Dr. Karsten Sohr

Ich bin wissenschaftlicher Mitarbeiter am Technologie-Zentrum Informatik und Informationstechnik  (TZI) der Universität Bremen.
Dort bin ich insbesondere Koordinator für die Entwicklung des Themas „Informationssicherheit“.

Forschungsinteressen

• Rollenbasiertes Berechtigungsmanagement
• Sicherheit mobiler Anwendungen, Java-Sicherheit
• Anwendung Formaler (mathematischer) Methoden in der Informationssicherheit

Eingeworbene Projekte

Durch Einwerbung verschiedener Fördermittel ist es gelungen, das Themengebiet Informationssicherheit am TZI aufzubauen. Aktuell beschäftigen sich hier nun 13 Forscher mit Themen aus diesem Bereich.

• XMELD (Auftraggeber: Senator für Finanzen des Landes Bremen)
• ForRBAC – Formale Spezifikation, Verifikation und Umsetzung von rollenbasierten Sicherheitsrichtlinien (gefördert von der DFG)
• ORKA – Organisatorische Kontrollarchitektur (gefördert vom BMBF)
• ITSEC – Erstellen eines E-Learning-Portals für IT-Sicherheit (Auftraggeber: Institut für Wissenstransfer GmbH)
• RFIDSec – Erstellen einer Studie zum Thema „Technologiezentrierte Sicherheit in RFID-Systemen“ (im Auftrag des BMBF)
• SIMOIT – Sicherer Zugriff von mobilen Mitarbeitern auf die IT-Infrastruktur von mittelständisch geprägten Unternehmen (gefördert von der Bremer Investitionsgesellschaft mbH)
• SiWear – Sichere Wearable-Systeme zur Kommissionierung industrieller Güter sowie für Diagnose, Wartung und Reparatur (gefördert vom BMWI)
• Mobiltelefon-Demonstrator – Demonstration einer Sicherheitslücke in Mobiltelefonen (Auftrag BSI)
• FIDeS – Frühwarn- und Intrusion Detection System auf Basis kombinierter Methoden der Künstlichen Intelligenz (gefördert vom BMBF)
• VOGUE – Vertrauenswürdiger Mobiler Zugriff auf Unternehmensnetze (gefördert vom BMBF)
• ASKS – Architekturbasierte Sicherheitsanalyse geschäftskritischer Software-Systeme (gefördert vom BMBF)

Publikationen

1. B. Berger, K. Sohr.  An Approach to Detecting Inter-Session Data Flow Induced by Object Pooling. In Proc. of the 27th IFIP International Information Security and Privacy Conference (IFIP Sec 2012), Kreta, Griechenland, 2012. Erscheint.
2. M. Kuhlmann, K. Sohr, M. Gogolla. Employing UML and OCL for Designing and Analyzing Role-Based Access Control. In Mathematical Structures in Computer Science, 2012. Erscheint.
3. B. Berger, M. Bunke, K. Sohr. An Android Security Case Study with Bauhaus (Short Paper). In Proc. of the 18th Working Conference on Reverse Engineering (WCRE 2011), Limerick, Ireland, 2011.
4. C. Elfers, H. Birkholz, B. Samjeske, K. Sohr. Unternehmensübergreifender Austausch von sicherheitsrelevantem Wissen. In Datenschutz und Datensicherheit (DuD), Vol. 4, 2011.
5. M. Kuhlmann, K. Sohr, M. Gogolla. Comprehensive Two-Level Analysis of Static and Dynamic RBAC Constraints with UML and OCL. In Proc. 5th IEEE International Conference on Secure Software Integration and Reliability Improvement (SSIRI 11), Jeju Island, Südkorea, Juni 2011. Best Paper Award.
6. M. Bunke, K. Sohr. An Architecture-Centric Approach to Detecting Security Patterns in Software. In Proc. 3^rd International Symposium on Engineering Secure Software and Systems (ESSoS 2011), Madrid, Spanien, Februar 2011.
7. K. Sohr, T. Mustafa, A. Nowak.  Software Security Aspects of Java-Based Mobile Phones. In Proceedings of the 26^th ACM Symposium on Applied Computing, Taichung, Taiwan, März 2011.
8. N. Kuntze, R. Rieke, G. Diederich, R. Sethmann, K. Sohr, T. Mustafa, K. Detken. Secure mobile business information processing. Proc. of the 6^th IEEE/IFIP International Symposium on Trusted Computing and Communications (TrustCom-10), Hongkong, China, Dezember 2010.
9. R. Rittmeier, K. Sohr. Grundzüge eines Sicherheitskonzepts für Arztpraxen mit Hilfe von Attack Trees und unter Berücksichtigung der Gesundheitstelematik. Proc. Workshop Sichere Informationstechnologie für das Gesundheitswesen von morgen im Rahmen der 55. GMDS-Jahrestagung, Mannheim, Springer, LNI P-174, 2010.
10. C. Elfers, M. Horstmann, K. Sohr, O. Herzog. Typed Linear Chain Conditional Random Fields and their Application to Intrusion Detection. In Proceedings of the 11^th International Conference on Intelligent Data Engineering and Automated Learning (IDEAL10), LNCS, Paisley, Schottland, 2010.
11. T. Mustafa, M. Drouineaud, K. Sohr. Towards Formal Specification and Verification of a Role-Based Authorization Engine using JML (Position Paper). In Proceedings of the 5^th ACM ICSE Workshop on Software Engineering for Secure Systems (SESS10), Kapstadt, Südafrika, Mai 2010.
12. K. Sohr, B. Berger. Idea: Towards Architecture-Centric Security Analysis of Software.  Proc. 2^nd International Symposium on Engineering Secure Software and Systems (ESSoS 2010), Pisa, Italien.
13. S. Edelkamp, C. Elfers, M. Horstmann, M.-S. Schröder, K. Sohr, T. Wagner. Early Warning and Intrusion Detection based on Combined AI Methods. First Workshop on Intelligent Security (SecArt 09), Thessaloniki, Griechenland, 2009.
14. C. Alm, M. Drouineaud, U. Faltin, K. Sohr, R. Wolf. A Classification Framework Designed for Advanced Role-based Access Control Models and Mechanisms, Technischer Bericht Nr. 51 des TZI der Universität Bremen, 2009.
15. S. Bartsch, K. Sohr, C. Bormann. Supporting Agile Development of Authorisation Rules for SME Applications. Proc. of the 3^rd  International Workshop on Trusted Collaboration (TrustCol-2008), Orlando, FL, USA, November 13 - 16, 2008.
16. T. Mustafa, K. Sohr, D.-H. Dang, M. Drouineaud, S. Kowski. Implementing Advanced RBAC Functionality with USE. Proc. of the 8^th OCL Workshop at the UML/MoDELS Conferences, Toulouse, Electronic Communications of the EASST, Volume 15, 2008.
17. K. Sohr, T. Mustafa, G.-J. Ahn, X. Bao. Enforcing Role-Based Access Control Policies in Web Services with UML and OCL, 24^th Annual Computer Security Applications Conference, Anaheim CA, Dezember 2008. Eine etwas längere Fassung kann hier gefunden werden.
18. S. Schäfer, K. Sohr. RFID-Authentisierung in der Lieferkette der Automobilindustrie, D-A-CH Security, Berlin, 2008.
19. K. Sohr, M. Drouineaud, G.-J. Ahn, M. Gogolla. Analyzing and Managing Role-Based Access Control Policies. IEEE Transactions on Knowledge and Data Engineering, Vol. 20, No. 7, 2008.
20. M. Kus, M. Lawo, M. Ronthaler, R. Sethmann, K. Sohr, K. Wind. Angepasste Benutzerschnittstellen für das Wearable Computing im Projekt SiWear. Workshop “Nomadic & Wearable User Interfaces”, Mensch und Computer 2007, Weimar, September 2-5, 2007.
21. T. Hollstein, M. Glesner, U. Waldmann, H. Birkholz, K. Sohr. Security challenges for RFID key applications. 3^rd Workshop on RFID Systems and Technologies, Duisburg, 2007.
22. U. Waldmann, T. Hollstein, K. Sohr. Technologieintegrierte Datensicherheit bei RFID-Systemen. Studie im Auftrage des BMBF, 2007.
23. A. Schaad, K. Sohr, M. Drouineaud. A Workflow-based Model-checking Approach to Inter- and Intra-analysis of Organisational Controls in Service-oriented Business Processes, Journal of Information Assurance and Security, Volume 2, Issue 1, 2007.
24. A. Schaad, K. Sohr. A workflow instance-based model-checking approach to analysing organisational controls in a loan origination process. 1^st International Workshop on Secure Information Systems (SIS ’06). Wisla, Polen, 2006.
25. A. Schaad, V. Lotz, K. Sohr. A model-checking approach to analysing organisational controls in a loan origination process. In Proceedings of the 11th ACM Symposium on Access Control Models and Technologies, Lake Tahoe, CA, 2006.
26. K. Sohr, G.-J. Ahn, M. Gogolla, L. Migge. Specification and validation of authorisation constraints with UML and OCL. In Proceedings of 10th European Symposium on Research in Computer Security (ESORICS), LNCS 3679, Mailand, Italien, September 12-14, 2005.
27. K. Sohr, G.-J. Ahn, L. Migge. Articulating and enforcing authorisation policies with UML and OCL. In Proceedings of ACM ICSE Workshop on Software Engineering for Secure Systems (SESS05), St. Louis, Missouri, May 15-16, 2005 sowie in ACM SIGSOFT Software Engineering Notes.
28. K. Sohr, M. Drouineaud, G.-J. Ahn. Formal specification of role-based security policies for clinical information systems. In Proceedings of the 20th ACM Symposium on Applied Computing, Santa Fe, New Mexico, 2005.
29. M. Drouineaud, M. Bortin, P. Torrini, K. Sohr. A first step towards the formal verification of security policy properties of RBAC. In H.-D. Ehrich, K.-D. Schewe (Hrsg.), Proceedings of the 4th International Conference on Quality Software (QSIC), Braunschweig, 2004.
30. M. Drouineaud, A. Lüder, K. Sohr. A role-based access control model for agent-based control systems. In Proceedings of the 1st IEEE International Conference on Industrial Informatics, Banff, Kanada, 2003.
31. T. Mossakowski, M. Drouineaud, K. Sohr. A temporal-logic extension of role-based access control covering dynamic separation of duties. In Proceedings of the 4th International Conference on Temporal Logic, Juli 2003.
32. S. Deter, K. Sohr: Pini –  A Jini-Like Plug&Play Technology for the KVM/CLDC. In Proceedings of the Innovative Internet Computing Systems, International Workshop IICS 2001, Ilmenau, Germany, Juni 21-22, 2001.
33. K. Sohr. Die Sicherheitsaspekte von mobilem Code. Dissertation, Universität-Marburg, Juli 2001.
34. K. Sohr. Sandkastenspiele. c’t, Ausgabe 11, 226-232, 2000.
35. K. Sohr. Nicht verifizierter Code: eine Sicherheitslücke in Java. In C. Cap (Hrsg.), JIT ’99, Springer Verlag, 171-181, September 1999.

Master- und Diplomarbeiten

1. Kim Schoen: Sichere Kommunikation in sporadischen Kundenbeziehungen, 2003
2. Daniela Bork: Sicherheitszertifizierung am Beispiel eines Marktplatzverbundes, 2003
3. Ersin Ürer: Untersuchung von WLAN-Sicherheitsprotokollen, 2005
4. Lars Migge: Spezifikation und Durchsetzung rollenbasierter Security Policies, 2005
5. Tanveer Mustafa: Design and Implementation of an Role-based Authorization Engine, 2006
6. Xinyu Bao, Yan Guo: Durchsetzung von organisatorischen Richtlinien in Web Services mit Hilfe von UML und OCL, 2007
7. Silke Schäfer: Konstruktion von sicheren RFID-Anwendungen, 2007
8. Adrian Nowak: Sicherheitsaspekte mobiler Endgeräte, 2007
9. Stefanie Gerdes: Rollenbasiertes Sicherheitskonzept für Krankenhäuser unter Berücksichtigung der aktuellen Entwicklungen in der Gesundheitstelematik, 2007
10. Meike Klose: Grundzüge eines IT-Sicherheitskonzeptes für Apotheken unter der Berücksichtigung der Gesundheitstelematik, 2008
11. Marc Ebler: Eine Sicherheitsanalyse zum Einsatz von mobilen Endgeräten im Außendienst, 2008
12. Assoulian Mkliwa Tchamsi: Umsetzung von dynamischen RBAC Policies mit Hilfe von UML und OCL, 2009
13. Raffael Rittmeier: Grundzüge eines Sicherheitskonzepts für Arztpraxen unter Berücksichtigung der Gesundheitstelematik, 2009
14. Jan Osmers: Ein Leitfaden für hohe Informationssicherheit beim mobilen Arbeiten, 2010
15. David Kamga Adamo: Entwicklung eines rollenbasierten Autorisierungswerkzeuges für Workflows auf Basis eines Modellprüfers, 2010
16. Florian Junge: Dynamische Erstellung von Angriffsbäumen für Rechnernetze mittels eines modularen Werkzeugs, 2010
17. Stefan Klement: Sicherheitsaspekte der Google Android Plattform, 2011
18. Bernd Samjeske: Entwicklung eines erweiterbaren ontologiebasierten Asset-Managements, 2012

Lehre

• Sommersemester 2005:  Informationssicherheit 1 (zusammen mit Prof. Dr. Carsten Bormann)
• Sommersemester 2007:  Informationssicherheit 1 (zusammen mit Prof. Dr. Carsten Bormann)
• Wintersemester 2008/2009: Informationssicherheit 1 (zusammen mit Prof. Dr. Carsten Bormann)
• Wintersemester 2009/2010: Informationssicherheit 1 (zusammen mit Prof. Dr. Carsten Bormann)
• Wintersemester 2010/2011: Informationssicherheit 1 (zusammen mit Prof. Dr. Carsten Bormann)
• Wintersemester 2011/2012: Informationssicherheit 1 (zusammen mit Prof. Dr. Carsten Bormann)

Gutachtertätigkeiten

• Journal of Systems and Software (JSS)
• Information and Software Technology (IST)
• IEEE Transactions on Parallel and Distributed Systems (TPDS)
• IEEE Software

Andere Aktivitäten

• Information Security Bremen
• BremSec-Forum (organisiert zusammen mit Siemens AG, Bremen, und der GDD)
• Health Solution Group

Kontakt

{/text}