Security and Privacy Awareness

  • Typ: Seminar (S)
  • Semester: WS 24/25
  • Dozent: Prof. Dr. Christian Seidel-Saul
    Prof. Dr. Melanie Volkamer
    Prof. Dr. Franziska Boehm
    Lukas Aldag
    Maxime Veit
  • SWS: 2
  • LVNr.: 2400125
  • Hinweis: Präsenz/Online gemischt
Inhalt

Im Rahmen dieses interdisziplinären Seminars soll die Themen Security Awareness und Privacy Awareness aus verschiedenen Blickwinkeln betrachtet werden. Es werden sowohl rechtliche, informationstechnische, psychologische, gesellschaftliche als auch philosophische Aspekte behandelt.

Der Anmeldelink gilt für alle Studierende unabhängig von dem Studiengang!

Termine:

  • Kick-Off: 23.10.23 14:00 Uhr Raum 1C-03 Geb. 5.20
  • Abgabe erste Version: 07.01.24
  • Abgabe finale Arbeit: 17.02.24
  • Präsentation: KW 12

Die Themen werden nach dem Kick-Off vergeben (Losverfahren).

Wenn Sie sich für ein rechtliches Thema entscheiden, wird vorausgesetzt, dass Sie die deutsche Sprache ausreichend beherrschen.

Themen:

Thema 1: Literature review on reporting obligations / information security incidents (literature - seminar) / Literaturrecherche zu Informationssicherheitsvorfällen

Unter dem Begriff Informationssicherheitsvorfall werden allgemein alle Ereignisse zusammengefasst, die die Informationssicherheit einer Organisation gefährden. Hierzu können neben Angriffen auf die IT-Infrastruktur beispielsweise auch Social-Engineering oder der Einbruch in Bürogebäude gezählt werden. Ziel dieser Seminararbeit ist die strukturierte Durchführung einer Literaturrecherche zum Themengebiet der Informationssicherheitsvorfälle. Hierbei soll ein Überblickt erstellt werden, welche Fragestellungen zum Thema bereits wissenschaftlich untersucht wurden und in welchen Bereichen noch weiterer Forschungsbedarf besteht. Ein Schwerpunkt soll hier beispielsweise darauf gelegt werden, inwieweit unterschiedliche Ansätze zur Definition von Vorfällen und zur Findung geeigneter Beispielszenarien existieren und in welchem Umfang die Meldepflicht von Informationssicherheitsvorfällen von Beschäftigten gegenüber des Arbeitgebers in der bestehenden Literatur behandelt wird.

SECUSO – Fabian Ballreich <Fabian.Ballreich@kit.edu>

Thema 2: Privacy Awareness with electronic patient file / Security und Privacy Awareness bei der elektronischen Patientenakte

Für diese Seminararbeit soll im Rahmen einer systematischen Medienrecherche untersucht werden, welche Risiken bei der Verwendung der elektronischen Patientenakte grundsätzlich bestehen, welche Maßnahmen zum Schutz sensibler Nutzerdaten eingesetzt werden und welche Änderungen für die Zukunft (z.B. Einwilligung in die Umstellung per Opt-out-Verfahren) geplant sind. Darüber hinaus soll der aktuelle Stand in Deutschland im Kontext vergleichbarer Projekte in anderen Ländern wie beispielsweise Schweden diskutiert werden. Auf Grund der Natur der Sache (vielleicht eher „Aktualität des Themas“?) sollen bei der Recherche neben klassischer Literatur, auch veröffentlichte Informationen der Krankenkassen, das Bundesministeriums für Gesundheit, des Bundesamt für Sicherheit in der Informationstechnik oder andere geeignete Quellen betrachtet werden.

Folgende Quellen geben einen ersten Überblick ins Thema:

- https://www.bundesgesundheitsministerium.de/elektronische-patientenakte.html
- https://www.verbraucherzentrale.de/wissen/gesundheit-pflege/krankenversicherung/elektronische-patientenakte-epa-ihre-digitale-gesundheitsakte-57223
- https://netzpolitik.org/2023/degitalisierung-vertrauen-ist-ein-weg-aus-vielen-kleinen-schritten/

SECUSO – Fabian Ballreich <Fabian.Ballreich@kit.edu>
SECUSO – Anne Hennig <Anne.Hennig@kit.edu>

Thema 3: EU AI-Act aus rechtlicher und technischer Sicht


Das EU-Parlament plant seit 2021 die Regulierung von künstlicher Intelligenz um den Einsatz in einen Rechtsrahmen einzubetten und Risiken und Nutzen sinnvoll abzuwägen. Das Regulierungsvorhaben ist dabei von Beginn an Objekt umfangreicher Diskussion und Kritik. Der Einsatz neuartiger KI-basierter Technologien soll auch vor dem Hintergrund technischer Abhängigkeiten im globalen Umfeld in der EU gestärkt werden, gleichzeitig sollen mögliche Risiken auf ein Minimum reduziert werden und der Einsatz datenschutzkonform, sicher, transparent, nachvollziehbar, nicht diskriminierend und umweltfreundlich sein. Um dies zu ermöglichen, soll ein risikobasierter Ansatz verfolgt werden.
In der Arbeit soll auf Grundlage einer Literaturrecherche der Diskussionsstand zur KI-Verordnung (Engl. AI-Act) nachgezeichnet werden. Hierbei kann sich an den zuvor genannten Zielen orientiert werden. Im Anschluss soll eine eigenständige Einschätzung der Bestrebungen, anhand eines eigenständig gewählten technischen Ansatzes oder Produktes (bspw. Large-Language Models ) stattfinden.

Einstiegsliteratur Allgemein:
- Pressemitteilung: https://www.europarl.europa.eu/news/de/headlines/society/20230601STO93804/ki-gesetz-erste-regulierung-der-kunstlichen-intelligenz
- Begründung des Vorschlags: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:52021PC0206

Juristischer Einstieg:
- Laux/Wachter/Mittelstadt: Trustworthy artificial intelligence and the European Union AI act: On the conflation of trustworthiness and acceptability of risk (https://onlinelibrary.wiley.com/doi/full/10.1111/rego.12512)
- Kästner/Schomäcker: KI-Systeme in der modernen Gesellschaft: Potenziale und Grenzen - beck-online
- Der Kommissionsentwurf für eine KI-Verordnung – Gefahr für die Wissenschaftsfreiheit? (ZfDR 2023, 164) - beck-online

IIWR – Thilo Gottschalk <Thilo.Gottschalk@partner.kit.edu>
IIWR – Prof. Franziska Boehm <Franziska.Boehm@kit.edu>


Thema 4: Ethische Analyse von sogenannten Angriffsstudien im Kontext der Erhebung der Security Awareness im öffentlichen Raum


Um festzustellen welche Maßnahmen zur Abwehr von Angriffen im Bereich der Security besonders effektiv sind, werden Angriffsstudien durchgeführt. Im Unterschied zu einem tatsächlichen Angriff wird solcher hierbei nur simuliert und es kommt zu keinem hierdurch ausgelösten Schaden. Um möglichst realistische Daten zu erhalten, wissen Probanden oftmals nicht über Hintergründe Bescheid. Um Daten aus einem möglichst natürlichen Umfeld zu erhalten, um einen tatsächlichen Angriff möglichst nahe zu kommen, können solche Studien direkt im öffentlichen Raum stattfinden. So könnte etwa in einem Beispielszenario ein QR-Code an Bushaltestellen ausgehängt werden der beim Scannen auf eine simulierte Phishing Webseite weiterleitet. So könnte untersucht werden, ob Personen für einen solchen Angriff ohne Security Awareness Training anfällig wären. hieraus Hieraus ergeben sich jedoch zahlreiche Fragen darüber, ob und unter welchen Umständen eine solche Studie unter ethischen Gesichtspunkten gerechtfertigt werden kann. Im Rahmen dieses Seminars sollen entsprechende Argumente identifiziert und abgewogen werden.

SECUSO – Maxime Veit <Maxime.Veit@kit.edu>
ITZ – Prof. Christian Seidel <Christian.Seidel@kit.edu>

Thema 5: Daten sammeln: die Grenzen der Einwilligung

Nutzer*innen müssen in die Speicherung und Nutzung ihrer Daten einwilligen. Einwilligung ist ein Akt, der eine Handlung, die eigentlich (moralisch oder gesetzlich) verboten ist, in eine (moralisch oder gesetzlich) zulässige Handlung verwandelt. So wird aus durch Zustimmung aus Körperverletzung etwa Gesundheitsvorsorge (bei eine OP oder Impfung) oder Sport (beim Boxen). Oft erklären Nutzer*innen ihre Einwilligung in die Speicherung und Nutzung von Daten jedoch, ohne die entsprechenden Erklärungen gelesen zu haben. Hier stellen sich mehrere Fragen:

1. (Unter welchen Bedingungen) Ist überhaupt eine wirksame -- d.h.
Verbotenes erlaubt machende -- Einwilligung erfolgt?
2. Selbst wenn die Einwilligung wirksam ist: Gibt es vielleicht Daten,
die man (aus rechtlichen oder aus moralischen Gründen) trotz
wirksamer Einwilligung nicht erheben sollte, auch wenn man es
könnte?
3. Sind insbesondere Daten mit moralischem oder rechtlichem Gehalt
(z.B. Daten, die Aufschluss über moralische Vorstellungen geben
oder rechtliche Verfehlungen geben) von dieser Art?
Ziel wäre es, grundsätzliche rechtliche und moralische Grenzen der
Einwilligung argumentativ herauszuarbeiten.

ITZ – Prof. Christian Seidel <Christian.Seidel@kit.edu>

Thema 6: Chat GPT - Über welche Krankheiten hat sich meine Chefin kürzlich informiert?

Large Language Models (wie GPT-4, LLaMA) werden in der Entwicklungs- und Erprobungsphase (oder auch im laufenden Einsatz danach) typischerweise anhand der Eingaben der Nutzer*innen fortlaufend weitertraininert. Die zugrundeliegenden Trainingsdaten und auch die Eingaben der Nutzer können personenbezogene Daten enthalten. Gleichzeitig bieten LLMs auch neue Möglichkeiten um beispielsweise den Personenbezug von Inhalten in Datensätzen zu identifizieren und damit beispielsweise Anonymisierungsbestrebungen zu verwirklichen. Im Rahmen des Projektes sollen die sich daraus ergebenden Risiken und Vorteile abgewogen werden und beispielhaft mögliche Angriffsvektoren untersucht werden. Ein denkbarer Ansatz wäre hierbei beispielsweise der Einsatz von geschicktem "Prompt Engineering" um personenbezogene Inhalte aus dem Trainingsdatensatz zu extrahieren.

ITZ – Prof. Christian Seidel <Christian.Seidel@kit.edu>
IIWR – Thilo Gottschalk <Thilo.Gottschalk@partner.kit.edu>


Thema 7: Datenschutzfreundlichkeit von Newslettern

Ziel ist es zu untersuchen, inwieweit die Datenschutz-Policy eines Newsletters mit den Tracking Maßnahmen im Newsletter zusammen passt. Hierfür wäre vorgesehen, sich bei zu definierenden Newslettern (z.B. bei allen Kommunen in BW) anzumelden, um diese hinsichtlich Datenschutzfreundlichkeit und Implikationen für Privacy und Security-(Awareness) zu vergleichen.
Tracking Maßnahmen umfassen in der Regel sogenannte Zählpixel, welche üblicherweise transparente 1x1 Pixel große in E-Mails eingebundene Bilder sind, die beim Öffnen zunächst von einer externen Webseite heruntergeladen werden müssen. Somit kann der Sender des Newsletters erfahren, ob / von wem / wann der Newsletter geöffnet wurde und sein Angebot entsprechend anpassen.
Eine andere Möglichkeit besteht darin, Links in E-Mails zunächst zu einem Tracking Service zu leiten, bevor Sie zur tatsächlichen Webseite führen. Hierbei erfährt der Sender dann, ob / wer / wann / welchen Link geklickt hat.
Diese Information kann für Marketingzwecke genutzt werden, hat aber auch das Potential sich auf die Privatsphäre und sogar IT-Sicherheit auszuwirken. Weiterhin müssen die Nutzer auf diese Maßnahmen vor Anmeldung des Newsletters in der Datenschutzerklärung entsprechend hingewiesen werden. In diesem Seminar geht es daher darum diese Aspekte für existierende Newsletter zu untersuchen.

SECUSO – Maxime Veit <Maxime.Veit@kit.edu>
SECUSO – Prof. Melanie Volkamer <Melanie.Volkamer@kit.edu>


Thema 8: Literature Review and Meta Studies at CHI

The Conference on Human Factors in Computing Systems (CHI) is one of the biggest Human Computer Interaction Conferences. Besides research papers, papers that try to summarize knowledge about methodology to do research are a regular part of the conference. To get an overview about these methodology papers can help to see the full view of a specific methodology (e.g. interview studies or literature review).

The goal of this seminar paper will be to conduct a systematic literature review and check the past 10 years of CHI about these methodology papers. The student(s) will define possible methodologies that are most relevant and find papers that were presented at CHI and which discuss such methodologies. The results will then be presented in a way that we can use these as templates and e.g. decide what works best for interview studies and what not. It will solely be about papers that discuss a methodology, not about papers that use such a methodology.

SECUSO – Anne Hennig <Anne.Hennig@kit.edu>
SECUSO – Benjamin Berens <Benjamin.Berens@kit.edu>

Thema 9: Literature review on scales to measures Information Security Awareness

Security awareness is an important preventive measure against cyber attacks. While the development of security awareness materials can be easy, evaluation of these materials is often neglected. The evaluation can e.g. be done by measuring understanding (knowledge gains) or behavior changes. For measuring behavior or attitute changes, validated scales, like SeBIS (Security Behavior Intentions Scale) or SAS-6 (Security Attitudes), have already be developed. But while these scales measure security attitudes and behavior, it would be interesting to know how mere security awareness can be measured as a basis for attitude or behavior change (e.g. are people aware of a certain threat or attack even if the do not know how to respond to it?).

The goal of this seminar paper will be to conduct a systematic literature review in IT-security related databases like IEEE or ACM to find out which measurements are used in current research to evaluate awareness, if there are validated scales, how scales are mixed and adapted to serve different contexts. The literature review can then be used as a basis to develop a Security Awareness scale.

SECUSO – Anne Hennig <Anne.Hennig@kit.edu>

Thema 10: Can anxiety influence security advices

ChatGPT is being used for a lot of different things. One example is that people use it to get advice, but research has shown that how you ask and what you might have done before could influence how ChatGPT tends to answer. The question that arises is whether security advice given by ChatGPT can be influenced by anxious prompts before.
The task will be to get an overview about previous literature own how to introduce anxiety to ChatGPT. Then a similar scenario should be developed to introduce anxiety. Also, expert advice to at least three security topics and an anxiety questionnaire should be found to reproduce a smiliar experiment with security advices and check for the influence of anxiety to the advices given.

SECUSO – Anne Hennig <Anne.Hennig@kit.edu>
SECUSO – Benjamin Berens <Benjamin.Berens@kit.edu>

Thema 11: Making e-mails more visible by embedding moving images

In case of a security incident, it is necessary to inform the affected persons about their vulnerabilities as soon as possible. Within the context of the INSPECTION project, we are currently informing website owners via e-mail about security related vulnerabilities on their websites. Although e-mails have been shown to be the most cost-efficient means to deliver such information, they have not lead to an appropriate remediation rate. While speaking to the affected website owners we learned that they would appreciate more information, although not being delivered as more text in the e-mail. Also, we learned that most e-mails were not read because they were considered spam. Thus, we need to find a way to make e-mail notifications more effective in raising peoples’ awareness. Videos have been proven effective to raise awareness in the context of IT security.The goal of the project will be, to explore ways to embed videos in an e-mail via HTML (either as gifs or as preview to a YouTube video). The challenge is to make this e-mail readable for different clients and webmail as well as getting it delivered through spam filters. Furthermore it has to be discussed what potential advantages and disadvantages those e-mails may have.

SECUSO – Anne Hennig <Anne.Hennig@kit.edu>

ACHTUNG: Das Seminar richtet sich nur an MASTER-Studierende!