54.38 Computersicherheit
Filtern
Dokumenttyp
- Masterarbeit (21)
Volltext vorhanden
- ja (21)
Gehört zur Bibliographie
- ja (21)
Schlagworte
- Informationssicherheit (7)
- Computersicherheit (5)
- Internet der Dinge (2)
- Authentifikation (1)
- Datensicherheit (1)
- IT-Sicherheit (1)
- Informatik (1)
- Mobiles Endgerät (1)
- Sicherheitsplanung (1)
- Social Engineering <Sicherheit> (1)
In der heutigen Arbeitswelt bietet die Informationstechnologie viele Vorteile, aber auch erhebliche Risiken für Unternehmen. Mit der zunehmenden Veränderung der Arbeitsweise in unserer Gesellschaft hat sich Telearbeit zu einem wichtigen Bestandteil des Arbeitslebens entwickelt. Die COVID-19-Pandemie hat die Bedeutung von Telearbeit weiter unterstrichen, da es für viele Unternehmen die einzige Möglichkeit war, ihre Existenz zu sichern. Es wird erwartet, dass Telearbeit auch nach der Pandemie ein wichtiger Bestandteil des Arbeitslebens bleiben wird. Allerdings ist die Tatsache, dass immer mehr Mitarbeiterinnen und Mitarbeiter von verschiedenen Orten aus arbeiten, auch eine Einladung für Cyberkriminelle. Diese versuchen auf verschiedene Weise und über verschiedene Kanäle, auf die Geräte von Telearbeitern zuzugreifen und Unternehmen zu schädigen. Daher ist das Ziel dieser Masterarbeit, Unternehmen dabei zu unterstützen, sich gegen solche Cyberangriffe zu schützen. Zur Erreichung dieses Ziels wird eine systematische Literaturrecherche durchgeführt, um Informationen zum Thema Cybersecurity in der Telearbeit aus verschiedenen Literaturdatenbanken zu sammeln. Diese Informationen werden sortiert und interpretiert, um eine Handlungsempfehlung bezüglich Sicherheitsmaßnahmen bei der Telearbeit zu erstellen. Diese Empfehlungen werden anhand eines Kano-Modells dargestellt, das die Maßnahmen nach ihrem Grad der momentanen Umsetzung und nach ihrem Grad der Notwendigkeit in verschiedenen Kategorien einordnet. Sie zielen darauf ab, Unternehmen dabei zu helfen, ihre Sicherheitsmaßnahmen zu verbessern und sich besser gegen Cyberangriffe zu schützen. Es ist wichtig, dass Unternehmen sich bewusst sind, dass sie ein Ziel für Cyberkriminelle sind und dass sie aktiv Maßnahmen ergreifen müssen, um ihre Daten und Kunden zu schützen.
Diese Masterarbeit behandelt die Informationssicherheit im Kontext des Social Engineerings von Unternehmen. Das Ziel ist es, Initiativen zu definieren, die Unternehmen kritischer Infrastruktur einsetzen müssen, um die Informationssicherheit in diesem Kontext zu gewährleisten. Im Bereich der Theorie wurde eine Literaturrecherche über das Thema ‚Social Engineering‘ durchgeführt. Es ließ sich herausfinden, welche Möglichkeiten es gibt, Unternehmen zu attackieren. Des Weiteren bedeutet Social Engineering nicht, dass immer eine illegale Aktivität dahinter steckt, sondern dass hier lediglich mithilfe von Psychologie ein Mehrwert für die Angreiferin oder den Angreifer generiert wird. Für den empirischen Teil der Arbeit wurde eine Umfrage an Personen gesendet, die in ihrer Arbeit mit Informationssystemen zu tun haben. Diese Befragung hat ergeben, dass Personen wissen, wie bedeutsam Informationssicherheit ist, und es wurde kein signifikanter Unterschied zwischen IT-affinen und nicht IT-affinen Personen festgestellt. IT-affine Personen wissen lediglich besser über die Auswirkungen Bescheid. Des Weiteren wurden Interviews mit Expertinnen und Experten aus dem Bereich der Informationssicherheit durchgeführt. Deren Zweck war es, herauszufinden, welche Maßnahmen es gibt, die Informationssicherheit im Kontext von Social Engineering zu gewährleisten bzw. zu erhöhen. Es hat sich herausgestellt, dass Security-Awareness-Schulungen sehr sinnvoll sind. Unternehmen kritischer Infrastruktur sollten sich auf Vor-Ort-Schulungen fokussieren, da diese ein höheres Informationssicherheitsempfinden beim Personal auslösen. In Relation zu den Kosten, die ein Social-Engineering-Angriff verursachen kann, zahlt sich für ein Unternehmen kritischer Infrastruktur eine Security-Awareness-Schulung mit großer Wahrscheinlichkeit aus. Es wird auch empfohlen, technische und physische Maßnahmen einzusetzen, um einen Social-Engineering-Angriff zu erschweren. Jedoch ist zu erwähnen, dass technische Maßnahmen nicht ausschließlich darauf ausgelegt sind, Social-Engineering-Angriffe zu verhindern. Das ist lediglich ein Teil davon. technische Maßnahmen schützen die Allgemeinheit vor Social-Engineering-Angriffen, jedoch nicht einzelne Personen. Für Unternehmen kritischer Infrastruktur sollten wiederkehrende Security-Awareness-Schulungen und technische Maßnahmen eingesetzt werden, um die Informationssicherheit im Kontext des Social Engineerings zu gewährleisten. Diese Vorkehrungen haben nämlich keinen erheblich negativen Einfluss auf die Arbeitstätigkeiten der Mitarbeiterinnen und Mitarbeiter im Allgemeinen. Auf der anderen Seite stellen sie jedoch sicher, dass die Angestellten ein entsprechendes Bewusstsein für diese Gefahr entwickeln und es stetig erweitern.
Mobile Computing
(2021)
Die folgende Masterarbeit behandelt das Thema der Sicherheit im Umgang mit mobilen Geräten und welche Gefahren für diese bestehen und welche Maßnahmen getroffen werden können, um Schäden im Unternehmensumfeld zu vermeiden. Dabei wird ein großer Fokus auf mögliche Angriffsvektoren gelegt, diese evaluiert und betrachtet, wie ein Schaden auf den Angriffsvektor bestmöglich vermieden werden kann. Des Weiteren werden Penetration Tests von Geräten näher erleuchtet, da diese für das IT-Personal eine wichtige Möglichkeit darstellt, um die Sicherheit der Geräte und des Netzwerkes zu testen. Das Hauptaugenmerk der ersteren Kapitel bezieht sich auf die Verwendung von Notebooks für den mobilen Arbeitsgebrauch. Im letzten Kapitel des theoretischen Teiles werden Mobiltelefone nochmals genauer erörtert, da diese heutzutage zum Standardequipment von vielen Angestellten gehört. Schlussendlich werden für den praktischen Teil dieser Arbeit mehrere Experten zum Thema der mobilen Sicherheit im Unternehmen befragt, um zu erörtern welchen Stand diese derzeit und welche Maßnahmen diese anwenden, um deren Unternehmen abzusichern. Die Ergebnisse zeigen, dass von allen befragten Experten valide Standards eingesetzt werden, um die Sicherheit der Mobilgeräte zu garantieren. Dabei versuchen diese sowohl die Sicherheit der Geräte, aber auch der Daten zu garantieren.
Das Smart Home hat sich als Anwendungsgebiet innerhalb des IoT große Beliebtheit verschafft. Mithilfe von verschiedenartigen, miteinander vernetzten Geräten werden Komfort und Sicherheit im Wohnbereich gesteigert. Aufgrund der einfachen Bedienung und der Interoperabilität zwischen unterschiedlichen Plattformen ist diese Art von Geräten besonders in Privathaushalten verbreitet. Durch ständige Konnektivität zum Internet bestehen jedoch Risiken hinsichtlich der Informationssicherheit sowie des Schutzes von Daten der BenutzerInnen. Die untersuchte Architektur im Rahmen dieser Arbeit behandelt ein generisches, Cloud-basiertes System. Dieses wird mithilfe des Risikoanalysemodells OCTAVE Allegro und dem Fokus auf kritische Informationsassets systematisch auf Sicherheitsrisiken überprüft. Für eine bessere Übersicht wird das Gesamtsystem in drei Subsysteme aufgeteilt. Ziel der Risikoanalyse ist es, die unterschiedlichen Sicherheitsrisiken, welche mit der Nutzung von Cloud-basierten Smart Home Systemen verbunden sind, aufzuzeigen. Für die Reduzierung von Risiken werden Gegenmaßnahmen sowie ein Katalog über Handlungsempfehlungen für NutzerInnen erarbeitet. Die Ergebnisse zeigen, dass NutzerInnen innerhalb ihres Einflussbereiches gezielt Maßnahmen zur Reduzierung der Risiken setzen können. Besonders beim Betrieb von kritischen Geräten sind eine stabile Energieversorgung und Internetverbindung essenziell. Der restliche Anteil der Sicherheitsrisiken geht bei einem Cloud-basierten System auf die Systemanbieter sowie Service Provider über. Durch die Entwicklung von Systemen innerhalb aktueller Security-Frameworks können Systemanbieter bereits in der Konzeptphase spätere Risiken vermeiden und Security und Privacy by Design Prinzipien einhalten. Für eine nachhaltige Durchsetzung von Smart Home Systemen ist dies ein essenzieller Faktor. Mithilfe neuer Technologien wie Blockchain könnten traditionelle Sicherheitsprobleme im IoT obsolet werden, konkrete Anwendungsfälle dafür befinden sich noch im Forschungsstadium.
Das Ziel dieser Masterarbeit ist die Analyse der IT-Sicherheit von kritischen Infrastrukturen. Es soll gezeigt werden, ob eine Absicherung kritischer Infrastrukturen mit Hilfe von Methoden aus der IT-Sicherheit möglich ist und welche Auswirkung eine Vernetzung der einzelnen Systeme hat. Nicht behandelt werden Absicherungen für Cloud und mobile Geräte. In den vergangenen Jahren hat die Vernetzung der kritischen Infrastrukturen stark zugenommen und die Angriffe auf diese sind deutlich gestiegen. Aufgrund dessen werden in dieser Masterarbeit zunächst vergangene Angriffe beschrieben und analysiert. Großen Wert wird hierbei auf die NIS-Richtlinie gelegt, die als EU-Richtlinie wichtige Punkte für ganz Europa vorgibt. Aus den gewonnenen Erkenntnissen werden anschließend technische IT-Maßnahmen abgeleitet wie kritische Infrastrukturen in Zukunft besser geschützt werden können. Folgend werden die einzelnen Maßnahmen auch technisch in einer extra dafür aufgesetzten Testumgebung umgesetzt und im Detail beschrieben. Unter anderem wird gezeigt, wie wichtig es ist eine Verschlüsselung einzusetzen und dass es nicht ausreichend ist, die Zugänge nur mit einem starken Passwort abzusichern, sondern auch ein zweiter Faktor eingesetzt werden sollte. Durch Umsetzung der Sicherheitsmaßnahmen, zusätzlich zu den normalen IT-Schutzvorkehrungen, kann die IT-Sicherheit erhöht werden. Ein kompletter Schutz vor Angriffen ist jedoch nicht möglich, da durch die Vernetzung der Systeme immer ein Angriffsvektor entsteht, der ausgenutzt werden kann. In Zukunft könnten kritische Infrastrukturen besser abgesichert werden, wenn die aufgezeigten Sicherheitsmaßnahmen umgesetzt werden.
Industrielle Steuerungssysteme und somit die Operational Technology (OT) werden immer verletzlichere Angriffsziele. Da Industrieanlagen, ebenso Tunnelanlagen, größtenteils mit der Office-IT vernetzt sind und häufig auch eine Verbindung zum Internet aufweisen, besteht ein Fernzugriff, der ausgenutzt werden kann. Zusätzlich besteht die Möglichkeit, dass ein Eindringen über die physischen Schnittstellen stattfindet. Daher müssen für einen gesamtheitlichen Schutz entsprechende OT-Security-Prozesse angewendet werden. Das Ziel dieser Arbeit ist die Verbesserung der zurzeit von der Dürr Austria GmbH verwendeten OT-Security-Prozesse in Tunnelsteuerungssystemen. Dazu werden die Informationssicherheit, mögliche Attacken und Angreifer*innen, sowie anwendbare Normen und Standards evaluiert. Der Fokus liegt dabei auf der IEC 62443, der Norm für die IT-Sicherheit für Netze und Systeme. Die zurzeit angewendeten OT-Security-Prozesse werden definiert und darauf aufbauend Optimierungen aus den anwendbaren Teilen der IEC 62443 analysiert. Weitere Security-Maßnahmen werden mithilfe von ergänzenden Standards erforscht. Als Resultat werden die gefundenen Verbesserungsmaßnahmen zusammengeführt, um eine Integration in die Prozesse zu ermöglichen. Auf dieser gesamtheitlichen Basis wird das Defense-in-Depth-Modell definiert. Die Ergebnisse dieser Arbeit werden in den bestehenden Informationssicherheitsprozess des Unternehmens betreffend der Tunnelsteuerungssysteme integriert.
This master’s thesis is about post-quantum cryptography. Therefore, it shows how quantum computers differ from traditional computers, what kind of quantum computers do exist, and what strengths they have. But the focus lies on the threat to information security. For this purpose, the paper shows how traditional cryptographic algorithms work and how vulnerable they are against quantum computers. The paper also shows the possible alternatives. This field is called post-quantum cryptography, and these algorithms are resistant against traditional computers and also against quantum computers. In this paper, expert interviews illustrated an outline of the threat and where it is mandatory to react. At least the results are applied to an IT system in the health sector, and it is analyzed how vulnerable it would be against quantum computers.
Da immer mehr Geräte und Benutzer Zugang zum Internet bekommen, muss die Sicherheit von Web Applikationen immer mehr im Blick behalten werden. Besonders bei Authentifizierungsmechanismen steigen die Anforderungen enorm. Passwörter gelten schon länger als unsicher, um ein Benutzerkonto vor unbefugtem Zugriff zu schützen. Die in dieser Arbeit behandelte Spezifikation soll dabei Abhilfe schaffen. Bei dieser Spezifikation handelt es sich um die WebAuthn Spezifikation, welche von der FIDO Alliance entwickelt wurde. WebAuthn wird im Zuge dieser Arbeit auf Schwachstellen von derzeit gängigen Authentifizierungsmechanismen untersucht. Diese bedient sich bewährten kryptografischen Methoden, um Sicherheit für die Authentifizierung zu gewährleiten. Zur Verifizierung eines Authentifizierungsvorganges wird asymmetrische Kryptografie eingesetzt. WebAuthn benötigt Authentifikatoren, um diesen Vorgang durchführen zu können. Diese können FIDO2-zertifizierte Smartphones, Security Token oder biometrische Authentifikatoren sein. Bei der Registrierung einer Benutzerin oder eines Benutzers wird von Authentifikator und Server ein Schlüsselpaar, bestehend aus privatem und öffentlichem Schlüssel, generiert und die öffentlichen Schlüssel zwischen ihnen ausgetauscht. Nun ist es dem Client möglich, sich am Zielsystem mithilfe des registrierten Authentifikators anzumelden. Um Benutzerinnen und Benutzern sowie Entwicklerinnen und Entwicklern zu zeigen, welche Vor- und Nachteile WebAuthn gegenüber herkömmlicher Authentifizierung bietet, wurden bekannte Angriffe recherchiert und auf die WebAuthn Spezifikation ausgeführt. Attacken, welche darauf ausgeführt werden, beinhalten Angriffe, um an Zugangsdaten von Benutzerinnen oder Benutzern zu kommen, Angriffe, welche auf die Übernahme einer Sitzung des Clients abzielen, Angriffe welche nicht technischer Natur sind und Angriffe auf die Authentifikatoren.
Thema der vorliegenden Masterarbeit ist die Betrachtung von Aspekten der Informationssicherheit beim Einsatz von Geräten aus dem Kontext des Internet of Things (IoT) in Unternehmensnetzwerken. Medienberichte und Analysen der letzten Jahre deuten auf frappierende Sicherheitslücken in IoT-Geräten und damit einer, durch die unabhängig davon zunehmende Bedrohungslage im Internet verschärften, Gefährdung der Sicherheit hin. Eine Frage, die sich dabei stellt, ist, ob vorhandene Sicherheitskonzepte für den Einsatz von IoT-Geräten ausreichend sind. Um dies zu beantworten war es notwendig, eine für die Arbeit gültige Definition des sehr abstrakten Begriffs "IoT" zu entwickeln und mögliche Anwendungsbereiche in Unternehmensnetzwerken aufzuzeigen. Darauf folgt eine Beschreibung der grundlegenden Aspekte der Informationssicherheit (Vertraulichkeit, Integrität und Verfügbarkeit) und eine Analyse von Bedrohungen und Angriffen auf Netzwerke. Ausgehend von diesen Erkenntnissen wurde ein Sicherheitskonzept zusammengestellt, welches heute übliche Maßnahmen zur Sicherstellung der Informationssicherheit in Unternehmensnetzwerken beinhaltet. Um ein Konzept unter Berücksichtigung des Einsatzes von IoT-Geräten entwickeln und mit derzeitigen Maßnahmen zu vergleichen, wurden IoT-spezifische Rahmenbedingungen und Angriffe beschrieben. Dabei zeigen sich vor allem Einschränkungen hinsichtlich technischer Ressourcen, Anforderungen an die Skalierbarkeit von Lösungen sowie eigene Angriffsszenarien. Unter Zuhilfenahme von Standards zur Sicherstellung von Informationssicherheit wurde davon ausgehend ein Katalog von erkannten IoT-bezogenen Risiken zusammengestellt. Darauf basiert das vorgeschlagene, verbesserte Modell, welches organisatorische, applikationsbezogene und technische Maßnahmen zur Behandlung dieser Risiken beinhaltet. Dabei zeigt sich, dass nur Teile davon überhaupt durch Weiterentwicklung bestehender Sicherheitsmaßnahmen realisiert werden können, einige Ansätze jedoch neuartig sind und eine Veränderung der Sicherheitsarchitektur in einem Unternehmen notwendig wird. In der Praxis werden dabei insbesondere Mechanismen zur Authentifizierung, Autorisierung und der Sicherstellung des Datenschutzes zur Herausforderung, da dazu derzeit keine universell realisierbaren Konzepte vorliegen. Entsprechend dieser Erkenntnisse ist davon auszugehen, dass heute übliche Maßnahmen zur Sicherstellung der Informationssicherheit nicht ausreichend für einen IoT-Anwendungsfall sind.
Die vorliegende Masterarbeit soll Unternehmen ansprechen, die planen, eine Single Sign On Lösung in ihrem Unternehmen zu etablieren. Damit das Authentifizierungsverfahren im Unternehmen von den Mitarbeitern auch genutzt wird, muss eine starke Akzeptanz zwischen den Nutzern und einer Single Sign On Lösungen gegeben sein. Aus diesem Grund werden im Theorieteil Faktoren der Benutzerakzeptanz aus dem Technology Acceptance Model 3 herausgearbeitet, welche im Speziellen für die Akzeptanz von Single Sign On Lösungen zutreffend sind. Die empirische Forschung besteht dabei aus zwei Teilen, in denen einerseits eine Umfrage erstellt und andererseits die Zusammenhänge zwischen den herausgearbeiteten Faktoren und der Benutzerakzeptanz auf Signifikanz geprüft werden. Die Auswertung der Umfrage im Rahmen dieser Masterarbeit zeigt dabei einen starken Zusammenhang zwischen der IT-Affinität und der Einstellung des Nutzers gegenüber einer Single Sign On Lösung auf die Benutzerakzeptanz. Eine ebenfalls im Rahmen dieser Arbeit erstellte Fallstudie zeigt, dass Single Sign On Technologien im Privatbereich noch keinen großen Anklang finden und dass auch die Vertrauenswürdigkeit des Identity Provider keinen Einfluss auf die Benutzerakzeptanz von Single Sign On Lösungen hat. Abschließend werden Maßnahmenvorschläge erstellt, um die Akzeptanz von Single Sign On sowohl in Unternehmen als auch im Privatbereich zu steigern.
