Security and Privacy Awareness
- Typ: Seminar (S)
- Semester: WS 24/25
-
Dozent:
Prof. Dr. Christian Seidel-Saul
Prof. Dr. Melanie Volkamer
Prof. Dr. Franziska Boehm
Lukas Aldag
Maxime Veit - SWS: 2
- LVNr.: 2400125
- Hinweis: Präsenz/Online gemischt
Inhalt | Im Rahmen dieses interdisziplinären Seminars soll die Themen Security Awareness und Privacy Awareness aus verschiedenen Blickwinkeln betrachtet werden. Es werden sowohl rechtliche, informationstechnische, psychologische, gesellschaftliche als auch philosophische Aspekte behandelt. Der Anmeldelink gilt für alle Studierende unabhängig von dem Studiengang! Termine:
Die Themen werden nach dem Kick-Off vergeben (Losverfahren). Wenn Sie sich für ein rechtliches Thema entscheiden, wird vorausgesetzt, dass Sie die deutsche Sprache ausreichend beherrschen. Themen: Thema 1: Literature review on reporting obligations / information security incidents (literature - seminar) / Literaturrecherche zu Informationssicherheitsvorfällen Unter dem Begriff Informationssicherheitsvorfall werden allgemein alle Ereignisse zusammengefasst, die die Informationssicherheit einer Organisation gefährden. Hierzu können neben Angriffen auf die IT-Infrastruktur beispielsweise auch Social-Engineering oder der Einbruch in Bürogebäude gezählt werden. Ziel dieser Seminararbeit ist die strukturierte Durchführung einer Literaturrecherche zum Themengebiet der Informationssicherheitsvorfälle. Hierbei soll ein Überblickt erstellt werden, welche Fragestellungen zum Thema bereits wissenschaftlich untersucht wurden und in welchen Bereichen noch weiterer Forschungsbedarf besteht. Ein Schwerpunkt soll hier beispielsweise darauf gelegt werden, inwieweit unterschiedliche Ansätze zur Definition von Vorfällen und zur Findung geeigneter Beispielszenarien existieren und in welchem Umfang die Meldepflicht von Informationssicherheitsvorfällen von Beschäftigten gegenüber des Arbeitgebers in der bestehenden Literatur behandelt wird. SECUSO – Fabian Ballreich <Fabian.Ballreich@kit.edu> Thema 2: Privacy Awareness with electronic patient file / Security und Privacy Awareness bei der elektronischen Patientenakte Für diese Seminararbeit soll im Rahmen einer systematischen Medienrecherche untersucht werden, welche Risiken bei der Verwendung der elektronischen Patientenakte grundsätzlich bestehen, welche Maßnahmen zum Schutz sensibler Nutzerdaten eingesetzt werden und welche Änderungen für die Zukunft (z.B. Einwilligung in die Umstellung per Opt-out-Verfahren) geplant sind. Darüber hinaus soll der aktuelle Stand in Deutschland im Kontext vergleichbarer Projekte in anderen Ländern wie beispielsweise Schweden diskutiert werden. Auf Grund der Natur der Sache (vielleicht eher „Aktualität des Themas“?) sollen bei der Recherche neben klassischer Literatur, auch veröffentlichte Informationen der Krankenkassen, das Bundesministeriums für Gesundheit, des Bundesamt für Sicherheit in der Informationstechnik oder andere geeignete Quellen betrachtet werden. Folgende Quellen geben einen ersten Überblick ins Thema: - https://www.bundesgesundheitsministerium.de/elektronische-patientenakte.html SECUSO – Fabian Ballreich <Fabian.Ballreich@kit.edu> Thema 3: EU AI-Act aus rechtlicher und technischer Sicht
Einstiegsliteratur Allgemein: Juristischer Einstieg: IIWR – Thilo Gottschalk <Thilo.Gottschalk@partner.kit.edu>
SECUSO – Maxime Veit <Maxime.Veit@kit.edu> Thema 5: Daten sammeln: die Grenzen der Einwilligung Nutzer*innen müssen in die Speicherung und Nutzung ihrer Daten einwilligen. Einwilligung ist ein Akt, der eine Handlung, die eigentlich (moralisch oder gesetzlich) verboten ist, in eine (moralisch oder gesetzlich) zulässige Handlung verwandelt. So wird aus durch Zustimmung aus Körperverletzung etwa Gesundheitsvorsorge (bei eine OP oder Impfung) oder Sport (beim Boxen). Oft erklären Nutzer*innen ihre Einwilligung in die Speicherung und Nutzung von Daten jedoch, ohne die entsprechenden Erklärungen gelesen zu haben. Hier stellen sich mehrere Fragen: 1. (Unter welchen Bedingungen) Ist überhaupt eine wirksame -- d.h. ITZ – Prof. Christian Seidel <Christian.Seidel@kit.edu> Thema 6: Chat GPT - Über welche Krankheiten hat sich meine Chefin kürzlich informiert? Large Language Models (wie GPT-4, LLaMA) werden in der Entwicklungs- und Erprobungsphase (oder auch im laufenden Einsatz danach) typischerweise anhand der Eingaben der Nutzer*innen fortlaufend weitertraininert. Die zugrundeliegenden Trainingsdaten und auch die Eingaben der Nutzer können personenbezogene Daten enthalten. Gleichzeitig bieten LLMs auch neue Möglichkeiten um beispielsweise den Personenbezug von Inhalten in Datensätzen zu identifizieren und damit beispielsweise Anonymisierungsbestrebungen zu verwirklichen. Im Rahmen des Projektes sollen die sich daraus ergebenden Risiken und Vorteile abgewogen werden und beispielhaft mögliche Angriffsvektoren untersucht werden. Ein denkbarer Ansatz wäre hierbei beispielsweise der Einsatz von geschicktem "Prompt Engineering" um personenbezogene Inhalte aus dem Trainingsdatensatz zu extrahieren. ITZ – Prof. Christian Seidel <Christian.Seidel@kit.edu>
Ziel ist es zu untersuchen, inwieweit die Datenschutz-Policy eines Newsletters mit den Tracking Maßnahmen im Newsletter zusammen passt. Hierfür wäre vorgesehen, sich bei zu definierenden Newslettern (z.B. bei allen Kommunen in BW) anzumelden, um diese hinsichtlich Datenschutzfreundlichkeit und Implikationen für Privacy und Security-(Awareness) zu vergleichen. SECUSO – Maxime Veit <Maxime.Veit@kit.edu>
The Conference on Human Factors in Computing Systems (CHI) is one of the biggest Human Computer Interaction Conferences. Besides research papers, papers that try to summarize knowledge about methodology to do research are a regular part of the conference. To get an overview about these methodology papers can help to see the full view of a specific methodology (e.g. interview studies or literature review). The goal of this seminar paper will be to conduct a systematic literature review and check the past 10 years of CHI about these methodology papers. The student(s) will define possible methodologies that are most relevant and find papers that were presented at CHI and which discuss such methodologies. The results will then be presented in a way that we can use these as templates and e.g. decide what works best for interview studies and what not. It will solely be about papers that discuss a methodology, not about papers that use such a methodology. SECUSO – Anne Hennig <Anne.Hennig@kit.edu> Thema 9: Literature review on scales to measures Information Security Awareness Security awareness is an important preventive measure against cyber attacks. While the development of security awareness materials can be easy, evaluation of these materials is often neglected. The evaluation can e.g. be done by measuring understanding (knowledge gains) or behavior changes. For measuring behavior or attitute changes, validated scales, like SeBIS (Security Behavior Intentions Scale) or SAS-6 (Security Attitudes), have already be developed. But while these scales measure security attitudes and behavior, it would be interesting to know how mere security awareness can be measured as a basis for attitude or behavior change (e.g. are people aware of a certain threat or attack even if the do not know how to respond to it?). The goal of this seminar paper will be to conduct a systematic literature review in IT-security related databases like IEEE or ACM to find out which measurements are used in current research to evaluate awareness, if there are validated scales, how scales are mixed and adapted to serve different contexts. The literature review can then be used as a basis to develop a Security Awareness scale. SECUSO – Anne Hennig <Anne.Hennig@kit.edu> Thema 10: Can anxiety influence security advices ChatGPT is being used for a lot of different things. One example is that people use it to get advice, but research has shown that how you ask and what you might have done before could influence how ChatGPT tends to answer. The question that arises is whether security advice given by ChatGPT can be influenced by anxious prompts before. SECUSO – Anne Hennig <Anne.Hennig@kit.edu> Thema 11: Making e-mails more visible by embedding moving images In case of a security incident, it is necessary to inform the affected persons about their vulnerabilities as soon as possible. Within the context of the INSPECTION project, we are currently informing website owners via e-mail about security related vulnerabilities on their websites. Although e-mails have been shown to be the most cost-efficient means to deliver such information, they have not lead to an appropriate remediation rate. While speaking to the affected website owners we learned that they would appreciate more information, although not being delivered as more text in the e-mail. Also, we learned that most e-mails were not read because they were considered spam. Thus, we need to find a way to make e-mail notifications more effective in raising peoples’ awareness. Videos have been proven effective to raise awareness in the context of IT security.The goal of the project will be, to explore ways to embed videos in an e-mail via HTML (either as gifs or as preview to a YouTube video). The challenge is to make this e-mail readable for different clients and webmail as well as getting it delivered through spam filters. Furthermore it has to be discussed what potential advantages and disadvantages those e-mails may have. SECUSO – Anne Hennig <Anne.Hennig@kit.edu> ACHTUNG: Das Seminar richtet sich nur an MASTER-Studierende! |