Forscher der Hochschule Bonn-Rhein-Sieg für ihre Arbeit zu mehr Sicherheit im Internet ausgezeichnet

Hochschule Bonn-Rhein-Sieg

Der Stifterverband hat Professor Luigi Lo Iacono und Stephan Wiefling von der Hochschule Bonn-Rhein-Sieg (H-BRS) mit dem Open Data Impact Award 2022 ausgezeichnet. Die beiden Wissenschaftler haben einen Datensatz zur freien Verfügung gestellt, mit dessen Hilfe sich die Sicherheit von Internetkonten verbessern lässt. Software-Entwickler erhalten damit Zugang zu wertvollen Daten, über die bisher nur wenige sehr große Internetkonzerne verfügten.

Mit der Auszeichnung will der Stifterverband das Potenzial von offenen Forschungsdaten für Innovation und Gesellschaft hervorheben. Drei Projekte hat die Jury für den Open Data Impact Award ausgewählt. Luigi Lo Iacono und Stephan Wiefling haben den zweiten Preis für ihr Projekt „Login Data Set for Risk-Based Authentification“ erhalten. Der Preis ist mit 10.000 Euro dotiert. Die Informatiker der Hochschule Bonn-Rhein-Sieg haben den Preis bei der feierlichen Preisverleihung am 7. November im Quadriga-Forum in Berlin aus den Händen von Anna Held, Programmmanagerin im Bereich „Programm und Förderung“ des Stifterverbandes, entgegengenommen.

Luigi Lo Iacono ist Professor für Informationssicherheit am Fachbereich Informatik der H-BRS. Gemeinsam mit Kolleginnen und Kollegen gründete er das Institut für Cyber Security & Privacy (ICSP), das im Sommer 2021 die Arbeit aufgenommen hat. Das ICSP bündelt Forschung, Lehre und Transfer am Fachbereich Informatik zu Themen der Sicherheit und Privatheit in der digitalen Welt. Stephan Wiefling ist Doktorand am ICSP. In seiner Forschungsarbeit untersucht er, wie sich die Sicherheit von Passwörtern ohne Mehraufwand für die Nutzerinnen und Nutzer verbessern lässt. Im Mittelpunkt seiner Arbeit steht die junge Technik der risikobasierten Authentifizierung (RBA), die von großen Onlinediensten wie Google, Facebook und Amazon bereits eingesetzt wird. Der Forschung und Weiterverbreitung dieser vielversprechenden Sicherheitslösung sind aktuell enge Grenzen gesetzt, da die dafür erforderlichen Datengrundlagen nicht frei verfügbar sind. Diese Lücke haben Lo Iacono und Wiefling geschlossen, indem sie die Merkmalsdaten von mehr als 33 Millionen Login-Versuchen veröffentlicht haben.

„Wir freuen uns sehr über die Auszeichnung und sehen sie als Bestätigung für unsere Arbeit“, kommentiert Professor Lo Iacono die Auszeichnung. „Stephan Wiefling war der Erste, der einen umfassenden Wissensbestand zu dieser Sicherheitstechnologie erarbeitet und offen zugänglich gemacht hat. Wissenschaftlich überprüfbare neue RBA-Lösungen können nun der gesamten digitalen Gesellschaft zugutekommen, Milliarden Menschen weltweit werden künftig effektiv vor Cyberangriffen auf ihre Internetkonten geschützt sein.“

Die risikobasierte Authentifizierung basiert auf dem Prinzip, dass eine Webseite die Eingaben von Nutzername und Passwort akzeptiert, solange das System keine Auffälligkeiten erkennt. Erst wenn der Einlogversuch von ungewöhnlichen Umständen begleitet wird, verlangt das System eine Bestätigung über die legitime Anmeldung. Als ungewöhnlich könnte das System die Anmeldung von einem bisher nicht genutzten Gerät betrachten oder von einem bisher unbekannten Ort. Die RBA-Technik ist damit für Nutzerinnen und Nutzer insofern komfortabel, als sie im Regelfall nur einmal ihr Passwort eingeben müssen.

„Mit RBA können wir viele Nutzerinnen und Nutzer vor Cyberangriffen schützen, ohne dass diese einen Unterschied in der Handhabung bemerken“, ergänzt Stephan Wiefling dazu. „Damit dies aber effektiv funktioniert, brauchen Entwicklungs- und Forschungsteams Testdaten aus der echten Welt. Bisher war das aber nur für große Internetkonzerne wie Google, Amazon und Meta möglich, die über die notwendigen Ressourcen und – vor allem – Daten verfügen. Mit unserem Datensatz kann nun auch die Allgemeinheit RBA erforschen und besser machen. Und das bisherige Feedback zeigt auch schon, dass der Datensatz von der Forschungs- und Entwicklungscommunity dankbar aufgenommen wird.“

Bei dem Datensatz, den die Wissenschaftler der Hochschule Bonn-Rhein-Sieg unter Creative-Commons-Lizenz auf unterschiedlichen Plattformen veröffentlicht haben, handelt es sich um die Daten von mehr als 33 Millionen Login-Versuchen von mehr als drei Millionen Nutzerinnen und Nutzern des multinationalen Telekommunikationsunternehmens Telenor. Die Daten wurden innerhalb eines Jahres gesammelt und für die Veröffentlichung anonymisiert und synthetisiert. Entwicklerinnen und Entwickler können mit Hilfe dieses Datensatzes effektivere Sicherheitslösungen für digitale Konten erarbeiten und unter realen Bedingungen testen.

Das Preisgeld will das Institut für Cyber Security & Privacy für die Weiterentwicklung von RBA-Lösungen verwenden. Darüber hinaus unterstützt es Unternehmen, Organisationen und Behörden bei der Einführung der RBA-Technik. Der anfängliche RBA-Datensatz wird dabei kontinuierlich erweitert – insbesondere um Daten zu Angriffsversuchen – um standardisierte Testverfahren für die Bewertung von RBA-Implementierungen bereitstellen zu können.

Der Open Data Impact Award wurde vom Stifterverband in Kooperation mit dem Magazin DUZ 2022 zum dritten Mal verliehen. Er ist mit einer Fördersumme von insgesamt 30.000 Euro dotiert, die auf drei Projekte verteilt wurden. Mit der Preisverleihung zielt der Verband darauf ab, die Nachnutzung von Forschungsdaten zu fördern. Der erste Preis ging an das Projekt „Open Sense Map“ der Universität Münster, der dritte Preis wurde an Dr. Sean Fobbe von der Ludwig-Maximilians-Universität München vergeben.

Der Stifterverband für die Deutsche Wissenschaft ist eine Gemeinschaftsinitiative von Unternehmen und Stiftungen. Der Verein mit Hauptsitz in Essen fördert in den Bereichen Bildung, Wissenschaft und Innovation. Schirmherr des Stifterverbandes ist traditionell seit 1949 der Bundespräsident, aktuell Frank-Walter Steinmeier.

Prof. Dr. Luigi Lo Iacono - Cyber Campus NRW

Prof. Dr. Luigi Lo Iacono

Hochschule Bonn-Rhein-Sieg

Professor für Informationssicherheit, Daten- und Anwendungssicherheit

Dr. Stephan Wiefling

Hochschule Bonn-Rhein-Sieg

Wissenschaftlicher Mitarbeiter, Forschungsgebiet Usable Security, Authentifizierung

Dr. Stephan Wiefling
„Ich forsche an risikobasierter Authentifizierung. Damit können wir die Sicherheit von passwortbasierter Authentifizierung erhöhen, ohne dass Nutzerinnen und Nutzer sie dabei als störend empfinden.“