Welcome to the User-Centered Security Research Group, a joint working group of the h_da/Faculty of Computer Science and the Institute of Computer Science/WG Identity Management at FU Berlin.

We investigate how to designbuild and evaluate 
usable and secure interactive/collaborative 
software and IT-systems 
that people will trust based on established/novel IT-Security and/or HCI principles and mechanisms. See projects to find out more.

In addition, we support the CTF-Team at our faculty.

We are affiliated with the IT-Security devision at h_da/CS Faculty, the z.a.i, and the Center for Research in Security and Privacy (CRISP).

News

Two papers accepted at D-A-CH Security 2017

Our two papers Zur Wirksamkeit von Security Awareness Maßnahmen by G. Schembre and A. Heinemann and Design- und Implementierungsaspekte mobiler abgeleiteter IDs by D. Träder, A. Zeier and A. Heinemann were accepted at the D-A-CH Security 2017. The conference will take place 5th and 6th of September in Munich.

Zur Wirksamkeit von Security Awareness Maßnahmen

Im Rahmen einer elfwöchigen Studie bei einem mittelständigen Unternehmen wurde untersucht, ob das Investment in ein Präsenztraining zur Verbesserung der Security Awareness mit Fokus auf E-Mail- Phishing-Angriffe lohnenswert ist. Das erstellte Präsenztraining wird mit kostengünstig erwerbbaren Online-Lernspielen verglichen. Die Auswertung der Daten zeigt, dass beide Maßnahmen sich positiv auf das Verhalten der Mitarbeiter auswirken, jedoch die Verbesserungen durch das Präsenztraining überwiegen. Hierbei ist auffällig, dass bei einer freiwilligen Teilnahme die Motivation, eigenständig ein Online-Lernspiel zu absolvieren sehr gering ist. Bemerkenswert ist ebenfalls, dass allein das Versenden von fingierten Phishing-E-Mails zu einer Sensibilisierung der Mitarbeiter führt.

Design- und Implementierungsaspekte mobiler abgeleiteter IDs

Durch die immer weiter voranschreitende Digitalisierung können mehr und mehr unserer alltäglichen Aufgaben online erledigt werden. Dies schließt auch eGovernment-Dienste ein, welche definierte Anforderungen an die Sicherheit stellen. Um diese Anforderungen zu erfüllen, müssen digitale Identitäten an die Bürger ausgestellt werden. Zusätzlich ist eine 2-Faktor-Authentifizierung (2FA) essentiell, um ein ausreichendes Vertrauensniveau zu erreichen. Durch die hohe Verbreitung von Smartphones wird die mobile Nutzung von Online-Diensten immer beliebter. Diese unterstützen die 2FA auf natürliche Weise. Der Begriff mobile abgeleitete Identität bezeichnet eine Identität, die a) auf einem mobilen Gerät verwendet werden kann und b) von einem physikalischen oder digitalen Identitätsnachweis abgeleitet wurde. Diese Arbeit untersucht 21 Systeme, welche mobile abgeleitete Identitäten zur Authentifizierung der Nutzer verwendet. Dabei werden sowohl Systeme betrachtet, die sich bereits im Einsatz befinden (im öffentlichen sowie privaten Sektor) als auch wissenschaftliche Arbeiten. Dabei konnten wir erkennen, dass die bereits genutzten Systeme in der Regel eine Speicherung der Identitäten in der Cloud bevorzugen, während die Forschung eine lokale Speicherung bevorzugt. 2FA wird von beiden gleichermaßen unterstützt, wobei biometrische Verfahren die Ausnahme sind.

Daniel Träder defended his Master’s Thesis on “FIDO-konforme abgeleitete eID im E-Government”

We congratulate Daniel Träder for successfully defending his Master’s Thesis with the title “FIDO-konforme abgeleitete eID im E-Government” last Tuesday.

Abstract: An online identification of a user often works with user name and password. This method is increasingly viewed as unsafe, but alternative technologies are not yet widely used. The Identity Card (nPA) in Germany also includes these alternative technologies. This provides the user with a standardized method of being identified in on-line procedures compliant with the official directives. This offer is currently not well accepted by the citizens. One reason is a lack of usability, which is caused by the provided system. The poor circulation of card readers is a challenge. In this context, the work examines the possibility of addressing new user groups by means of derived identities and making the authentication more user-friendly. Challenges are presented in the integration and implementation of a system with derived identities. In particular, substantial assurance level according to BSI definition is aimed at. Various solutions for derived identities, which are used in the European states and scientific work on the subject, are considered. The result is an architecture that uses a bank as identity provider. The Payment Services Directive 2 (PSD2) of the European Union was selected as the basis and an interface was designed and implemented according to this. This architecture fulfills the prerequisites for the assurance level substantial. In addition, the introduction of the new assurance level substantial is discussed for the “Servicekonto”, the necessary changes are described and implemented in the prototype. It is shown that an online authentication can be made trustworthy and usable, and at the same time more user groups can be addressed. For the achievement of the substantial assurance level, changes are essential to the system in which the prototype is to be integrated.

CASED Distinguished Lectures in Cybersecurity – Winter 2014/15

The next season of the CASED Distinguished Lectures Series (DLS) is settled.

Where and when: On selected Thursdays from 4:15 to 5:15 p.m. in room C110 (TU Darmstadt/Piloty-Building S2|02).Each lecture is followed by an informal get-together with snacks in the Athene Bistro.

Program

20.11.2014 Greg Morrisett, Harvard University, USA, Host: Neeraj Suri
Title: “Securing Code in a More Trustworthy Fashion”

11.12.2014 Gene Tsudik, UC Irvine, USA, Host : Michael Waidner
Title: “Challenges in Remote Attestation of Low-End Embedded Devices“

22.01.2015 Jean-Pierre Seifert, TU Berlin; Host : Michael Waidner
Title: “A thorough analysis of the arbiter PUF promise”

12.02.2015 Ernie Brickell, Intel Labs, USA, Host: Matthias Schunter/Ahmad Sadeghi
Title: “Intel´s Security Architecture Vision”

Use this opportunity to discuss current research topics with leading scientists! We are looking forward to seeing you there.

For further information please visit:
http://www.cased.de/news/dlectures/dlectures.html