Vorlesung Developer Centered Security

Die Vorlesung wird jedes Sommersemester im Master IT-Sicherheit angeboten.

Lernziele (Learning Outcomes)

Benutzbarkeitsprobleme, Sicherheitsanforderungen und Schwachstellen aktueller Systeme kennen. Methodik zur Untersuchung der Benutzbarkeit von Sicherheitsfunktionalitäten verstehen. Verhaltensstudien mit Softwareentwicklern und Administratoren unter Beachtung der vorgestellten Guidelines durchführen können. Sichere und benutzerfreundliche Systeme für Softwareentwickler und Administratoren entwickeln und beurteilen können.

Inhalt

Softwareentwickler und Administratoren sind häufig keine Sicherheitsexperten. Die von ihnen gebauten Systeme weisen daher oft Sicherheitslücken auf, durch die Millionen Nutzer und vertrauliche Daten gefährdet werden. Wie genau kommt es aber dazu, dass  Softwareentwickler und Administratoren solche gravierenden Sicherheitsfehler machen, obwohl es fertige Anwendungsschnittstellen (application programming interface (API)), Programmbibliotheken und Tools gibt, die das Entwicklern und Verwenden von Sicherheitskonzepten erleichtern sollen? Es wird ein Einblick in die Grundlagen der benutzbaren Sicherheit und Privatsphäre sowie aktuelle, sicherheitsrelevante Studien mit Softwareentwicklern und Administratoren gegebenen. Die daraus gewonnenen Erkenntnisse werden systematisch aufgearbeitet und dargelegt. Es wird ferner aufgezeigt, was Sicherheitssystemdesigner, Toolentwickler, und Kryptographen beim Entwurf ihrer Systeme beachten sollten, um Softwareentwickler und Administratoren dabei zu unterstützen sicherheitskritische Fehler zu vermeiden. Zudem werden Guidelines zum Durchführen von Studien mit Softwareentwicklern und Administratoren vorgestellt. Dabei wird eine Abgrenzung zu Studien mit Endbenutzern gezogen.

Lernformen

– Vorlesung

– Die praktischen Übungen werden Lehrformen wie Gruppen- und Projektarbeit beinhalten.

Prüfungsformen

Mündlich, 30 Minuten (gegebenenfalls schriftliche Modulabschlussprüfung über 120 Minuten)

Literatur:

  • Green, Matthew, and Matthew Smith. „Developers are Not the Enemy!: The Need for Usable Security APIs.“ IEEE Security & Privacy 14.5 (2016): 40-46.
  • Naiakshina, Alena, et al. „On Conducting Security Developer Studies with CS Students: Examining a Password-Storage Study with CS Students, Freelancers, and Company Developers.“ Proceedings of the 2020 CHI Conference on Human Factors in Computing Systems. 2020.
  • Danilova, Anastasia, et al. „Do you really code? Designing and Evaluating Screening Questions for Online Surveys with Programmers.“ 2021 IEEE/ACM 43rd International Conference on Software Engineering (ICSE). IEEE, 2021.