Unter dem Motto „Aktuelle Themen und Fragen der IT-Sicherheit“ fand am 30. November 2021 der 15. Paderborner Tag der IT-Sicherheit statt. Insgesamt trafen sich rund 150 Teilnehmer*innen virtuell, um sich über aktuelle Herausforderungen in dem für Wirtschaft, Wissenschaft und Gesellschaft immer wichtiger werdenden Bereich der IT-Sicherheit zu informieren und auszutauschen. In wissenschaftlich-technischen und anwendungsnahen Vorträgen wurden spezielle Handlungsfelder aus dem Bereich IT-Sicherheit vorgestellt, wie zum Beispiel „Des Kaisers neue Kleider: Moderne Angriffe vs. Software Diversity“ und „Rechtliche Anforderungen an IT-Sicherheitsupdates“. Der Paderborner Tag der IT-Sicherheit wird durch den Kompetenzbereich „Digital Security“ des SICP – Software Innovation Campus Paderborn der Universität Paderborn organisiert. Unterstützt wird die Veranstaltung durch das Innovationsnetzwerk InnoZent OWL e. V. und die Regionalgruppe OWL der Gesellschaft für Informatik e. V.
Der 15. Paderborner Tag der IT-Sicherheit wurde pandemiebedingt online über die Event-Plattform trember durchgeführt. Die Plattform bot die Möglichkeit, sich in den Interaktionsräumen per Avatar durch die Veranstaltungsumgebung zu bewegen und frei zwischen den Gruppenunterhaltungen innerhalb eines Raumes wechseln zu können, sodass in den Networking-Phasen vielfach die Gelegenheit für Networking und Austausch – ähnlich einer Präsenzveranstaltung – geboten wurde. „Für die Networking-Phasen standen elf Interaktionsräume zur Verfügung, die unter anderem der Vorstellung des IT-Sicherheitsbezuges von SICP-Mitglieds- und Partner-Unternehmen sowie der Vorstellung bestimmter Projekte dienten. In anderen Räumen standen die Referenten nach ihren Vorträgen den Teilnehmer*innen für Fragen zur Verfügung“, erläutert Dr. Simon Oberthür, R&D Manager „Digital Security“ im SICP, das Raumkonzept der digitalen Veranstaltung. Des Weiteren hatten die Teilnehmer*innen Gelegenheit, in einem Raum Informationen zu den Mitgliedern des Leitungsteams des Tages der IT-Sicherheit und der Forschung in ihren Fachgruppen zu erhalten. Da das Leitungsteam in diesem Jahr durch zwei neue Professuren im Bereich der IT-Sicherheit erweitert wurde, hatten die beiden neuen Leitungsteam-Mitglieder zu Beginn der Veranstaltung die Gelegenheit, sich und ihre Fachgruppen kurz vorzustellen. Die Fachgruppe „IT-Sicherheit“ von Prof. Dr. Patricia Arias Cabarcos erforscht die Entwicklung von Sicherheitstechnologien, die einfach in der Handhabung, integrativ und datenschutzfreundlich sind: Wie können Personen in die Lage versetzt werden, ein sicheres digitales Leben zu führen, ohne über tiefgehendes technisches Wissen verfügen zu müssen? Die Forschungsarbeiten der Fachgruppe „Systemsicherheit“ von Prof. Dr. Juraj Somorovsky konzentrieren sich auf Systemsicherheit, Netzsicherheit und angewandte Kryptographie. Das Know-how der Mitarbeiter*innen hat maßgeblich zur Entdeckung von kritischen Sicherheitslücken wie DROWN, ROBOT und Efail beigetragen. Die Forschungsgruppe analysiert diese Schwachstellen systematisch und entwickelt Testwerkzeuge, um sie zu identifizieren und zu beheben.
Aktuelle Angriffe auf alte (noch eingesetzte) Kryptographie
Prof. Dr. Jörg Schwenk, Leiter des Lehrstuhls Netz- und Datensicherheit an der Ruhr-Universität Bochum, erläuterte in seiner Keynote, dass wichtige in der Praxis eingesetzte und zumeist gegen Ende des letzten Jahrhunderts entwickelte Kryptographiestandards im Wesentlichen weiter mit alten kryptographischen Elementen arbeiten, während Angriffsmethoden auf kryptographische Bausteine wie Verschlüsselung und digitale Signaturen immer raffinierter, komplexer und zielgerichteter werden. „Am Beispiel der Industriestandards S/MIME und PDF-Sicherheit kann ich aufzeigen, dass Angriffe verallgemeinert werden können und ein Umdenken in Richtung einer ganzheitlichen Betrachtung von Anwendungen erforderlich ist, um die Sicherheit dieser Anwendungen auch in Zukunft zu garantieren“, so Prof. Dr. Schwenk.
Developers are not the enemy! – On usability issues for secure software development
Prof. Dr. Matthew Smith, Professor für Usable Security and Privacy an der Universität Bonn und am Fraunhofer FKIE, erläuterte in seiner Keynote, dass jede Software-Schwachstelle im Grunde genommen bereits bei der Entwicklung entsteht, jedoch die zugrundeliegenden Ursachen und mögliche Abhilfestrategien bisher nur wenig erforscht wurden. Prof. Smith beleuchtete unter Einsatz interaktiver Elemente mögliche Sicherheitskonzepte für Entwickler*innen mit Fokus auf der sicheren Speicherung von Passwörtern und Fragen der Benutzerfreundlichkeit bei der Softwareanalyse.
