Während ein Handy oder PC klassischerweise nur von einem Nutzer gesteuert wird, treffen im vernetzten Haushalt viele verschiedene Akteure aufeinander, die Geräte teilweise sogar gleichzeitig steuern wollen. Wie die Zugriffskontrolle für internetverbundene Haushaltsgeräte bestenfalls aussehen müsste, haben Forscher der Horst-Görtz-Instituts für IT-Sicherheit der Ruhr-Universität Bochum gemeinsam mit Kollegen der University of Chicago und der University of Washington untersucht. Sie befragten 425 Nutzerinnen und Nutzer in den USA nach ihren Wünschen und leiteten daraus Vorschläge für die Zugriffsverwaltung ab.
Die Ergebnisse stellte das Team im August 2018 auf dem Usenix Security Symposium in den USA vor. Das Wissenschaftsmagazin Rubin der Ruhr-Universität berichtet ausführlich über die Studie.
Nur Admin und Gast sind vorgesehen
Die Forscher recherchierten zunächst, welche Smart-Home-Geräte derzeit auf dem Markt sind, welche Fähigkeiten diese besitzen und wie sich Zugriffsrechte darauf verwalten lassen. „In seltenen Fällen gibt es neben dem Administrator oder Eigentümer, der alles darf, noch eine Gastgruppe mit anderen Zugriffsrechten“, resümiert Maximilian Golla, Doktorand in der Bochumer Arbeitsgruppe Mobile Security, die Prof. Dr. Markus Dürmuth leitet. In einem Haushalt treten aber wesentlich komplexere soziale Beziehungen auf.
Für ihre Onlinebefragung gingen die Wissenschaftler von sechs potenziellen Nutzergruppen aus: Ehepartner, achtjährige Kinder, 16-jährige Teenager, Familienmitglieder auf Besuch, Babysitter und Nachbarn. Sie wählten außerdem 22 Fähigkeiten aus, die Smart-Home-Geräte besitzen können, etwa Musik abspielen, online einkaufen, Licht anschalten oder Türschlösser steuern. Für jede Fähigkeit fragten sie die Teilnehmerinnen und Teilnehmer, ob die jeweilige Nutzergruppe darauf Zugriff haben sollte. Antworten konnten die Befragten: immer, manchmal oder nie.
Auf den Kontext kommt es an
Antwortete ein Proband mit „Manchmal“, musste er angeben, wovon es abhängt, ob die Person die Funktion nutzen können soll oder nicht. Aus diesen Antworten leiteten die Forscher eine Reihe von kontextbezogenen Faktoren ab, die die Zugriffsrechte beeinflussen, zum Beispiel das Alter, die Orte, an denen sich die Person oder das Gerät gerade befinden, die Tatsache, ob die Person das Gerät schon früher genutzt hat, die Tageszeit und die mit der Nutzung verbundenen Kosten.
Standardeinstellungen ableiten
Aus all den Daten der Befragung erstellten die IT-Forscher für jede Nutzergruppe ein Profil der Fähigkeiten, die diese Gruppe standardmäßig nutzen können sollte. Nach den Aussagen der Studienteilnehmer sollte der Ehepartner beispielsweise so gut wie alle Rechte haben, der Nachbar so gut wie keine. Für die anderen Nutzergruppen – Teenager, Kind, Familienbesuch und Babysitter – ergaben sich vier verschiedene Mischungen aus gewünschten und nicht gewünschten Fähigkeiten.
Wichtig dabei ist aber auch, dass das System nicht zu kompliziert wird, sodass die Nutzer von internetverbunden Haushalten keine Lust mehr haben, sich mit dem Wust an Zugriffsbeschränkungen auseinanderzusetzen. „Aus den erhobenen Daten kann man für die sechs ausgewählten Rollen Standardeinstellungen ableiten, die der Nutzer oder die Nutzerin dann nur noch im Bedarfsfall anpassen müsste“, erklärt Golla.
In Zukunft wollen die Forscher sich damit beschäftigen, wie man die Zugriffsbeschränkungen für Smart-Home-Geräte nutzerfreundlich über eine Regelsprache verwalten könnte.
Ausführlicher Beitrag in Rubin
Einen ausführlichen Beitrag (http://news.rub.de/wissenschaft/2018-10-24-themenwoche-digital-total-mehr-regeln...) zum Thema finden Sie im Wissenschaftsmagazin Rubin. Texte auf der Webseite und Bilder aus dem Downloadbereich dürfen unter Angabe des Copyrights für redaktionelle Zwecke honorarfrei verwendet werden.
Maximilian Golla
Arbeitsgruppe Mobile Security
Horst-Görtz-Institut für IT-Sicherheit
Ruhr-Universität Bochum
Tel.: 0234 32 28667
E-Mail: maximilian.golla@rub.de
Weijia He, Maximilian Golla, Roshni Padhi, Jordan Ofek, Markus Dürmuth, Earlence Fernandes, Blase Ur: Rethinking access control and authentication for the home Internet of Things (IoT), Usenix Security Symposium, Baltimore, USA, 2018, https://www.usenix.org/conference/usenixsecurity18/presentation/he
.be
Prof. Dr. Markus Dürmuth (links) leitet die Arbeitsgruppe Mobile Security, in der Maximilian Golla s ...
Roberto Schirdewahn
None
Criteria of this press release:
Journalists
Information technology
transregional, national
Research results
German
Prof. Dr. Markus Dürmuth (links) leitet die Arbeitsgruppe Mobile Security, in der Maximilian Golla s ...
Roberto Schirdewahn
None
You can combine search terms with and, or and/or not, e.g. Philo not logy.
You can use brackets to separate combinations from each other, e.g. (Philo not logy) or (Psycho and logy).
Coherent groups of words will be located as complete phrases if you put them into quotation marks, e.g. “Federal Republic of Germany”.
You can also use the advanced search without entering search terms. It will then follow the criteria you have selected (e.g. country or subject area).
If you have not selected any criteria in a given category, the entire category will be searched (e.g. all subject areas or all countries).