitgeber gefährden könnten. Im Interview geht es darum, wie man Menschen besser darauf aufmerksam macht welche Gefahren es im Internet gibt und wie Sie sich schützen können.
https://www.swr.de/swraktuell/radio/netzagent/Sicherheit-will-gelernt-sein,av-o1169873-100.html

Heike Obry ist das neuste Mitglied in der Forschungsgruppe SECUSO am Karlsruhe Institut für Technologie (KIT). Heike Obry hat von 1982 – 1987 Informatik an der Universität Karlsruhe (das heutige KIT) studiert.
Neben ihrer Haupttätigkeit im IT-Bereich eines Automobilunternehmens, unterstützt sie nun die Forschungsgruppe SECUSO als wissenschaftliche Mitarbeiterin bei der Durchführung des Projekts DIGILOG.

Im November geben wir für die Polizei Hessen in Darmstadt zwei Workshops rund um das Thema Phishing. Wir freuen uns über diese gute Gelegenheit, interessierte bei der Polizei über Phishing aufzuklären.

Aktivpause des Betrieblichen Gesundheitsmanagement des Instituts für Sport und Sportwissenschaften meets SECUO's Privacy Friendly Apps. Mit der neuen App "Aktivpause to Go!" können Sie sich jederzeit an Ihre Lieblingsübungen erinnern lassen… Ob unterwegs, auf Dienstreise oder am Arbeitsplatz. Ihre Nutzerdaten werden dabei selbstverständlich nicht gesammelt. Probieren Sie es aus:
https://secuso.aifb.kit.edu/1054.php
https://www.sport.kit.edu/Wissenstransfer_BetrieblichesGesundheitsmanagement.php

Die Zahl der Cyberangriffe, die bekannt werden, nimmt stetig zu. Wer denkt, man sei vor solchen Attacken sicher, irrt sich: Ob am Arbeitsplatz oder Zuhause – jeder von uns kann Opfer von Internet-Kriminellen werden. Im Rahmen des European Cyber Security Month (ECSM) informieren wir bei zwei Events darüber, wie man sich schützen kann: Am 11. Oktober im Rahmen der Bunten Nacht der Digitalisierung von 15:00-21:00 Uhr am Campus Süd des KIT (Gebäude 20.30).  Am 23. Oktober am Campus Nord im Casino von 11:00-14:00 Uhr.
https://cybersecuritymonth.eu/

Wir haben uns gefreut, das dritte EU-GHOST-Projekttreffen am KIT in Karlsruhe auszurichten. Ziel von GHOST ist die Bereitstellung eines besonders benutzerfreundlichen und effektiven Sicherheitsrahmens für Smart-Home-Bewohner, bei denen der Nutzer im Mittelpunkt steht. Das GHOST-Konsortium erörterte an zwei aufeinander folgenden Sitzungstagen den neuesten Stand des Fortschritts und die kommenden Schritte.
https://www.ghost-iot.eu

Zum Auftakt des vom Land Baden-Württemberg geförderten Forschungsprojekts digilog@bw sind alle Bürger eingeöaden, ihre Fragen im BürgerInnernforum einzubringen und so das Projekt mitzugestalten. Nebem SECUSO werden auch weitere Experten des KIT aber auch der Universität Mannheim und der Universität Tübingen vertreten sein. Im Rahmen einer kurzweiligen Podiumsdiskussion wird ein Einblick ins Projekt gegeben. Anschließend können Fragen und Anregen in kleinerne Gesprächsrunden an die Experten gerichtet werden.
https://digilog-bw.de/events/dialogbw-buergerinnenforum-im-rahmen-des-forschungsprojekts-digilogbw

Im Zuge des internationalen Safer Internet Day‘s im Febraur 2019 half die Forschungsgruppe SECUSO dabei, die Studierenden und Bedienstet des KIT’s über die Gefahren betrügerischer Nachrichten aufzuklären. Die SCC news veröffentlichten dazu einen Artikel, um den Erfolg des Tages zu unterstreichen. Aufgrund vieler positiver Rückmeldungen wird es anlässlich des Cyber Security Months im Herbst 2019 wieder einen Infostand mit der Beteiligung von SECUSO geben.
https://www.scc.kit.edu/downloads/oko/SCCnews_01_2019_web.pdf

KASTEL-Professorin Melanie Volkamer wurde für den Artikel „What is Usable Security“, der am 7.August 2019 auf der Online-Plattform der Computerwoche erschien, interviewt. In dem Artikel geht es darum, dass der Mensch in der Cybersicherheit als schwächstes Glied der Sicherheitskette gilt, denn er ist fehlbar. Daher stellt sich die Frage, was Nutzer tatsächlich wissen muss um Online sicher unterwegs zu sein und wie er sinnvoll in Sicherheitsabläufe mit einbezogen werden kann. Insbesondere zu letztem Punkt äußert sich Prof. Volkamer im Artikel und rät dazu, bestimmte Design-Empfehlungen für Entwickler auszusprechen, die anschließend dem Nutzer helfen sollen, die Sicherheit einfacher zu erkennen.
https://www.computerwoche.de/a/amp/was-ist-usable-security,3547465 

Der nächste Security und Privacy Lunch im Café Gold steht an. Wir würden uns freuen, wenn wir wieder zahlreich Forscher aus den verschiedensten Organisationen in Karlsruhe begrüßen dürfen. Der nächste Lunch findet am 20.08. um 13 Uhr statt. Auch bei “spontanen” Besuchen bitten wir um Rückmeldung an Rebekka Golling, damit wir einen ausreichend großen Tisch reservieren können.

Im Rahmen des KASTEL Projekts kooperiert die Forschungsgruppe mit den Stadtwerken Ettlingen. Ziel der Kooperation ist es den Prozess der IT-Sicherheit Vermittlung der Stadtwerke zu analysieren. Ausgehend von den Erfahrungen der Forschungsgruppe und der IST-Zustand Analyse sollen Vorschläge erarbeitet werden, die helfen die vorhandenen IT-Sicherheits-Informationen und - Maßnahmen mit festgelegten Prozessen im Unternehmen zu verbreiten. Diese Verbesserung soll dann in einer Studie evaluiert werden.
https://www.sw-ettlingen.de/
https://www.kastel.kit.edu/

Auch der zweite "Monthly Security and Privacy Lunch" im Restaurant Gold war gut besucht. Erneut waren 20 Forscher aus den verschiedensten Organisationen und Arbeitsgruppen vor Ort und haben sich über aktuelle Themen ausgetauscht. Wir freuen uns, dass die Resonanz so groß ist und auch immer wieder neue Leute dazu kommen. Der nächste Lunch findet am 20.08 statt. Wir bitten um Rückmeldung an Rebekka Golling bis zum 13.08, damit wir einen ausreichend großen Tisch reservieren können.

So der Umzug ist fast abgeschlossen und SECUSO ist nun in seine neuen Büros gezogen. Ab nun könnt ihr unsere neuen Büros im Geb. 5.20-3A finden. Es stehen noch ein paar Kisten und Kleinigkeiten. Aber bald haben wir uns auch komplett an die neuen Räumlichkeiten gewöhnt und freuen uns bald den Gang nach unseren Vorstellungen zu gestalten.

Der erste "Monthly Security and Privacy Lunch" im Restaurant Gold war ein voller Erfolg mit 20 Forschern vom KIT, FZI, Frauenhofer IOSB und Frauenhofer ISI. Wir hoffen alle Teilnehmer hatten soviel Spaß wie wir. Wir würden uns freuen, wenn wir auch zum nächsten Treffen am 16.07.2019 wieder viele Leute begrüßen dürfen. Damit wir entsprechend planen können, bitten wir um kurze Meldung bei Rebekka Golling (rebekka.golling@kit.edu).

Das Poster "On The Systematic Development and Evaluation Of Password Security Awareness-Raising Materials" von Peter Mayer, Christian Schwartz und Melanie Volkamer wurde zur Präsentation bei der Konferenz SOUPS 2019 akzeptiert. Die Konferenz findet vom 11. bis 13. August 2019 in Santa Clara (USA) statt.

Für knapp fünf Jahre hat die Forschungsgruppe „SECUSO“ Facebook dafür genutzt ihre Forschungsergebnisse und aktuelle Informationen mit Interessierten zu teilen. Seit einiger Zeit sorgt das Unternehmen Facebook leider immer wieder für negative Schlagzeilen, besonders in Bezug auf den fahrlässigen Umgang mit Daten. Da der sichere und verschlüsselte Umgang mit Daten und Passwörtern essenziell für die Mitarbeiter der Forschungsgruppe ist, haben sie sich dazu entschlossen ein Zeichen zu setzen, und Facebook nicht mehr als Informationsträger zu nutzen.

SECUSO Mitarbeiterin Nina Gerber beteiligt sich an der Organisation des ersten interdisziplinären Workshops zu Privacy und Trust (iPAT 2018).

Der Workshop findet im Rahmen der dreizehnten internationalen Konferenz zu Availability, Reliability und Security (ARES 2018) in Hamburg, Deutschland, am 27. August 2018 statt. Ziel des Workshops ist es, Forscher aus verschiedenen Gebieten zusammenzubringen, die Nutzer darin unterstützen möchten, ihre privaten Daten zu schützen. Ein interdisziplinärer Ansatz ist dringend nötig, um privatsphäreschützende Technologien zu entwickeln, die nicht nur technische Aspekte adressieren, sondern auch solche mit Bezug zu Usability, Psychologie, Wirtschaft, Soziologie, Philosophie und Recht.  Aus diesem Grund werden Beiträge aus einem weiten Feld von Disziplinen gesucht (Informatik, Usability, Recht, Wirtschaft, Psychologie, Soziologie, Philosophie, Ethik,...), die die verschiedenen Aspekte von Privacy und Trust abdecken.

Einreichungen sind bis zum 04. Mai möglich.

Das Paper "Comparing "Challenge-Based" and "Code-Based" Internet Voting Verification Implementations” von Oksana Kulyk, Jan Henzel, Karen Renaud and Melanie Volkamer wurde bei der INTERACT 2019 Konferenz akzeptiert. Die Konferenz wird vom 02. bis 06. September in Pathos, Zypern stattfinden.

Melanie Volkamer unterstützt als Programm-Komitee-Mitglied in der nächsten Zeit eine Reihe von Konferenzen und Workshops: "Information Security and Privacy" Track auf der WI 2020, SPOSE (Security, Privacy, Organizations, and Systems Engineering) und STAST (Socio-Technical Aspects in SecuriTy)) ESORICS Workshops sowie Sicherheit 2020.

https://spose-ws.github.io/
http://www.stast.uni.lu/
http://www.sicherheit2020.de/

Alireza Zarei ist neuer Mitarbeiter in der Forschungsgruppe SECUSO. Alireza hat Applied Computer Science an der Universität Göttingen studiert und erfolgreich als Master abgeschlossen. Er wird als Teil des GHOST Projektes nutzerfreundliche Anwendungen für Privacy und Security im Kontext von Smart Homes entwickeln.

Das Paper “Why Johnny Fails to Protect his Privacy” von Nina Gerber, Verena Zimmermann und Melanie Volkamer wurde bei EuroUSEC 2019 akzeptiert.

Das Bundesministerium für Wirtschaft und Energie (BMWi) hat Prof. Dr. Melanie Volkamer in den Steuerkreis der Initiative „IT-Sicherheit in der Wirtschaft“ berufen. Das Gremium kam am 12. März 2019 in Berlin zur konstituierenden Sitzung zusammen. Der Steuerkreis setzt sich aus IT-Sicherheitsexperten aus Wirtschaft, Wissenschaft und Verwaltung zusammen. Als Lenkungsgremium berät der Steuerkreis die Initiative, liefert Impulse und unterstützt sie dabei, IT-Sicherheitsmaßnahmen bekannter zu machen und umzusetzen.

Der Artikel "Sichere Instant Messaging Apps" von Jacqueline Brendel und Nina Gerber wurde in der Zeitschrift "Datenschutz und Datensicherheit" zur Veröffentlichung akzeptiert.    

Melanie Volkamer berichtet über aktuelle Forschung beim GFFT  Technology Race “Messung und Steigerung der Security Awareness” bei Lekkerland in Köln am 26.4.2019. Es werden Grundlagen der Sensibilisierungsforschung vorgestellt sowie neuste Ergebnisse der SECUSO Forschungsgruppe.

SECUSO Mitarbeiterin Oksana Kulyk startet ab 1. März als Juniorprofessorin an der IT-Universität Kopenhagen zu arbeiten. Sie wird auch weiterhin mit SECUSO im Rahmen des GHOST-Projekts zusammenarbeiten.

Trotz „Change Your Password Day“ das Passwort lieber nicht grundlos ändern! Denn der Sicherheitsvorteil davon die eigenen Passwörter vorsorglich zu ändern ist gering. Stattdessen besser den Tag nutzen um einen Passwortmananger einzurichten oder für besonders wichtige Benutzerkonten Zwei-Faktor-Authentifizierung auszuprobieren. Ausführlichere Informationen zum Thema "regelmäßiges Passwortändern" finden Sie hier und allgemeine Informationen zum Thema "Schutz Ihrer Benutzerkonten" finden Sie hier. 

Das Paper „Investigating People’s Privacy Risk Perception“ von Nina Gerber, Benjamin Reinheimer und Melanie Volkamer wurde zur Veröffentlichung bei der Konferenz Privacy Enhancing Technologies Symposium (PETS) akzeptiert. Die Konferenz findet vom 16. bis 20. Juli 2019 in Stockholm (Schweden) statt.

Unter dem Motto „Gemeinsam die IT-Infrastruktur des KIT schützen“ haben wir zusammen mit anderen zentralen Einrichtungen und Forschungsgruppen (SCC, KASTEL, AIFB, ZML) auf Basis unserer Forschungsergebnisse neue Informationsmaterialien und Awareness-Maßnahmen zum Thema Cyber-Sicherheit erarbeitet. Anlässlich des Safer Internet Days stellen wir diese in der Mensa der KIT Öffentlichkeit vor und stehen für Fragen rund um das Thema Cyber-Sicherheit zur Verfügung. 

Anlässlich des heutigen Privacy-Days wollen wir auf die zahlreichen Privatsphärenrisiken hinweisen. Dazu haben wir beispielweise verschiedene Flyer, Tools oder Erklärungsvideos ausgearbeitet. Auf folgender Seite erhalten Sie einen Überblick über unsere bisherigen Ergebnisse.

Henrik Mucha ist neuer Mitarbeiter in der Forschungsgruppe SECUSO. Henrik hat Industrial Design und Usability Engineering studiert und beschäftigt sich seit mehreren Jahren mit Fragestellungen der Mensch-Maschine-Interaktion im Kontext von Assistenzsystemen und deren Interaktionsdesign. Henrik wird sich in der SECUSO Gruppe mit dem Thema „Privacy through Interaction Design“ auseinandersetzen.

Das Paper “I (don't) see what you typed there! Shoulder-surfing resistant password entry on gamepads” von Peter Mayer, Nina Gerber, Benjamin Reinheimer, Philipp Rack, Kristoffer Braun und Melanie Volkamer wurde zur Veröffentlichung bei der Konferenz ACM CHI Conference on Human Factors in Computing Systems "conditionally" akzeptiert, welche vom 4. bis 9. Mai 2019 in Glasgow (UK) stattfindet.

Das Paper „Erklärvideo “Online-Betrug” – Nach nur fünf Minuten Phishing E-Mails nachweislich signifikant besser erkennen“ von Melanie Volkamer, Karen Renaud, Benjamin Reinheimer, Marco Ghiglieri, Nina Gerber, Peter Mayer, Philipp Rack und Alexandra Kunz wurde zur Präsentation auf dem 16. Deutschen IT-Sicherheitskongress des BSI ausgewählt.

Unsere Mitarbeiter/innen waren beim Start der 3. Etappe von "Digitalisierung: Läuft!" in Karlsruhe am 16. November 2018. Sie waren dort als Repräsentanten/innen des KIT und KASTEL. Vor Ort war auch Digitalisierungsminister Thomas Strobl, zusammen mit anderen Mitarbeiter/innen vom FZI, dem CyberForum und EnBW. Das Motto des Laufs lautete "Sicherheit im digitalen Zeitalter". Die Etappe führte dabei vom Innovationscampus der EnBW zur neu gestarteten "Cyberwehr des Landes am Forschungszentrum Informatik (FZI). Ziel der Veranstaltung war der Wissenstransfer und der generelle Austausch zum Thema Digitalisierung. Außerdem startet in dessen Rahmen die neue Open-Innovation-Plattform.

Die RFH Köln veranstaltet zum zweiten Mal die IT Security & Forensic Days. Ziel ist es die Sensibilität für Sicherheit in IT-Systemen zu steigern und die grundsätzliche Thematik bekannter zu machen. Im Rahmen der Veranstaltung gibt es Expertenvorträge, Diskussionen und Workshop zu den Themen IT Sicherheit, Datenschutz und IT Forensik. Benjamin Reinheimer wird passend dazu einen Workshop zum Thema Phishing und betrügerische Nachrichten abhalten. Dem Publikum bestehend aus Studierenden, Dozent*innen, Alumni sowie Fachkräfte aller Branchen wird dabei interaktiv die wichtigsten Regeln zur Erkennung von Phishing beigebracht und Hilfestellungen für die Umsetzung im täglichen Leben gegeben.

Die E-Vote-ID Konferenz (International Joint Conference on Electronic Voting) fand zum dritten Mal im Schloss Hofen in Bregenz, Österreich statt. Mit über 100 Teilnehmern aus fünf Kontinenten bot die Konferenz eine Plattform für Vorträge und Diskussionen zwischen einer Vielzahl von Interessengruppen, darunter akademische Forscher aus verschiedenen Disziplinen, Praktiker und Anbieter von Wahlsystemen. Das Pre-Conference-Programm umfasste das PhD-Kolloquium und die Demo-Session von elektronischen Wahlsystemen.

Das Paper “On The Systematic Development and Evaluation Of Password Security Awareness-Raising Materials” von Peter Mayer, Christian Schwartz und Melanie Volkamer wurde zur Veröffentlichung bei der 2018 Annual Computer Security Applications Conference akzeptiert, welche vom 3. bis 7. Dezember 2018 in SanJuan, Puerto Rico, USA stattfindet. Das Paper beschreibt einen Prozess zur systematischen Entwicklung von Sensibilisierungsmaßnahmen, dessen Anwendung zur Erstellung einer Maßnahme zum Thema "Schutz von Benutzerkonten", sowie der Evaluierung dieser Maßnahme in drei KMU.

Der European Cyber Security Month wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) koordiniert. SECUSO beteiligt sich gemeinsam mit KASTEL und SCC mit neuen Flyern, dem Video zum Online-Betrug und neuen Privacy Friendly Apps.

Unsere Privacy Friendly Apps haben im Gesundheitsbereich Nachwuchs bekommen. Neben den bestehenden Apps (Schrittzähler, Schmerztagebuch, Intervalltimer und Zirkeltraining) gibt es nun auch die Privacy Friendly Aktive Pause App (im Google Play Store und im F-Droid Store verfügbar). Sie wurde gemeinsam mit dem Physiotherapeuten Eduardo Fontao entwickelt. Genau wie alle unsere Privacy Friendly Apps fordert die Aktive Pause App nur die für die Funktionalität erforderlichen Berechtigungen an (in diesem Fall keine Berechtigung) und enthält keine Tracking-Mechanismen, so dass keinerlei (Nutzungs-) Daten gesammelt werden. Sie ist kostenlos und zeigt dennoch keine Werbung an. Privacy Friendly Aktive Pause erleichtert Ihnen, Ihre Arbeitszeiten zu strukturieren und an Pausen zwischen der Arbeit zu denken. Die Aktive Pause App bietet viele nützliche Entspannungs-, Mobilisierungs- und Dehnübungen, welche sich zu individuellen Programmen zusammenstellen lassen, damit sie Ihre Pause aktiv gestalten können.

Das Paper "A Proxy Voting Scheme Ensuring Participation Privacy and Receipt-Freeness" von Oksana Kulyk und Melanie Volkamer wurde zur Veröffentlichung bei der 52. Hawaii International Conference on System Sciences (HICSS-52), die am 8.-11. Januar in Grand Wailea, Maui stattfindet, akzeptiert. Nach dem CORE ranking gehört die HICSS Konferenz zu den A gerankten Konferenzen.

Der Artikel "Nutzerwahrnehmung der Ende-zu-Ende-Verschlüsselung in WhatsApp" von Nina Gerber, Verena Zimmermann, Birgit Henhapl, Sinem Emeröz, Tobias Hilt und Melanie Volkamer wurde im Journal "Datenschutz und Datensicherheit" zur Veröffentlichung akzeptiert.    

Die Google Chrome Erweiterung “Privacy-friendly Cookie Settings”, welche dem Benutzer bei den Cookie-Einstellungen hilft, ist nun im Chrome Store verfügbar. Die Erweiterung präsentiert dem Nutzer zusätzliche Informationen zu den Cookie-Einstellungen und bietet einen Assistenten an, der es ermöglicht die Einstellungen einfacher zu setzen. Weiterhin bietet es eine feiner granulare Einstellmöglichkeit für Webseiten für bestimmte Einstellungen.

As a little Easter surprise, we are happy to announce that our educational Video "Online-Fraud - How to identify and avoid dangers" is now also available in English. The popular five-minute video on the topic how to identify and avoid dangers by identifying them through education, is a result of scientific evaluation of the effectiveness in regard to the recognition of fraudulent messages. 

Happy Easter and stay safe, the SECUSO-Research Group

ACCESS - Authentication ChoiCE Support System - ist eine Plattform, die Entwickler und Verantwortliche bei der Auswahl geeigneter Authentifizierungssysteme für ihr Anwendungsszenario unterstützt. Entsprechend dem gegebenen Szenario gibt der Benutzer die entsprechenden Anforderungen an ein geeignetes System auf der Plattform ein. Die Applikation gleicht die Anforderungen mit den Einträgen ihrer Wissensdatenbank ab und gibt dem Benutzer dementsprechend tabellarisch aufgelistet fünf geeignete Authentifizierungssysteme und deren Eignung für das entsprechende Szenario aus. Die Wissensdatenbank beinhaltet Informationen aus wissenschaflticher Literatur über eine Vielzahl von Authentifizierungsverfahren. ACCESS macht diese Informationen für Laien nutzbar.

Prof. Melanie Volkamer, Professorin der Forschungsgruppe SECUSO am Karlsruhe Institut der Technologie und an der Technischen Universität Darmstadt, gehört zu den Organisatoren der E-VOTE-ID 2018 (Internationale Konferenz für elektronische Wahlen).

Die jährlich stattfindende Konferenz ist eine der führenden internationalen Veranstaltungen zum Thema elektronische Wahlen weltweit. Sie entstand aus der Zusammenlegung der Konferenzen EVOTE und VOTE ID und wird zum dritten Mal im Oktober 2018 stattfinden.

Im Mittelpunkt der Konferenz steht ein interdisziplinärer offener Austausch rund um das Thema elektronische Wahlen. Seit 2004 waren über 750 Experten aus über 35 Ländern von 6 Kontinenten zu Gast und haben elektronische Wahlen und verwandte Themen diskutiert.

Auf der E-VOTE-ID 2018 können sich führende Experten im Bereich elektronische Wahlen aus Forschung, Industrie und Politik austauschen und verschiedene Aspekte diskutieren. Die E-Vote-ID 2016 wird am 2.-5. Oktober 2018 in Bregenz, Österreich, stattfinden.

Im Rahmen der Tagung des Unterarbeitskreises "IT-Sicherheit" des Vereins der Zentren für Kommunikationsverarbeitung in Forschung und Lehre (ZKI e.V.) an der Universität Konstanz gibt Dr. Marco Ghiglieri am 14.03.2018 einen Vortrag zum Thema "Wie Sie sich mit effektiven Maßnahmen gegen Phishing und andere gefährliche Nachrichten schützen können".

Materialien zum Thema "Phishing und andere gefährliche Nachrichten" wurden u.a. innerhalb des vom Bundesministerium für Wirtschaft und Energie im Rahmen der Initiative IT-Sicherheit in der Wirtschaft geförderten Projekts KMU AWARE entwickelt.

SECUSO hat fünf neue Privacy Friendly Apps und zwei Updates veröffentlicht. Die Privacy Friendly Apps sind eine Gruppe von Android-Apps, die in Bezug auf die Privatsphäre des Nutzers optimiert sind. Die Apps wurden im Rahmen des Programmierpraktikums "Usable Security and Privacy" von Studenten entwickelt. Das Ziel dieses Programmierpraktikums ist es den Studenten privatsphäre-freundliche Entwicklung von Apps für mobile Endgeräte zu vermitteln.

Die neuen Apps sind:
* Schmerztagebuch: Anlegen eines Schmertagebuches zur Besserung Ermittlung von Schmerzursachen.
* Brettspieluhr: Zeiterfassung bei Brettspielen.
* Dame: Dame-Brettspiel für ein bis zwei Spieler.
* Zirkeltraining: Trainingsunterstützung durch Timer und Darstellung von Übungen.
* WiFi-Manager: Automatisches Ein- bzw. Ausschalten des Wlans abhängig vom Standort.

Die erweiterten Apps sind:
* Net Monitor: Nerkwerkverbindungen installierter Apps überwachen.
* Todo-Liste: Verwaltung von Todo-Listen.

Es wurden zwei Paper zur Veröffentlichung bei im Rahmen der SOUPS (Symposium on Usable Privacy and Security) veranstalteten Workshops akzeptiert: Das Paper "Home Sweet Home? Investigating users’ awareness of smart home privacy threats" von Nina Gerber, Benjamin Reinheimer und Melanie Volkamer wird auf dem Workshop An Interactive Workshop on the Human aspects of Smarthome Security and Privacy (WSSP) präsentiert. Das Paper “ACCESSv2: A Collaborative Authentication Research and Decision Support Platform" von Peter Mayer, Philip Stumpf, Thomas Weber und Melanie Volkamer wird auf dem Workshop Who Are You?! Adventures in Authentication 2018 (WAY 2018) vorgestellt. Darüber hinaus wurden die Poster "‘This Website Uses Cookies‘: Users' Perceptions and Reactions to the Cookie Disclaimer“ von Oksana Kulyk, Annika Hilt, Nina Gerber und Melanie Volkamer sowie "Addressing Misconceptions About Password Security Effectively" von Peter Mayer und Melanie Volkamer zur Präsentation bei der SOUPS 2018 akzeptiert. 

Der Artikel "Phishing Detection: Developing and Evaluating a Five Minutes Security Awareness Video" von Melanie Volkamer, Karen Renaud, Benjamin Maximilian Reinheimer, Philipp Rack, Marco Ghiglieri, Peter Mayer, Alexandra Kunz, Nina Gerber wurde bei der Konferenz TrustBus 2018 (15th International Conference on Trust, Privacy and Security in Digital Business) akzeptiert.“

Heute findet bereits zum 19. Mal der weltweite Safer Internet Day statt. Auch das AIFB und KASTEL beteiligen sich am Aktionstag: Anlässlich des diesjährigen Tags für mehr Internetsicherheit haben wir unseren NoPhish Flyer erweitert, um Ihnen aufzuzeigen, wie Sie sich vor Online-Betrug im Allgemeinen schützen können.

Viel Spaß beim Nicht-Betrogen werden.

Link zum Flyer

Das Paper “Replication Study: A Cross-Country Field Observation Study of Real World PIN Usage at ATMs and in Various Electronic Payment Scenarios" von Melanie Volkamer, Andreas Gutmann, Karen Renaud, Paul Gerber und Peter Mayer wurde zur Veröffentlichung in der USENIX Konferenz Symposium on Usable Privacy and Security (SOUPS) akzeptiert, welche das primäre wissenschafltiche Forum zum Thema Usable Privacy und Usable Security darstellt. Die Konferenz findet vom 12. bis 14. August 2018 in Baltimore (USA) statt.

Das Paper „Finally Johnny Can Encrypt. But Does This Make Him Feel More Secure?” von Nina Gerber, Verena Zimmermann, Birgit Henhapl, Sinem Emeröz und Melanie Volkamer wurde zur Veröffentlichung bei der 13 Internationalen Konferenz zu Availability, Reliability und Security (ARES), die zwischen dem 27. und 30. August an der Universität Hamburg  stattfinden wird, akzeptiert.

Das Buch 'Sicherheitskritische Mensch-Computer-Interaktion' wurde vom Springer Verlag veröffentlicht. Es enthält das Kapitel 'Human Factors in Security' von Paul Gerber, Marco Ghiglieri, Birgit Henhapl, Oksana Kulyk, Karola Marky, Peter Mayer, Benjamin Reinheimer und Melanie Volkamer. Darin geben die Autoren eine Einführung in das Thema 'Human Factors in Security' und stellen allgemeine Lösungsansätze basierend auf 'Human Centered Security by Design' vor.

Am 9. und 10. April co-organisierten Melanie Volkamer und Oksana Kulyk zusammen mit den KASTEL Professoren Prof. Bernhard Beckert und Prof. Jörn Müller-Quade das 21. E-Voting Kolloquium in Karlsruher Institut für Technologie. Das seit 2006 europaweit stattfindende Kolloquium thematisiert verschiedene Aspekte des E-Voting wie rechtliche Hürden, Identitätsmanagement, rechtliche und technische Aspekte, die Kosten und die Herausforderungen der Verifizierbarkeit von Wahlen. Neben den Vorträgen und Diskussionen zum aktuellen Stand des Promotionsvorhaben der teilnehmenden DoktorandInnen, waren das Highlight des diesjährigen Kolloquiums die Demo-Session zu den Wahlgeräten der Forschungsgruppe SECUSO: neben einem mechanischen Wahlgerät "System Darmstadt" und einen NEDAP Wahlgerät (beide wurde in der Vergangenheit für rechtsverbindliche Wahlen in Deutschland eingesetzt sind inzwischen aber für rechtsverbindliche Wahlen nicht mehr zulässig ) wurde das von der Forschungsgruppe SECUSO entwickelte EasyVote System, welches für Wahlen bei denen kumulieren und panaschieren erlaubt ist, demonstriert.

Das Paper „Explaining the Privacy Paradox - A systematic review of literature investigating privacy attitude and behavior” von Nina Gerber, Paul Gerber und Melanie Volkamer wurde zur Veröffentlichung in der Zeitschrift „Computers & Security“ akzeptiert.