Call for Participation ACM IT Security live

Professor Hans-Joachim Hof, Leiter der INSicherheit – Ingolstädter Forschungsgruppe Angewandte IT Sicherheit und der MuSe – Munich IT Security Research Group, ist Organisator der ACM IT Security live, dem Arbeitstreffen mit Experten aus der Praxis für Informationssicherheit. Dieses Jahr findet der Workshop vom 21.06.2017 (ab 17 Uhr)-22.06.2017 am malerischen Ammersee statt. Wir würden uns über Vorschläge für Impulsreferate zu aktuellen Themen der IT-Sicherheit freuen. Den Call For Participation finden Sie hier: Link

Kommentar zum Telekom-Hack: Angriff auf Telekom-Router: das hätte böse ausgehen können.

Auf der Facebook-Seite des German Chapter of the ACM (Link)  hat Professor Hof, Leiter der Forschungsgruppe INSicherheit – Ingolstädter Forschungsgruppe Angewandte IT-Sicherheit an der Technischen Hochschule Ingolstadt, und der Forschungsgruppe MuSe – Munich IT Security Research Group an der Hochschule München heute einen Kommentar zum Telekom-Hack (Link) veröffentlicht:

“Glück gehabt, die Angreifer haben gepatzt und es ist nichts passiert. Deutlich wird aber, wie verwundbar wir doch sind und wie beklagenswert der Zustand unserer mit dem Internet verbundenen Geräte im Heimbereich ist. Mit 900.000 übernommenen Internet-Routern und üblichen Upstream-Geschwindigkeiten von 1 MBit/s hätte das Netz sich einem Angreifer mit bis zu 900 GBit/s Angriffskapazität gegenüber gesehen. Angriffe in dieser Größenordnung können heute selbst große Dienstanbieter nur mit Mühen abwehren, siehe den Angriff auf Dyn vor wenigen Wochen. Und man mag sich gar nicht vorstellen, wie die Telekom es wohl hinbekommen hätte, 900.000 Router von Kunden auszutauschen oder mit neuer Firmware zu versehen, wenn die Angreifer die Fernwartungsschnittstelle deaktiviert hätten.

Solche Schwachstellen können wir uns in Zukunft nicht mehr leisten. Deswegen ist es nur richtig, wenn aktuell gefordert wird, die Hersteller für Sicherheitsschwachstellen in Haftung zu nehmen. Ich fordere schon seit fast einem Jahrzehnt eine weitreichende Software-Produkthaftung. Kurz gesagt: wer für eine Software- oder Konfigurationsschwachstelle verantwortlich ist sollte die Kosten eines Hacking-Vorfalls tragen. Denn Hacking-Vorfälle sind keine höhere Gewalt sondern deuten auf mangelnde Produktqulität hin. Schwachstellen sind vermeidbar, aber das kostet Geld. Deswegen muss dem Aufwand, IT-Sicherheit richtig zu machen, eine entsprechende Strafe gegenübergestellt werden, wenn IT-Sicherheit in die Hose geht. Entsprechende Regeln müssen für alle netzwerkfähigen Geräte in allen Bereichen gelten.”

Hochschule München auf Platz 5 im Ranking

Zusammen mit der Ludwig-Maximilian-Universität München teilt sich die Hochschule München den 5. Platz im Employability Ranking (besteinsetzbare Absolventen nach Aussage von Personalern): Link

Vortrag “Internet der Dinge – Chancen und Risiken”

Professor Hof präsentierte am 23.11.2016 seine Sicht auf das Internet der Dinge im Rahmen eines Workshops des VerbraucherService Bayern. Eine zentrale Aussage seines Vortrags war, allen Datenschutzproblemen zum Trotz das Internet der Dinge nicht zu verteufeln, sondern lieber eine Entwicklung des IoT nach dem europäischen Verständnis von Datenschutz anzuregen. Zentralen Handlungsbedarf sieht Hof insbesondere bei der IT-Sicherheit von IoT Geräten. Hof fordert vehement eine umfassende Produkthaftung auf Software.

Vortrag “Wege aus der Krise 4.0 – Sicherheit für Industrie 4.0”

Auf der Anwenderkonferenz der MB Connect Line stellte Professor Hans-Joachim Hof am 10.11.2016 mit seinem Vortrag “Wege aus der Krise 4.0 – Sicherheit für Industrie 4.0” Möglichkeiten vor, wie Anlagenbauer ihre Anlagen sowie Kommunikation in der Industrieautomatisierung absichern können. Ein zentraler Punkt des Vortrags waren Mechanismen, um die Software von Anlagen flexibel erweitern und verbessern zu können. Dieser Punkt spielt gerade bei Anlagen mit einer hohen Lebensdauer eine wichtige Rolle. So ist z.B. damit zu rechnen, dass die heute verwendeten Verschlüsselungsalgorithmen einem Quantencomputer nicht standhalten werden. Professor Hof schätzt, dass real einsetzbare Quantencomputer in den nächsten 20 Jahren erscheinen werden, weswegen Anlagen mit einer Lebenszeit von 20 oder mehr Jahren umbedingt Möglichkeiten für Änderungen beinhalten sollten.

Programm der Anwenderkonferenz: Link

Die O-Phase Lila Pause an der Universität Karlsruhe

Fun Fact:

Vor fast 20 Jahren, im Jahr 1997, gründete Hans-Joachim “Achim” Hof zusammen mit Jürgen Vejmelka, Chris Kill, Markus Middendorf und Roland Hader im Studentenwohnheim in der Weechstraße 2 die O-Phasen-Gruppe “Lila Pause” an der Universität Karlsruhe. Diese O-Phasen-Gruppe existiert seither durchgehend an der Karlsruher Fakultät für Informatik und ist somit die am längsten existierende Orientierungsphasengruppe in Karlsruhe. Wir freuen uns sehr, dass unsere Nachfolger diese Tradition aufrecht erhalten haben. Die diesjährige O-Phase startet am 10.10., wir wünschen einen guten Start!

Zur Geschichte:

Bilder werden später noch an dieser Stelle veröffentlicht.

Wir wünschen einen guten Start ins Wintersemester

Die MuSe – Munich IT Security Research Group und die INSicherheit – Ingolstädter Forschungsgruppe Angewandte IT-Sicherheit allen Studierenden der Technischen Hochschule Ingolstadt und der Hochschule München einen guten Start ins Wintersemester 2016/2017. Wir würden uns freuen, wenn Sie das Angebot der MuSe und der INSicherheit fleißig nutzen würden. Auch in diesem Semester beiten beide Forschungsgruppen Interessante Bachelor- und Masterarbeiten im Themenfeld IT-Sicherheit an.

Professor Hof wird Chefredakteur des “International Journal on Advances in Security”

Prof. Dr. Hans-Joachim Hof, Leiter der MuSe – Munich IT Security Research Group und der INSicherheit – Ingolstädter Forschungsgruppe Angewandte IT-Sicherheit, wurde kürzlich zum Editor-in-Chief (Chefredakteur) der international anerkannten Zeitschrift “International Journal on Advances in Security” ernannt. Die Zeitschrift unterstützt Open Access, die PDF-Version ist kostenlos erhältlich: Link

Beschreibung der Zeitschrift:

“The journal focuses on specific aspects related to security, trust, privacy, authentication, authorization, and specific frameworks, architectures and protocol to enforce access and ownership rules and protect the assets, stored data, and communications.

Specific topics may focus on cryptographic solutions, quantum security, forensic methodology, negotiated trust, information security, malware, threat propagation, traffic profiling, security in dynamic environments, security in P2P networks, Internet security, special security protocols, access security, security management, and security in mission critical systems.”

Best Paper Award für Autoren der MuSe – Munich IT Security Research Group

Christoph Ponikwar, wissenschaftlicher Mitarbeiter an der MuSe – Munich IT Security Research Group, und Prof. Dr. Hans-Joachim Hof erhalten den Best Paper Award der Konferenz “The Tenth International Conference on Emerging Security Information, Systems and Technologies (SECURWARE 2016)” für ihre Veröffentlichung “Beyond the Dolev-Yao Model: Realistic Application-Specific Attacker Models for Applications Using Vehicular Communication“. Die Veröffentlichung präsentiert einheitliche Angreifermodelle für die Fahrzeug-Kommunikation. Ziel ist eine Vereinheitlichung der Effektivitätsmessung für Sicherheitsprotokolle. Abstract des Papers:

In recent time, the standards for Vehicular Ad-hoc Networks (VANETs) and Intelligent Transportation Systems (ITSs) matured and scientific and industry interest is high especially as autonomous driving gets a lot of media attention. Autonomous driving and other assistance systems for cars make heavy use of VANETs to exchange information.They may provide more comfort, security and safety for drivers. However, it is of crucial importance for the user’s trust in these assistance systems that they could not be influenced by malicious users. VANETs are likely attack vectors for such malicious users, hence application-specific security requirements must be considered during the design of applications using VANETs. In literature, many attacks on vehicular communication have been described but attacks on specific vehicular networking applications are often missing. This paper fills in this gap by describing standardized vehicular networking applications, defining and extending previous attacker models, and using the resulting new models to characterize the possible attackers interested in the specific vehicular networking application. The attacker models presented in this paper hopefully provide great benefit for the scientific community and industry as they allow to compare security evaluations of different works, characterize attackers, their intentions and help to plan application-specific security controls for vehicular networking applications.

Der Volltext ist auf Researchgate erhältlich: Link