E-mail senden E-Mail Adresse kopieren

17 CISpa paper auf der s&P 2025

Das IEEE Symposium on Security and Privacy ist die führende Konferenz zur Präsentation von Entwicklungen im Bereich Computersicherheit und elektronischer Datenschutz sowie zur Vernetzung von Forschenden und Praktiker:innen auf diesem Gebiet. Das 45. IEEE Symposium on Security and Privacy findet vom 12. bis 14. Mai 2025 im Hyatt Regency San Francisco statt.

Die Forschenden führten 21 Interviews mit erfahrenen Entwickler:innen kryptographischer Bibliotheken, um zu verstehen, wie Entscheidungen beim Design kryptographischer APIs getroffen werden und welche Herausforderungen dabei bestehen. Sie fanden heraus, dass Designentscheidungen durch kryptographische Standards, bestehende Bibliotheken, Legacy-Code und die persönliche Intuition der Entwickler:innen beeinflusst werden. Eine zentrale Herausforderung besteht darin, Sicherheit, Benutzerfreundlichkeit und Flexibilität in Einklang zu bringen. Häufig fehlt ein systematischer Ansatz zur Definition oder Bewertung von Usability; stattdessen verlassen sich Entwickler:innen auf persönliche Erfahrung, Nutzerfeedback und informelles Testen. Obwohl kryptographische Standards Orientierung bieten, lassen sie oft wichtige Designentscheidungen offen, sodass subjektive Einschätzungen notwendig werden. Zudem stellten die Forschenden fest, dass der Druck, Abwärtskompatibilität zu wahren, Entwickler:innen an veraltete oder weniger sichere Designmuster binden kann. Es mangelt an empirischer, praxisnaher Forschung, die Entwickler:innen direkt bei der Gestaltung benutzbarer kryptographischer APIs unterstützt.

Diese Studie leistet einen gesellschaftlichen Beitrag, indem sie konkrete Ansätze zur Verbesserung der Entwicklung kryptographischer Bibliotheken aufzeigt – eines essenziellen Bausteins für sichere Software. Indem sie den Bedarf nach besserer Usability-Leitlinien betont und eine stärkere Integration von Usability-Aspekten in Standardisierungsprozesse anregt, weist die Forschung auf eine Zukunft hin, in der kryptographische Werkzeuge sowohl sicherer als auch einfacher zu verwenden sind – ein entscheidender Schritt hin zu einer sicheren digitalen Infrastruktur für alle.

Diese Studie untersucht, wie Ratschläge zu digitaler Sicherheit und Datenschutz wirksamer an Alltagsnutzer:innen vermittelt werden können. Ausgehend von der Erkenntnis, dass viele Menschen sich von Sicherheitsempfehlungen überfordert fühlen, entwickelten die Forschenden eine mobile App namens „Security App“. Diese gibt den Nutzerinnen über einen Zeitraum von 30 Tagen täglich eine kurze, umsetzbare Aufgabe. Die Aufgaben basieren auf von Expert:innen geprüften Empfehlungen und sollen durch Wiederholung und Einfachheit sichere Gewohnheiten fördern.

Eine kontrollierte Studie mit 74 Teilnehmenden zeigte, dass das App-Format gut ankam. Die meisten Nutzer:innen empfanden die Aufgaben als verständlich, machbar und relevant. Zudem berichteten sie von einem gestärkten Sicherheitsbewusstsein und mehr Vertrauen im Umgang mit digitalen Risiken. Die Teilnehmenden, die die App nutzten, übernahmen signifikant häufiger sicheres Verhalten — etwa das Sichern von Daten, das Aktualisieren von Software oder die Nutzung von Zwei-Faktor-Authentifizierung — als eine Vergleichsgruppe. Teilweise hielten diese Verhaltensänderungen auch 30 Tage nach Studienende noch an.

Allerdings wurde nicht jeder Ratschlag gleichermaßen angenommen. Aufgaben rund um Passwortmanager wurden etwa häufiger abgelehnt oder als weniger hilfreich bewertet —ein Hinweis darauf, dass Vertrauens- und Nutzungsprobleme weiterhin die Verbreitung bestimmter Sicherheitswerkzeuge erschweren. Zudem empfanden einige Teilnehmende die App in bestimmten Bereichen als zu starr oder wünschten sich mehr Personalisierung.

Insgesamt legen die Ergebnisse nahe, dass sich digitale Sicherheitsratschläge effektiver vermitteln lassen, wenn sie in kleine, konkrete Handlungsschritte aufgeteilt und in einem vertrauten, gewohnheitsbildenden Format angeboten werden. Für die Gesellschaft bietet dieser Ansatz eine alltagstaugliche Möglichkeit, digitale Resilienz zu stärken—ohne technisches Fachwissen vorauszusetzen—und adressiert damit ein zentrales Hindernis auf dem Weg zu besserer persönlicher Cybersicherheit.

Humanitäre Organisationen unterstützen Menschen, die von extremen Umständen wie Konflikten, Hungersnöten oder Naturkatastrophen betroffen sind. Sie tun dies zum Beispiel durch die Verteilung von Lebensmitteln und anderen lebensnotwendigen Gütern. In solchen Situationen sind Schnelligkeit und Fairness entscheidend. Deshalb setzen humanitäre Organisationen zunehmend auf digitale Technologien, um die Effizienz zu steigern.

Gleichzeitig bringt der Einsatz von Technologie erhebliche Datenschutzrisiken für die oft besonders schutzbedürftigen Empfänger:innen humanitärer Hilfe mit sich. Dieses Papier ist das Ergebnis einer Zusammenarbeit mit dem Internationalen Komitee vom Roten Kreuz (IKRK), mit dem Ziel, eine digitale Lösung für die Verteilung von Hilfsgütern zu entwerfen, die die Vorteile von Technologie nutzt und zugleich einen starken Schutz der Privatsphäre bietet. Das System gibt nur die unbedingt nötigen Informationen preis, die für die Verteilung der Hilfe erforderlich sind.

Entscheidend für diese Arbeit ist das Verständnis des humanitären Kontexts, in dem ein solches System eingesetzt werden muss. Was für uns funktioniert, funktioniert in Notsituationen oft nicht. Menschen besitzen möglicherweise keine (Smart-)Phones, und die Netzabdeckung kann lückenhaft sein. Wir haben das System daher so gestaltet, dass es möglichst einfach einzusetzen ist.

Diese Forschung untersucht die mit iOS 14 eingeführte Berechtigung zum Zugriff auf das lokale Netzwerk, die Geräte im Heimnetzwerk von Nutzer:innen vor unautorisiertem Zugriff durch Apps schützen soll. Die Studie bewertet sowohl die technische Sicherheit dieser Berechtigung als auch das Verständnis und Verhalten der Nutzer:innen im Umgang damit.

Aus technischer Sicht zeigt die Analyse mehrere Schwachstellen auf. So lässt sich die Berechtigung etwa über bestimmte App-Komponenten wie Webviews umgehen, und sie erfasst nicht alle relevanten Netzwerkkonfigurationen – insbesondere in komplexeren Heimnetzwerken oder bei VPN-Verbindungen. Dadurch können Apps auf vernetzte Geräte zugreifen, ohne dass eine Zustimmung der Nutzer:innen erforderlich ist.

Zur Einschätzung der tatsächlichen Nutzung des lokalen Netzwerks durch Apps wurden über 10.000 Apps auf iOS- und Android-Plattformen analysiert. Die Ergebnisse zeigen, dass 1–1,4 % der Apps auf beiden Plattformen lokale Netzwerkkommunikation durchführen. Auf iOS verzögerten viele Apps diesen Zugriff bis nach einer Nutzerinteraktion, was vermutlich auf die sichtbare Berechtigungsabfrage zurückzuführen ist. Android verfügt derzeit über keine vergleichbare Berechtigungsmechanik.

Auch die Nutzerhinweise bei der Abfrage der Berechtigung wurden untersucht. Diese enthalten häufig vage oder irreführende Formulierungen wie „Ihr Netzwerk“ und erwecken mitunter fälschlich den Eindruck, die Berechtigung sei für grundlegenden Internetzugang erforderlich. Eine Nutzerbefragung mit 150 iOS-Nutzer:innen ergab, dass viele zwar potenzielle Datenschutzrisiken erkennen, jedoch weit verbreitete Missverständnisse bestehen. So glaubten viele Teilnehmende fälschlicherweise, die Berechtigung sei notwendig für die Nutzung von Bluetooth oder Internet.

Die Studie macht deutlich, dass sowohl die technische Durchsetzung von Datenschutzmechanismen als auch die Kommunikation mit Nutzer:innen verbessert werden müssen. Eine Berechtigung kann nur dann wirksam sein, wenn sie den Zugriff tatsächlich einschränkt und es den Nutzer:innen ermöglicht, informierte Entscheidungen zu treffen. Für die Gesellschaft unterstreicht diese Forschung die Bedeutung einer besseren Abstimmung zwischen Datenschutzmaßnahmen und dem Verständnis der Nutzer:innen – damit Kontrolle über digitale Umgebungen nicht bloß formaler Natur ist, sondern auch in der Praxis wirksam wird.

In diesem Paper wird TokenWeaver vorgestellt – ein neuartiges Protokoll, das die Sicherheit und den Datenschutz in vertrauenswürdigen Hardware-Umgebungen verbessern soll, insbesondere im Fall von Kompromittierungen. Trusted Execution Environments (TEE) – etwa in Smartphones oder sicheren Cloud-Diensten – schützen sensible Informationen. Doch auch sie können Ziel von Angriffen werden. Ist eine TEE einmal kompromittiert, ist es äußerst schwierig, das Vertrauen in ihre Sicherheit wiederherzustellen.

Die zentrale Idee von TokenWeaver ist es, einem kompromittierten Gerät zu ermöglichen, sich selbst zu „heilen“ – also seinen sicheren Zustand wiederzuerlangen – ohne die Privatsphäre der Nutzer:innen zu gefährden. Bisher galten diese beiden Ziele als schwer vereinbar: Um Angriffe zu erkennen, musste man meist das Gerät identifizieren – was die Anonymität der Nutzer:innen gefährdete.

TokenWeaver löst dieses Dilemma durch zwei miteinander verbundene Systeme: eine verknüpfbare Kette, mit der Anbieter wie Intel oder Google Angriffe erkennen und darauf reagieren können, und eine nicht verknüpfbare Kette, über die Nutzer:innen anonym mit Diensten interagieren können. Die Innovation liegt darin, wie beide Ketten zusammenarbeiten: Sie erkennen Kompromittierungen und stellen Sicherheit wieder her – ohne dass dabei jemand, auch nicht der Anbieter, die Aktivitäten der Nutzer:innen über Dienste hinweg nachverfolgen kann.

Das Protokoll wurde nicht nur entworfen, sondern auch formell verifiziert – mithilfe moderner Werkzeuge, die beweisen, dass es selbst unter Angriffen korrekt funktioniert. Zudem wurde ein funktionierender Prototyp entwickelt, der zeigt, dass das System auch in der Praxis hinsichtlich Geschwindigkeit und Speicherbedarf umsetzbar ist.

Gesellschaftlich trägt diese Arbeit dazu bei, digitale Systeme widerstandsfähiger und datenschutzfreundlicher zu machen. Sie liefert einen Plan dafür, wie Geräte nach einem Hack wieder Vertrauen aufbauen können – ohne die Nutzer*innen staatlicher oder kommerzieller Überwachung auszusetzen. Das ist besonders wichtig, da immer mehr kritische Dienste – von Banken bis zur Gesundheitsversorgung – auf sichere digitale Interaktionen angewiesen sind.

Diese Studie untersucht, wie Forschende im Bereich Usable Privacy and Security (UPS) Transparenz in ihrer Arbeit wahrnehmen und praktizieren. Transparenz bedeutet in diesem Kontext, alle relevanten Forschungsdetails – etwa Methoden, Daten und Materialien – offenzulegen, sodass andere die Forschung nachvollziehen, bewerten und gegebenenfalls replizieren können.

Die Autor:innen führten ausführliche Interviews mit 24 UPS-Forschenden unterschiedlicher Fachrichtungen und Erfahrungsstufen. Die Ergebnisse zeigen: Obwohl Transparenz grundsätzlich als zentrales Element guter wissenschaftlicher Praxis angesehen wird, stehen ihrer konsequenten Umsetzung zahlreiche Hürden im Weg. Dazu zählen der Mangel an klaren, formellen Richtlinien, begrenzte zeitliche und personelle Ressourcen sowie die Sorge, durch zu viel Offenheit Schwächen offenzulegen und dadurch stärkere Kritik im Peer Review zu riskieren.

Transparenzpraktiken beruhen derzeit häufig auf individueller Motivation und unausgesprochenen Community-Normen, anstatt auf verbindlichen Standards. Zwar setzen viele Forschende Praktiken wie das Teilen von Fragebögen oder Code um, dies geschieht jedoch meist ohne äußere Anreize oder formalisierte Unterstützung. Besonders bei der Veröffentlichung personenbezogener Daten stellen ethische Fragen eine zusätzliche Herausforderung dar.

Die Interviewten sprachen sich für mehr Unterstützung, klarere Leitlinien und gezielte Anreize zur Förderung transparenter Berichterstattung aus. Vorgeschlagen wurden unter anderem formelle Transparenzrichtlinien, Anerkennung transparenter Forschung in Begutachtungsverfahren sowie angepasste Evaluationsprozesse für Artefakte, die den Besonderheiten von UPS-Forschung Rechnung tragen.

Im weiteren gesellschaftlichen Kontext zeigt die Studie, wie transparente Forschungspraxis die Glaubwürdigkeit und Reproduzierbarkeit wissenschaftlicher Erkenntnisse im Bereich Datenschutz und IT-Sicherheit stärkt. Eine transparente Forschung trägt dazu bei, vertrauenswürdige und zugängliche Erkenntnisse zu schaffen – eine wichtige Voraussetzung für Fortschritt sowohl in der Wissenschaft als auch in der Praxis. Dies erfordert jedoch bewusste Veränderungen in den Normen der Fachgemeinschaft, im Publikationswesen und in der institutionellen Unterstützung.

In dieser Forschung widmen sich die Autor:innen einem praktischen Problem vieler blockchain-basierter Dienste, die nach einem sogenannten Schwellenwertmodell („threshold model“) arbeiten: Wie lässt sich fair und sicherstellen, dass nur diejenigen Server bezahlt werden, die tatsächlich zur Erfüllung einer angeforderten Aufgabe beigetragen haben? Während Blockchains wie Ethereum dies mithilfe von Smart Contracts ermöglichen, stellt dies bei Bitcoin und ähnlichen Systemen mit eingeschränkter Skriptfähigkeit eine Herausforderung dar.

Zur Lösung dieses Problems stellen die Forschenden VITĀRIT vor – ein neuartiges Protokoll, das sichere und faire Zahlungen für Threshold-Dienste direkt auf Bitcoin erlaubt. Solche Dienste umfassen beispielsweise das Generieren zufälliger Zahlen mittels verifizierbarer Zufallsfunktionen (VRFs), bei denen mindestens t + 1 von n Servern antworten müssen, um die Anfrage zu erfüllen. Ziel ist es, sicherzustellen, dass nur die tatsächlich beitragenden Server – und zwar nur einmal – bezahlt werden, ohne dass eine zentrale Instanz oder ein Smart Contract nötig ist.

Das zentrale Innovationsmerkmal ist ein leichtgewichtiges Transaktionsverfahren, das ausschließlich auf Standard-Bitcoin-Skripten basiert. Das Protokoll nutzt neue kryptografische Bausteine wie verifizierbare, nicht-bindende Verschlüsselung (verifiable non-committing encryption) und Adaptor-Signaturen, um den sicheren Austausch von Teilergebnissen und Zahlungen zwischen Client und Servern zu ermöglichen. VITĀRIT verhindert dabei betrügerisches Verhalten – etwa, dass ein Server ohne Leistung oder mehrfach bezahlt wird.

Ein Prototyp von VITĀRIT belegt die Effizienz und Praxistauglichkeit des Ansatzes. Die Performanzmessungen zeigen geringe Rechenzeiten auf Seiten von Clients und Servern. Im Vergleich zu herkömmlichen Smart-Contract-Lösungen senkt VITĀRIT zudem deutlich die rechnerischen und finanziellen Aufwände, etwa durch den Wegfall von Ethereum-Gebühren (Gas).

Gesellschaftlich trägt diese Arbeit dazu bei, dezentrale Dienste auf einer breiteren Basis von Blockchain-Plattformen nutzbar und sicher zu machen – insbesondere auf solchen wie Bitcoin, die keine komplexen Smart Contracts unterstützen. Sie stärkt Prinzipien wie Datenschutz, Effizienz und Vertrauen – zentrale Pfeiler der Vision dezentraler digitaler Infrastrukturen.

Moderne sichere Kommunikationssysteme wie iMessage, WhatsApp und Signal beinhalten komplexe Mechanismen, die darauf abzielen, sehr starke Sicherheitsgarantien zu gewährleisten. Diese Mechanismen beinhalten typischerweise das kontinuierliche Einbringen neuer, frischer Geheimnisse in das Schlüsselmaterial, das zur Verschlüsselung von Nachrichten während der Kommunikation verwendet wird. In der wissenschaftlichen Literatur wurde bewiesen, dass solche Mechanismen Formen der Post-Compromise Security (PCS) erreichen können – also die Fähigkeit, Kommunikationssicherheit auch dann noch zu gewährleisten, wenn der vollständige Zustand einer Partei zu einem früheren Zeitpunkt kompromittiert wurde.

Neuere Arbeiten zeigen jedoch, dass diese Beweise nicht ohne Weiteres auf die Ebene der Endnutzer übertragbar sind – möglicherweise aufgrund von Usability-Problemen. Dadurch stellt sich die Frage, ob Endnutzer tatsächlich PCS erreichen können – und wenn ja, unter welchen Bedingungen.

In dieser Arbeit zeigen und beweisen wir formal, dass Kommunikationssysteme, die gegen bestimmte Arten von Zustandsverlust (wie sie in der Praxis auftreten können) resilient sein müssen, grundsätzlich keine vollständige PCS für Endnutzer erreichen können. Während frühere Arbeiten zeigten, dass der Messenger Signal dies mit seiner derzeitigen Sitzungsverwaltung nicht erreicht, isolieren wir hier die genauen Bedingungen, die zu diesem Versagen führen – und warum dies nicht einfach durch die Implementierung einer anderen Sitzungsverwaltung oder eines völlig anderen Protokolls gelöst werden kann.

Darüber hinaus klären wir den Trade-off bei der maximalen Anzahl paralleler Sitzungen zwischen zwei Nutzern (im Fall von Signal: 40) im Hinblick auf Ausfallresilienz versus Sicherheit. Unsere Ergebnisse haben direkte Auswirkungen auf das Design zukünftiger sicherer Kommunikationssysteme und könnten entweder eine Vereinfachung redundanter Mechanismen oder eine Verbesserung der Sitzungsverwaltungsmechanismen motivieren – mit dem Ziel, bessere Sicherheitskompromisse im Umgang mit Zustandsverlusten und Ausfalltoleranz zu erreichen.

Diese Studie untersucht, wie zwei Gruppen – gesetzlich Blinde (n = 36) und sehende Personen (n = 36) – auf akustische Telefonbetrugswarnungen in alltagsnahen Situationen reagieren. Da das Fälschen einer Anrufer-ID (Caller ID Spoofing) trivial ist, bietet es sich an, stattdessen den Kontext eines eingehenden Anrufs zu kommunizieren, um den Angerufenen besser vor einem möglichen Betrug zu warnen. Solche Warnungen sind in der Regel visueller Natur und berücksichtigen somit nicht die Bedürfnisse von Menschen mit Sehbehinderung.

Um dieser Ausgrenzung entgegenzuwirken, entwickelten wir eine akustische Variante von Telefonbetrugswarnungen und testeten sie in drei Szenarien: Baseline (keine Warnung), kurze Warnung und kontextuelle Warnung, die dem eigentlichen Betrugsinhalt vorausging. Wir untersuchten die zwei häufigsten Betrugsmaschen – Finanzbetrug (Zinssenkungsangebote) und Identitätsdiebstahl (Sozialversicherungsnummer) – indem wir die Teilnehmenden kalt anriefen, ihre Reaktionen aufzeichneten, sie danach aufklärten und ihre Einwilligung einholten.

Lediglich zwei Teilnehmende „drückten die Eins“, wie es die Betrugsmasche verlangte – beide aus der Gruppe der gesetzlich Blinden, die zuvor die kontextuelle Warnung zur Sozialversicherungsnummer gehört hatten. Bei näherer Betrachtung stellte sich heraus, dass eine Person dies aufgrund von Zugänglichkeitsproblemen mit dem Screenreader tat, während die andere dies bewusst tat, um die Zeit des Betrügers zu verschwenden und so zu verhindern, dass gefährdete Personen Opfer werden.

Sowohl die gesetzlich blinden als auch die sehenden Teilnehmenden empfanden die kontextuellen Warnungen als wirkungsvolle und nutzbare Sicherheitshinweise. In Kombination mit STIR/SHAKEN-Indikatoren wie „Scam Likely“ (möglicher Betrug) könnten diese Hinweise einen robusten Schutz gegen jegliche Art von Betrug bieten. Zudem wurden mögliche Datenschutzimplikationen der kontextuellen Warnungen diskutiert und Empfehlungen für eine zugängliche und benutzerfreundliche Umsetzung gesammelt.

Im Kontext von Webanwendungen ist laut der OWASP Top Ten die am weitesten verbreitete Schwachstelle Broken Access Control (fehlerhafte Zugriffskontrolle). Da Zugriffskontrollmechanismen serverseitig implementiert werden, erschwert der fehlende Zugang zum Quellcode von Live-Systemen die Untersuchung solcher Schwachstellen in realen Umgebungen durch die Forschung. Zwar wurden bereits Schwachstellen in Open-Source-Anwendungen nachgewiesen, die in von Forschenden kontrollierten Umgebungen betrieben wurden, jedoch wurde das Problem bislang nicht „in the wild“ untersucht – unter anderem aus ethischen und rechtlichen Gründen, um die Daten nichtsahnender Nutzerinnen und Nutzer nicht zu gefährden.

Diese Forschung schließt diese Lücke und präsentiert das Variable Swapping Framework (VSF) – das erste ethisch vertretbare und skalierbare Blackbox-Testframework, das fehlerhafte Zugriffskontrollmuster in realen Systemen erkennen kann. Das Design von VSF basiert auf einer umfassenden ethischen Stakeholder-Analyse sowie der Minimierung von Risiken bei gleichzeitiger Maximierung des Nutzens für die Schwachstellenerkennung.

Im Kern verwendet das Framework zwei Benutzerkonten pro Website und tauscht Identifikatoren zwischen den beiden aus, um zu prüfen, ob auf Ressourcen eines Kontos vom anderen Konto aus zugegriffen werden kann. In einem Testlauf mit 100 Webanwendungen identifizierten wir insgesamt 584 potenziell zugriffssensitive HTTP-Endpunkte. Davon erwiesen sich 19 Schwachstellen auf 7 Seiten als tatsächlich ausnutzbar – diese wurden von uns verantwortungsvoll offengelegt.

Text-zu-Bild-(T2I)-Modelle haben die Content-Erstellung revolutioniert, indem sie in der Lage sind, aus rein textuellen Beschreibungen hochwertige Bilder zu generieren. Allerdings sind diese Modelle anfällig für sogenannte Jailbreaking-Angriffe, bei denen gezielt formulierte Prompts die Sicherheitsmechanismen der Modelle umgehen und dadurch zur Erzeugung unerwünschter oder unsicherer Inhalte führen.

Zwar wurden bereits verschiedene Jailbreak-Methoden entwickelt, um auf dieses Risiko aufmerksam zu machen, jedoch sind diese Ansätze häufig durch erhebliche Einschränkungen geprägt – darunter unpraktische Zugangsvoraussetzungen, unnatürliche und leicht erkennbare Prompts, stark eingeschränkte Suchräume sowie ein hoher Anfrageaufwand gegenüber dem Zielsystem.

In dieser Arbeit stellen wir JailFuzzer vor – ein neuartiges Fuzzing-Framework, das auf Agenten großer Sprachmodelle (LLMs) basiert und darauf ausgelegt ist, in einem Blackbox-Szenario effizient natürliche und semantisch sinnvolle Jailbreak-Prompts zu generieren. JailFuzzer kombiniert Prinzipien des Fuzz-Testing und besteht aus drei zentralen Komponenten: einem Seed-Pool mit initialen und Jailbreak-Prompts, einer gesteuerten Mutations-Engine zur Erzeugung bedeutungsvoller Variationen sowie einer Orakel-Funktion, die den Erfolg eines Jailbreaks bewertet.

Sowohl die Mutations-Engine als auch das Orakel werden von LLM-basierten Agenten umgesetzt, was eine hohe Effizienz und Anpassungsfähigkeit in Blackbox-Szenarien sicherstellt. Umfangreiche Experimente zeigen, dass JailFuzzer in der Lage ist, gegenüber bestehenden Ansätzen signifikant bessere Ergebnisse zu erzielen. Es generiert natürliche und semantisch konsistente Prompts, die weniger leicht von konventionellen Sicherheitsmechanismen erkannt werden, und erreicht gleichzeitig eine hohe Erfolgsrate bei Jailbreak-Angriffen – bei deutlich geringerem Anfrageaufwand.

Diese Studie unterstreicht die Notwendigkeit robusterer Sicherheitsmechanismen in generativen Modellen und bildet eine Grundlage für zukünftige Forschungen zur Abwehr gegen fortgeschrittene Jailbreaking-Techniken.

Agenten auf Basis großer Sprachmodelle (LLMs), insbesondere GPTs von OpenAI, haben die Art und Weise revolutioniert, wie KI angepasst, bereitgestellt und genutzt wird. Allerdings ist der Missbrauch von GPTs zu einem kritischen, bislang jedoch weitgehend unerforschten Problem im Kontext des GPT Stores von OpenAI geworden.

In dieser Arbeit präsentieren wir die erste groß angelegte Messstudie zum Missbrauch von GPTs. Wir stellen GPTRACKER vor – ein Framework, das darauf ausgelegt ist, kontinuierlich GPTs aus dem offiziellen GPT Store zu sammeln und automatisiert mit ihnen zu interagieren. Zum Zeitpunkt der Einreichung der Arbeit hat GPTRACKER 755.297 GPTs sowie 28.464 GPT-Konversationsabläufe über einen Zeitraum von acht Monaten erfasst.

Mithilfe eines LLM-gestützten Bewertungssystems in Kombination mit manueller Überprüfung identifizieren wir 2.051 missbräuchlich verwendete GPTs, die zehn verbotenen Szenarien zugeordnet werden können. Mittels statischer und dynamischer Analyse untersuchen wir das Spektrum dieser missbrauchten GPTs – darunter Trends, Entwickler, Funktionsmechanismen und Effektivität.

Unsere Ergebnisse zeigen, dass die Entwickler solcher GPTs verschiedene Strategien anwenden, um OpenAIs Prüfmechanismen zu umgehen – zum Beispiel durch die Einbindung externer APIs, verschleiernde Beschreibungen oder URL-Weiterleitungen. Besonders auffällig: GPTs, die externe APIs verwenden, liefern mit höherer Wahrscheinlichkeit Antworten auf unzulässige Anfragen – im Szenario „Illegale Aktivitäten“ lag die Antwortquote durchschnittlich 22,81 % höher als bei anderen missbrauchten GPTs.

Unter Nutzung von VirusTotal identifizieren wir 50 bösartige Domains, die in 446 GPTs eingebunden sind. Davon wurden 33 als Phishing, 28 als Malware und 2 als Spam klassifiziert (Mehrfachzuordnungen waren möglich).

Unsere Ergebnisse wurden verantwortungsvoll an OpenAI offengelegt, und zwar am 11. September 2024 sowie am 12. November 2024. Bereits bis zum 25. September wurden 1.316 von 1.804 GPTs, die in der ersten Meldung enthalten waren, aus dem Store entfernt.

Diese Studie beleuchtet das alarmierende Ausmaß des Missbrauchs von GPTs in einem aufstrebenden KI-Marktplatz und liefert konkrete Handlungsempfehlungen für alle beteiligten Akteure, um zukünftigen Missbrauch wirksam zu verhindern.

Große Sprachmodelle (Large Language Models, LLMs) haben die Nachfrage nach hochwertigen Prompts deutlich erhöht – diese gelten mittlerweile als wertvolle Ressourcen in sogenannten Prompt-Marktplätzen. Gleichzeitig hat diese Entwicklung zur Entstehung von Prompt-Stealing-Angriffen geführt, bei denen Angreifende versuchen, aus den generierten Ausgaben Rückschlüsse auf die ursprünglichen Prompts zu ziehen. Solche Angriffe bedrohen das geistige Eigentum und die Geschäftsmodelle dieser Marktplätze.

Frühere Studien untersuchten Prompt-Stealing primär anhand akademischer Datensätze. Die zentrale Frage blieb dabei unbeantwortet: Stellen diese Angriffe tatsächlich eine Bedrohung für Prompts aus der realen Anwendung („in the wild“) dar, die von echten Nutzerinnen und Nutzern kuratiert wurden?

In dieser Arbeit präsentieren wir die erste systematische Untersuchung zur Wirksamkeit von Prompt-Stealing-Angriffen auf in-the-wild-Prompts. Unsere Analyse zeigt, dass solche Prompts sich deutlich von akademischen Prompts unterscheiden – hinsichtlich Länge, Semantik und Themen. Die anschließende Evaluation ergibt, dass bestehende Angriffsverfahren in diesem realitätsnahen Kontext nur geringe Erfolgsraten erzielen.

Um die Effektivität der Angriffe zu verbessern, setzen wir eine auf Text-Gradienten basierende Methode ein, mit der Prompts iterativ verfeinert werden, um die ursprüngliche Ausgabe besser zu reproduzieren. Diese Methode steigert die Angriffsleistung messbar: Der METEOR-Score zur Prompt-Rekonstruktion verbessert sich von 0,207 auf 0,253, jener zur Output-Rekonstruktion von 0,323 auf 0,440.

Trotz dieser Fortschritte zeigen unsere Ergebnisse, dass grundlegende Herausforderungen weiterhin bestehen, was den Bedarf an weiterer Forschung unterstreicht – sowohl zur Verbesserung als auch zur realitätsnahen Bewertung der Effektivität von Prompt-Stealing-Angriffen in praktischen Szenarien.

Das spekulative Laden von Speicherinhalten, bekannt als Hardware Prefetching, ist eine gängige Optimierung in modernen CPUs – birgt jedoch das Risiko mikroarchitektonischer Side-Channel-Schwachstellen. Frühere Arbeiten haben gezeigt, dass sich Prefetching ausnutzen lässt, um Prozessisolation zu umgehen und sensible Daten auszulesen. Bis heute existiert jedoch keine effektive und effiziente Schutzmaßnahme, die Software auf betroffenen Systemen zuverlässig absichert. Oft gilt das dauerhafte Deaktivieren des Prefetchers als einzige realistische Abwehrmaßnahme – mit erheblichen Leistungseinbußen.

In dieser Arbeit stellen wir PreFence vor – einen feingranularen und scheduler-bewussten Schutzmechanismus gegen Prefetching-basierte Angriffe, der auf allen Plattformen funktioniert, bei denen sich der Prefetcher deaktivieren lässt. PreFence erweitert den Prozess-Scheduler, sodass dieser die Sicherheitsanforderungen einzelner Prozesse erkennt und den Zustand des Prefetchers dynamisch steuern kann – selbst auf Plattformen mit Simultaneous Multithreading (SMT). Dadurch wird der Prefetcher nur während sicherheitskritischer Operationen deaktiviert – und das mit nur einem einzigen Systemaufruf.

Bibliotheks- und Anwendungsentwickler können ihre Software mit minimalem Anpassungsaufwand absichern, während Nutzer sogar komplette Legacy-Anwendungen über ein Wrapper-Programm schützen können. Wir haben unsere Gegenmaßnahme auf x86_64- und ARM-Prozessoren implementiert und zwei bekannte Prefetching-Angriffe aus früheren Arbeiten evaluiert. Das Ergebnis: PreFence unterbindet Datenlecks zuverlässig, bei einem geringen Performance-Overhead von unter 3 % auf sicherheitskritischen Funktionen.

Zudem zeigt sich: Wird keine sicherheitsrelevante Funktion ausgeführt, ist die Leistungseinbuße vernachlässigbar. Abschließend bewerten wir den Einsatz von PreFence in einer realen Webserver-Anwendung, die es nutzt, um sicherheitskritische Vorgänge im Zusammenhang mit HTTPS zu schützen. Im Vergleich zum dauerhaften Deaktivieren des Prefetchers ermöglicht PreFence signifikante Performancegewinne – bis zu 15,8 % auf Intel- und 7,2 % auf ARM-Prozessoren, bei gleichem Sicherheitsniveau.

Mikroarchitektonische Angriffe stellen eine wachsende Bedrohung für moderne Computersysteme dar. CPU-Caches sind ein wesentlicher, aber komplexer Bestandteil vieler mikroarchitektonischer Angriffe, weshalb es von entscheidender Bedeutung ist, ihre Funktionsweise zu verstehen. Trotz Fortschritten bei den Reverse-Engineering-Techniken sind nichtlineare Cache-Slice-Funktionen nach wie vor schwer zu analysieren, insbesondere in den aktuellen hybriden Mikroarchitekturen von Intel. In diesem Artikel stellen wir einen neuartigen Ansatz zur Reverse Engineering komplexer, nichtlinearer Cache-Slice-Funktionen vor, insbesondere auf modernen Intel-CPUs mit hybriden Mikroarchitekturen. Unsere Methode stellt eine erhebliche Weiterentwicklung früherer Arbeiten dar, da sie die spezifische Struktur mikroarchitektonischer Hash-Funktionen versteht und den Zeitaufwand für das Reverse Engineering von Tagen auf Minuten reduziert. Im Gegensatz zu früheren Arbeiten kann unsere Technik Systeme mit 512 GB Arbeitsspeicher und unterschiedlichen Slice-Konfigurationen erfolgreich verarbeiten. Wir stellen 17 neu identifizierte Funktionen vor, die für die Cache-Slice-Adressierung verwendet werden, und erweitern bestehende Funktionen, um Systeme mit mehr DRAM für mehrere CPU-Generationen zu unterstützen. Darüber hinaus führen wir ein nicht privilegiertes Virtual-to-Physical-Adress-Orakel ein, das eine direkte Folge der Komplexität der nichtlinearen Slice-Funktionen ist. Unsere Methode ist besonders effektiv auf modernen Intel-Hybrid-CPUs, einschließlich Alder Lake und Meteor Lake, wo bisher verwendete Methoden zur Messung von Slices oder zum Auslesen physischer Adressen nicht verfügbar sind. In drei Fallstudien validieren wir unseren Ansatz und demonstrieren seine Wirksamkeit bei der Ausführung gezielter Spectre-Angriffe auf nicht vom Angreifer zugeordnetem Speicher, der Ermöglichung von DRAMA-Angriffen und der Erstellung von Cache-Eviction-Sets. Unsere Ergebnisse unterstreichen die erhöhte Angriffsfläche, die durch komplexe Cache-Slice-Funktionen in modernen CPUs entsteht.

Verteilte Schlüsselgenerierungsprotokolle (Distributed Key Generation, DKG) sind grundlegende Komponenten der Schwellenwertkryptografie und ermöglichen die vertrauenswürdige Schlüsselgenerierung für eine Reihe von kryptografischen Operationen wie Schwellenwertverschlüsselung und Signierung. Besonders weit verbreitet sind DKG-Protokolle für Kryptosysteme auf Basis diskreter Logarithmen. In dieser Systematisierung des Wissens (SoK) präsentieren wir eine umfassende Analyse bestehender DKG-Protokolle im diskreten Logarithmus-Setting mit dem Ziel, kryptografische Techniken und Designprinzipien zu identifizieren, die die Entwicklung sicherer und widerstandsfähiger Protokolle erleichtern. Um einen strukturierten Überblick über die Literatur zu bieten, verfolgen wir einen modularen Ansatz und klassifizieren DKG-Protokolle anhand ihrer zugrunde liegenden Netzwerkannahmen und kryptografischen Werkzeuge. Diese beiden Faktoren bestimmen, wie DKG-Protokolle die geheime Verteilung verwalten und einen Konsens erzielen, da sie die wesentlichen Bausteine darstellen. Darüber hinaus stellen wir verschiedene Erkenntnisse vor und schlagen zukünftige Forschungsrichtungen vor, die weitere Fortschritte in diesem Bereich vorantreiben könnten.

In den letzten zehn Jahren hat die Verbreitung von Satelliten in der erdnahen Umlaufbahn, angetrieben durch niedrigere Startkosten, die Weltraumanwendungen revolutioniert, von der Kommunikation über die Erdbeobachtung bis hin zur Wettervorhersage. Dieser Trend führte auch zu einer Veränderung bei der Hardware: Spezielle strahlungsbeständige Hardware wurde durch kostengünstigere handelsübliche Komponenten ersetzt. Als wichtiger Bestandteil der modernen Infrastruktur sind Satelliten Ziel von Cyberangriffen und terrestrischen sowie weltraumspezifischen Bedrohungen, sodass wirksame Sicherheitsmaßnahmen erforderlich sind. Allerdings sind kryptografische Schutzmaßnahmen und Exploit-Abwehrmechanismen in produktiver Satellitenfirmware nach wie vor begrenzt. Die akademische Forschung zur Satellitensicherheit konzentriert sich ausschließlich auf kryptografische Schutzmaßnahmen, was die Frage aufwirft, ob Exploit-Abwehrstrategien für Satelliten geeignet sind oder durch weltraumspezifische Faktoren wie kosmische Strahlung beeinträchtigt werden. In diesem Artikel präsentieren wir die erste systematische Analyse von 381 Kleinsatellitendesigns, in der wir die Verbreitung handelsüblicher Hardwareplattformen in Weltraumprojekten und die Verfügbarkeit einsatzbereiter Exploit-Abwehrstrategien für Satellitenplattformen ermitteln. Da Abwehrmaßnahmen offenbar verfügbar sind, untersuchen wir die Auswirkungen kosmischer Strahlung auf softwarebasierte Exploit-Abwehrmaßnahmen durch die Implementierung von RadSim, einem automatisierten Tool zur Simulation von Einzelereignisfehlern (Bitflips). Unsere Studie simulierte über 21 Milliarden Fehler in unterschiedlich gehärteten Satelliten-Firmware-Binärdateien, um die Fehlertoleranz von Strategien zur Eindämmung von Exploits unter kosmischer Strahlung zu bewerten. Unsere Ergebnisse zeigen, dass einige Maßnahmen kaum Auswirkungen auf die Fehlertoleranz haben, während andere die Fehlerwahrscheinlichkeit von gehärteter Satelliten-Firmware um bis zu 19 % erhöhen. Diese Erkenntnisse liefern neue Einblicke in die Kompromisse zwischen der Wirksamkeit von Maßnahmen zur Eindämmung von Exploits und der Strahlungsresistenz und bieten Satellitenentwicklern eine Orientierungshilfe für die Optimierung der Sicherheit in weltraumgestützten Systemen.