Auf dieser Seite

Transfer in die Praxis

Unsere Forschung ist praxisorientiert und anwendungsnah – IT-Sicherheit im Alltag, Datenschutzanalysen von Apps und Webseiten, Privacy-Techniken und digitale Lehrinnovationen. Die Anwendung unserer Forschungsergebnisse erfolgt in verschiedenen Formaten: Sicherheitsanalysen, Gutachten, Workshops und Vorträge, sowohl für Unternehmen als auch für öffentliche Einrichtungen. Dabei orientieren wir uns an drei Grundsätzen:

  1. Vereinbarkeit mit Forschung und Lehre
  2. Ethische Vertretbarkeit des Vorhabens
  3. Marktgerechte Vergütung

Auf dieser Seite stellen wir aktuelle und ausgewählte frühere Aktivitäten vor.

Verbraucherschutz und Gesellschaft

Stiftung Warentest – Kuratorium (ab Oktober 2025)

Seit Oktober 2025 ist Prof. Herrmann Mitglied im Kuratorium der Stiftung Warentest. In dieser beratenden Funktion bringt er Expertise zu IT-Sicherheit und Datenschutz in die Testkonzeption für digitale Produkte ein.

Sicherheit von Online-Apotheken (2019–2021)

Worum ging es? Systematische Analyse von 170 Online-Apotheken. Was fanden wir? Sicherheitslücke, die den Zugriff auf Konten anderer Kunden ermöglichte. Warum wichtig? Bundesweite Medienberichterstattung führte zu Behebung der Sicherheitsprobleme.

Spiegel-Artikel zur Sicherheitspanne

Smart City Research Lab: Studie zum Mobilitätsverhalten (2021–2022)

Feldstudie im ÖPNV Bamberg mit dem Lehrstuhl für Persönlichkeitspsychologie zu Entscheidungen bei der Preisgabe persönlicher DatenDetails

Im Projekt sollen die Effekte von Anreizen und das Image des Betreibers auf die Entscheidung persönliche Information preiszugeben untersucht werden. Zwei Stufen der Entscheidungskaskade werden betrachtet:

  1. Die Entscheidung, eine Mobilitätsplattform zu nutzen.
  2. Die Entscheidung, dort private Information mitzuteilen.

Die Untersuchung erfolgt in einer Feldstudie im ÖPNV der Stadt Bamberg. Die erste Stufe der Entscheidungskaskade stellt die Entscheidung dar, einen Sticker mit QR Code zu scannen und so auf eine verlinkte Website zuzugreifen. Die zweite Stufe der Entscheidungskaskade ist die Entscheidung, den Standortzugriff der Website zu erlauben.

Das Projekt wurde in Zusammenarbeit mit dem Lehrstuhl für Persönlichkeitspsychologie und Psychologische Diagnostik (Prof. Schütz) durchgeführt.

Poster herunterladen (PDF)

Tracker-Scan Projekt (2021–2022)

Kooperation mit Bayern Innovativ GmbH und Verbraucherzentrale Bayern zur automatisierten Analyse von 100 deutschen Websites auf Tracking-Praktiken und Cookie-Banner-Wirksamkeit … Details

Worum ging es und wer war beteiligt? Kooperation mit Bayern Innovativ GmbH und Verbraucherzentrale Bayern: Analyse von 100 deutschen Websites (Tranco-Liste). Ablauf und Ziel. Wir haben 100 deutschsprachige Webseiten (aus der Tranco-Liste) mittels eines automatisierten Scans mit einem instrumentierten Browser daraufhin untersucht, welche Drittanbieter-Tracking-Dienste verwendet werden und welche Daten dorthin übermittelt werden. Das Forschungsziel bestand darin, eine Einschätzung zu erhalten, welcher Anteil der untersuchten deutschsprachigen Webseiten Verbindungen zu Trackern auf Drittservern aufbaut, um Informationen über die Webseiten-Besucher weiterzugeben. Insbesondere war zu untersuchen, ob sich das Verhalten von Webseiten bzgl. der Tracker-Kontaktierung ändert, wenn im Browser Consent-Banner-Meldungen mittels des Browser-Plugins uBlock ausgefiltert bzw. ausgeblendet werden. Ausgewählte Ergebnisse. Auf vielen Seiten wurden Trackingdienste beim Erstaufruf auch ohne Bannerblocker geladen. Cookie-Banner waren demnach oft unwirksam. Interaktive Ergebnisseite mit Details: Was waren die Auswirkungen? Webseitenbetreibende werden über Verbraucherzentrale auf potenzielle Datenschutzverstöße hingewiesen.

Interaktive Ergebnisseite (2022)

Data Policy für die Smart City Bamberg (2020)

Wissensgrundlage für die Stadt Bamberg erarbeitet durch Analyse bestehender Smart City Data Policies und Entwicklung von Leitfragen für Datenschutz und Transparenz … Details

In diesem Projekt wurde eine Wissensgrundlage für die Arbeitsgruppe „Data Policy“ des Programms Smart City der Stadt Bamberg erarbeitet.

Es wurde ein Bericht erstellt, mit dem die Stadt Bamberg anhand von Leitfragen aus den bestehenden Dokumenten anderer Smart Cities Kernpunkte ihrer Data Policy ableiten kann. Zu den Leitfragen gehören: Welche Daten können Gegenstand einer Data Policy sein? Welche Maßnahmen werden zum Schutz personenbezogener Daten angeführt (Datensparsamkeit, Vermeidung der Erhebung personifizierbarer Daten, wirksame Anonymisierung früh im Prozess der Verarbeitung)? Inwiefern wird in den Data Policies auf den Konflikt zwischen Transparenz von öffentlichen Daten und den Schutz von kritischen Daten eingegangen? Welche Aussagen machen die Data Policies zur Wertschöpfung durch „Big Data“, etwa durch eigene Geschäftsmodelle oder durch die Unterstützung von Start-ups mit öffentlichen Daten, mit denen marktfähige Produkte entwickelt werden können?

Der Bericht gibt Hinweise darauf, welche gesellschaftlichen, wirtschaftlichen oder sonstige Auswirkungen bestimmte Regelungen in einer Data Policy auf eine Smart City haben können.

Data Policy Bericht (DOI)

Vorträge und Öffentlichkeitsarbeit

Eine umfangreiche Aufstellung von Vorträgen und Keynotes gibt es hier:

Vorträge und Keyotes (inkl. Folien)

Auswahl gehaltener Keynote-Vorträge

  • Tag der Digitalen Lehre (Regensburg, September 2025)
  • Oberfränkische Fachtagung KI (Februar 2025)
  • TUM Commencement Address (Juli 2023, ≈1000 Absolvent:innen)
  • BSI-Tagung Digitaler Alltag in Gefahr? (Bonn, Februar 2023)
  • DiKuLe Symposium (Bamberg, 2024)
  • IT-Cluster Oberfranken Unternehmer:innen-Event (Thurnau, Juli 2022)
  • Universitätsbund Bamberg e.V. (November 2023)
  • Villa Concordia Bamberg (Dezember 2023)

Weitere Transfervorträge u.a.: Ringvorlesung Universität Regensburg, Rotary Club Bamberg, Lions Club Bamberg.

Verfügbare Themen

  • IT-Sicherheit im digitalen Alltag – praxisnah und ohne Panikmache
  • KI in Hochschule und Verwaltung – Chancen und Grenzen
  • E-Prüfungen und digitale Lehre – Erfahrungen aus der Praxis
  • Ethik und IT-Sicherheitsforschung – konstruktive Meldung von Schwachstellen

Weitere Formate und Events

IT-Forum Oberfranken

Die jährliche Veranstaltung vernetzt IT-Unternehmen und Wissenschaft in der Region. 2023 organisierten wir das Forum gemeinsam mit der WIAI-Fakultät. Etwa 230 Teilnehmende diskutierten in 2 Keynotes und 5 Präsentationssessions zum Thema “KI und Nachhaltigkeit”. 13 Ausstellerstände und eine Startup-Lounge boten Raum für Austausch.

Das IT-Forum fand zum elften Mal statt und steigert die öffentliche Wahrnehmung des IT-Standorts Oberfranken und ermöglicht die Vernetzung von engagierten kleinen und mittelständischen IT-Unternehmen, dem Branchennetzwerk IT-Cluster Oberfranken sowie den vier oberfränkischen Hochschulen in der Technologie Allianz Oberfranken (TAO) .

VeranstaltungswebseiteFlyer (PDF)Welcome Trailer

Studienstiftung des deutschen Volkes

Kooperation mit Prof. Dr. Melanie Volkamer (KIT) im Naturwissenschaftlichen Kolleg (2022-2023). 25 Studierende erhielten in vier einwöchigen Präsenzphasen unter dem Titel “Hallo, Sie haben da ein Sicherheitsproblem!” Einblicke in IT-Sicherheit und Datenschutz. Eigenständige wissenschaftliche Studien zu Ansprachemethoden bei Webseitenbetreibenden führten zu drei Publikationen:

"Data Protection Can Sometimes Be a Nuisance" A Notification Study on Data Sharing Practices in City Apps … Details

Studie zu GDPR-Compliance in 138 deutschen Stadt-Apps: 70 Apps kontaktierten EU-externe Dienste ohne Nutzerzustimmung, detaillierte Benachrichtigungsstrategien führten bei 17% zur Problembehebung.

Drescher, J. N.; Moser, J.; Strangmann, N.; Spinner, J.; Herrmann, D.; Volkamer, M. (2024). MuC ‘24: Proceedings of Mensch und Computer 2024.

Paper (DOI)

Is Personalization Worth It? Notifying Blogs about a Privacy Issue Resulting from Poorly Implemented Consent Banners … Details

Analyse von Datenschutzproblemen bei Cookie-Bannern auf Blogs und Entwicklung effektiver Benachrichtigungsstrategien für Webseitenbetreibende.

Kriecherbauer, T.; Schwank, R.; Krauss, A.; Neureither, K.; Remme, L.; Volkamer, M.; Herrmann, D. (2024). ARES ‘24: Proceedings of the 19th International Conference on Availability, Reliability and Security.

Paper (DOI)

RFC 9116 ("security.txt") an deutschen Hochschulservern … Details

Systematische Evaluierung der security.txt-Implementierung an deutschen Hochschulen zeigt geringe Verbreitung und häufige Konfigurationsfehler.

Eckstein, F., Rosenauer, R., Huppert, P. et al. (2025). Datenschutz und Datensicherheit 49, 522–526.

Paper (DOI)

Kinderuni Bamberg

Passwörter kindgerecht erklärt: 9- bis 12-Jährige lernen IT-Sicherheit ohne komplizierte Technik.

Girls’ Day und TAO-Schülerforschungszentrum

Gelegentliche Beiträge zu regionalen Bildungsformaten wie Girls’ Day-Workshops und Schülerforschungszentrum.

Responsible Disclosure

Unser Ansatz

Wenn wir Schwachstellen und Sicherheitslücken finden, informieren wir Betreiber und Aufsichtsbehörden.

Ausgewählte Fälle

2024-07: Zentrale Beschaffungsplattform für bayerische Hochschulen Mehrere Schwachstellen bis hin zur möglichen vollständigen Kompromittierung. Detaillierte Meldung, zeitnahe Behebung.

2021-05: Unnötige Passwortlängenbegrenzung in der bayerischen Zeiterfassungssoftware (Bayzeit) Detaillierte Meldung über den IT-Service an den Hersteller, bislang (September 2025) allerdings nicht behoben.

Wie melden? Bitte schreiben Sie eine aussagekräftige E-Mail an dominik.herrmann@uni-bamberg.de .

Kontakt

Prof. Dr. Dominik Herrmann
Lst Privatsphäre und Sicherheit in Informationssystemen
Universität Bamberg, 96045 Bamberg Lst Privatsphäre und Sicherheit in Informationssystemen
Universität Bamberg
96045 Bamberg

dh.psi@uni-bamberg.de | +49 951 863-2661
uni-mal-anders.de | LinkedIn

Prof. Dr. Dominik Herrmann
Lst Privatsphäre und Sicherheit in Informationssystemen,
Universität Bamberg, 96045 Bamberg

dh.psi@uni-bamberg.de
+49 951 863-2661
uni-mal-anders.de | LinkedIn

Ansicht