Individual Risk Management for Digital Payment Systems

Despite existing security standards and security technologies, such as secure hardware, gaps between users’ demand for security and the security offered by a payment system can still remain. These security gaps imply risks for users. In this paper, we introduce a framework for the management of those risks. As a result, we present an instrument enabling users to evaluate eventual risks related with digital payment systems and to handle these risks with technical and economic instruments.Payment Systems, Digital Money

Individual Risk Management for Digital Payment Systems

Despite existing security standards and security technologies, such as secure hardware, gaps between users’ demand for security and the security offered by a payment system can still remain. These security gaps imply risks for users. In this paper, we introduce a framework for the management of those risks. As a result, we present an instrument enabling users to evaluate eventual risks related with digital payment systems and to handle these risks with technical and economic instruments

To verify or tolerate, that’s the question

Formal verification carries the promise of absolute correctness, guaranteed at the highest level of assurance known today. However, inherent to many verification attempts is the assumption that the underlying hardware, the code-generation toolchain and the verification tools are correct, all of the time. While this assumption creates interesting recursive verification challenges, which already have been executed successfully for all three of these elements, the coverage of this assumption remains incomplete, in particular for hardware. Accidental faults, such as single-event upsets, transistor aging and latchups keep causing hardware to behave arbitrarily in situations where such events occur and require other means (e.g., tolerance) to safely operate through them. Targeted attacks, especially physical ones, have a similar potential to cause havoc. Moreover, faults of the above kind may well manifest in such a way that their effects extend to all software layers, causing incorrect behavior, even in proven correct ones. In this position paper, we take a holistic system-architectural point of view on the role of trusted-execution environments (TEEs), their implementation complexity and the guarantees they can convey and that we want to be preserved in the presence of faults. We find that if absolute correctness should remain our visionary goal, TEEs can and should be constructed differently with tolerance embedded at the lowest levels and with verification playing an essential role. Verification should both assure the correctness of the TEE construction protocols and mechanisms as well as help protecting the applications executing inside the TEEs

Modellbasierte Entscheidungsunterstützung für Vertraulichkeit und Datenschutz in Geschäftsprozessen

Informationsvertraulichkeits- und Datenschutz-Netze (ICPN) unterstützen Prozessmodellierer und -verantwortliche dabei, Datenschutz und Vertraulichkeit nicht nur rein technisch zu betrachten, sondern in Organisationen bereits frühzeitig beim Entwurf von Geschäftsprozessen zu berücksichtigen. Die in dem Buch veröffentlichte Petri-Netz-Erweiterung ICN ermöglicht es, Vertraulichkeit und Aspekte des Datenschutzes innerhalb von Geschäftsprozessmodellen systematisch zu betrachten

Entwicklung einer Diagnose-Shell zur Unterstützung von Informationssystemsicherheit

Im Rahmen der Arbeit wurde ein Expertisemodell des Managements der Informationssystemsicherheit (IS-Sicherheit) entwickelt und durch eine Diagnose-Shell operationalisiert. Es stand die Wissensrepräsentation und nutzung des IS-Sicherheitswissens zur Unterstützung des IS-Sicherheitsmanagements im Mittelpunkt. Hierfür wurden Methoden des Knowledge Engineering verwendet, um die IS-Sicherheitsstrategien durch diagnostische Problemlösungsmethoden zu beschreiben. Das benötigte IS-Sicherheitswissen wird durch IS-Sicherheitskonzepte repräsentiert. Die Modelle sind auf unterschiedlichen Abstraktionsstufen entwickelt worden, die zu einem epistemologischen Expertisemodell zusammengefasst worden sind. Es werden die drei Ebenen (Aufgaben-, Inferenz- und Domänen-Ebene) des Expertisemodells beschrieben und abgegrenzt. Die Aufgaben- und Inferenzebene beschreiben die Problemlösungsmethoden. Hierfür spezifiziert die Aufgabenebene das Ziel der Diagnose und deren Teilaufgaben. Es werden auf dieser Ebene generische Kontrollstrukturen bzw. Basis-Inferenzen (z.B. eines diagnostischen Problemlösungsprozesses) beschrieben. Eine Verfeinerung der Aufgabenebene bildet die Inferenzebene, die die Abhängigkeit zwischen Inferenzen und Wissens-Rollen darstellt. In der Domänenebene wird das domänenspezifische Wissen (z.B. das Sicherheitswissen) beschrieben, das zur konkreten Problemlösung (z.B. Schwachstellenanalyse oder Risikoanalyse) benötigt wird. Für die Problemlösung werden die Konzepte der Domänenebene, wie z.B. Schwachstellen oder Gefahren, auf die Wissens-Rollen der Problemlösungsmethoden überführt. Es wurde ein Entwurfsmodell für einen wissensbasierten Fragenkatalog entwickelt, das das Expertisemodell operationalisiert und die Grundlage für die spätere Implementierung darstellt. Hierfür werden die konventionellen, computergestützten Fragenkataloge durch eine wissensbasierte Regel-Komponente erweitert, die eine explizite Repräsentation von Abhängigkeitskonzepten ermöglicht. Darauf basierend wurde ein wissensbasierter Diagnose-Prototyp implementiert, der eine direkte Wissenseingabe und nutzung durch einen IS-Sicherheitsexperten unterstützt. Das wissensbasierte System kann auf Basis der Erhebung eine spezifische Problemlösung durchführen und automatisiert ein IS-Sicherheitskonzept erstellen

Ineffizienzen an Bitcoin-Märkten: eine explorative Analyse von Möglichkeiten der Raum- und Dreiecksarbitrage zwischen Bitcoin-Börsen und Devisenmärkten

Bitcoin hat in den Jahren nach seiner Erfindung eine bemerkenswerte Entwicklung durchlaufen. Mit schnell wachsender Nutzung, Verbreitung und medialem Interesse entstand auch ein umfangreiches Ökosystem zur Interaktion mit der neuen Technik. Vor dem Hintergrund dieses noch jungen und hochdynamischen Ökosystems in Verbindung mit immer wieder bekannt gewordenen Betrugsversuchen und Angriffen auf Marktteilnehmer stellt sich jedoch die Frage, wie sich der Bitcoin-Markt mit seinen in vielen Fällen erst neu gegründeten Börsen mit Blick auf die Markteffizienz verhält. Bereits auf den ersten Blick scheint es etwa den einen Bitcoin-Preis nicht zu geben, Preisunterschiede in unterschiedlicher Ausprägung stellen eher die Regel denn eine Ausnahme dar. Aus diesem Grund ist es von Interesse, ob und wie sich solche Ungleichgewichte im Zeitverlauf entwickeln, und welche Gründe für die Entstehung bzw. gegen den Abbau solcher Ungleichgewichte vorliegen könnten. Tauschvorgänge und somit Preisfeststellungen an Bitcoin-Börsen finden jedoch nicht in regelmäßigen Abständen, sondern teils mehrfach pro Sekunde, teils mit Abständen von gar mehreren Minuten statt. Das erschwert den Vergleich von Preisen unterschiedlicher Marktplätze, sofern nicht eine Aggregation der Daten auf feste Zeitpunkte erfolgt, die zwangsläufig mit einem Informationsverlust einhergeht. Diese Arbeit schlägt daher eine neue Methodik vor, um hochfrequente Tickdaten verschiedener Börsen ohne Informationsverlust zu vergleichen. Mit dieser Methodik erfolgt anschließend eine explorative Analyse von Möglichkeiten der Raum- und Dreiecksarbitrage zwischen Bitcoin- und Devisenmärkten auf der Ebene einzelner Ticks. So werden neue Einblicke in das Preisgefüge und zu Marktungleichgewichten auf höchster Detailebene ermöglicht. Zugleich wird damit eine mögliche Basis für künftige Forschungsprojekte zur Analyse von Kryptowährungen anhand von Tickdaten geschaffen.Bitcoin has undergone a remarkable development in the years after its invention. Along with rapidly growing use, distribution and media interest, an extensive ecosystem for interacting with the new technology quickly evolved. Against the backdrop of this highly dynamic ecosystem and in conjunction with repeatedly reported attempts at fraud and hacks of market participants, however, the question arises, as to how the mostly new-founded bitcoin exchanges are behaving with regard to market efficiency. Even at first glance, there seems to be no such thing as one true bitcoin price, divergences between exchanges rather appear to be quite prevalent. For this reason, it is of interest whether and how such price differences potentially evolve over the course of time, and what reasons might exist for the emergence or against the reduction of such divergences. However, trades and thus price determinations on Bitcoin exchanges do not take place at regular intervals, but sometimes several times per second, sometimes even with intervals of several minutes. This makes it difficult to compare prices from different marketplaces unless the data is aggregated to fixed points in time, which inevitably involves a loss of information. This thesis proposes a new methodology to compare high-frequency tick data from different exchanges without loss of information. This methodology is then applied to perform an exploratory analysis of possibilities for spatial and triangular arbitrage between bitcoin and foreign exchange markets at the level of individual ticks. The results provide new insights into the price structure and market inefficiencies at the highest possible level of detail. Coincidentially, this method provides a possible basis for future research projects on the analysis of cryptocurrencies using tick data