Vom 28. August bis zum 01. September fand die 18. International Conference on Availability, Reliability and Security (ARES) statt, diesmal in Benevento, Italien. In meiner Zeit als Doktorand habe ich die ARES-Konferenz mehrfach als Speaker besuchen dürfen. Dieses Jahr habe ich zusammen mit Dr. Daniel Fraunholz den EPIC-ARES-Workshop organisiert und moderiert. Konferenzen sind ein wertvolles Werkzeug für den fachlichen Austausch und Wissenserwerb durch Forschungsergebnisse. Als internationale Konferenz für Verfügbarkeit, Zuverlässigkeit und Sicherheit adressiert die ARES ein breites Themenspektrum. Workshops zu aktuellen Themen runden das Angebot ab. Veranstaltungsort war dieses Jahr die Università degli Studi del Sannio in Benevento nahe Neapel.
Die ARES-Konferenz
Wie der Name der Konferenz bereits vermuten lässt, sind die Kernthemen der vorgestellten Arbeiten Verfügbarkeit, Zuverlässigkeit und Sicherheit von elektronischen Systemen. Insbesondere IoT-Sicherheit wird in zahlreichen Vorträgen thematisiert, ein Thema, mit dem sich auch die comlet eingehend befasst. Auch im öffentlichen Bereich sowie in kritischen Infrastrukturen ist die Einhaltung von Sicherheitsanforderungen unerlässlich. Daneben ist jedoch auch die Sicherheit entlang von Supply Chains ein großes Thema. In den wenigsten Fällen stammen komplexe elektronische Systeme aus einer Hand. Stattdessen bestehen sie aus Elementen unterschiedlicher Hersteller. Dabei kann es sich um Hardware handeln, welche beispielsweise anhand von Blockchain-Technologien über ihren Herstellungszyklus nachverfolgt wird. Alternativ handelt es sich um Software-Module, welche in der Integration dahingehend geprüft werden müssen, dass sie ausschließlich die von den Entwicklern vorgesehenen Funktionen enthalten und keine zusätzliche schadhafte Software hinzugefügt wurde.
Ein weiteres Thema, welches zunehmend in den Sicherheitsbereich dringt, ist die Künstliche Intelligenz (KI). KI umfasst Methoden und Techniken, welche sich in unterschiedlichen Domänen gewinnbringend anwenden lässt und durch Kosten- und Ressourceneinsparungen bei gleichzeitigem Effizienzgewinn Mehrwert bietet. Auf der ARES wurden verschiedene KI-basierte Arbeiten vorgestellt, z.B. um Seitenkanalangriffe effizienter auszuwerten aber auch zur Erkennung von Schwachstellen. Zur Schwachstellenerkennung werden die relevanten Systeme durch plattformbasierte Architekturen automatisiert untersucht, entweder auf Basis bekannter Schnittstellen, oder auf System-, beziehungsweise Modulbasis. Insgesamt wurden zahlreiche interessante Arbeiten vorgestellt, die durch spannende Keynotes und Invited Talks ergänzt wurden.
Der EPIC-ARES-Workshop
Gemeinsam mit Dr. Daniel Fraunholz von der Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) hatte ich dieses Jahr die Gelegenheit, einen Workshop zu organisieren, den EPIC-ARES-Workshop. Der Fokus unseres Workshops lag dabei auf der Sicherheit und Zuverlässigkeit von Geräten ohne standardisierte Nutzerinterfaces. IoT-Geräte, die in einer zunehmenden Vielzahl von Anwendungsfällen verwendet werden, stellen häufig nur eingeschränkte Interfaces bereit, im Gegensatz zu Standard-Rechnern oder Smartphones. Die Anwendungsfälle umfassend viele Bereiche, unter Anderem industrielle Anwendungen, Heimanwendungen, oder Anwendungen im Gesundheitsbereich. Da Datenmenge aus IoT-Systemen, sowie die Anzahl der Systeme selbst, zunehmen, ist ein sicherer Betrieb maßgeblich. Gerade wenn KI-Anwendungen in solchen IoT-Systemen durchgeführt oder durch diese mit Informationen versorgt werden, sind Sicherheitsrichtlinien einzuhalten. Zu diesen Themen wurden auf dem EPIC-ARES-Workshop acht Paper vorgestellt, teilweise aus der Integration von Papern der SSE und IWSECC-Workshops.
Trust und Privacy, im Sinne digitalen Vertrauens und Sicherstellung der Vertraulichkeit persönlicher Informationen waren relevante Themen des Workshops: Neben einem neuen Ansatz zu vertrauenssicheren digitalen Wahlabstimmung diskutierte ein Referent die Einhaltung von Sicherheitszielen in HTTP/3. Ferner stellte ein weiterer Referent einen Angriff auf Privacy-preserving Verfahren für den Ruf von Ride Sharing-Diensten vor. Auch die Architektur für das personenbezogene, sichere und vertrauliche Laden von Elektrofahrzeugen in Car Sharing-Diensten wurde vorgestellt. Hierbei werden Trusted Execution Environments (TEEs) und Trusted Platform Modules (TPMs) vorausgesetzt, welche auch comlet einsetzt. Weiterhin wurden ein kryptographisches Konzept für Schlüsselverteilung in Quantenkommunikation und NFT-Validierung eingesetzt. Eine ausführliche Studie des Einflusses von Europäischen Richtlinien hinsichtlich Software-Sicherheit bei Stack Exchange-Fragen wurde vorgestellt, sowie ein Erfahrungsbericht über Secure Pipelines in hochgradig regulierten Umgebungen. Insgesamt war der Workshop eine spannende Erfahrung, bei der es uns gelang, Praktiker und Akademiker zusammenzubringen und in einem konstruktiven Rahmen den fachlichen Austausch zu fördern.