Security and Privacy Awareness

  • Typ: Seminar (S)
  • Semester: WS 21/22
  • Dozent: Prof. Dr. Franziska Boehm
    Prof. Dr. Christian Seidel-Saul
    Prof. Dr. Melanie Volkamer
    Lukas Aldag
  • SWS: 2
  • LVNr.: 2400125
  • Hinweis:

    Link zur Anmeldung: https://portal.wiwi.kit.edu/ys/5044.

Inhalt

Im Rahmen dieses interdisziplinären Seminars soll die Themen Security Awareness und Privacy Awareness aus verschiedenen Blickwinkeln betrachtet werden. Es werden sowohl rechtliche, informationstechnische, psychologische, gesellschaftliche als auch philosophische Aspekte behandelt.

Der Anmeldelink gilt für alle Studierende unabhängig von dem Studiengang!

Termine:

  • Kick-Off: 22.10.21, 14:00 Uhr
  • Abgabe finale Arbeit: 23.01.2022
  • Präsentation: 04.02.2022, 13:00 Uhr

Die Themen werden nach Abschluss des Anmeldezeitraums vergeben (Losverfahren).

Wenn Sie sich für ein rechtliches Thema entscheiden, wird vorausgesetzt, dass Sie die deutsche Sprache ausreichend beherrschen.

Themen:

Sonne, Strand, Meer, Fotos - aber wer sieht die Fotos?

Wir haben unsere Smartphones immer und überall dabei und nutzen diese auch um Fotos zu machen. Praktisch, dass man diese dann gleich mit anderen Teilen kann über Messenger oder Social Media. Oder? Aber wer ist alles auf dem Foto? Was passiert nach dem Versenden mit den Fotos?

Im Rahmen der Seminararbeit soll untersucht werden, welche Gedanken sich Menschen machen, wenn sie / ihre Kinder einen Strand oder ein Schwimmbad besuchen und dort vermeintlich auf Fotos Fremder landen.

Phishing for Difference: How Does Phishing Impact Visually-Impaired Users? (Only English)

Phishing is one of the most dangerous threat for unaware users. Most solutions to phishing recommend checking various clues, however, most of them are tailored towards visually-able users. What about visually impaired users?
The goal of this topic is to shed some light on how phishing affects visually-impaired users. Specifically, the final paper should answer a series of questions:

Is it easier for visually impaired users to fall for phishing?
Are phishing webpages structured to work with screen readers?
Is mobile phishing a greater danger for visually-impaired users?
Are email providers natively equipped with answers or are users expected to employ third parties solutions?
Are visually-impaired users satisfied with the solutions they currently have?
Are the solutions sufficient to thwart phishing attacks? If so, how?

Wann wird Marketing im Security-Kontext ethisch bedenklich?

Wir wissen, dass es -- auch im Security-Kontext -- keine 100%ige Sicherheit gibt. Darauf wird man aber nicht eigens hingewiesen, denn Hersteller von IT-Produkten (z.B. Smartphones, IoT) und Internet-Diensten möchten potentielle Kunden mit Aussagen über die Grenzen der Sicherheit gegen Cyberangriffe nicht abschrecken. Manchmal wird gar mit Versprechen besonderer Sicherheit geworben. Im Rahmen des Seminars soll untersucht werden, inwieweit die Aussagen von Herstellern auf Webseiten bzgl Security Features unter dem Gesichtspunkt, dass es keine 100%ige Sicherheit gibt, ethisch
vertretbar sind. Dazu sollen Sie zunächst Webseiten von Herstellern sichten, Aussagen zu Cybersicherheit sammeln, clustern und dann aus ethischer Sicht untersuchen. Darauf aufbauen soll weitergehend untersucht werden, wie ein ethisch vertretbares Marketing zu Security-Features aussehen könnte.

Untersuchung der Wahrnehmung von (technischen) Backdoors zur Strafverfolgung.

Aus Sicht der Strafverfolger werden Ermittlungen durch den technischen Fortschritt, insbesondere die zunehmende Verschlüsselung, zunehmend erschwert. Als Konsequenz wird inzwischen auf nationaler und europäischer Ebene die Ausweitung des Einsatzes von technischen Mitteln diskutiert. Als vielversprechendes Mittel wird dabei regelmäßig der Einsatz von Backdoors in die Diskussion eingebracht. Die Diskussionspunkte reichen dabei von der Ausnutzung von zero-days bis zum gezielten Einbau von (neuen) Sicherheitslücken für den Einsatz durch Strafverfolger.

Der/die BearbeiterInnen sollen die aktuellen Diskussionen einordnen und anschließend die Wahrnehmung solcher Ansätze ermitteln. Dies kann ggfs. an einem konkreten Beispiel erfolgen. Fragestellungen: Reichen aktuelle Möglichkeiten aus? Unterschiede zwischen zero-days und spezifisch kreierten Backdoors in der Wahrnehmung?

Data-Governance-Act – Fluch oder Segen für den Datenschutz?

Mit dem Vorschlag zum sog. Data Governance Act (DGA)[1]  geht die EU erste Schritte in Richtung der Umsetzung der europäischen Datenstrategie[2]. Der DGA soll dabei die Nutzbarkeit und Verfügbarkeit von Daten erhöhen und Mechanismen für eine gemeinsame Datennutzung schaffen. Dies umfasst neben der allgemeinen Bereitstellung von Daten des öffentlichen Sektors unter anderem auch die bessere Nutzung von personenbezogenen Daten mithilfe eines „Mittlers für die gemeinsame Nutzung personenbezogener Daten“. Ein solcher Intermediär, soll einerseits die Datenverarbeitung ermöglichen und andererseits die Grundrechte und Interessen der datenschutzrechtlich Betroffenen schützen. Im Seminar soll das Spannungsfeld zwischen wirtschaftlicher Verwertbarkeit von personenbezogenen Daten und dem Schutz der Betroffenen insbesondere mit Blick auf sog. Datentreuhänder zur Stärkung der B2B- und C2B-Datennutzung untersucht werden. In Betracht kommt dabei entweder eine praxisnahe Untersuchung von existierenden/geplanten Modellen (bspw. Personal Information Management Systems - PIMS) oder eine distanziertere Auseinandersetzung mit den grundsätzlichen Anforderungen und Zielen der DGA.

Massenüberwachung von Kommunikationsknotenpunkten und Chilling Effects -- Eine rechtliche und ethische Auseinandersetzung

Die Kenntnis über bestimmte Überwachungsmaßnahmen oder Privatsphären-Eingriffe kann abschreckende Wirkung haben und in vorauseilendem Gehorsam zu Verhaltensänderungen und insbesondere zum Verzicht auf die Ausübung von Grundfreiheiten führen. So hat man beispielsweise im Zuge der Snowden-Enthüllungen feststellen können, dass Nutzer*innen die Eingaben "sensibler" Suchbegriffe bei Suchmaschinen oder Wikipedia angepasst haben. Daraus ergeben sich Fragen wie z.B.:
- Welche empirischen Studien zu "/chilling effects/" gibt es?
- Welche Überwachungsmaßnahmen sind bekannt? (Umfang, Akteure)
- Wie sind diese im Lichte europäischer Grundrechte zu bewerten?
- Wie sind /chilling effects/ aus ethischer Sicht zu beurteilen?

Verletzt algorithmische Analyse von personenbezogenen Daten durch KI Privatheit -- und wenn ja, wie schlimm ist das?

Gegen Maßnahmen zur staatlichen Massenüberwachung wird häufig eingewandt, sie verletzten die Privatheit der Bürger*innen. Anders als bei herkömmlicher, zielgerichteter Überwachung werden personenbezogene Daten dabei allerdings größtenteils automatisiert gesammelt, algorithmisch verarbeitet und mittels künstlich intelligenter Systeme ausgewertet. Damit stellen sich zwei Fragen: Stellt das bereits eine Privatheitsverletzung dar? Und wenn ja, wie schwer wiegt diese Verletzung? Die Antworten auf beide Fragen hängen davon ab, ob Privatheit zu verstehen ist als fehlender /Zugang/ anderer zu persönlichen Informationen oder als fehlende /Kontrolle/ anderer darüber, und auch davon, ob Kontrolle oder Zugriff durch künstlich intelligente Systeme, die die kontrollierte oder abgegriffene Information (noch) nicht verstehen, eine Privatheitsverletzung darstellt.

ACHTUNG: Das Seminar richtet sich nur an MASTER-Studierende!