Universität Bremen  
  TZI FB3  
  Deutsch
English
 

Dr. Karsten Sohr

 

Ich bin Senior Researcher am Technologie-Zentrum Informatik und Informationstechnik (TZI) der Universität Bremen.
Dort bin ich insbesondere Koordinator für die Entwicklung des Themas „Informationssicherheit“.


Forschungsinteressen

  • Rollenbasiertes Berechtigungsmanagement
  • Sicherheit mobiler Anwendungen, Java-Sicherheit
  • Anwendung Formaler (mathematischer) Methoden in der Informationssicherheit


Aktuelles

Wir haben in der SAP Mobile Documents Client-App mehrere Sicherheitslücken gefunden (Details demnächst).

HP musste die Android-App HPAnywhere zurückziehen, nachdem Christian Liebig eine Code-Injection-Verwundbarkeit gefunden hat. Der genaue Bericht über die Verwundbarkeit ist hier zu finden. Dank an CERT/CC, das die Kommunikation mit HP koordinierte.

Die Siemens AG hat ein Advisory für die SPCAnywhere App (Android, iOS) herausgegeben, in der Bernhard Berger, Kai Hillmann und ich verschiedene Sicherheitslücken entdeckt haben. Mit Hilfe der SPCAnywhere App kann man eine Alarmanalage fernsteuern; durch die Lücke war es einem Angreifer möglich, einen Middleperson-Angriff durchzuführen. Die Siemens AG hat ein weiteres Advisory herausgegeben. Dieses betrifft die Kommunikationssicherheit der Android-App HomeControl for Room Automation.

Update:Auch für die SmartClient-App für Android (Fernsteuerung von ICS) hat die Siemens AG ein Advisory veröffentlicht; hier ging es um die unsichere Speicherung von Anlagen-Passwörtern auf dem Android-Gerät (WiFi-Adresse als Schlüssel).


Eingeworbene Projekte

In den letzten Jahren konnten wir verschiedene Fördermittel einwerben. Dies ermöglicht es uns, das Themengebiet „Informationssicherheit“ am TZI aufzubauen.

  • XMELD (Auftraggeber: Senator für Finanzen des Landes Bremen)
  • ForRBAC – Formale Spezifikation, Verifikation und Umsetzung von rollenbasierten Sicherheitsrichtlinien (gefördert von der DFG)
  • ORKA – Organisatorische Kontrollarchitektur (gefördert vom BMBF)
  • ITSEC – Erstellen eines E-Learning-Portals für IT-Sicherheit (Auftraggeber: Institut für Wissenstransfer GmbH)
  • RFIDSec – Erstellen einer Studie zum Thema „Technologiezentrierte Sicherheit in RFID-Systemen“ (im Auftrag des BMBF)
  • SIMOIT – Sicherer Zugriff von mobilen Mitarbeitern auf die IT-Infrastruktur von mittelständisch geprägten Unternehmen (gefördert von der Bremer Investitionsgesellschaft mbH)
  • SiWear – Sichere Wearable-Systeme zur Kommissionierung industrieller Güter sowie für Diagnose, Wartung und Reparatur (gefördert vom BMWI)
  • Mobiltelefon-Demonstrator – Demonstration einer Sicherheitslücke in Mobiltelefonen (Auftrag BSI)
  • FIDeS – Frühwarn- und Intrusion Detection System auf Basis kombinierter Methoden der Künstlichen Intelligenz (gefördert vom BMBF)
  • VOGUE – Vertrauenswürdiger Mobiler Zugriff auf Unternehmensnetze (gefördert vom BMBF)
  • ASKS – Architekturbasierte Sicherheitsanalyse geschäftskritischer Software-Systeme (gefördert vom BMBF)
  • SAiM – Schutz Androids durch intelligentes Monitoring (gefördert vom BMBF)
  • iMonitor – Entwicklung von optimierten und parallelen Inferenzverfahren für SIEM-Systeme (gefördert vom BMWI im Rahmen von ZIM)
  • ZertApps – Zertifizierte Sicherheit von mobilen Anwendungen (gefördert vom BMBF)
  • SecurityPatterns – Erkennung und Validierung von Security Patterns (gefördert von der DFG)
  • CertifiedApplications – Leichtgewichtige Sicherheitszertifizierung für Java-Anwendungen mittels werkzeuggestützter Programmanalysen (gefördert vom BMWI im Rahmen von ZIM)


Publikationen

  1. K. Sohr, T. Mustafa, M. Gulmann, P. Gerken. Towards Security Program Comprehension with Design by Contract and Slicing, 2015. (Das Paper beschreibt einen statischen Analyseprozess, der die Vorgehensweise von Code-Audits nachbildet und diese vereinfacht.)
  2. B. Berger, K. Sohr, R. Koschke. Automatically Extracting Threats from Extended Data Flow Diagrams. In Proc. 8th International Symposium on Engineering Secure Software and Systems (ESSoS 2016), London, April 2016.
  3. C. Medrano, G.-J. Ahn, K. Sohr. Achieving Security Assurance with Assertion-Based Application Construction. EAI Endorsed Transactions on Collaborative Computing, 2015. Erscheint.
  4. L. Hamann, K. Sohr, M. Gogolla. Monitoring Database Access Constraints with an RBAC Metamodel: a Feasibility Study. In Proc. 7th International Symposium on Engineering Secure Software and Systems (ESSoS 2015), Mailand, Italien, März 2015.
  5. C. Medrano, G.-J. Ahn, K. Sohr. Achieving Security Assurance with Assertion-Based Application Construction. 9th Workshop on Trusted Collaboration (TrustCol-2014), Miami, Florida, 2014.
  6. T. Mustafa, K. Sohr: Understanding the Implemented Access Control Policy of Android System Services with Slicing and Extended Static Checking, International Journal of Information Security (IJIS), Springer-Verlag, Berlin, 2014. Erscheint. Ersetzt den Technischen Bericht.
  7. S. Bartsch, B. J. Berger, E. Bodden, A. D. Brucker, J. Heider, M. Kus, S. Maseberg, K. Sohr, M. Volkamer. Zertifizierte Datensicherheit für Android-Anwendungen auf Basis statischer Programmanalysen. In Proc. Sicherheit – Schutz und Zuverlässigkeit (Sicherheit 2014), Wien, Österreich, 2014.
  8. O. Hofrichter, M. Gogolla, K. Sohr: UML/OCL based Design and Analysis of Role-Based Access Control Policies. In Proc. of the 1st International MODELS Workshop Towards the Model DrIven Organization (AMINO 2013), Miami, USA, 2013.
  9. S. Bartsch, B. Berger, M. Bunke, K. Sohr. The Transitivity-of-Trust Problem in Android Application Interaction (Short Paper). In Proc. of the 8th International Conference on Availability, Reliability and Security (AReS 2013), Regensburg, Deutschland, 2013. Langfassung als Technischer Bericht verfügbar.
  10. C. E. Rubio-Medrano, G.-J. Ahn, K. Sohr. Verifying Access Control Properties with Design by Contract: Framework and Lessons Learned. In Proc. 37th Annual International Computer Software & Applications Conference Kyoto, Japan, 2013.
  11. B. Berger, K. Sohr, R. Koschke: Extracting and Analyzing the Implemented Security Architecture of Business Applications. In Proc. of the 17th European Conference on Software Maintenance and Reengineering (CSMR 2013), Genua, Italien, 2013.
  12. M. Kuhlmann, K. Sohr, M. Gogolla. Employing UML and OCL for Designing and Analyzing Role-Based Access Control. In Mathematical Structures in Computer Science, Vol. 23, No. 4, 2013.
  13. K. Sohr, M. Kuhlmann, M.Gogolla, H. Hu, G.-J.Ahn. Comprehensive Two-Level Analysis of Role-Based Delegation and Revocation Policies with UML and OCL. In Information and Software Technology (IST), Volume 54, No. 12, 2012.
  14. H. Birkholz, I. Sieverdingbeck, K. Sohr, C. Bormann. IO: An interconnected asset ontology in support of risk management processes. In Proc. of the 1st International Workshop on Security Ontologies and Taxonomies (SecOnT 2012), 2012.
  15. B. Berger, K. Sohr. An Approach to Detecting Inter-Session Data Flow Induced by Object Pooling. In Proc. of the 27th IFIP International Information Security and Privacy Conference (IFIP Sec 2012), Kreta, Griechenland, 2012.
  16. B. Berger, M. Bunke, K. Sohr. An Android Security Case Study with Bauhaus (Short Paper). In Proc. of the 18th Working Conference on Reverse Engineering (WCRE 2011), Limerick, Ireland, 2011.
  17. C. Elfers, H. Birkholz, B. Samjeske, K. Sohr. Unternehmensübergreifender Austausch von sicherheitsrelevantem Wissen. In Datenschutz und Datensicherheit (DuD), Vol. 4, 2011.
  18. M. Kuhlmann, K. Sohr, M. Gogolla. Comprehensive Two-Level Analysis of Static and Dynamic RBAC Constraints with UML and OCL. In Proc. 5th IEEE International Conference on Secure Software Integration and Reliability Improvement (SSIRI 11), Jeju Island, Südkorea, Juni 2011. Best Paper Award.
  19. M. Bunke, K. Sohr. An Architecture-Centric Approach to Detecting Security Patterns in Software. In Proc. 3rd International Symposium on Engineering Secure Software and Systems (ESSoS 2011), Madrid, Spanien, Februar 2011.
  20. K. Sohr, T. Mustafa, A. Nowak.  Software Security Aspects of Java-Based Mobile Phones. In Proceedings of the 26th ACM Symposium on Applied Computing, Taichung, Taiwan, März 2011.
  21. N. Kuntze, R. Rieke, G. Diederich, R. Sethmann, K. Sohr, T. Mustafa, K. Detken. Secure mobile business information processing. Proc. of the 6th IEEE/IFIP International Symposium on Trusted Computing and Communications (TrustCom-10), Hongkong, China, Dezember 2010.
  22. R. Rittmeier, K. Sohr. Grundzüge eines Sicherheitskonzepts für Arztpraxen mit Hilfe von Attack Trees und unter Berücksichtigung der Gesundheitstelematik. Proc. Workshop Sichere Informationstechnologie für das Gesundheitswesen von morgen im Rahmen der 55. GMDS-Jahrestagung, Mannheim, Springer, LNI P-174, 2010.
  23. C. Elfers, M. Horstmann, K. Sohr, O. Herzog. Typed Linear Chain Conditional Random Fields and their Application to Intrusion Detection. In Proceedings of the 11th International Conference on Intelligent Data Engineering and Automated Learning (IDEAL10), LNCS, Paisley, Schottland, 2010.
  24. T. Mustafa, M. Drouineaud, K. Sohr. Towards Formal Specification and Verification of a Role-Based Authorization Engine using JML (Position Paper). In Proceedings of the 5th ACM ICSE Workshop on Software Engineering for Secure Systems (SESS10), Kapstadt, Südafrika, Mai 2010.
  25. K. Sohr, B. Berger. Idea: Towards Architecture-Centric Security Analysis of Software. Proc. 2nd International Symposium on Engineering Secure Software and Systems (ESSoS 2010), Pisa, Italien.
  26. S. Edelkamp, C. Elfers, M. Horstmann, M.-S. Schröder, K. Sohr, T. Wagner. Early Warning and Intrusion Detection based on Combined AI Methods. First Workshop on Intelligent Security (SecArt 09), Thessaloniki, Griechenland, 2009.
  27. C. Alm, M. Drouineaud, U. Faltin, K. Sohr, R. Wolf. A Classification Framework Designed for Advanced Role-based Access Control Models and Mechanisms, Technischer Bericht Nr. 51 des TZI der Universität Bremen, 2009.
  28. S. Bartsch, K. Sohr, C. Bormann. Supporting Agile Development of Authorisation Rules for SME Applications. Proc. of the 3rd International Workshop on Trusted Collaboration (TrustCol-2008), Orlando, FL, USA, November 13 - 16, 2008.
  29. T. Mustafa, K. Sohr, D.-H. Dang, M. Drouineaud, S. Kowski. Implementing Advanced RBAC Functionality with USE. Proc. of the 8th OCL Workshop at the UML/MoDELS Conferences, Toulouse, Electronic Communications of the EASST, Volume 15, 2008.
  30. K. Sohr, T. Mustafa, G.-J. Ahn, X. Bao. Enforcing Role-Based Access Control Policies in Web Services with UML and OCL, 24th Annual Computer Security Applications Conference, Anaheim CA, Dezember 2008. Eine etwas längere Fassung kann hier gefunden werden.
  31. S. Schäfer, K. Sohr. RFID-Authentisierung in der Lieferkette der Automobilindustrie, D-A-CH Security, Berlin, 2008.
  32. K. Sohr, M. Drouineaud, G.-J. Ahn, M. Gogolla. Analyzing and Managing Role-Based Access Control Policies. IEEE Transactions on Knowledge and Data Engineering, Vol. 20, No. 7, 2008.
  33. M. Kus, M. Lawo, M. Ronthaler, R. Sethmann, K. Sohr, K. Wind. Angepasste Benutzerschnittstellen für das Wearable Computing im Projekt SiWear. Workshop “Nomadic & Wearable User Interfaces”, Mensch und Computer 2007, Weimar, September 2-5, 2007.
  34. T. Hollstein, M. Glesner, U. Waldmann, H. Birkholz, K. Sohr. Security challenges for RFID key applications. 3rd Workshop on RFID Systems and Technologies, Duisburg, 2007.
  35. U. Waldmann, T. Hollstein, K. Sohr. Technologieintegrierte Datensicherheit bei RFID-Systemen. Studie im Auftrage des BMBF, 2007.
  36. A. Schaad, K. Sohr, M. Drouineaud. A Workflow-based Model-checking Approach to Inter- and Intra-analysis of Organisational Controls in Service-oriented Business Processes, Journal of Information Assurance and Security, Volume 2, Issue 1, 2007.
  37. A. Schaad, K. Sohr. A workflow instance-based model-checking approach to analysing organisational controls in a loan origination process. 1st International Workshop on Secure Information Systems (SIS ’06). Wisla, Polen, 2006.
  38. A. Schaad, V. Lotz, K. Sohr. A model-checking approach to analysing organisational controls in a loan origination process. In Proceedings of the 11th ACM Symposium on Access Control Models and Technologies, Lake Tahoe, CA, 2006.
  39. K. Sohr, G.-J. Ahn, M. Gogolla, L. Migge. Specification and validation of authorisation constraints with UML and OCL. In Proceedings of 10th European Symposium on Research in Computer Security (ESORICS), LNCS 3679, Mailand, Italien, September 12-14, 2005.
  40. K. Sohr, G.-J. Ahn, L. Migge. Articulating and enforcing authorisation policies with UML and OCL. In Proceedings of ACM ICSE Workshop on Software Engineering for Secure Systems (SESS05), St. Louis, Missouri, May 15-16, 2005 sowie in ACM SIGSOFT Software Engineering Notes.
  41. K. Sohr, M. Drouineaud, G.-J. Ahn. Formal specification of role-based security policies for clinical information systems. In Proceedings of the 20th ACM Symposium on Applied Computing, Santa Fe, New Mexico, 2005.
  42. M. Drouineaud, M. Bortin, P. Torrini, K. Sohr. A first step towards the formal verification of security policy properties of RBAC. In H.-D. Ehrich, K.-D. Schewe (Hrsg.), Proceedings of the 4th International Conference on Quality Software (QSIC), Braunschweig, 2004.
  43. M. Drouineaud, A. Lüder, K. Sohr. A role-based access control model for agent-based control systems. In Proceedings of the 1st IEEE International Conference on Industrial Informatics, Banff, Kanada, 2003.
  44. T. Mossakowski, M. Drouineaud, K. Sohr. A temporal-logic extension of role-based access control covering dynamic separation of duties. In Proceedings of the 4th International Conference on Temporal Logic, Juli 2003.
  45. S. Deter, K. Sohr: Pini – A Jini-Like Plug&Play Technology for the KVM/CLDC. In Proceedings of the Innovative Internet Computing Systems, International Workshop IICS 2001, Ilmenau, Germany, Juni 21-22, 2001.
  46. K. Sohr. Die Sicherheitsaspekte von mobilem Code. Dissertation, Universität-Marburg, Juli 2001.
  47. K. Sohr. Sandkastenspiele. c’t, Ausgabe 11, 226-232, 2000.
  48. K. Sohr. Nicht verifizierter Code: eine Sicherheitslücke in Java. In C. Cap (Hrsg.), JIT ’99, Springer Verlag, 171-181, September 1999.


Betreute Doktorarbeiten

1.      Dr. Tanveer Mustafa: Static Security Analysis of Java Applications with an Approach Based on Design by Contract, 2013


Master- und Diplomarbeiten

  1. Kim Schoen: Sichere Kommunikation in sporadischen Kundenbeziehungen, 2003
  2. Daniela Bork: Sicherheitszertifizierung am Beispiel eines Marktplatzverbundes, 2003
  3. Ersin Ürer: Untersuchung von WLAN-Sicherheitsprotokollen, 2005
  4. Lars Migge: Spezifikation und Durchsetzung rollenbasierter Security Policies, 2005
  5. Tanveer Mustafa: Design and Implementation of an Role-based Authorization Engine, 2006
  6. Xinyu Bao, Yan Guo: Durchsetzung von organisatorischen Richtlinien in Web Services mit Hilfe von UML und OCL, 2007
  7. Silke Schäfer: Konstruktion von sicheren RFID-Anwendungen, 2007
  8. Adrian Nowak: Sicherheitsaspekte mobiler Endgeräte, 2007
  9. Stefanie Gerdes: Rollenbasiertes Sicherheitskonzept für Krankenhäuser unter Berücksichtigung der aktuellen Entwicklungen in der Gesundheitstelematik, 2007
  10. Meike Klose: Grundzüge eines IT-Sicherheitskonzeptes für Apotheken unter der Berücksichtigung der Gesundheitstelematik, 2008
  11. Marc Ebler: Eine Sicherheitsanalyse zum Einsatz von mobilen Endgeräten im Außendienst, 2008
  12. Assoulian Mkliwa Tchamsi: Umsetzung von dynamischen RBAC Policies mit Hilfe von UML und OCL, 2009
  13. Raffael Rittmeier: Grundzüge eines Sicherheitskonzepts für Arztpraxen unter Berücksichtigung der Gesundheitstelematik, 2009
  14. Jan Osmers: Ein Leitfaden für hohe Informationssicherheit beim mobilen Arbeiten, 2010
  15. David Kamga Adamo: Entwicklung eines rollenbasierten Autorisierungswerkzeuges für Workflows auf Basis eines Modellprüfers, 2010
  16. Florian Junge: Dynamische Erstellung von Angriffsbäumen für Rechnernetze mittels eines modularen Werkzeugs, 2010
  17. Stefan Klement: Sicherheitsaspekte der Google Android Plattform, 2011
  18. Bernd Samjeske: Entwicklung eines erweiterbaren ontologiebasierten Asset-Managements, 2012
  19. Timo Reimerdes: Sicherheit und Privatsphäre in Sozialen Netzwerken, 2012
  20. Bastian Breit: Sicherheitsaspekte von Android und mobilen Verkaufsportalen, 2013
  21. Dimitri Hellmann: Angriffsszenarien ausgehend von Android-Anwendungen, 2013
  22. Axel Auffarth: Modellierung von Sicherheitsaspekten in Softwarearchitekturen, 2013
  23. Christian Liebig: Sicherheitsanalyse von mobilen Geschäftsanwendungen, 2014
  24. Malte Humann: Auswirkungen von Sensoreigenschaften auf die Angriffserkennung mittels Sensorfusion, 2014
  25. Oliver Schnieders: Identitätsmanagement im E-Commerce, 2014
  26. Tim Schleier: Erstellung einer bidirektionellen Kommunikation mit CBOR als Datenformat, 2014
  27. Markus Gulmann: Statische Sicherheitsanalyse der Android Systemservices, 2014
  28. Katharina Hafner: Modellierung von Rollenkonzepten für Krankenhäuser mittels UML und OCL, 2015
  29. Kevin Löhmann: Analyse und Beschreibung des Binder-Frameworks zur Interprozesskommunikation unter Android als Grundlage für weiterführende Sicherheitsbetrachtungen, 2015
  30. Stefan Gommer: Identifikation von kritischen Informationsflüssen in Android-Anwendungen auf Basis von statischen Programmanalysen, 2015
  31. Kai Hillmann: Sicherheitsanalyse von App-gesteuerten Alarmanlagen, 2015
  32. Fritjof Bornebusch: New concept of the Android keystore service with regard to security and portability, 2016
  33. Henning Ziegler: Analyse der Verwendung von Kryptographie-APIs in Java-basierten Anwendungen, 2016


Bachelor-Berichte

  1. Kai Hillmann. Darstellung und Analyse eines Konzeptes zur digitalen Beweissicherung, 2011
  2. Philipp Nguyen. NFC-Sicherheit mit Smartphones – Sicherheitsanalyse von Android-Applikationen mit NFC-Funktionalität, 2013
  3. Markus Gulmann. Sicherheitsanalyse ausgewählter Systemservices des mobilen Betriebssystems Android, 2013
  4. Alexander Neer. Richtlinien für den sicheren SSL/TLS-Einsatz, 2013
  5. Malte Kuhn. Anomalieerkennung von Applikationsverhalten auf Android, 2014
  6. Malte Batram. Dynamische Sicherheitsanalyse von ActionScript-basierten Webanwendungen, 2014
  7. Denis Szadkowski. Evaluation eines Werkzeugs zur statischen Analyse von SSL/TLS-Schwachstellen, 2014
  8. Patrick Hofmann. Entwicklung einer modularen Pentetration-Test-Suite zur Sicherheitsanalyse auf Android-Geräten, 2014
  9. Alex Antoni. Darstellung von Ergebnissen statischer Codeanalysen installierter Android apk-Dateien auf dem Gerät des Nutzers, 2015
  10. Patrick Gerken. Statische Sicherheitsanalyse von Java Enterprise-Anwendungen mittels Program Slicing, 2015
  11. Florian Thomas. Modellierung von Informationen zur Interprozesskommunikation in Android-Anwendungen für Datenflussdiagramme, 2015
  12. Sebastian Feldmann. Konzeption und Implementierung einer Eingabeprüfung für Struts-basierte Webanwendungen, 2015
  13. Daniel Müller. Untersuchung zur Broadcast-Sicherheit in Android-Apps, 2015
  14. Daniel Schwarz. Sicherheitsanalyse der clientseitigen Umsetzung des OAuth-Protokolls in Android-Anwendungen, 2016
  15. Maximilian Schönborn. Detektion von Shared Preferences-Einträgen in Android-Applikationen mit Hilfe statische Programmanalyse, 2016


Lehre

  1. Sommersemester 2005: Informationssicherheit 1 (zusammen mit Prof. Dr. Carsten Bormann)
  2. Sommersemester 2007: Informationssicherheit 1 (zusammen mit Prof. Dr. Carsten Bormann)
  3. Wintersemester 2008/2009: Informationssicherheit 1 (zusammen mit Prof. Dr. Carsten Bormann)
  4. Wintersemester 2009/2010: Informationssicherheit 1 (zusammen mit Prof. Dr. Carsten Bormann)
  5. Wintersemester 2010/2011: Informationssicherheit 1 (zusammen mit Prof. Dr. Carsten Bormann)
  6. Wintersemester 2011/2012: Informationssicherheit 1 (zusammen mit Prof. Dr. Carsten Bormann)
  7. Wintersemester 2012/2013: Informationssicherheit 1 (zusammen mit Prof. Dr. Carsten Bormann)
  8. Wintersemester 2013/2014: Informationssicherheit 1 (zusammen mit Prof. Dr. Carsten Bormann)
  9. Wintersemester 2014/2015: Informationssicherheit 1 (zusammen mit Prof. Dr. Carsten Bormann)
  10. Wintersemester 2015/2016: Informationssicherheit 1 (zusammen mit Prof. Dr. Carsten Bormann und Prof. Dr. Tim Güneysu)

Gutachtertätigkeiten

  • Journal of Systems and Software (JSS)
  • Information and Software Technology (IST)
  • IEEE Transactions on Parallel and Distributed Systems (TPDS)
  • IEEE Software

Des Weiteren war ich Gutachter für die Netherlands Organisation for Scientific Research (NWO) und die National Research Foundation of Korea (NRF).


Vorträge


Andere Aktivitäten


Kontakt

Dr. Karsten Sohr
Technologie-Zentrum Informatik der Universität Bremen
Bibliothekstr. 1
D-28359 Bremen

Telefon: +49 421 218 63922
Fax: +49 421 218 7000
E-Mail: sohrATtzi.de
Büro: MZH, Zimmer 5100

Mein PGP-Schlüssel

 
   
Autor: Dr. Karsten Sohr
 
   
Zuletzt geändert am: 20. Mai 2016   impressum