Dr. Karsten Sohr

Ich bin Senior Researcher am Technologie-Zentrum Informatik und Informationstechnik (TZI) der Universität Bremen.
Dort bin ich insbesondere Koordinator für die Entwicklung des Themas „Informationssicherheit“.

Forschungsinteressen

• Rollenbasiertes Berechtigungsmanagement
• Sicherheit mobiler Anwendungen, Java-Sicherheit
• Anwendung Formaler (mathematischer) Methoden in der Informationssicherheit

Aktuelles

!! Masterarbeit zu vergeben: Weiterentwicklung und Evaluation eines Werkzeugs zur Sicherheitsanalyse von Java-Software.

In der Magenta Smarthome-App für Android der Telekom ist eine Sicherheitslücke in der Zertifikatsprüfung zu finden (Version < 4.9). Diese Lücke erlaubt einem Angreifer, unter bestimmten Umständen einen Man-in-the-middle-Angriff bei Zugriff auf das lokale Netz durchzuführen. Details sind in der Bachelorarbeit von Luca Glockow und in folgendem kurzen Bericht zu finden.

In der Siemens SmartClient-App für Android (Fernsteuerung von ICS) hat Timo Glander zwei Sicherheitslücken gefunden. Details sind hier zu finden. Auch gibt es von der Siemens AG ein Advisory.

Das BMBF fördert das SecureSmartHomeApp-Projekt, in dem es um eine systematische Schwachstellenanalye von App-gesteuerten Smarthome-Systemen geht und auf Basis dieser Erkenntnisse eine Referenzsicherheitsarchitektur entwickelt wird (Security-by-Design-Ansatz).

Wir haben in der SAP Mobile Documents Client-App mehrere Sicherheitslücken gefunden.

HP musste die Android-App HPAnywhere zurückziehen, nachdem Christian Liebig eine Code-Injection-Verwundbarkeit gefunden hat. Der genaue Bericht über die Verwundbarkeit ist hier zu finden. Dank an CERT/CC, das die Kommunikation mit HP koordinierte.

Die Siemens AG hat ein Advisory für die SPCAnywhere App (Android, iOS) herausgegeben, in der Bernhard Berger, Kai Hillmann und ich verschiedene Sicherheitslücken entdeckt haben. Mit Hilfe der SPCAnywhere App kann man eine Alarmanalage fernsteuern; durch die Lücke war es einem Angreifer möglich, einen Middleperson-Angriff durchzuführen. Die Siemens AG hat ein weiteres Advisory herausgegeben. Dieses betrifft die Kommunikationssicherheit der Android-App HomeControl for Room Automation.

Update:Auch für die SmartClient-App für Android (Fernsteuerung von ICS) hat die Siemens AG ein Advisory veröffentlicht; hier ging es um die unsichere Speicherung von Anlagen-Passwörtern auf dem Android-Gerät (WiFi-Adresse als Schlüssel).

Eingeworbene Projekte

In den letzten Jahren konnten wir verschiedene Fördermittel einwerben. Dies ermöglicht es uns, das Themengebiet „Informationssicherheit“ am TZI aufzubauen.

• XMELD (Auftraggeber: Senator für Finanzen des Landes Bremen)
• ForRBAC – Formale Spezifikation, Verifikation und Umsetzung von rollenbasierten Sicherheitsrichtlinien (gefördert von der DFG)
• ORKA – Organisatorische Kontrollarchitektur (gefördert vom BMBF)
• ITSEC – Erstellen eines E-Learning-Portals für IT-Sicherheit (Auftraggeber: Institut für Wissenstransfer GmbH)
• RFIDSec – Erstellen einer Studie zum Thema „Technologiezentrierte Sicherheit in RFID-Systemen“ (im Auftrag des BMBF)
• SIMOIT – Sicherer Zugriff von mobilen Mitarbeitern auf die IT-Infrastruktur von mittelständisch geprägten Unternehmen (gefördert von der Bremer Investitionsgesellschaft mbH)
• SiWear – Sichere Wearable-Systeme zur Kommissionierung industrieller Güter sowie für Diagnose, Wartung und Reparatur (gefördert vom BMWI)
• Mobiltelefon-Demonstrator – Demonstration einer Sicherheitslücke in Mobiltelefonen (Auftrag BSI)
• FIDeS – Frühwarn- und Intrusion Detection System auf Basis kombinierter Methoden der Künstlichen Intelligenz (gefördert vom BMBF)
• VOGUE – Vertrauenswürdiger Mobiler Zugriff auf Unternehmensnetze (gefördert vom BMBF)
• ASKS – Architekturbasierte Sicherheitsanalyse geschäftskritischer Software-Systeme (gefördert vom BMBF)
• SAiM – Schutz Androids durch intelligentes Monitoring (gefördert vom BMBF)
• iMonitor – Entwicklung von optimierten und parallelen Inferenzverfahren für SIEM-Systeme (gefördert vom BMWI im Rahmen von ZIM)
• ZertApps – Zertifizierte Sicherheit von mobilen Anwendungen (gefördert vom BMBF)
• SecurityPatterns – Erkennung und Validierung von Security Patterns (gefördert von der DFG)
• CertifiedApplications – Leichtgewichtige Sicherheitszertifizierung für Java-Anwendungen mittels werkzeuggestützter Programmanalysen (gefördert vom BMWI im Rahmen von ZIM)
• PortSec – IT-Risikomanagement in der Hafentelematik auf Basis der Software-Architektur (gefördert vom BMBF)
• SecureSmartHomeApp - Entwicklung sicherer mobiler Anwendungen zur Steuerung von Smarthome-Systemen (gefördert vom BMBF)
• SecAnalysisOSCI – Begutachtung der OSCI-Bibliothek (Java) (Auftraggeber: Senatorin für Finanzen des Landes Bremen)
• SecProPort – Skalierbare Sicherheitsarchitekturen für die Geschäftsprozesse in deutschen Häfen (gefördert vom BMVI)

Publikationen

1. K. Sohr. Architectural Aspects of Software Security. Synopsis der Habilitationsschrift, Universität Bremen, März 2021.
2. N. Zargham, M. Bahrini, G. Volkmar, D. Wenig, K. Sohr, R. Malaka. What Could Go Wrong? Raising Mobile Privacy and Security Awareness Through a Decision-Making Game. In Proc. of the 2019 ACM Annual Symposium on Computer-Human Interaction in Play (Extended Abstracts), Barcelona, Spanien, 2019.
3. B. Berger, K. Sohr, R. Koschke. The Architectural Security Tool Suite ArchSec, 19th IEEE International Working Conference on Source Code Analysis and Manipulation, Cleveland, Ohio, 2019. Best Engineering Paper Award.
4. M. Bahrini, N. Wenig, G. Volkmar, J. Schmutte, K. Sohr, R. Malaka. Make my Phone Secure! Using Gamification for Mobile Security Settings. In Proc. of Mensch und Computer 2019, Hamburg.
5. B. Berger, C. Maeder, R. W. Nguempnang, K.Sohr, C. E. Rubio-Medrano. Towards Effective Verification of Multi-Model Access Control Properties. In Proceedings of the 24th ACM Symposium on Access Control Models and Technologies (SACMAT 2019), Toronto, Kanada, 2019.
6. M. Bahrini, N. Wenig, M. Meissner, K. Sohr, R. Malaka. HappyPermi: Presenting Critical Data Flows in Mobile Applications to Raise User Security Awareness. In Proc. of the 2018 ACM CHI Conference on Human Factors in Computing Systems (ACM CHI 2019), Late Breaking Work-Track, Glasgow, 2019.
7. K. Sohr, T. Mustafa, M. Gulmann, P. Gerken. Towards Security Program Comprehension with Design by Contract and Slicing, 2015. (Das Paper beschreibt einen statischen Analyseprozess, der die Vorgehensweise von Code-Audits nachbildet und diese vereinfacht.)
8. F. Hilken, M. Schuster, K. Sohr, M. Gogolla. Integrating UML/OCL Derived Properties into Validation and Verification Processes. In Proc. 16th International Workshop in OCL and Textual Modeling, October 2, 2016, Saint-Malo, France.
9. B. Berger, K. Sohr, R. Koschke. Automatically Extracting Threats from Extended Data Flow Diagrams. In Proc. 8^th International Symposium on Engineering Secure Software and Systems (ESSoS 2016), London, April 2016.
10. C. Medrano, G.-J. Ahn, K. Sohr. Achieving Security Assurance with Assertion-Based Application Construction. EAI Endorsed Transactions on Collaborative Computing, 2015.
11. L. Hamann, K. Sohr, M. Gogolla. Monitoring Database Access Constraints with an RBAC Metamodel: a Feasibility Study. In Proc. 7^th International Symposium on Engineering Secure Software and Systems (ESSoS 2015), Mailand, Italien, März 2015.
12. C. Medrano, G.-J. Ahn, K. Sohr. Achieving Security Assurance with Assertion-Based Application Construction. 9^th Workshop on Trusted Collaboration (TrustCol-2014), Miami, Florida, 2014.
13. B. Berger, K. Sohr, U. Kalinna. Architekturelle Sicherheitsanalyse für Android Apps, D-A-CH Security, Graz, 2014.
14. T. Mustafa, K. Sohr: Understanding the Implemented Access Control Policy of Android System Services with Slicing and Extended Static Checking, International Journal of Information Security (IJIS), Springer-Verlag, Berlin, 2014. Ersetzt den Technischen Bericht.
15. S. Bartsch, B. J. Berger, E. Bodden, A. D. Brucker, J. Heider, M. Kus, S. Maseberg, K. Sohr, M. Volkamer. Zertifizierte Datensicherheit für Android-Anwendungen auf Basis statischer Programmanalysen. In Proc. Sicherheit – Schutz und Zuverlässigkeit (Sicherheit 2014), Wien, Österreich, 2014.
16. O. Hofrichter, M. Gogolla, K. Sohr: UML/OCL based Design and Analysis of Role-Based Access Control Policies. In Proc. of the 1^st International MODELS Workshop Towards the Model DrIven Organization (AMINO 2013), Miami, USA, 2013.
17. S. Bartsch, B. Berger, M. Bunke, K. Sohr. The Transitivity-of-Trust Problem in Android Application Interaction (Short Paper). In Proc. of the 8th International Conference on Availability, Reliability and Security (AReS 2013), Regensburg, Deutschland, 2013. Langfassung als Technischer Bericht verfügbar.
18. C. E. Rubio-Medrano, G.-J. Ahn, K. Sohr. Verifying Access Control Properties with Design by Contract: Framework and Lessons Learned. In Proc. 37^th Annual International Computer Software & Applications Conference Kyoto, Japan, 2013.
19. B. Berger, K. Sohr, R. Koschke: Extracting and Analyzing the Implemented Security Architecture of Business Applications. In Proc. of the 17^th European Conference on Software Maintenance and Reengineering (CSMR 2013), Genua, Italien, 2013.
20. M. Kuhlmann, K. Sohr, M. Gogolla. Employing UML and OCL for Designing and Analyzing Role-Based Access Control. In Mathematical Structures in Computer Science, Vol. 23, No. 4, 2013.
21. K. Sohr, M. Kuhlmann, M.Gogolla, H. Hu, G.-J.Ahn. Comprehensive Two-Level Analysis of Role-Based Delegation and Revocation Policies with UML and OCL. In Information and Software Technology (IST), Volume 54, No. 12, 2012.
22. H. Birkholz, I. Sieverdingbeck, K. Sohr, C. Bormann. IO: An interconnected asset ontology in support of risk management processes. In Proc. of the 1^st International Workshop on Security Ontologies and Taxonomies (SecOnT 2012), 2012.
23. B. Berger, K. Sohr. An Approach to Detecting Inter-Session Data Flow Induced by Object Pooling. In Proc. of the 27^th IFIP International Information Security and Privacy Conference (IFIP Sec 2012), Kreta, Griechenland, 2012.
24. B. Berger, M. Bunke, K. Sohr. An Android Security Case Study with Bauhaus (Short Paper). In Proc. of the 18th Working Conference on Reverse Engineering (WCRE 2011), Limerick, Ireland, 2011.
25. C. Elfers, H. Birkholz, B. Samjeske, K. Sohr. Unternehmensübergreifender Austausch von sicherheitsrelevantem Wissen. In Datenschutz und Datensicherheit (DuD), Vol. 4, 2011.
26. M. Kuhlmann, K. Sohr, M. Gogolla. Comprehensive Two-Level Analysis of Static and Dynamic RBAC Constraints with UML and OCL. In Proc. 5^th IEEE International Conference on Secure Software Integration and Reliability Improvement (SSIRI 11), Jeju Island, Südkorea, Juni 2011. Best Paper Award.
27. M. Bunke, K. Sohr. An Architecture-Centric Approach to Detecting Security Patterns in Software. In Proc. 3^rd International Symposium on Engineering Secure Software and Systems (ESSoS 2011), Madrid, Spanien, Februar 2011.
28. K. Sohr, T. Mustafa, A. Nowak.  Software Security Aspects of Java-Based Mobile Phones. In Proceedings of the 26^th ACM Symposium on Applied Computing, Taichung, Taiwan, März 2011.
29. N. Kuntze, R. Rieke, G. Diederich, R. Sethmann, K. Sohr, T. Mustafa, K. Detken. Secure mobile business information processing. Proc. of the 6^th IEEE/IFIP International Symposium on Trusted Computing and Communications (TrustCom-10), Hongkong, China, Dezember 2010.
30. R. Rittmeier, K. Sohr. Grundzüge eines Sicherheitskonzepts für Arztpraxen mit Hilfe von Attack Trees und unter Berücksichtigung der Gesundheitstelematik. Proc. Workshop Sichere Informationstechnologie für das Gesundheitswesen von morgen im Rahmen der 55. GMDS-Jahrestagung, Mannheim, Springer, LNI P-174, 2010.
31. C. Elfers, M. Horstmann, K. Sohr, O. Herzog. Typed Linear Chain Conditional Random Fields and their Application to Intrusion Detection. In Proceedings of the 11^th International Conference on Intelligent Data Engineering and Automated Learning (IDEAL10), LNCS, Paisley, Schottland, 2010.
32. T. Mustafa, M. Drouineaud, K. Sohr. Towards Formal Specification and Verification of a Role-Based Authorization Engine using JML (Position Paper). In Proceedings of the 5^th ACM ICSE Workshop on Software Engineering for Secure Systems (SESS10), Kapstadt, Südafrika, Mai 2010.
33. K. Sohr, B. Berger. Idea: Towards Architecture-Centric Security Analysis of Software. Proc. 2^nd International Symposium on Engineering Secure Software and Systems (ESSoS 2010), Pisa, Italien.
34. S. Edelkamp, C. Elfers, M. Horstmann, M.-S. Schröder, K. Sohr, T. Wagner. Early Warning and Intrusion Detection based on Combined AI Methods. First Workshop on Intelligent Security (SecArt 09), Thessaloniki, Griechenland, 2009.
35. C. Alm, M. Drouineaud, U. Faltin, K. Sohr, R. Wolf. A Classification Framework Designed for Advanced Role-based Access Control Models and Mechanisms, Technischer Bericht Nr. 51 des TZI der Universität Bremen, 2009.
36. S. Bartsch, K. Sohr, C. Bormann. Supporting Agile Development of Authorisation Rules for SME Applications. Proc. of the 3^rd International Workshop on Trusted Collaboration (TrustCol-2008), Orlando, FL, USA, November 13 - 16, 2008.
37. T. Mustafa, K. Sohr, D.-H. Dang, M. Drouineaud, S. Kowski. Implementing Advanced RBAC Functionality with USE. Proc. of the 8^th OCL Workshop at the UML/MoDELS Conferences, Toulouse, Electronic Communications of the EASST, Volume 15, 2008.
38. K. Sohr, T. Mustafa, G.-J. Ahn, X. Bao. Enforcing Role-Based Access Control Policies in Web Services with UML and OCL, 24^th Annual Computer Security Applications Conference, Anaheim CA, Dezember 2008. Eine etwas längere Fassung kann hier gefunden werden.
39. S. Schäfer, K. Sohr. RFID-Authentisierung in der Lieferkette der Automobilindustrie, D-A-CH Security, Berlin, 2008.
40. K. Sohr, M. Drouineaud, G.-J. Ahn, M. Gogolla. Analyzing and Managing Role-Based Access Control Policies. IEEE Transactions on Knowledge and Data Engineering, Vol. 20, No. 7, 2008.
41. M. Kus, M. Lawo, M. Ronthaler, R. Sethmann, K. Sohr, K. Wind. Angepasste Benutzerschnittstellen für das Wearable Computing im Projekt SiWear. Workshop “Nomadic & Wearable User Interfaces”, Mensch und Computer 2007, Weimar, September 2-5, 2007.
42. T. Hollstein, M. Glesner, U. Waldmann, H. Birkholz, K. Sohr. Security challenges for RFID key applications. 3^rd Workshop on RFID Systems and Technologies, Duisburg, 2007.
43. U. Waldmann, T. Hollstein, K. Sohr. Technologieintegrierte Datensicherheit bei RFID-Systemen. Studie im Auftrage des BMBF, 2007.
44. A. Schaad, K. Sohr, M. Drouineaud. A Workflow-based Model-checking Approach to Inter- and Intra-analysis of Organisational Controls in Service-oriented Business Processes, Journal of Information Assurance and Security, Volume 2, Issue 1, 2007.
45. A. Schaad, K. Sohr. A workflow instance-based model-checking approach to analysing organisational controls in a loan origination process. 1^st International Workshop on Secure Information Systems (SIS ’06). Wisla, Polen, 2006.
46. A. Schaad, V. Lotz, K. Sohr. A model-checking approach to analysing organisational controls in a loan origination process. In Proceedings of the 11th ACM Symposium on Access Control Models and Technologies, Lake Tahoe, CA, 2006.
47. K. Sohr, G.-J. Ahn, M. Gogolla, L. Migge. Specification and validation of authorisation constraints with UML and OCL. In Proceedings of 10th European Symposium on Research in Computer Security (ESORICS), LNCS 3679, Mailand, Italien, September 12-14, 2005.
48. K. Sohr, G.-J. Ahn, L. Migge. Articulating and enforcing authorisation policies with UML and OCL. In Proceedings of ACM ICSE Workshop on Software Engineering for Secure Systems (SESS05), St. Louis, Missouri, May 15-16, 2005 sowie in ACM SIGSOFT Software Engineering Notes.
49. K. Sohr, M. Drouineaud, G.-J. Ahn. Formal specification of role-based security policies for clinical information systems. In Proceedings of the 20th ACM Symposium on Applied Computing, Santa Fe, New Mexico, 2005.
50. M. Drouineaud, M. Bortin, P. Torrini, K. Sohr. A first step towards the formal verification of security policy properties of RBAC. In H.-D. Ehrich, K.-D. Schewe (Hrsg.), Proceedings of the 4th International Conference on Quality Software (QSIC), Braunschweig, 2004.
51. M. Drouineaud, A. Lüder, K. Sohr. A role-based access control model for agent-based control systems. In Proceedings of the 1st IEEE International Conference on Industrial Informatics, Banff, Kanada, 2003.
52. T. Mossakowski, M. Drouineaud, K. Sohr. A temporal-logic extension of role-based access control covering dynamic separation of duties. In Proceedings of the 4th International Conference on Temporal Logic, Juli 2003.
53. S. Deter, K. Sohr: Pini – A Jini-Like Plug&Play Technology for the KVM/CLDC. In Proceedings of the Innovative Internet Computing Systems, International Workshop IICS 2001, Ilmenau, Germany, Juni 21-22, 2001.
54. K. Sohr. Die Sicherheitsaspekte von mobilem Code. Dissertation, Universität Marburg, Juli 2001.
55. K. Sohr. Sandkastenspiele. c’t, Ausgabe 11, 226-232, 2000.
56. K. Sohr. Nicht verifizierter Code: eine Sicherheitslücke in Java. In C. Cap (Hrsg.), JIT ’99, Springer Verlag, 171-181, September 1999.

Betreute Doktorarbeiten

1.     Dr. Tanveer Mustafa: Static Security Analysis of Java Applications with an Approach Based on Design by Contract, 2013

2.     Dr. Michaela Bunke. Security-Pattern Recognition and Validation, 2019

Master- und Diplomarbeiten

1. Kim Schoen: Sichere Kommunikation in sporadischen Kundenbeziehungen, 2003
2. Daniela Bork: Sicherheitszertifizierung am Beispiel eines Marktplatzverbundes, 2003
3. Ersin Ürer: Untersuchung von WLAN-Sicherheitsprotokollen, 2005
4. Lars Migge: Spezifikation und Durchsetzung rollenbasierter Security Policies, 2005
5. Tanveer Mustafa: Design and Implementation of an Role-based Authorization Engine, 2006
6. Xinyu Bao, Yan Guo: Durchsetzung von organisatorischen Richtlinien in Web Services mit Hilfe von UML und OCL, 2007
7. Silke Schäfer: Konstruktion von sicheren RFID-Anwendungen, 2007
8. Adrian Nowak: Sicherheitsaspekte mobiler Endgeräte, 2007
9. Stefanie Gerdes: Rollenbasiertes Sicherheitskonzept für Krankenhäuser unter Berücksichtigung der aktuellen Entwicklungen in der Gesundheitstelematik, 2007
10. Meike Klose: Grundzüge eines IT-Sicherheitskonzeptes für Apotheken unter der Berücksichtigung der Gesundheitstelematik, 2008
11. Marc Ebler: Eine Sicherheitsanalyse zum Einsatz von mobilen Endgeräten im Außendienst, 2008
12. Assoulian Mkliwa Tchamsi: Umsetzung von dynamischen RBAC Policies mit Hilfe von UML und OCL, 2009
13. Raffael Rittmeier: Grundzüge eines Sicherheitskonzepts für Arztpraxen unter Berücksichtigung der Gesundheitstelematik, 2009
14. Jan Osmers: Ein Leitfaden für hohe Informationssicherheit beim mobilen Arbeiten, 2010
15. David Kamga Adamo: Entwicklung eines rollenbasierten Autorisierungswerkzeuges für Workflows auf Basis eines Modellprüfers, 2010
16. Florian Junge: Dynamische Erstellung von Angriffsbäumen für Rechnernetze mittels eines modularen Werkzeugs, 2010
17. Stefan Klement: Sicherheitsaspekte der Google Android Plattform, 2011
18. Bernd Samjeske: Entwicklung eines erweiterbaren ontologiebasierten Asset-Managements, 2012
19. Timo Reimerdes: Sicherheit und Privatsphäre in Sozialen Netzwerken, 2012
20. Bastian Breit: Sicherheitsaspekte von Android und mobilen Verkaufsportalen, 2013
21. Dimitri Hellmann: Angriffsszenarien ausgehend von Android-Anwendungen, 2013
22. Axel Auffarth: Modellierung von Sicherheitsaspekten in Softwarearchitekturen, 2013
23. Christian Liebig: Sicherheitsanalyse von mobilen Geschäftsanwendungen, 2014
24. Malte Humann: Auswirkungen von Sensoreigenschaften auf die Angriffserkennung mittels Sensorfusion, 2014
25. Oliver Schnieders: Identitätsmanagement im E-Commerce, 2014
26. Tim Schleier: Erstellung einer bidirektionellen Kommunikation mit CBOR als Datenformat, 2014
27. Markus Gulmann: Statische Sicherheitsanalyse der Android Systemservices, 2014
28. Katharina Hafner: Modellierung von Rollenkonzepten für Krankenhäuser mittels UML und OCL, 2015
29. Kevin Löhmann: Analyse und Beschreibung des Binder-Frameworks zur Interprozesskommunikation unter Android als Grundlage für weiterführende Sicherheitsbetrachtungen, 2015
30. Stefan Gommer: Identifikation von kritischen Informationsflüssen in Android-Anwendungen auf Basis von statischen Programmanalysen, 2015
31. Kai Hillmann: Sicherheitsanalyse von App-gesteuerten Alarmanlagen, 2015
32. Fritjof Bornebusch: New concept of the Android keystore service with regard to security and portability, 2016
33. Henning Ziegler: Analyse der Verwendung von Kryptographie-APIs in Java-basierten Anwendungen, 2016
34. Philipp Hirch: Automatische Inferenz von JML-Sicherheitsspezifikationen mit Exception Handling, 2016
35. Marcel Schuster: Modellierung und Validierung von Rechnernetzen auf unteren OSI-Schichten mit UML und OCL, 2017
36. Daniel Müller: Reference Security Guide for App-Controlled Smart Home Systems, 2017
37. Philipp Kolloge: Erweiterte Sicherheitsanalyse eines App-gesteuerten Smart Home Systems, 2018
38. Dario Treffenfeld-Mäder: Konzeption und prototypische Entwicklung einer Plattform zur Unterstützung des Programmverstehens der IT-Sicherheit von Anwendungen Handling, 2018
39. Philip Nguyen: Statische Sicherheitsanalyse mit automatisierten Code Audits - Sicherheitsanalyse von Java-Applikationen mit erweitertem Programm Slicing, 2017
40. Jörg Wilhelms: Sicherheitstechnische Untersuchung von Debug-Schnittstellen auf Android-basierten Smart-TVs und Smartphones, 2018
41. Jan Bartkowski: Evaluation der Machbarkeit von Threat Modeling und automatisierten Sicherheitstests für eine reale Cloud-Anwendung, 2018
42. Mathias Detmers. Sicherheitsanalyse der OSCI 1.2 Transport Bibliothek, 2019.
43. Michael Cyl. Sicherheitsanalyse für Android-Systemdienste, 2019.

Bachelorarbeiten

1. Kai Hillmann. Darstellung und Analyse eines Konzeptes zur digitalen Beweissicherung, 2011
2. Philipp Nguyen. NFC-Sicherheit mit Smartphones – Sicherheitsanalyse von Android-Applikationen mit NFC-Funktionalität, 2013
3. Markus Gulmann. Sicherheitsanalyse ausgewählter Systemservices des mobilen Betriebssystems Android, 2013
4. Alexander Neer. Richtlinien für den sicheren SSL/TLS-Einsatz, 2013
5. Malte Kuhn. Anomalieerkennung von Applikationsverhalten auf Android, 2014
6. Malte Batram. Dynamische Sicherheitsanalyse von ActionScript-basierten Webanwendungen, 2014
7. Denis Szadkowski. Evaluation eines Werkzeugs zur statischen Analyse von SSL/TLS-Schwachstellen, 2014
8. Patrick Hofmann. Entwicklung einer modularen Pentetration-Test-Suite zur Sicherheitsanalyse auf Android-Geräten, 2014
9. Alex Antoni. Darstellung von Ergebnissen statischer Codeanalysen installierter Android apk-Dateien auf dem Gerät des Nutzers, 2015
10. Patrick Gerken. Statische Sicherheitsanalyse von Java Enterprise-Anwendungen mittels Program Slicing, 2015
11. Florian Thomas. Modellierung von Informationen zur Interprozesskommunikation in Android-Anwendungen für Datenflussdiagramme, 2015
12. Sebastian Feldmann. Konzeption und Implementierung einer Eingabeprüfung für Struts-basierte Webanwendungen, 2015
13. Daniel Müller. Untersuchung zur Broadcast-Sicherheit in Android-Apps, 2015
14. Daniel Schwarz. Sicherheitsanalyse der clientseitigen Umsetzung des OAuth-Protokolls in Android-Anwendungen, 2016
15. Maximilian Schönborn. Detektion von Shared Preferences-Einträgen in Android-Applikationen mit Hilfe statische Programmanalyse, 2016
16. Jan Bartkowski. Sicherheitsanalyse eines App-gesteuerten Smart Home Systems, 2016
17. Mathias Detmers. Evaluation des WALA-Slicers bzgl. der Anwendbarkeit auf sicherheitskritische Java-Programme, 2016
18. Patrick Lorenz. Sicherheitsanalyse von Smarthome Android Apps, 2017
19. Paul Warsewa. Informationssicherheit für Laien, 2017
20. Timo Glander. Sicherheitsanalyse einer Android App zur entfernten Steuerung eines Industrial Controllers, 2017
21. Jonas Rahlf. Prüfung des korrekten Einsatzes von Krypto-APIs mit der Java Modeling Language und eines Extended Static Checkers, 2017
22. Kevin Skyba. Android Smarthome App Security Analysis, 2017
23. Luca Glockow. Sicherheitsanalyse einer Smarthome-Zentrale, 2017
24. Christoph Wohlers. Sicherheitsuntersuchung der Kommunikation eines FHSS-basierten Babyfons, 2018
25. Arian Mehrfard. Sicherheitsuntersuchung einer Android App für den Zugriff auf den Personalausweis, 2018
26. Tristan Bruns. Security Analysis of a Smart Home System: The Example of IKEA TRADFRI., 2018
27. Jerome Schmidt. Entwicklung eines Eingabeformates zur Definition von Securitypatterns für ein Sicherheitsanalysewerkzeug, 2018
28. Lorenz Hüther. Analyse von Datenerhebungsmethoden durch Smart-TVs, 2018
29. Jannis Ötjengerdes, Connor Lannigan. IT-Sicherheitsanalyse der Smarthome-Plattform openHAB2, 2018
30. Lasse Künzel. Sichere Vewendung der Qt-Bibliothek, 2018
31. Tobias Osmers. Sicherheitsanalyse der TLS-Client-Implementierung von Android-Anwendungen bezüglich ihrer Kommunikation mit einem Gerät im lokalen Netz, 2018
32. Jannis Fink. Low-Level Security Patterns for Android Apps controlling IoT device. 2019
33. Alim Kerimov. Evaluation eines auf Slicing basierenden Codeanalyse-Werkzeugs in Bezug auf seine praktische Anwendbarkeit im Kontext der IT-Sicherheit, 2019
34. Jasper Wiegratz. Sicherheitsgrundlagen von Docker-Images im Kontext der Softwareentwicklung mit DevOps am Beispiel eines Continuous Integration und Delivery Prozesses, 2019

Lehre

1. Sommersemester 2005: Informationssicherheit 1 (zusammen mit Prof. Dr. Carsten Bormann)
2. Sommersemester 2007: Informationssicherheit 1 (zusammen mit Prof. Dr. Carsten Bormann)
3. Wintersemester 2008/2009: Informationssicherheit 1 (zusammen mit Prof. Dr. Carsten Bormann)
4. Wintersemester 2009/2010: Informationssicherheit 1 (zusammen mit Prof. Dr. Carsten Bormann)
5. Wintersemester 2010/2011: Informationssicherheit 1 (zusammen mit Prof. Dr. Carsten Bormann)
6. Wintersemester 2011/2012: Informationssicherheit 1 (zusammen mit Prof. Dr. Carsten Bormann)
7. Wintersemester 2012/2013: Informationssicherheit 1 (zusammen mit Prof. Dr. Carsten Bormann)
8. Wintersemester 2013/2014: Informationssicherheit 1 (zusammen mit Prof. Dr. Carsten Bormann)
9. Wintersemester 2014/2015: Informationssicherheit 1 (zusammen mit Prof. Dr. Carsten Bormann)
10. Wintersemester 2015/2016: Informationssicherheit 1 (zusammen mit Prof. Dr. Carsten Bormann und Prof. Dr. Tim Güneysu)
11. Wintersemester 2016/2017: Informationssicherheit 1 (zusammen mit Prof. Dr. Carsten Bormann und Prof. Dr. Tim Güneysu)
12. Wintersemester 2017/2018: Informationssicherheit 1 (zusammen mit Prof. Dr. Carsten Bormann)
13. Wintersemester 2018/2019: Informationssicherheit 1 (zusammen mit Prof. Dr. Carsten Bormann)
14. Wintersemester 2019/2020: Informationssicherheit 1 (zusammen mit Prof. Dr. Carsten Bormann)
15. Wintersemester 2020/2021: Informationssicherheit 1 (zusammen mit Prof. Dr. Carsten Bormann)

Gutachtertätigkeiten

• Journal of Systems and Software (JSS)
• Science of Computer Programming (SoCP)
• Information and Software Technology (IST)
• Computer Standards & Interfaces (CSI)
• Journal of Interactive Media
• IEEE Transactions on Parallel and Distributed Systems (TPDS)
• IEEE Software

Des Weiteren war ich Gutachter für die Netherlands Organisation for Scientific Research (NWO) und die National Research Foundation of Korea (NRF).

Vorträge

• Software Security am Beispiel von Android-Anwendungen (Symposium zum 30-jährigen Bestehen des Fachgebietes Informatik an der Universität Marburg sowie Verabschiedung von Prof. Dr. Manfred Sommer)
• Architekturelle Risikoanalyse am Beispiel von Android-Anwendungen (12. Jahrestreffen der Fachgruppe „Formale Methoden und Software Engineering für Sichere Systeme“)
• Architekturelle IT-Risikomanagement in der Hafentelematik (Veranstaltung: "Tatort Schiff: Cybersecurity", Maritimes Cluster Norddeutschland)

Andere Aktivitäten

• Intelligent Security an der Universität Bremen
• Information Security Bremen
• BremSec-Forum (organisiert zusammen mit Siemens AG, Bremen, und der GDD)
• Health Solution Group

Kontakt