Forschung

Penetrationstests

In diesem Forschungsschwerpunkt untersuchen wir systematische Verfahren zur Durchführung von Penetrationstests an IT-Systemen, um Schwachstellen in komplexen Infrastrukturen frühzeitig zu identifizieren und deren sicherheitstechnische Auswirkungen realistisch zu bewerten. Dabei kommen sowohl etablierte Methoden als auch neu entwickelte Werkzeuge zum Einsatz, die eine strukturierte Analyse von Netzwerken, Anwendungen und eingebetteten Systemen ermöglichen. Ein besonderer Fokus liegt auf der Ableitung konkreter Handlungsempfehlungen für Betreiber, um identifizierte Schwachstellen nachhaltig zu beheben und die Resilienz der Systeme gegenüber zukünftigen Angriffen zu erhöhen.

Unsere Professur bringt ihre Expertise in diesem Bereich insbesondere im Rahmen des Projekts MuQuaNet ein. Dort werden QKD-Systeme sowie die zugehörige Kommunikationsinfrastruktur sicherheitstechnisch analysiert, unter anderem durch strukturierte Penetrationstests und die Untersuchung potenzieller Angriffspfade. Ziel ist es, Schwachstellen in realen Einsatzumgebungen frühzeitig zu identifizieren und belastbare Methoden für die Sicherheitsbewertung zukünftiger quantensicherer Kommunikationsnetze zu entwickeln.

Projekte: MuQuaNet

Privatheit-unterstützende Mechanismen

In diesem Forschungsschwerpunkt werden Verfahren und Algorithmen untersucht und entwickelt, welche die Privatheit eines jeden Einzelnen stärken sollen. Ein behandeltes Thema ist hier das „Löschen im Internet“: Spätestens seit der Veröffentlichung des Entwurfs für die EU-weite Datenschutzregelung ist ausgiebig diskutiert worden, dass die im Artikel 17 beschriebenen Regelungen für das Löschen, insbesondere die Pflicht, Dritte über die gewünschte Löschung zu informieren, aufgrund der fehlenden technischen Lösung in der Praxis nicht umsetzbar sind. Seit Mai 2014 hat die öffentliche Diskussion eine neue Wendung genommen, als Google gerichtlich verurteilt wurde, auf Antrag bestimmte Links zu löschen. Verallgemeinert kann gesagt werden, dass es an Kritik an dem Artikel 17 wegen der Schwierigkeit, ihn in der Praxis zu realisieren, nicht mangelt. Es mangelt jedoch an konkreten Lösungsvorschlägen für die technische Umsetzung, sodass Dienstanbieter ein Werkzeug zur Verfügung hätten, das Gesetz umzusetzen. In diesem Themengebiet wird ein solches System entwickelt, welches den Internet-Nutzer unterstützt und dem Dienstanbieter ein Werkzeug zur Umsetzung des Gesetzes zur Verfügung stellt.

Des Weiteren werden technische Sicherheitsmechanismen zum Schutz von personenbezogenen Daten bzw. der Privatsphäre des Einzelnen untersucht. Dadurch, dass man mit unterschiedlichen Geräten wie Smartphones oder Notebooks kontinuierlich untereinander und mit dem Internet verbunden ist, fallen Daten an, welche z.B. zur Überwachung des Einzelnen missbraucht werden können. Darüber hinaus muss auch die kontinuierlich steigende Anzahl an Sensoren in unserer alltäglichen Umgebung berücksichtigt werden. All diese Informationsquellen können missbraucht werden, um Daten über Einzelne zu sammeln. Das Ziel ist dabei die Entwicklung von technischen Lösungen, um solche Profilbildung des Einzelnen bzw. die Weitergabe solcher personenbezogener Daten zu verhindern.

Projekte: SecAwa, „Löschen im Internet“, Social Link

Erhöhung des IT-Sicherheitsbewusstseins

Ein weiteres Thema ist der Bereich „Selbstdatenschutz". Hierbei wird durch Schulung und Aufklärung der allgemeinen Öffentlichkeit Möglichkeiten aufgezeigt, was man selbst tun kann, um die eigenen (privaten) Daten im Internet zu schützen. Dazu entwickelt und erforscht die Professur u.a. Verfahren und Werkzeuge zur Steigerung des Sicherheitsbewusstseins bei der Entwicklung von Softwarewerkzeugen bzw. im Umgang mit diesen. Dies wird insbesondere durch das Open-Source e-Learning Projekt CrypTool 2 verfolgt. Mit diesem Werkzeug werden unterschiedliche kryptographische und kryptoanalytische Primitiven und Protokolle visuell anspruchsvoll und verständlich dargestellt, wodurch der Einsatz z.B. in Vorlesungen oder Schulungen aber auch zum selbständigen Lernen möglich ist. Ein anderer Ansatz zur Steigerung des Sicherheitsbewusstseins wird bei MysteryTwister C3 verfolgt: hier werden kryptographische Rätsel für Jedermann zum Brechen angeboten. Durch das aktive Brechen eines solchen Rätsels bekommt man ein deutlich gesteigertes Gefühl für die Sicherheit bzw. Unsicherheit eines bestimmten Verfahrens. Des Weiteren wird über sichere E-Mail sowohl aufgeklärt (regelmäßige Lehrveranstaltungen für „den Bürger“) als auch aktiv mitentwickelt und geforscht. So arbeitet die Professur u.a. daran, E-Mails nicht nur mittels PGP und S/MIME zu verschlüsseln. Dafür wurde z.B.  ein einfaches Verfahren zur Verschlüsselung einer E-Mail mittels eines Passworts entwickelt. Der Hauptvorteil dieses Ansatzes ist die einfachere Benutzerhandhabung.

Projekte: CrypTool 2, MysteryTwister C3, Schülerkrypto, Sichere E-Mail

Kryptoanalyse Klassischer Chiffren

Dieser Forschungsschwerpunkt liefert Erkenntnisse, die nicht nur für die Informatik von Bedeutung sind. Bei der "Kryptoanalyse klassischer Chiffren" werden historische Verschlüsselungsverfahren wie die sogenannten Spaltentranspositionen mithilfe moderner metaheuristischer Verfahren wie z.B. dem Hill Climbing automatisiert gebrochen. Die vollständige Automatisierung der Entschlüsselung entlastet die beteiligten Historiker*innen und ermöglicht die Untersuchung von bisher nicht entschlüsselten historischen Texten durch Personen, die a priori kein oder nur wenig Hintergrundwissen zur Kryptographie oder Informatik mitbringen. Die erstellten Algorithmen fließen zumeist auch in die Entwicklung der offenen Kryptographie-Lernsoftware CrypTool ein.

Die meisten modernen Verschlüsselungsverfahren basieren ganz grundlegend auf mathematischen Konzepten aus dem Gebiet der Zahlentheorie. Diese mathematische Disziplin bietet auch unabhängig von den Anwendungen für die Kryptographie und trotz Jahrhunderten der Forschung und Weiterentwicklung viele ungelöste Vermutungen und interessante Fragestellungen. Die "Iwasawa-Theorie" ist ein sehr aktives Teilgebiet der algebraischen Zahlentheorie, das sich sowohl durch die Verknüpfung vieler unterschiedlicher mathematischer Disziplinen als auch durch die hohe internationale Diversität auszeichnet. An der Professur wird vor allem die Variation sogenannter Iwasawa-Invarianten über Familien von Iwasawa-Moduln studiert, und zwar sowohl im klassischen Rahmen von Idealklassengruppen als auch im modernen Kontext der Iwasawa-Theorie von elliptischen Kurven und auch Graphen.

Projekt: CrypTool 2, DECRYPT, Analyse klassischer Chiffren mit (meta) heuristischen Verfahren
Konferenz: HistoCrypt