Geför­dert durch:

Nachwuchsforschungsgruppe 2:

R.Go.Sec

Ergo­no­mi­sche Prin­zi­pi­en siche­rer Tech­no­lo­gien in einer digi­ta­len Gesell­schaft (R.Go.Sec)
Eine der größ­ten Her­aus­for­de­run­gen für Her­stel­ler, Betrei­ber oder Nut­zer von Com­pu­ter­netz­wer­ken, Sys­te­men, Ein­zel­ge­rä­ten und Spei­cher­me­di­en ist die Gewähr­leis­tung ihrer Sicher­heit. Die­se umfasst den Schutz gegen den Ver­lust, die Beschä­di­gung oder Zer­stö­rung, sowie das Abfan­gen oder den unau­to­ri­sier­ten Zugriff auf sen­si­ti­ve Daten und Infor­ma­tio­nen. Neben der­ar­ti­gen kri­mi­nel­len Angrif­fen, die das Ziel haben, Per­so­nen direkt zu scha­den erfol­gen Angrif­fe auch durch Geheim­diens­te und Regie­run­gen, etwa zur Über­wa­chung der eige­nen Bevöl­ke­rung oder die ande­rer Län­der, aber auch zur poli­ti­schen Einflussnahme.

Eine Erhö­hung der Sicher­heit digi­ta­ler Tech­no­lo­gien ist des­we­gen nicht nur von öko­no­mi­schen Inter­es­se. Siche­re digi­ta­le Tech­no­lo­gien stär­ken aber auch vor allem indi­vi­du­el­le Bür­ger­rech­te: Ein effek­ti­ver Schutz gegen flä­chen­de­cken­de Über­wa­chung von Kom­mu­ni­ka­ti­ons­ver­hal­ten ist eine not­wen­di­ge Vor­aus­set­zung zur Aus­übung demo­kra­ti­scher Errun­gen­schaf­ten wie dem Recht auf Pri­vat­sphä­re, dem Recht auf Anony­mi­tät, dem Recht auf infor­ma­tio­nel­le Selbstbestimmung.

For­schung zur Stär­kung der Sicher­heit digi­ta­ler Tech­no­lo­gien fin­det vor allem in der Infor­ma­ti­ons­tech­nik und den Inge­nieurs­wis­sen­schaf­ten statt. Zwar gibt es im inter­dis­zi­pli­nä­ren For­schungs­be­reich Usable Secu­ri­ty auch psy­cho­lo­gi­sche Ansät­ze, die sich aller­dings größ­ten­teils mit Soft­ware, Anwen­dun­gen und Inter­faces befassen.

Poten­zi­el­le Angriffs­punk­te in einem Sys­tem bestehen jedoch auch auf ande­ren Ebe­nen, etwa der Hard­ware (Chips oder ande­re Bau­tei­le). Nut­zer haben zwar mit die­ser i.d.R. kei­ne direk­te Inter­ak­ti­on, ihr Ver­hal­ten kann aber den­noch sicher­heits­re­le­vant sein oder Angrif­fe erst ermög­li­chen. Das tech­ni­sche Vor­ge­hen bei Angrif­fen auf Hard­ware (Rever­se-Engi­nee­ring) ist in der Lite­ra­tur doku­men­tiert – wenig ist jedoch bekannt zu psy­cho­lo­gi­schen Pro­blem­lö­se­pro­zes­sen wäh­rend ein­zel­ner Arbeits­schrit­ten und wel­che Eigen­schaf­ten von Hard­ware für Angrei­fer mög­li­cher­wei­se beson­ders schwer zu ent­schlüs­seln sind. Her­stel­ler digi­ta­ler Tech­no­lo­gien ver­las­sen sich hier häu­fig auf Heu­ris­ti­ken und (begrün­de­ten) Annah­men, aber weni­ger auf wis­sen­schaft­li­che Evi­denz effek­ti­ve Sicher­heits­maß­nah­men. Wel­che die­ser Tech­ni­ken wirk­sam Angrif­fe ver­hin­dern (z.B. in dem sie auto­ma­ti­sier­te oder stark regel­haf­te Angriffs­pro­ze­du­ren unmög­lich machen), und wel­che mög­li­cher­wei­se nur einen schwa­chen Schutz bie­ten, ist eine noch weit­ge­hend unbe­ant­wor­te­te Frage.

Zu die­sem Zweck soll in R.Go.Sec in drei Arbeits­pa­ke­ten inter­dis­zi­pli­nä­re empi­ri­sche For­schung in drei Berei­chen durch­ge­führt wer­den: a) sicher­heits­re­le­van­tem Ver­hal­ten von Nut­zern und ihren Kennt­nis­sen über Risi­ken im Umgang mit digi­ta­len Tech­no­lo­gien, b) Stra­te­gien und Pro­blem­lö­se­pro­zes­se von Angrei­fern beim Rever­se-Engi­nee­ring digi­ta­ler Tech­no­lo­gien, c) Heu­ris­ti­ken und psy­cho­lo­gisch infor­mier­te Tech­ni­ken zur Siche­rung von Hard­ware von Her­stel­lern. Ziel ist das Gene­rie­ren eines psy­cho­lo­gi­schen Modells, das Nut­zer­ver­hal­ten, Angriffs­tech­ni­ken und Sicher­heits­stra­te­gien von Her­stel­lern berücksichtigt.

Pro­jekt-Web­site

Beteiligte Hochschule

Projektbeteiligte