Sabine Pfeiffer und Team (FAU): Wie gehen Menschen in Haushalten und Betrieben tatsächlich mit IT-Sicherheit um? C08 hat das mit ethnografischer Feldforschung untersucht und eine quantitative Erhebung (n=2004) durchgeführt. Ein Ergebnis: Es gibt keinen einheitlichen "Nutzertyp". Im Arbeitskontext z.B. drei verschiedene Cluster – von "Gemäßigten Egoisten ohne Awareness" bis "Emphatischen mit hoher Awareness". Außerdem: das Partineum, ein neues Format für interdisziplinäre Wissensintegration.
Thomas Riehm und Team (Uni Passau): Updatepflicht und -berechtigung.
Wer muss Updates liefern – Hersteller oder Händler? Darf ein Hersteller ein Gerät per Fernwartung drosseln? C07 hat aus dem BGB eine "smarte Produktbeobachtungspflicht" abgeleitet: Hersteller müssen Gerätedaten zum Gefahrenmonitoring nutzen und stufenweise reagieren – von Warnung über Sicherheitsupdate bis hin zur Zwangsdeaktivierung. Ergebnisse wurden in der Rechtspraxis bereits aufgegriffen (u.a. OLG Wien).
Felix Freiling, Zinaida Benenson und Team: Datenschutzanalyse app-gestützter IoT-Geräte. Das Team hat per Reverse Engineering auf Platinen von Amazon-Geräten (Echo Show 15, Fire TV) undokumentierte Testpunkte gefunden und darüber Zugriff auf lokale und Cloud-Daten erlangt – ohne das Gerät zu beschädigen. 16 Smartrelais untersucht: bei 10 waren Replay-Angriffe möglich, 7 sendeten unverschlüsselt, 3 übermittelten WLAN-Zugangsdaten an den Hersteller. Best Student Paper Award bei der DFRWS 2024.
🧵 ForDaySec 3/3. Bereich C: Governance. Technik allein löst keine Sicherheitsprobleme. Im Bereich C haben Informatik, Rechtswissenschaft und Techniksoziologie gemeinsam gearbeitet – das ist das, was ForDaySec von den meisten IT-Sicherheitsprojekten unterscheidet. Heute Abend stellen wir alles in München vor.
B05 - Claudia Eckert (TU München): Speichersicherheit auf Betriebssystemebene: Das Team hat den Linux-Kernel mit ARMs Memory Tagging Extensions gehärtet (IUBIK, veröffentlicht auf IEEE S&P 2025) und Use-After-Free-Schwachstellen über Memory Protection Keys entschärft (Safeslab, ACM CCS 2024). Dazu ein Hybrid-Fuzzing-Framework, das neue Schwachstellen in Linux und Xen aufgedeckt hat (NDSS 2026).
Demnächst kommt dann Bereich C Governance. Recht, Soziologie und forensische Datenschutzanalyse.
B04 - mein Teilprojekt an der Uni Bamberg: Datenschutz in der Softwareentwicklung.
Wir haben u.a. die Privacy Range gebaut: eine interaktive Trainingsumgebung, in der man DSGVO-Verstöße in einem fiktiven Online-Shop aufspüren muss. Außerdem ein Kartenspiel im französischen Blatt mit QR-Codes zu IT-Sicherheitsthemen, das sich für Workshops und Microlearning eignet. Beides evaluieren wir aktuell noch.
Das läuft auf einem normalen Edge-Router mit OpenWRT und OpenFlow SDN. Dazu ein Intrusion-Detection-System auf Basis von Federated Learning und eine Echtzeit-Visualisierung der Netzwerkkommunikation als HomeAssistant-AddOn – damit man sehen und steuern kann, welches Gerät wohin funkt.
Heute ForDaySec 2/3 Bereich B: Architekturen.
Einzelne Geräte absichern reicht nicht, wenn das Netzwerk drumherum offen ist. Im Bereich B ging es um die Frage, wie sich Sicherheit und Datenschutz auf Architekturebene in den Alltag einbauen lassen.
B03 - Joachim Posegga und Henrich C. Pöhls (Uni Passau): Architekturen für sichere Alltagsdigitalisierung.
Jedes IoT-Gerät im WLAN bekommt eigene kryptographische Zugangsdaten, verwaltet über den gesamten Lebenszyklus.
A02 Johannes Kinder et al. (LMU München): Firmware-Härtung.
Bekannte Sicherheitslücke in der Firmware, aber kein Update vom Hersteller? Match&Mend identifiziert verwundbare Open-Source-Komponenten in ARM-Binaries und patcht sie direkt, ohne Quellcode. 96% Erfolgsquote in der Evaluation. Dazu BLens, ein Werkzeug zur automatischen Beschreibung von Binärfunktionen – veröffentlicht auf der USENIX Security 2025.
Nur noch heute Anmeldung zum Abschlussevent (25.3. in München): https://fordaysec.de/veranstaltung/beyond-awareness-cybersicherheit-im-alltag
Beyond Awareness. Cybersicherheit im Alltag - fordaysec
Wir laden Sie zum Talkformat „Beyond Awareness“ ein, am 25. März 2026 eine neue Perspektive auf die IT-Sicherheit im Alltag zu werfen.
A01 Stefan Katzenbeisser und Team (Uni Passau): Sichere Kapselung.
Wenn ein IoT-Gerät sich nicht selbst schützen kann, übernimmt das ein externer Sicherheitsmonitor. Das Team hat einen modularen Prototyp gebaut, der Geräte im Netzwerk authentifiziert, Datenflüsse filtert und verdächtige Geräte isoliert. Die Authentifizierung läuft über PUFs (Physically Unclonable Functions) im SRAM des ESP32 – kein zusätzlicher Chip nötig, kein gespeichertes Schlüsselmaterial.
