Hannes Federrath (Hrsg.) SICHERHEIT 2005 Haupttagung Sicherheit Schutz und Zuverlässigkeit Workshop Qualifizierte elektronische Signaturen in Theorie und Praxis (QSIG 2005) Beiträge der 2. Jahrestagung des Fachbereichs Sicherheit der Gesellschaft für Informatik e.v. (GI) 5.-8. April 2005 in Regensburg Gesellschaft für Informatik 2005
Lecture Notes in Informatics (LNI) - Proceedings Series of the Gesellschaft für Informatik (GI) Volume P-62 ISBN 3-88579-391-1 ISSN 1617-5468 Volume Editor Prof. Dr.-Ing. Hannes Federrath Universität Regensburg, Institut für Wirtschaftsinformatik Universitätsstraße 31 93053 Regensburg Email: hannes.federrath@wiwi.uni-regensburg.de Series Editorial Board Heinrich C. Mayr, Universität Klagenfurt, Austria (Chairman, mayr@ifit.uni-klu.ac.at) Jörg Becker, Universität Münster, Germany Ulrich Furbach, Universität Koblenz, Germany Axel Lehmann, Universität der Bundeswehr München, Germany Peter Liggesmeyer, TU Kaiserslautern und Fraunhofer IESE, Germany Ernst W. Mayr, Technische Universität München, Germany Heinrich Müller, Universität Dortmund, Germany Heinrich Reinermann, Hochschule für Verwaltungswissenschaften Speyer, Germany Karl-Heinz Rödiger, Universität Bremen, Germany Sigrid Schubert, Universität Siegen, Germany Dissertations Dorothea Wagner, Universität Karlsruhe, Germany Seminars Reinhard Wilhelm, Universität des Saarlandes, Germany Gesellschaft für Informatik, Bonn 2005 printed by Köllen Druck+Verlag GmbH, Bonn
SICHERHEIT 2005 Tagungsleitung Volkert Barr, Die Schweizerische Post / PostFinance Jana Dittmann, Otto-von-Guericke Universität Magdeburg Hannes Federrath (Vorsitz), Universität Regensburg Bernhard Kaiser, Universität Potsdam, Hasso-Plattner-Institut Hans v. Sommerfeld, Rohde & Schwarz SIT GmbH Udo Voges, Forschungszentrum Karlsruhe Haupttagung Sicherheit Schutz und Zuverlässigkeit Programmkomitee Ammar Alkassar, Sirrix AG; Volkert Barr, Schweizerische Post / PostFinance; Wolfgang Behnsen, T-Systems; Fevzi Belli, Uni Paderborn; Arslan Brömme, Uni Magdeburg; Christoph Busch, Fraunhofer IGD; Frank Damm, DB Systems; Peter Dencker, Aonix Karlsruhe; Rüdiger Dierstein, Oberpfaffenhofen; Jana Dittmann, Uni Magdeburg; Wolfgang Ehrenberger, FH Fulda; Hannes Federrath, Uni Regensburg; Herbert Fiedler, Uni Bonn; Ulrich Flegel, Uni Dortmund; Rüdiger Grimm, TU Ilmenau; Karl E. Grosspietsch, Fraunhofer AIS; Marit Hansen, ULD Kiel; Hanns-Wilhelm Heibey, Berliner Beauftragter für Datenschutz und Informationsfreiheit; Patrick Horster, Uni Klagenfurt; Dieter Hutter, DFKI; Matthias Jänichen, percomp Verlag; Jan Jürjens, TU München; Bernhard Kaiser, Uni Potsdam; Hubert Keller, Forschungszentrum Karlsruhe; Dogan Kesdogan, RWTH Aachen; Eckhard Koch, MediaSec; Klaus-Peter Kossakowski, Presecure; Andreas Lang, Uni Magdeburg; Peter Lory, Uni Regensburg; Astrid Lubinski, Uni Rostock; Erik Maehle, Uni Lübeck; Heiko Mantel, ETH Zürich; Michael Meier, BTU Cottbus; Marie-Luise Moschgath, Fraunhofer SIT; Isabel Münch, BSI Bonn; Jens Nedon, Consecur; Edgar Nett, Uni Magdeburg; Günter Pernul, Uni Regensburg; Andreas Pfitzmann, TU Dresden; Hartmut Pohl, FH Bonn-Rhein-Sieg; Kai Rannenberg, Uni Franfurt/Main; Frank Reiländer, Infodas GmbH; Manfred Reitenspiess, Fujitsu Siemens Computers München; Peer Reymann, ITQS GmbH/Uni Hamburg; Martina Rohde, BSI Bonn; Martin Rothfelder, Siemens AG; Francesca Saglietti, Uni Erlangen-Nürnberg; Thomas Santen, TU Dresden; Peter Schartner, Uni Klagenfurt; Hans v. Sommerfeld, Rohde & Schwarz SIT GmbH; Helmut Stiegler, STI-Consulting; Theodor Tempelmeier, FH Rosenheim; Udo Voges, Forschungszentrum Karlsruhe; Christoph Walther, TU Darmstadt; Gerhard Weck, Infodas GmbH; Andreas Westfeld, TU Dresden; Petra Wohlmacher, RegTP; Erik Zenner, Cryptico A/S (Dänemark) Weitere Gutachter Stefan Berghofer, Mike Bergmann, Rainer Böhme, Sebastian Clauß, Wolfgang Dobmeier, Elke Franz, Lothar Fritsch, Jörg Gilberg, Markus Hansen, Wolf-Dieter Heker, Danny Hesse, Stefan Köpsell, Thomas Kriegelstein, Ulrich Kühn, Stefan Lucks, Norbert S. Meckl, Martin Mink, Björn Muschall, Andrea Oermann, Holger Pals, Lexi Pimenidis, Evgenia Pisko, Mike Radmacher, Ivo Rössling, Axel Schairer, Stefan Schemmer, Sascha 5
Schimke, Christian Schlaeger, Dagmar Schönfeld, Thomas Vogel, Rolf Wendolsky, Ralf Wienzek, Christopher Wolf, Thomas Wölfl, Workshop Qualifizierte elektronische Signaturen in Theorie und Praxis (QSIG 2005) Organisation Arslan Brömme, Universität Magdeburg Detlef Hühnlein, secunet Security Networks AG Till Teichmann (Vorsitz), HypoVereinsbank AG Programmkomitee H. Baier, FH Bingen; D. Bartmann, Universität Regensburg; A. Brömme, Uni Magdeburg; C. Busch, CAST-Forum; H. Federrath, Uni Regensburg; L. Frey, Swiss-IT; R. Grunert, BfA; W. Höck, Bundesag. f. Arbeit; P. Horster, Uni Klagenfurt; D. Hühnlein, secunet; E. Koch, Mediasec; D. Kronegger, RTR-GmbH; M. Leistenschneider, DATEV; W. Niehoff, HypoVereinsbank; U. Pordesch, Fraunhofer ZV; K. Rannenberg, Universität Frankfurt; H. Reimer, TeleTrusT; A. Rosenhauer, Signaturbündnis; A. Rossnagel, Uni Kassel; M. Ruppert, TU Darmstadt; P. Schartner, Uni Klagenfurt; R. Schmoldt, CCES VOI; J. Schwemmer, RegTP; T. Teichmann, HypoVereinsbank; A. Vollmert, SigLab; J. Walter, caatoosee; P. Wohlmacher, RegTP; V. Zeuner, AK El. Sig. BITKOM Weitere Gutachter Evgenia Pisko, Heiko Rossnagel 6
Inhaltsverzeichnis Beiträge zur Haupttagung Evaluierung, Zertifizierung, Qualitätssicherung, Normung C. Mrugalla, S. Maseberg IT-Grundschutz-basierendes Sicherheitskonzept für die Virtuelle Poststelle des Bundes...11 T. Nowey, H. Federrath, C. Klein, K. Plößl Ansätze zur Evaluierung von Sicherheitsinvestitionen...15 R. Böhme IT-Risiken im Schadenversicherungsmodell: Implikationen der Marktstruktur...27 Angewandte Kryptographie und Steganographie Z. Benenson, F. C. Gärtner, D. Kesdogan Secure Multi-Party Computation with Security Modules...41 A. Westfeld Nutzung der Nachbarkorrelation für Steganalyse mit erhöhter Zuverlässigkeit...53 S. Zmudzinski, M. Steinebach Vertrauenswürdigkeit von Audiodaten Digitale Wasserzeichen und Verifikation der semantischen Integrität...65 Formale Techniken, Modellierung, Spezifikation und Verifikation G. Rothmaier, H. Krumm Formale Modellierung und Analyse protokollbasierter Angriffe in TCP/IP Netzwerken am Beispiel von ARP und RIP...77 D. Reichelt, F. Rothlauf Verfahren zur Bestimmung der Zuverlässigkeit von Kommunikationsnetzwerken: Eine Studie zu exakten und approximativen Verfahren...89 M. Jung, F. Saglietti, V. Sauerborn Beherrschung von Schnittstelleninkonsistenzen in komponentenbasierten Softwaresystemen...101 7
T. Santen Probabilistic Confidentiality Properties based on Indistinguishability...113 R. Heckmann, C. Ferdinand Verifying Safety-Critical Properties of Embedded Software by Abstract Interpretation...125 Praktische Sicherheit T. Murmann, H. Rossnagel Sicherheitsanalyse von Betriebssystemen für Mobile Endgeräte...129 S. Katzenbeisser, C. Schallhart, H. Veith Malware Engineering...139 F. Belli, C. J. Budnik Test Cost Reduction for Interactive Systems...149 K. Plößl, H. Federrath, T. Nowey Schutzmöglichkeiten gegen Phishing...161 S. Golze, G. Mühl, T. Weis How to Configure Proof-of-Work Functions to Stop Spam...165 Schutzmechanismen für digitale Waren, DRM T. Wöhner Analyse und Bewertung von Kopierschutzverfahren für Audio-CDs...175 J. Dittmann, A.Lang, M. Steinebach, S. Katzenbeisser ECRYPT European Network of Excellence in Cryptology, Aspekte der Sicherheit von Mediendaten...189 M. Wolf, A. Weimerskirch, C. Paar Digital Rights Management Systeme als Enabling Technology im Automobil...193 Intrusion Detection und IT-Forensik P. Laskov, K. Rieck, C. Schäfer, K.-R. Müller Visualization of anomaly detection using prediction sensitivity...197 M. Meier, S. Schmerl Effiziente Analyseverfahren für Intrusion-Detection-Systeme...209 8
Datenschutz und Anonymität U. Flegel Evaluating the Design of an Audit Data Pseudonymizer Using Basic Building Blocks for Anonymity...221 D. Kesdogan, O. Rattay Sicherheitsbewertung von Anonymisierungsverfahren im World Wide Web...233 L. Pimenidis A Practical Approach to Transparent und Usable Anonymity Networks...245 S. Groß, S. Lein, S. Steinbrecher Ein mehrseitig sicheres Abrechnungssystem für Wireless LAN Hotspots...249 O. Berthold Datenschutzgerechte RFID-Technologie...253 A. Adelsbach, U. Greveler Satellite Communication without Privacy Attacker s Paradise...257 L. Brückner, M. Voss sidentity Sichere und private Attributübermittlung an Internet-Dienste per Mobiltelefon...269 Access Control M. Koch, K. Pauls Model-driven development of access control aspects...273 T. Priebe, W. Dobmeier, B. Muschall, G. Pernul ABAC Ein Referenzmodell für attributbasierte Zugriffskontrolle...285 M. Franke, O. Pfaff SAMLized Kerberos...297 C. Vielhauer, J. Dittmann, C. Helmholz, M. Wenzel Multifaktorielle Benutzerauthentifizierung durch PAM und Fingerabdruck für Linux Infrastrukturen...309 9
Workshop Qualifizierte elektronische Signaturen in Theorie und Praxis (QSIG 2005) L. Fritsch, H. Rossnagel Die Krise des Signaturmarktes: Lösungsansätze aus betriebswirtschaftlicher Sicht...315 S. Schreiber Änderungen im Hinblick auf die Beantragung qualifizierter elektronischer Signaturen gemäß dem 1. SigÄndG Eine kritische Würdigung...327 R. Grunert, F. Rustemeyer Aufbau von qualifizierten Zertifizierungsdiensten für die Deutsche Rentenversicherung...331 L. Dietze, B. Holznagel, L. L. Iacono, C. Ruland Qualifizierte Signatur im elektronischen Messdatenaustausch...335 V. Karatsiolis, M. Lippert, A. Wiesmaier Planning for Directory Services in Public Key Infrastructures...349 D. Hühnlein Die CCES-Signature-API Eine offene Programmierschnittstelle für langfristig beweiskräftige elektronische Signaturen...361 D. Hillen SigBü-API: Einheitliche kartenunabhängige API für die Zugriffe auf die Signaturkarten des Signaturbündnisses...375 G. Daimer, T. Teichmann Elektronische Signatur Eignung des biometrischen Merkmals Fingerabdruck als möglicher PIN-Ersatz...385 T. Wunderlich, S. Staude Online-Patentanmeldung...397 S. Fischer-Dieskau, T. Kunz, A. U. Schmidt, U. Viebeg Grundkonzepte rechtssicherer Transformation signierter Dokumente...401 C. Wolf, B. Preneel Applications of Multivariate Quadratic Public Key Systems...413 10