Two papers accepted at D-A-CH Security 2017

Our two papers Zur Wirksamkeit von Security Awareness Maßnahmen by G. Schembre and A. Heinemann and Design- und Implementierungsaspekte mobiler abgeleiteter IDs by D. Träder, A. Zeier and A. Heinemann were accepted at the D-A-CH Security 2017. The conference will take place 5th and 6th of September in Munich.

Zur Wirksamkeit von Security Awareness Maßnahmen

Im Rahmen einer elfwöchigen Studie bei einem mittelständigen Unternehmen wurde untersucht, ob das Investment in ein Präsenztraining zur Verbesserung der Security Awareness mit Fokus auf E-Mail- Phishing-Angriffe lohnenswert ist. Das erstellte Präsenztraining wird mit kostengünstig erwerbbaren Online-Lernspielen verglichen. Die Auswertung der Daten zeigt, dass beide Maßnahmen sich positiv auf das Verhalten der Mitarbeiter auswirken, jedoch die Verbesserungen durch das Präsenztraining überwiegen. Hierbei ist auffällig, dass bei einer freiwilligen Teilnahme die Motivation, eigenständig ein Online-Lernspiel zu absolvieren sehr gering ist. Bemerkenswert ist ebenfalls, dass allein das Versenden von fingierten Phishing-E-Mails zu einer Sensibilisierung der Mitarbeiter führt.

Design- und Implementierungsaspekte mobiler abgeleiteter IDs

Durch die immer weiter voranschreitende Digitalisierung können mehr und mehr unserer alltäglichen Aufgaben online erledigt werden. Dies schließt auch eGovernment-Dienste ein, welche definierte Anforderungen an die Sicherheit stellen. Um diese Anforderungen zu erfüllen, müssen digitale Identitäten an die Bürger ausgestellt werden. Zusätzlich ist eine 2-Faktor-Authentifizierung (2FA) essentiell, um ein ausreichendes Vertrauensniveau zu erreichen. Durch die hohe Verbreitung von Smartphones wird die mobile Nutzung von Online-Diensten immer beliebter. Diese unterstützen die 2FA auf natürliche Weise. Der Begriff mobile abgeleitete Identität bezeichnet eine Identität, die a) auf einem mobilen Gerät verwendet werden kann und b) von einem physikalischen oder digitalen Identitätsnachweis abgeleitet wurde. Diese Arbeit untersucht 21 Systeme, welche mobile abgeleitete Identitäten zur Authentifizierung der Nutzer verwendet. Dabei werden sowohl Systeme betrachtet, die sich bereits im Einsatz befinden (im öffentlichen sowie privaten Sektor) als auch wissenschaftliche Arbeiten. Dabei konnten wir erkennen, dass die bereits genutzten Systeme in der Regel eine Speicherung der Identitäten in der Cloud bevorzugen, während die Forschung eine lokale Speicherung bevorzugt. 2FA wird von beiden gleichermaßen unterstützt, wobei biometrische Verfahren die Ausnahme sind.