Sabine Pfeiffer und Team (FAU): Wie gehen Menschen in Haushalten und Betrieben tatsächlich mit IT-Sicherheit um? C08 hat das mit ethnografischer Feldforschung untersucht und eine quantitative Erhebung (n=2004) durchgeführt. Ein Ergebnis: Es gibt keinen einheitlichen "Nutzertyp". Im Arbeitskontext z.B. drei verschiedene Cluster – von "Gemäßigten Egoisten ohne Awareness" bis "Emphatischen mit hoher Awareness". Außerdem: das Partineum, ein neues Format für interdisziplinäre Wissensintegration.
Thomas Riehm und Team (Uni Passau): Updatepflicht und -berechtigung.
Wer muss Updates liefern – Hersteller oder Händler? Darf ein Hersteller ein Gerät per Fernwartung drosseln? C07 hat aus dem BGB eine "smarte Produktbeobachtungspflicht" abgeleitet: Hersteller müssen Gerätedaten zum Gefahrenmonitoring nutzen und stufenweise reagieren – von Warnung über Sicherheitsupdate bis hin zur Zwangsdeaktivierung. Ergebnisse wurden in der Rechtspraxis bereits aufgegriffen (u.a. OLG Wien).
Felix Freiling, Zinaida Benenson und Team: Datenschutzanalyse app-gestützter IoT-Geräte. Das Team hat per Reverse Engineering auf Platinen von Amazon-Geräten (Echo Show 15, Fire TV) undokumentierte Testpunkte gefunden und darüber Zugriff auf lokale und Cloud-Daten erlangt – ohne das Gerät zu beschädigen. 16 Smartrelais untersucht: bei 10 waren Replay-Angriffe möglich, 7 sendeten unverschlüsselt, 3 übermittelten WLAN-Zugangsdaten an den Hersteller. Best Student Paper Award bei der DFRWS 2024.
🧵 ForDaySec 3/3. Bereich C: Governance. Technik allein löst keine Sicherheitsprobleme. Im Bereich C haben Informatik, Rechtswissenschaft und Techniksoziologie gemeinsam gearbeitet – das ist das, was ForDaySec von den meisten IT-Sicherheitsprojekten unterscheidet. Heute Abend stellen wir alles in München vor.
@hacksilon in public beta hier:
https://private-piranha.pics - Feedback willkommen!
Private Piranha Pics
The best store for buying piranha pictures. Pay nothing - receive nothing. A training environment.
B05 - Claudia Eckert (TU München): Speichersicherheit auf Betriebssystemebene: Das Team hat den Linux-Kernel mit ARMs Memory Tagging Extensions gehärtet (IUBIK, veröffentlicht auf IEEE S&P 2025) und Use-After-Free-Schwachstellen über Memory Protection Keys entschärft (Safeslab, ACM CCS 2024). Dazu ein Hybrid-Fuzzing-Framework, das neue Schwachstellen in Linux und Xen aufgedeckt hat (NDSS 2026).
Demnächst kommt dann Bereich C Governance. Recht, Soziologie und forensische Datenschutzanalyse.
B04 - mein Teilprojekt an der Uni Bamberg: Datenschutz in der Softwareentwicklung.
Wir haben u.a. die Privacy Range gebaut: eine interaktive Trainingsumgebung, in der man DSGVO-Verstöße in einem fiktiven Online-Shop aufspüren muss. Außerdem ein Kartenspiel im französischen Blatt mit QR-Codes zu IT-Sicherheitsthemen, das sich für Workshops und Microlearning eignet. Beides evaluieren wir aktuell noch.
Das läuft auf einem normalen Edge-Router mit OpenWRT und OpenFlow SDN. Dazu ein Intrusion-Detection-System auf Basis von Federated Learning und eine Echtzeit-Visualisierung der Netzwerkkommunikation als HomeAssistant-AddOn – damit man sehen und steuern kann, welches Gerät wohin funkt.
Heute ForDaySec 2/3 Bereich B: Architekturen.
Einzelne Geräte absichern reicht nicht, wenn das Netzwerk drumherum offen ist. Im Bereich B ging es um die Frage, wie sich Sicherheit und Datenschutz auf Architekturebene in den Alltag einbauen lassen.
B03 - Joachim Posegga und Henrich C. Pöhls (Uni Passau): Architekturen für sichere Alltagsdigitalisierung.
Jedes IoT-Gerät im WLAN bekommt eigene kryptographische Zugangsdaten, verwaltet über den gesamten Lebenszyklus.
A02 Johannes Kinder et al. (LMU München): Firmware-Härtung.
Bekannte Sicherheitslücke in der Firmware, aber kein Update vom Hersteller? Match&Mend identifiziert verwundbare Open-Source-Komponenten in ARM-Binaries und patcht sie direkt, ohne Quellcode. 96% Erfolgsquote in der Evaluation. Dazu BLens, ein Werkzeug zur automatischen Beschreibung von Binärfunktionen – veröffentlicht auf der USENIX Security 2025.
Nur noch heute Anmeldung zum Abschlussevent (25.3. in München): https://fordaysec.de/veranstaltung/beyond-awareness-cybersicherheit-im-alltag
Beyond Awareness. Cybersicherheit im Alltag - fordaysec
Wir laden Sie zum Talkformat „Beyond Awareness“ ein, am 25. März 2026 eine neue Perspektive auf die IT-Sicherheit im Alltag zu werfen.
