Sebastian Lins

Karlsruhe Institute of Technology | KIT · Institute of Applied Informatics and Formal Description Methods

Cloud service certifications (CSC) attempt to assure a high level of security and compliance. However, considering that cloud services are part of an ever-changing environment, multi-year validity periods may put in doubt reliability of such certifications. We argue that continuous auditing (CA) of selected certification criteria is required to ass...

When developing peer-to-peer applications on distributed ledger technology (DLT), a crucial decision is the selection of a suitable DLT design (e.g., Ethereum), because it is hard to change the underlying DLT design post hoc. To facilitate the selection of suitable DLT designs, we review DLT characteristics and identify trade-offs between them. Fur...

Artificial intelligence (AI) brings forth many opportunities to contribute to the wellbeing of individuals and the advancement of economies and societies, but also a variety of novel ethical, legal, social, and technological challenges. Trustworthy AI (TAI) bases on the idea that trust builds the foundation of societies, economies, and sustainable...

Catchword Article: Classification and Research Directions

Smart contracts are a promising means of formalizing and reliably enforcing agreements between entities using distributed ledger technology (DLT). Research has revealed that a significant number of smart contracts are subject to programming flaws, making them vulnerable to attacks and leading to detrimental effects, such as asset loss. Researchers...

Fog computing has evolved as a promising paradigm to overcome challenges of edge and cloud computing for use cases such as autonomous driving and virtual reality demanding low latency and the handling of large data loads. The design of fog systems between the cloud and edge opens a large space of possible tasks that fog nodes can take, such as (pre...

Information systems (IS) research has largely treated IS certifications (i.e., graphical cues that prove the endorsement of independent third parties) as universally effective at improving website visitors’ perceptions of trustworthiness. However, inconclusive findings on the effectiveness of IS certifications on websites have emerged, critically c...

AI-driven convergence describes how innovative products emerge from the interplay of embedded artificial intelligence (AI) in existing technologies. Trust transfer theory provides an excellent opportunity to deepen prevailing discussions about trust in such converged products. However, AI-driven convergence challenges existing theoretical assumptio...

Vehicular Fog Computing (VFC) facilitates the deployment of distributed, latency-aware services, residing between smart vehicles and cloud services. However, VFC systems are exposed to manifold security threats, putting human life at risk. Knowledge on such threats is scattered and lacks empirical validation. We performed an extensive threat assess...

Smart contracts are a promising means of formalizing and reliably enforcing agreements between entities using distributed ledger technology (DLT). Research has revealed that a significant number of smart contracts are subject to programming flaws, making them vulnerable to attacks and leading to detrimental effects, such as asset loss. Researchers...

Background: With direct-to-consumer (DTC) genetic testing enabling self-responsible access to novel information on ancestry, traits, or health, consumers often turn to social media for assistance and discussion. YouTube, the largest social media platform for videos, offers an abundance of DTC genetic testing–related videos. Nevertheless, user disco...

Whereas the importance of information system (IS) certifications is increasing to prove compliance with regulatory and industry requirements, research reveals inconsistent findings concerning the effectiveness of IS certifications. Prior studies have concluded that such inconsistent findings stem partly from users’ limited understanding of the natu...

While the importance of information system (IS) certifications to demonstrate compliance with security and personal data protection requirements is constantly increasing, competing (theoretical) viewpoints exist that outline the rationales for organizations to adopt certifica-tions. The results of these competing perspectives are inconclusive resea...

Zusammenfassung Der DigitalPakt Schule soll das deutsche Bildungswesen flächendeckend modernisieren, zeigt jedoch bisher Anlaufschwierigkeiten. Die bereitgestellten Fördermittel werden zögerlich abgerufen und die Kritiker:innen des Programms werden immer lauter. Diese Arbeit setzt genau an diesem Punkt an und diskutiert Ursachen und Einflüsse, die...

BACKGROUND With direct-to-consumer (DTC) genetic testing allowing consumers self-responsible access to novel information on their ancestry, traits, or health, consumers often turn to social media for assistance and discussion. While YouTube, the largest social media platform for videos, offers an abundance of DTC genetic testing-related videos, use...

Prior information system research remains inconsistent of the effects of system certifications. In their current use, certifications are often reduced to graphical seals. This approach fails to incorporate detailed assurance information emanating from the certification process. To address this gap, we adopt a design science approach and deploy a fo...

Continuous service certification (CSC) recently emerged as a promising means to provide ongoing assurances and disrupt pertinent certification approaches. CSC involves the consistent gathering and assessing of certification-relevant data by certification authorities about service operation to validate ongoing adherence to certification criteria. Wh...

Trust transfer is a promising perspective on prevalent discussions about trust in AI-capable technologies. However, the convergence of AI with other technologies challenges existing theoretical assumptions. First, it remains unanswered whether both trust in AI and the base technology is necessary for trust transfer. Second, a nu-anced view on trust...

Contemporary research focuses on examining trustworthy AI but neglects to consider trust transfer processes, proposing that users' established trust in a familiar source (e.g., a technology or person) may transfer to a novel target. We argue that such trust transfer processes also occur in the case of novel AI-capable technologies, as they are the...

Information system (IS) certifications are considered as a powerful tool for improving the security and trustworthiness of an IS. However, organizations struggle to evaluate and finally adopt appropriate IS certifications. To enhance our understanding of the evaluation of IS certifications, we iteratively develop a taxonomy of key characteristics o...

The adoption of artificial intelligence promises tremendous economic benefits for organizations. Yet, many organizations struggle to unlock the full potential of this technology. To ease the adoption of artificial intelligence for organizations, several cloud providers have begun offering artificial intelligence as a service (AIaaS). Extant researc...

The number and variety of information systems (IS) certifications have increased continuously as the use of information technology has diversified and expanded. IS certifications are neutral third-party attestations of specific system characteristics and management principles to prove compliance with requirements. The reasons for organizations to a...

As cybersecurity threats evolve and cybersecurity teams update digital security infrastructures, employees often get perplexed by the threats and corresponding countermeasures. Drawing insight from a literature review and a qualitative exploratory study with 85 participants, this paper defines cybersecurity perplexity, a paradoxical psychological s...

Article in ZD-Aktuell https://beck-online.beck.de/?vpath=bibdata%2fzeits%2fZDAKTUELL%2f2020%2fcont%2fZDAKTUELL%2e2020%2e07119%2ehtm

Zeitschrift für Datenschutz 09/2020

Researchers and practitioners have long thought that web seals are effective means to improve a website’s trustworthiness. However, studies demonstrated that web seals sometimes fail to exhibit the desired effect. Drawing on literature on cognitive complexity and the trust tipping point, this study investigates whether a website’s default trustwort...

Distributed ledger technology (DLT) is an emerging technology, which allows for the creation of novel applications, services, and business models by enabling innovative collaborations among organizations and individuals. Although DLT arose from the idea of a self-regulated and publicly usable infrastructure, permissioned distributed ledgers (e.g.,...

Web assurance seals are actions taken by e-commerce vendors to increase their trustworthiness and alleviate consumers’ concerns. In their essence, web assurance seals are a product of negotiations, adoptions, and settlements among various groups of interests (e.g., seal authorities, vendors, consumers, or governmental institutions). However, previo...

By 2025 every new car sold will be connected to the Internet, leading to a disruptive change of road transportation, but also resulting in diverse challenges regarding Vehicle-to-Everything Communication (V2X). Prior research has mostly focused on the technological challenges of V2X and neglects to consider environmental and organizational challeng...

By 2025 every new car sold will be connected to the Internet, leading to a disruptive change of road transportation, but also resulting in diverse challenges regarding Vehicle-to-Everything Communication (V2X). Prior research has mostly focused on the technological challenges of V2X and neglects to consider environmental and organizational challeng...

Distributed Ledger Technology (DLT) enables a new way of inter-organizational collaboration via a shared and distributed infrastructure. There are plenty of DLT designs (e.g., Ethereum, IOTA), which differ in their capabilities to meet use case requirements. A structured comparison of DLT designs is required to support the selection of an appropria...

Since blockchain's emergence in 2008, we see a kaleidoscopic variety of applications built on distributed ledger technology (DLT) today, including applications for financial services, healthcare, or the Internet of Things. Each application comes with specific requirements for DLT characteristics (e.g., high throughput, scalability). However, trade-...

Dieses Buch liefert ein Rahmenwerk zur Zertifizierung von Services in der Cloud. Herzstück dabei ist ein umfangreicher Kriterienkatalog zum Assessment von Cloud-Services, der im Forschungsprojekt „Value4Cloud“, gefördert vom Bundesministerium für Wirtschaft und Technologie, entwickelt wurde. Cloud-Service-Anwender werden bei der Bewertung, dem Verg...

Dieses Kapitel beschreibt das Problem eines hoch dynamischen Cloud-Service-Umfelds und die dadurch entstehenden Herausforderungen für bestehende Zertifizierungsprozesse. Denn die Durchführung von traditionellen Zertifizierungsprozessen erfordert eine gewisse Stabilität des Cloud-Services, damit davon ausgegangen werden kann, dass die Prüfergebnisse...

Die Durchführung von monitoring-basierten Zertifizierungsverfahren birgt einige Vorteile, jedoch gilt es einige Herausforderungen bei der Umsetzung zu überwinden. Aus diesem Grund werden in diesem Kapitel Anforderungen an Monitoring-Systeme und Richtlinien zum Design von Monitoring-Systemen zur kontinuierlichen Zertifizierung vorgestellt. Abschließ...

Dieses Kapitel beinhaltet den Kriterienkatalog zur Zertifizierung von Cloud-Services. Der Kriterienkatalog ist entlang von Kategorien sortiert und umfasst für jedes Kriterium die Information welches Objekt zertifiziert werden muss, mit welcher primären Auditierungsmethode zertifiziert werden sollte, und ob eine Vor-Ort-Auditierung sowie eine kontin...

In diesem Kapitel werden die Grundlagen zu Cloud-Computing und der Zertifizierung von Cloud-Services kurz erläutert. Es werden die grundlegenden Charakteristiken des Cloud-Computings, die Service- und Bereitstellungsmodelle beschrieben sowie Risiken beim Einsatz von Cloud-Services erörtert. Anschließend wird eine kurze Einführung zur Zertifizierung...

Dieses Kapitel betrachtet abschließend das Marktpotenzial einer kontinuierlichen Zertifizierung. Dabei wird die Akzeptanz einer kontinuierlichen Zertifizierung durch Cloud-Service-Anbieter und Zertifizierungsstellen untersucht sowie Gestaltungsempfehlungen zur Realisierung von Vorteilen und Potenzialen für Cloud-Service-Kunden abgegeben.

In diesem Kapitel werden Empfehlungen zur Gestaltung von Cloud-Service-Zertifizierungen präsentiert. Die Gestaltungsempfehlungen basieren auf Interviews mit Cloud-Service-Anbietern, -Kunden und -Beratern sowie einer Analyse der existierenden Cloud-Service-Zertifizierungen. Die Gestaltungsempfehlungen können von Cloud-Service-Zertifizierungsanbieter...

Dieses Kapitel beschreibt das Fazit dieses Buches und gibt einen Ausblick in die weitere Forschung zum Thema Cloud-Service-Zertifizierung.

Zur Durchführung einer kontinuierlichen Zertifizierung ist eine fortlaufende Überprüfung von ausgewählten Zertifizierungskriterien notwendig, um die Glaubwürdigkeit einer Zertifizierung zu erhöhen. In diesem Kapitel werden sowohl Methodiken und Metriken exemplarisch vorgestellt, welche ein Cloud-Service-Anbieter implementieren kann, um benötige zer...

Dieses Kapitel beschreibt Anforderungen und Handlungsempfehlungen zur Durchführung von kontinuierlichen Zertifizierungsverfahren aus einer rechtlichen, technischen und organisatorischen Perspektive. Zudem werden mögliche Grenzen und Risiken einer kontinuierlichen Zertifizierung diskutiert.

Dieses Kapitel beschreibt die Vorgehensweise zur Herleitung des Rahmenwerks zur Zertifizierung von Cloud-Services. Zunächst wurden mittels Experteninterviews Rahmenbedingungen und Gestaltungsempfehlungen für Cloud-Service-Zertifizierungen hergeleitet. Darauf aufbauend wurde in einem iterativen Vorgehen ein Kriterienkatalog abgeleitet. Dazu wurde zu...

Given cloud services growing diffusion in business environments, cloud providers are searching for novel ways to provide effective assurances to cloud consumers. Continuous service certification (CSC) recently emerged as a promising way to address cloud consumers' assurance needs, which stem from the inherent complexity and dynamics of today's clou...

Recent research efforts resulted in innovative prototypes that enable certification authorities to continuously certify cloud services. Continuous service certification (CSC) involves constant collection and assessment of data relevant for validating a cloud service's compliance with security and privacy regulations through a certification authorit...

Organizations highly depend on enterprise systems (ES), which are unlikely to develop their full potential if end-users neglect system usage. Accordingly, organizations attempt to overcome barriers to end-user acceptance in the ES context, which can be attributed to several factors on ES, organizational, and end-user level. Trying to take advantage...

While design decisions determine the quality and viability of applications in general, in Distributed Ledger Technology (DLT), the decision for a suitable DLT design (e.g., Ethereum, IOTA) is of particular relevance because the retroactive change of the underlying DLT design is currently very hard and often even impossible. Extant research has reve...

Cloud services have already become an elementary part of our everyday lives. Nowadays even computer games are executed on powerful cloud servers. These cloud gaming services have many benefits for users, yet they have to fulfil high quality requirements to satisfy users' needs because even minimal performance losses are directly observable and wors...

Zusammenfassung Art. 42 und Art. 43 DSGVO regeln auf europäischer Ebene erstmalig die datenschutzrechtliche Zertifizierung und ermöglichen damit auch die Entwicklung technologiespezifischer datenschutzrechtlicher Zertifizierungsverfahren. Der Beitrag zeigt die praktische Bedeutung datenschutzrechtlicher Zertifizierungsverfahren für den Markt von Cl...

Der AUDITOR-Kriterienkatalog ist ein Prüfstandard für die Datenschutz-Zertifizierung von Cloud-Diensten gemäß den Anforderungen der EU-Datenschutz-Grundverordnung (DSGVO). Beitrag zum Forschungsprojekt „European Cloud Service Data Protection Certification (AUDITOR)“, das aufgrund eines Beschlusses des Deutschen Bundestages vom Bundesministerium fü...

During the last decade Blockchain or more general Distributed Ledger Technology (DLT) became of high interest for a broad range of applications in fields such as Finance, HealthIT, Internet of Things, and Supply Chain Management. DLT designs (e.g., Ethereum, IOTA, or Tezos) come with inherent trade-offs between DLT characteristics (e.g., availabili...

Distributed ledger technology (DLT), including blockchain, enables secure processing of transactions between untrustworthy parties in a decentralized system. However, DLT is available in different designs that exhibit diverse characteristics. Moreover , DLT characteristics have complementary and conflicting interdependencies. Hence, there will neve...

The rapid evolution of information technologies in the past decades gave information systems an increasingly central role in society. Some of these information systems are now so critical that their disruption or unintended consequences can have detrimental effects on vital societal functions. This chapter clarifies the concept of critical informat...

Continuous service certification (CSC) involves the consistently gathering and assessing certification-relevant information about cloud service operations to validate whether they continue to adhere to certification criteria. Previous research has proposed test-based CSC methodologies that directly assess the components of cloud service infrastruct...

Continuous service certification (CSC) is an innovative way to ensure ongoing security and reliability of cloud services by using (automated) monitoring and auditing techniques. Yet, CSC currently remains underexplored and is still in its early diffusion period, thus we require a deeper understanding about what influences cloud service providers to...

In diesem Kapitel werden die Grundlagen zu Cloud Computing kurz erläutert. Cloud Computing bezeichnet ein Modell, welches einen flexiblen und bedarfsorientierten Zugriff auf einen gemeinsam genutzten Pool von konfigurierbaren IT-Ressourcen (darunter Netzwerke, Server, Speicher oder Anwendungen) ermöglicht, die jederzeit und überall über das Interne...

Dieses Kapitel stellt die Fortsetzung des Kapitels 15 dar. Während dort die rechtlichen Rahmenbedingungen der dynamischen Zertifizierung mithilfe der Methode zur Konkretisierung rechtlicher Anforderungen zu technischen Gestaltungsvorschlägen (KORA) zusammengetragen und erläutert wurden, betrifft dieses Kapitel die technische Seite der methodischen...

Bestehende Methoden zur kontinuierlichen Überwachung oder Auditierung von Cloud-Services sind nicht unmittelbar anwendbar im Kontext der dynamischen Zertifizierung. Insbesondere mangelt es derzeit an einer umfassenden Architektur, die den vollständigen Prozess der dynamischen Zertifizierung abdeckt. Wir begegnen dieser Lücke, indem wir eine konzept...

Die dynamische Zertifizierung befindet sich noch in ihrem Anfangsstadium. Um herauszufinden, welche Methodiken und Techniken zur (teil-) automatisierten Überwachung und Auditierung genutzt werden können, haben wir ein umfangreiches Literaturreview durchgeführt. In diesem Kapitel werden sechs Cluster vorgestellt, welche unterschiedliche Methodiken u...

Dieses Kapitel bietet den unterschiedlichen, am dynamischen Zertifizierungsverfahren Beteiligten Umsetzungshinweise und Handlungsempfehlungen, um den Aufwand zu verdeutlichen, den die Ein- und Durchführung der dynamischen Zertifizierung organisatorisch bedeuten kann. Da nicht auf die unterschiedlichen Systemausgestaltungen eingegangen werden kann,...

Der dynamische Zertifizierungsprozess kann als sich wiederholender Zyklus verstanden werden. Dabei werden nacheinander und fortlaufend vier Teilprozesse durchgeführt: eine Datenerhebung und –Übermittlung, Datenanalyse, Zertifikatsausstellung, und eine stetige Prozessanpassung. Dieses Kapitel skizziert die jeweiligen Teilprozesse.

Es gibt bereits erste Zertifizierungen, welche sich spezifisch auf die Ausprägungen von Cloud-Services fokussieren. In diesem Kapitel beschreiben wir den Nutzen von Zertifizierungen für Cloud-Service-Kunden und geben einen Überblick über relevante Zertifizierungen von Cloud-Services und Standards, insbesondere in Hinsicht auf Compliance Betrachtung...

Das Konzept der dynamischen Zertifizierung wurde im Rahmen des Forschungsprojektes NGCert grundlegend erforscht und in ausgewählten Anwendungsfällen prototypisch erprobt. Eine nachhaltige Verbreitung und Anwendung des dynamischen Zertifizierungsverfahrens ist notwendig, um die vielen Vorteile und Potenziale einer dynamischen Zertifizierung realisie...

Durch die Entwicklung und Umsetzung einer dynamischen Zertifizierung ergibt sich das Potenzial einer neuen Wertschöpfungskette, in der neue Akteure mit innovativen Geschäftsmodellen auftreten können und bestehende Akteure neue Rollen und Verantwortlichkeiten einnehmen können. Die Wertschöpfungskette ist eines der weitverbreitetsten Modelle, welches...

Cloud-Service-Zertifizierungen können Entscheidungsträger bei der Auswahl eines Cloud-Services unterstützen, indem sie Transparenz am Markt schaffen sowie Vertrauen und Akzeptanz erhöhen. In der Praxis mangelt es jedoch oft an einer transparenten und informativen Darstellung von Zertifizierungskriterien, welche im Rahmen der Zertifizierung überprüf...

Das Kapitel beschreibt mögliche Einsatzszenarien für die in NGCert entwickelten Artefakte und Konzepte, wie (1) den dynamischen Zertifizierungsdienst für Zertifizierungsstellen und Cloud-Service-Auditoren sowie (2) den erweiterten Monitoring-Dienst für Cloud-Service-Provider. Vorteile und Potenziale für Cloud-Service-Kunden und datenschutzrechtlich...

In diesem Kapitel zeigen wir auf, wie bestehende Monitoring-Technologien eines Cloud-Service-Providers im Rahmen einer dynamischen Zertifizierung genutzt werden können, um die Einhaltung von Sicherheits-, Privatsphäre- oder Zuverlässigkeitskriterien kontinuierlich sicherzustellen. Wir leiten allgemeingültige Anforderungen basierend auf den Ergebnis...

Continuous service certification (CSC) involves the consistent gathering and assessing of certification-relevant information about cloud service operation to validate ongoing certification criteria adherence. Previous research has proposed test-based CSC methodologies that directly assess components of the cloud service infrastructure. However, tes...

Signaling theory has compellingly demonstrated that embedding internet signals (i.e., web assurance seals, privacy policies, consumer feedback) by cloud service providers can be considered as credible indicators of provider's attributes, thereby reducing uncertainties and information asymmetries in cloud service markets. However, cloud service prov...

Digital service providers frequently undergo independent third party assessments (i.e., IT certifications) to signal a high degree of service security and privacy. However, the academic literature presents a pattern of inconsistent findings with regard to certification effectiveness. As prior research only analyzes the impact of certifications from...

Cloud services are abstract, complex and lack personal contact. Accordingly, consumers face a multitude of uncertainties that make them hesitant to adopt such services. It is very challenging but in the provider’s best interest to mitigate consumers’ uncertainty. Providers must identify the most effective signals to provide consumers with convincin...

Recent research efforts resulted in innovative prototypes that enable certification authorities to continuously certify cloud service providers (CSP). Performing continuous service certification (CSC) is beneficial for CSP and certification authorities, and has the potential to reduce security and privacy concerns of customers that hamper the adopt...

Digital service providers frequently undergo independent third party assessments (i.e., IT certifications) to signal a high degree of service security and privacy. However, the academic literature presents a pattern of inconsistent findings with regard to certification effectiveness. As prior research only analyzes the impact of certifications from...

Einführung in AUDITOR als neues Forschungsprojekt zur Datenschutz-Zertifizierung von Cloud-Diensten nach der DS-GVO. Veröffentlicht in ZD-Aktuell 2017, Heft 21, 05900.