54.38 Computersicherheit
Filtern
Dokumenttyp
- Masterarbeit (20)
Volltext vorhanden
- ja (20)
Gehört zur Bibliographie
- ja (20)
Schlagworte
- Informationssicherheit (7)
- Computersicherheit (4)
- Internet der Dinge (2)
- Authentifikation (1)
- Datensicherheit (1)
- IT-Sicherheit (1)
- Informatik (1)
- Mobiles Endgerät (1)
- Sicherheitsplanung (1)
- Social Engineering <Sicherheit> (1)
Diese Masterarbeit behandelt die Informationssicherheit im Kontext des Social Engineerings von Unternehmen. Das Ziel ist es, Initiativen zu definieren, die Unternehmen kritischer Infrastruktur einsetzen müssen, um die Informationssicherheit in diesem Kontext zu gewährleisten. Im Bereich der Theorie wurde eine Literaturrecherche über das Thema ‚Social Engineering‘ durchgeführt. Es ließ sich herausfinden, welche Möglichkeiten es gibt, Unternehmen zu attackieren. Des Weiteren bedeutet Social Engineering nicht, dass immer eine illegale Aktivität dahinter steckt, sondern dass hier lediglich mithilfe von Psychologie ein Mehrwert für die Angreiferin oder den Angreifer generiert wird. Für den empirischen Teil der Arbeit wurde eine Umfrage an Personen gesendet, die in ihrer Arbeit mit Informationssystemen zu tun haben. Diese Befragung hat ergeben, dass Personen wissen, wie bedeutsam Informationssicherheit ist, und es wurde kein signifikanter Unterschied zwischen IT-affinen und nicht IT-affinen Personen festgestellt. IT-affine Personen wissen lediglich besser über die Auswirkungen Bescheid. Des Weiteren wurden Interviews mit Expertinnen und Experten aus dem Bereich der Informationssicherheit durchgeführt. Deren Zweck war es, herauszufinden, welche Maßnahmen es gibt, die Informationssicherheit im Kontext von Social Engineering zu gewährleisten bzw. zu erhöhen. Es hat sich herausgestellt, dass Security-Awareness-Schulungen sehr sinnvoll sind. Unternehmen kritischer Infrastruktur sollten sich auf Vor-Ort-Schulungen fokussieren, da diese ein höheres Informationssicherheitsempfinden beim Personal auslösen. In Relation zu den Kosten, die ein Social-Engineering-Angriff verursachen kann, zahlt sich für ein Unternehmen kritischer Infrastruktur eine Security-Awareness-Schulung mit großer Wahrscheinlichkeit aus. Es wird auch empfohlen, technische und physische Maßnahmen einzusetzen, um einen Social-Engineering-Angriff zu erschweren. Jedoch ist zu erwähnen, dass technische Maßnahmen nicht ausschließlich darauf ausgelegt sind, Social-Engineering-Angriffe zu verhindern. Das ist lediglich ein Teil davon. technische Maßnahmen schützen die Allgemeinheit vor Social-Engineering-Angriffen, jedoch nicht einzelne Personen. Für Unternehmen kritischer Infrastruktur sollten wiederkehrende Security-Awareness-Schulungen und technische Maßnahmen eingesetzt werden, um die Informationssicherheit im Kontext des Social Engineerings zu gewährleisten. Diese Vorkehrungen haben nämlich keinen erheblich negativen Einfluss auf die Arbeitstätigkeiten der Mitarbeiterinnen und Mitarbeiter im Allgemeinen. Auf der anderen Seite stellen sie jedoch sicher, dass die Angestellten ein entsprechendes Bewusstsein für diese Gefahr entwickeln und es stetig erweitern.
Mobile Computing
(2021)
Die folgende Masterarbeit behandelt das Thema der Sicherheit im Umgang mit mobilen Geräten und welche Gefahren für diese bestehen und welche Maßnahmen getroffen werden können, um Schäden im Unternehmensumfeld zu vermeiden. Dabei wird ein großer Fokus auf mögliche Angriffsvektoren gelegt, diese evaluiert und betrachtet, wie ein Schaden auf den Angriffsvektor bestmöglich vermieden werden kann. Des Weiteren werden Penetration Tests von Geräten näher erleuchtet, da diese für das IT-Personal eine wichtige Möglichkeit darstellt, um die Sicherheit der Geräte und des Netzwerkes zu testen. Das Hauptaugenmerk der ersteren Kapitel bezieht sich auf die Verwendung von Notebooks für den mobilen Arbeitsgebrauch. Im letzten Kapitel des theoretischen Teiles werden Mobiltelefone nochmals genauer erörtert, da diese heutzutage zum Standardequipment von vielen Angestellten gehört. Schlussendlich werden für den praktischen Teil dieser Arbeit mehrere Experten zum Thema der mobilen Sicherheit im Unternehmen befragt, um zu erörtern welchen Stand diese derzeit und welche Maßnahmen diese anwenden, um deren Unternehmen abzusichern. Die Ergebnisse zeigen, dass von allen befragten Experten valide Standards eingesetzt werden, um die Sicherheit der Mobilgeräte zu garantieren. Dabei versuchen diese sowohl die Sicherheit der Geräte, aber auch der Daten zu garantieren.
Das Smart Home hat sich als Anwendungsgebiet innerhalb des IoT große Beliebtheit verschafft. Mithilfe von verschiedenartigen, miteinander vernetzten Geräten werden Komfort und Sicherheit im Wohnbereich gesteigert. Aufgrund der einfachen Bedienung und der Interoperabilität zwischen unterschiedlichen Plattformen ist diese Art von Geräten besonders in Privathaushalten verbreitet. Durch ständige Konnektivität zum Internet bestehen jedoch Risiken hinsichtlich der Informationssicherheit sowie des Schutzes von Daten der BenutzerInnen. Die untersuchte Architektur im Rahmen dieser Arbeit behandelt ein generisches, Cloud-basiertes System. Dieses wird mithilfe des Risikoanalysemodells OCTAVE Allegro und dem Fokus auf kritische Informationsassets systematisch auf Sicherheitsrisiken überprüft. Für eine bessere Übersicht wird das Gesamtsystem in drei Subsysteme aufgeteilt. Ziel der Risikoanalyse ist es, die unterschiedlichen Sicherheitsrisiken, welche mit der Nutzung von Cloud-basierten Smart Home Systemen verbunden sind, aufzuzeigen. Für die Reduzierung von Risiken werden Gegenmaßnahmen sowie ein Katalog über Handlungsempfehlungen für NutzerInnen erarbeitet. Die Ergebnisse zeigen, dass NutzerInnen innerhalb ihres Einflussbereiches gezielt Maßnahmen zur Reduzierung der Risiken setzen können. Besonders beim Betrieb von kritischen Geräten sind eine stabile Energieversorgung und Internetverbindung essenziell. Der restliche Anteil der Sicherheitsrisiken geht bei einem Cloud-basierten System auf die Systemanbieter sowie Service Provider über. Durch die Entwicklung von Systemen innerhalb aktueller Security-Frameworks können Systemanbieter bereits in der Konzeptphase spätere Risiken vermeiden und Security und Privacy by Design Prinzipien einhalten. Für eine nachhaltige Durchsetzung von Smart Home Systemen ist dies ein essenzieller Faktor. Mithilfe neuer Technologien wie Blockchain könnten traditionelle Sicherheitsprobleme im IoT obsolet werden, konkrete Anwendungsfälle dafür befinden sich noch im Forschungsstadium.
Das Ziel dieser Masterarbeit ist die Analyse der IT-Sicherheit von kritischen Infrastrukturen. Es soll gezeigt werden, ob eine Absicherung kritischer Infrastrukturen mit Hilfe von Methoden aus der IT-Sicherheit möglich ist und welche Auswirkung eine Vernetzung der einzelnen Systeme hat. Nicht behandelt werden Absicherungen für Cloud und mobile Geräte. In den vergangenen Jahren hat die Vernetzung der kritischen Infrastrukturen stark zugenommen und die Angriffe auf diese sind deutlich gestiegen. Aufgrund dessen werden in dieser Masterarbeit zunächst vergangene Angriffe beschrieben und analysiert. Großen Wert wird hierbei auf die NIS-Richtlinie gelegt, die als EU-Richtlinie wichtige Punkte für ganz Europa vorgibt. Aus den gewonnenen Erkenntnissen werden anschließend technische IT-Maßnahmen abgeleitet wie kritische Infrastrukturen in Zukunft besser geschützt werden können. Folgend werden die einzelnen Maßnahmen auch technisch in einer extra dafür aufgesetzten Testumgebung umgesetzt und im Detail beschrieben. Unter anderem wird gezeigt, wie wichtig es ist eine Verschlüsselung einzusetzen und dass es nicht ausreichend ist, die Zugänge nur mit einem starken Passwort abzusichern, sondern auch ein zweiter Faktor eingesetzt werden sollte. Durch Umsetzung der Sicherheitsmaßnahmen, zusätzlich zu den normalen IT-Schutzvorkehrungen, kann die IT-Sicherheit erhöht werden. Ein kompletter Schutz vor Angriffen ist jedoch nicht möglich, da durch die Vernetzung der Systeme immer ein Angriffsvektor entsteht, der ausgenutzt werden kann. In Zukunft könnten kritische Infrastrukturen besser abgesichert werden, wenn die aufgezeigten Sicherheitsmaßnahmen umgesetzt werden.
Industrielle Steuerungssysteme und somit die Operational Technology (OT) werden immer verletzlichere Angriffsziele. Da Industrieanlagen, ebenso Tunnelanlagen, größtenteils mit der Office-IT vernetzt sind und häufig auch eine Verbindung zum Internet aufweisen, besteht ein Fernzugriff, der ausgenutzt werden kann. Zusätzlich besteht die Möglichkeit, dass ein Eindringen über die physischen Schnittstellen stattfindet. Daher müssen für einen gesamtheitlichen Schutz entsprechende OT-Security-Prozesse angewendet werden. Das Ziel dieser Arbeit ist die Verbesserung der zurzeit von der Dürr Austria GmbH verwendeten OT-Security-Prozesse in Tunnelsteuerungssystemen. Dazu werden die Informationssicherheit, mögliche Attacken und Angreifer*innen, sowie anwendbare Normen und Standards evaluiert. Der Fokus liegt dabei auf der IEC 62443, der Norm für die IT-Sicherheit für Netze und Systeme. Die zurzeit angewendeten OT-Security-Prozesse werden definiert und darauf aufbauend Optimierungen aus den anwendbaren Teilen der IEC 62443 analysiert. Weitere Security-Maßnahmen werden mithilfe von ergänzenden Standards erforscht. Als Resultat werden die gefundenen Verbesserungsmaßnahmen zusammengeführt, um eine Integration in die Prozesse zu ermöglichen. Auf dieser gesamtheitlichen Basis wird das Defense-in-Depth-Modell definiert. Die Ergebnisse dieser Arbeit werden in den bestehenden Informationssicherheitsprozess des Unternehmens betreffend der Tunnelsteuerungssysteme integriert.
This master’s thesis is about post-quantum cryptography. Therefore, it shows how quantum computers differ from traditional computers, what kind of quantum computers do exist, and what strengths they have. But the focus lies on the threat to information security. For this purpose, the paper shows how traditional cryptographic algorithms work and how vulnerable they are against quantum computers. The paper also shows the possible alternatives. This field is called post-quantum cryptography, and these algorithms are resistant against traditional computers and also against quantum computers. In this paper, expert interviews illustrated an outline of the threat and where it is mandatory to react. At least the results are applied to an IT system in the health sector, and it is analyzed how vulnerable it would be against quantum computers.
Da immer mehr Geräte und Benutzer Zugang zum Internet bekommen, muss die Sicherheit von Web Applikationen immer mehr im Blick behalten werden. Besonders bei Authentifizierungsmechanismen steigen die Anforderungen enorm. Passwörter gelten schon länger als unsicher, um ein Benutzerkonto vor unbefugtem Zugriff zu schützen. Die in dieser Arbeit behandelte Spezifikation soll dabei Abhilfe schaffen. Bei dieser Spezifikation handelt es sich um die WebAuthn Spezifikation, welche von der FIDO Alliance entwickelt wurde. WebAuthn wird im Zuge dieser Arbeit auf Schwachstellen von derzeit gängigen Authentifizierungsmechanismen untersucht. Diese bedient sich bewährten kryptografischen Methoden, um Sicherheit für die Authentifizierung zu gewährleiten. Zur Verifizierung eines Authentifizierungsvorganges wird asymmetrische Kryptografie eingesetzt. WebAuthn benötigt Authentifikatoren, um diesen Vorgang durchführen zu können. Diese können FIDO2-zertifizierte Smartphones, Security Token oder biometrische Authentifikatoren sein. Bei der Registrierung einer Benutzerin oder eines Benutzers wird von Authentifikator und Server ein Schlüsselpaar, bestehend aus privatem und öffentlichem Schlüssel, generiert und die öffentlichen Schlüssel zwischen ihnen ausgetauscht. Nun ist es dem Client möglich, sich am Zielsystem mithilfe des registrierten Authentifikators anzumelden. Um Benutzerinnen und Benutzern sowie Entwicklerinnen und Entwicklern zu zeigen, welche Vor- und Nachteile WebAuthn gegenüber herkömmlicher Authentifizierung bietet, wurden bekannte Angriffe recherchiert und auf die WebAuthn Spezifikation ausgeführt. Attacken, welche darauf ausgeführt werden, beinhalten Angriffe, um an Zugangsdaten von Benutzerinnen oder Benutzern zu kommen, Angriffe, welche auf die Übernahme einer Sitzung des Clients abzielen, Angriffe welche nicht technischer Natur sind und Angriffe auf die Authentifikatoren.
Thema der vorliegenden Masterarbeit ist die Betrachtung von Aspekten der Informationssicherheit beim Einsatz von Geräten aus dem Kontext des Internet of Things (IoT) in Unternehmensnetzwerken. Medienberichte und Analysen der letzten Jahre deuten auf frappierende Sicherheitslücken in IoT-Geräten und damit einer, durch die unabhängig davon zunehmende Bedrohungslage im Internet verschärften, Gefährdung der Sicherheit hin. Eine Frage, die sich dabei stellt, ist, ob vorhandene Sicherheitskonzepte für den Einsatz von IoT-Geräten ausreichend sind. Um dies zu beantworten war es notwendig, eine für die Arbeit gültige Definition des sehr abstrakten Begriffs "IoT" zu entwickeln und mögliche Anwendungsbereiche in Unternehmensnetzwerken aufzuzeigen. Darauf folgt eine Beschreibung der grundlegenden Aspekte der Informationssicherheit (Vertraulichkeit, Integrität und Verfügbarkeit) und eine Analyse von Bedrohungen und Angriffen auf Netzwerke. Ausgehend von diesen Erkenntnissen wurde ein Sicherheitskonzept zusammengestellt, welches heute übliche Maßnahmen zur Sicherstellung der Informationssicherheit in Unternehmensnetzwerken beinhaltet. Um ein Konzept unter Berücksichtigung des Einsatzes von IoT-Geräten entwickeln und mit derzeitigen Maßnahmen zu vergleichen, wurden IoT-spezifische Rahmenbedingungen und Angriffe beschrieben. Dabei zeigen sich vor allem Einschränkungen hinsichtlich technischer Ressourcen, Anforderungen an die Skalierbarkeit von Lösungen sowie eigene Angriffsszenarien. Unter Zuhilfenahme von Standards zur Sicherstellung von Informationssicherheit wurde davon ausgehend ein Katalog von erkannten IoT-bezogenen Risiken zusammengestellt. Darauf basiert das vorgeschlagene, verbesserte Modell, welches organisatorische, applikationsbezogene und technische Maßnahmen zur Behandlung dieser Risiken beinhaltet. Dabei zeigt sich, dass nur Teile davon überhaupt durch Weiterentwicklung bestehender Sicherheitsmaßnahmen realisiert werden können, einige Ansätze jedoch neuartig sind und eine Veränderung der Sicherheitsarchitektur in einem Unternehmen notwendig wird. In der Praxis werden dabei insbesondere Mechanismen zur Authentifizierung, Autorisierung und der Sicherstellung des Datenschutzes zur Herausforderung, da dazu derzeit keine universell realisierbaren Konzepte vorliegen. Entsprechend dieser Erkenntnisse ist davon auszugehen, dass heute übliche Maßnahmen zur Sicherstellung der Informationssicherheit nicht ausreichend für einen IoT-Anwendungsfall sind.
Die vorliegende Masterarbeit soll Unternehmen ansprechen, die planen, eine Single Sign On Lösung in ihrem Unternehmen zu etablieren. Damit das Authentifizierungsverfahren im Unternehmen von den Mitarbeitern auch genutzt wird, muss eine starke Akzeptanz zwischen den Nutzern und einer Single Sign On Lösungen gegeben sein. Aus diesem Grund werden im Theorieteil Faktoren der Benutzerakzeptanz aus dem Technology Acceptance Model 3 herausgearbeitet, welche im Speziellen für die Akzeptanz von Single Sign On Lösungen zutreffend sind. Die empirische Forschung besteht dabei aus zwei Teilen, in denen einerseits eine Umfrage erstellt und andererseits die Zusammenhänge zwischen den herausgearbeiteten Faktoren und der Benutzerakzeptanz auf Signifikanz geprüft werden. Die Auswertung der Umfrage im Rahmen dieser Masterarbeit zeigt dabei einen starken Zusammenhang zwischen der IT-Affinität und der Einstellung des Nutzers gegenüber einer Single Sign On Lösung auf die Benutzerakzeptanz. Eine ebenfalls im Rahmen dieser Arbeit erstellte Fallstudie zeigt, dass Single Sign On Technologien im Privatbereich noch keinen großen Anklang finden und dass auch die Vertrauenswürdigkeit des Identity Provider keinen Einfluss auf die Benutzerakzeptanz von Single Sign On Lösungen hat. Abschließend werden Maßnahmenvorschläge erstellt, um die Akzeptanz von Single Sign On sowohl in Unternehmen als auch im Privatbereich zu steigern.
IOT & IPV6
(2018)
Das Internet ist seit seiner Entwicklung stetig gewachsen. Durch das Aufkommen neuer Technologien stieg die Zahl der über dieses weltweit verbreitete Netzwerk kommunizierenden Endgeräte immer weiter an. Besonders das wachsende Interesse von Unternehmen ihre Systeme miteinander zu vernetzen führt dazu, dass die zu Verfügung stehende Menge freier IP-Adressen immer geringer wird. Durch den Einzug von IoT-Geräten in privaten Bereichen, welcher den Verzehr von IP-Adressen beschleunigt ist es nur noch eine Frage der Zeit bis das bestehende IPv4 flächendeckend seinem von seinem Nachfolgeprotokoll IPv6 ersetzt wird. Durch diesen Wandel steigt zwar die Anzahl der theoretisch, zu Verfügung stehenden IPAdressen auf circa 340 Sextillionen an, jedoch entstehen durch die von IPv6 genutzten Mechanismen und eingesetzten Protokolle auch neue Angriffsvektoren welche im Besonderen IoT-Geräte zu potentiellen Angriffszielen von Hackern werden lassen können. Auf Grund ihrer eingeschränkten Ressourcen und oft unzureichenden Versorgung mit sicherheitsrelevanten Softwareupdates durch die Hersteller oder die Endnutzer können IoT-Geräte sehr schnell zu einer ernstzunehmenden Gefahr für IPv6-Netzwerke werden. Dabei zeigt sich, dass der primäre Fokus im Besonderen auf die Absicherung der Grenzen des Netzwerkes gerichtet sein muss. In dieser Arbeit wird auf Basis von Analysen des IPv6-Protokolles und den Merkmalen und Spezifikationen gängiger IoT-Gerät ein einfaches Framework entwickelt welches sich an die besonderen Sicherheitsanforderungen von IoT-Geräten in IPv6-Netzwerken gerichtet ist. Das IPv6/Iot-Security Framework soll als Basis dienen um einen sicheren Einsatz von IoT-Geräten in sensiblen Netzwerken zu gewährleisten ohne dabei andere Elemente der Infrastruktur nachteilig zu beeinflussen.
In dieser Arbeit werden mögliche Anwendungen des vertraulichen Cloud Computing im Zusammenhang mit der Datenverarbeitung evaluiert. Dazu wird eine experimentelle Umgebung, in der vertrauliche homomorphe Verschlüsselung für verschiedene Szenarien angewendet und deren praktische Anwendbarkeit bewertet wird, geschaffen. Cloud Computing hat wirtschaftlich ein großes Potenzial. Insbesondere im Kontext der Anwendung von Cloud Computing im Zusammenhang mit der Verarbeitung sensibler Daten besteht jedoch keine Garantie für den Erhalt des Datenschutzes. Die Wahrung der Vertraulichkeit von persistierten Daten wird zumeist durch bewährte Verschlüsselungsmethoden gewährleistet. Vor der Durchführung von Berechnungen müssen diese jedoch in Klartext entschlüsselt werden. Die homomorphe Verschlüsselung bietet eine eingeschränkte Möglichkeit diese Berechnungen auch mit verschlüsselten Daten durchzuführen. Da sich dieses Forschungsgebiet in den letzten zehn Jahren stark entwickelt hat, gibt es noch relativ wenig Anhaltspunkte dafür, inwiefern die Verwendung homomorpher Verschlüsselung in realen Anwendungen praktikabel sein kann. In dieser Arbeit werden in einem ersten Schritt Szenarien erstellt, welche eine Verbindung zwischen den Potenzialen der Technologie und den kommerziellen sowie politischen Erwartungen herstellen. Im nächsten Schritt wird durch eine Evaluierung verschiedener homomorpher Verschlüsselungsbibliotheken beurteilt, welche kryptographische Basis für alle erforderlichen mathematischen Operationen der entworfenen Szenarien geeignet ist. Anschließend werden die entworfenen Szenarien implementiert und hinsichtlich ihrer Ergebnisqualität, ihrer Speicherauslastung und ihrer Laufzeit ausgewertet. Abhängig von der technischen Ausrichtung des Szenarios wird ein hohes oder niedriges Implementierungspotenzial für reale Anwendungen bestimmt. Die Ergebnisse sollten jedoch insbesondere im Hinblick auf den zugrunde liegenden Kontext interpretiert werden. In Zukunft gilt es weitere praxisnahe Szenarien zu entwerfen, zu implementieren und ausführlich zu testen, um die Grenzen und das Potenzial dieser Technologie besser einschätzen zu können.
Die vorliegende Masterarbeit ist im Bereich der Informationssicherheit und dem Informationssicherheitsmanagement angesiedelt. Ziel der Arbeit war es, einen allgemeinen Ansatz für die Entwicklung von Informationssicherheitsrichtlinien zu entwickeln. Aufgrund der Größe des Themenfeldes behandelt diese Arbeit vor allem das Richtliniendesign im Kontext der ISO 27001. Der erste Teil der Arbeit deckt den theoretischen Hintergrund von Informationssicherheitsmanagement, Kryptographie und den gesetzlichen Vorgaben dazu ab. Das Ergebnis dieses Teils war ein grundsätzliches Verständnis davon, wie Informationssicherheitsmanagement funktioniert und welchen Beitrag Kryptographie dazu leisten kann. Außerdem wurde festgestellt, dass es für die öffentliche Verwaltung keine besonderen Gesetze im Bereich der Informationssicherheit gibt. Der zweite Teil der Arbeit widmet sich dem Design von Informationssicherheitsrichtlinien. Aufgrund dessen, dass es noch keinen allgemeinen Ansatz für die Entwicklung solcher Richtlinien gab, wurde ein eigenes Vorgehensmodell dafür entwickelt. Basis für die Entwicklung des Modells waren die Erkenntnisse aus der Literaturrecherche hinsichtlich der Erfolgsfaktoren von Informationssicherheit. Im nächsten Schritt wurden fünf Fachleute aus dem Bereich der Informationssicherheit zu dem entwickelten Modell befragt. Das Ergebnis dieser Befragung war eine verbesserte Version des aufgestellten Modells. Mit Hilfe dieses Modells wurde dann in einem weiteren Schritt eine Richtlinie für die Anwendung von kryptographischen Verfahren entwickelt. Außerdem ist deutlich geworden, dass die verschiedenen Richtlinien für Informationssicherheit so unterschiedlich sind, wie die Unternehmen, in denen sie Anwendung finden und dass die Unternehmenskultur einen großen Einfluss auf den Erfolg dieser Richtlinien hat. Zusätzlich wurde festgestellt, dass es verschiedene Arten von Anforderungen innerhalb der ISO 27002 gibt. Einige können direkt umgesetzt und mit Richtlinien erfüllt werden, und andere wirken sich auf viele Unternehmensbereiche aus. Aufgrund dessen war eine Beantwortung der Forschungsfrage schwierig. Das entwickelte Modell versucht den verschiedenen Ansprüchen verschiedener Organisationen gerecht zu werden, aber die letztendlich entwickelte Richtlinie ist nicht auf andere Organisationen übertragbar.
Die Verbreitung von Geräten, die mit dem Internet kommunizieren und Teile des Alltags vieler Menschen sind, nimmt immer mehr zu. Das Internet of Things (IoT) kombiniert bestehende Technologien mit dem Internet, wodurch neue Einsatzgebiete erschlossen werden. IPKameras, Verkehrssteuerungssysteme und kritische Infrastrukturen wandern zunehmend in das Internet und werden dadurch für Personen erreichbar, die keinen Zugriff auf diese Systeme haben sollten. Dies führt dazu, dass neue Angriffsvektoren, die von Hackern und Kriminellen genutzt werden, entstehen und sowohl die IT-Sicherheit der IoT-Objekte selbst, als auch jene von bestehenden IT-Infrastruktur gefährdet werden. Viele IoT-Produkte, die für die Endkundin und den Endkunden konzipiert wurden, verfügen nicht über die notwendigen Sicherheitsmechanismen, die einen ordnungsgemäßen und sicheren ITBetrieb gewährleisten sollen. Die Produktentwicklung der Hersteller setzt den Fokus auf Bedienungskomfort und einfacher Konfiguration, vergisst jedoch die Gefahren, welche von ungesicherten IoT-Objekten ausgehen. Diese Gefahren reichen von Funktionsstörungen, dem Versenden von Spam-E-Mails, bis zur Nutzung von IoT-Objekten für großangelegte Hacker-Angriffe auf kritische Infrastrukturen. In dieser Arbeit wird ein IoT-Security Framework entwickelt, das auf Basis von Analysen bestehender IoT-Sicherheitsproblematiken, Sicherheitsanforderungen definiert und diese in einem Integrationsprozess zusammenfasst. Die Sicherheitsanforderungen wurden aus bereits publizierten Angriffsszenarien abgeleitet und werden sich direkt an das IoT-Objekt richten, der sicheren Kommunikation zwischen den einzelnen Objekten, sowie an die Cloudplattformen, die im Umfeld von IoT häufig zum Einsatz kommen. Das IoT-Security Framework soll es Endkonsumentinnen und Endkonsumenten ermöglichen, die IT-Sicherheit von IoT-Produkten zu bewerten und deren Risiko für sich selbst, als auch für bestehende IT-Infrastrukturen zu beurteilen.
Die Cloud ist ein Thema, das Unternehmen durch die Digitalisierung mehr betrifft denn je. Während sie im Privatleben bereits Einzug in den Alltag gefunden hat, benötigen die Unternehmen noch etwas Zeit. Speziell in Bezug auf ERP-Systeme, die die sensibelsten Daten des Unternehmens beinhalten, verwehren sie sich diesem Trend. Dies liegt vor allem an der Sicherheit der Cloud. In dieser Arbeit wird darum untersucht, welche konkreten Sicherheitsbedenken die Unternehmen haben, wenn es darum geht, ihr ERP-System in der Cloud zu betreiben, und wie diese vermindert werden können. Zur Datenerhebung wurden Personen aus der IT interviewt, worauf anschließend eine Liste von Bedenken aus ihren Aussagen erstellt wurde. Die Priorisierung ergab, dass eine performante Internetverbindung und das Vertrauen in den Cloud-Anbieter die größten Bedenken im Bereich der IT-Sicherheit auslösen. Durch die technologischen Möglichkeiten in der Cloud können diese Bedenken jedoch vermindert werden, indem beispielsweise ein entsprechendes Verfügbarkeitsmodell gewählt oder eine private Verbindung zum Cloud-Anbieter aufgebaut wird. Dennoch ist es nicht möglich, alle Bedenken auszuräumen, da ab einem gewissen Punkt kein Einblick in und kein Einfluss mehr auf die Funktionalität der Cloud vorgenommen werden kann. Dies zeigt, dass vor allem Vertrauen die Basis für den sicheren Betrieb des ERP-Systems in der Cloud ist. Mit der vorliegenden Arbeit soll den Unternehmen gezeigt werden, dass sich ihre Bedenken leicht vermindern lassen.
Sichere App Entwicklung
(2017)
Sicherheit in mobilen Applikationen ist ein wichtiger Punkt in der mobilen Softwareentwicklung. Diese Arbeit hat sich das Ziel gesetzt, bekannte Sicherheitsrisiken aufzuzeigen und welche Angriffsvektoren sich im speziellen für die mobilen Apps und die dazugehörigen Applikationsserver ergeben, darzustellen. Der Fokus liegt auf das Erarbeiten sicherer Frameworks und Designregeln, die zur Wahrung der IT-Sicherheit eingehalten werden sollen. Der erste Teil bietet einen Einblick in die sichere Applikationsentwicklung. Es wird gezeigt, dass sich Sicherheitsprobleme über die Jahre verändert haben und das neue Angriffsvektoren hinzugekommen sind. Zusätzlich werden aktuelle Sicherheitsrisiken und die Sicherheitsmodelle der verwendeten Plattformen behandelt. Es wird gezeigt, wie Applikationen gegen Angriffe geschützt werden können. Der zweite Teil widmet sich unterschiedlichen Übertragungsmöglichkeiten, Angriffsmöglichkeiten und Verteidigungsmöglichkeiten. Es geht hervor, wie eine mobile Applikation attackiert werden kann und wie Abwehrversuche aussehen können. Diese Themen werden mithilfe von Beispielen verständlich dargestellt. Im praktischen Kapitel wird anhand von Tests erörtert, wie wichtig grundlegende Sicherungen von mobilen Anwendungen sind. Sie weisen auch darauf hin, dass nicht jede Verteidigung einen vollständigen Schutz bietet, aber Angriffe verlangsamen können. In Verbindung mit der theoretischen Ausarbeitung und den Erkenntnissen der Tests entstanden Frameworks und dazugehörige Designregeln. Diese bieten Anfängerinnen und Anfänger eine Grundlage für die sichere Applikationsentwicklung und sie dienen als Checkliste für erfahrene Entwicklerinnen und Entwickler.
Die Sicherstellung dauerhafter Verfügbarkeit von produktionsnahen Servern ist für betroffene Firmen eine zunehmende Herausforderung. Bei einem Ausfall, sei er auch nicht von langer Dauer, kommt es bereits zu erheblichen zeitlichen Verzögerungen. Schwerwiegender sind allerdings die monetären Verluste, die durch unzureichende Überwachung der Server entstehen können. Aus diesem Grund liegt ein großes Augenmerk dieser Arbeit auf der Evaluierung und Einführung einer geeigneten Remote-Monitoring-Software für Produktionsdaten-Server, welche sich bei Lohnfertigern der Firma LOGICDATA befinden. Dabei wurden verschiedene Lösungen in einer Testumgebung untersucht und miteinander verglichen. Die zuvor definierten Kriterien wurden von zwei Software-Lösungen weitestgehend erfüllt, welche in der Arbeit detaillierter beschrieben werden. Da die betroffenen Server örtlich verteilt sind, muss auch eine sichere Übertragung der Überwachungsdaten gewährleistet sein. Infolgedessen wurde zusätzlich die bestehende VPN-Verbindung zu den Lohnfertiger-Servern untersucht und mit anderen Lösungen bzw. Protokollen verglichen. Eine mögliche Änderungsempfehlung wurde im Zuge dieser Masterarbeit entworfen, die allerdings gezeigt hat, dass die derzeit eingesetzte Lösung in diesem Anwendungsbereich durchaus Angriffe von außen verhindern kann. Nach dem Evaluierungsprozess in der Testumgebung wurden die ausgewählten Monitoring-Tools auf den tatsächlich eingesetzten Produktionsdaten-Servern erprobt. Die Überwachungsmöglichkeiten werden in Zukunft das Risiko eines Ausfalls bzw. auch die finanziellen Auswirkungen eines solchen für die Firma LOGICDATA minimieren.
Die IT ist aus modernen Unternehmen nicht mehr wegzudenken. Sämtliche elektronische Kommunikation ist ohne die entsprechende Infrastruktur unmöglich und für Unternehmen essenziell. Doch diese Unternehmensnetzwerke werden immer öfter durch Cyber-Attacken gefährdet.
Aus diesem Grund wird von Unternehmen eine Vielzahl an Sicherheitsmaßnahmen eingesetzt, um die IT-Infrastruktur zu schützen. Um das System vor Gefahren von außen und innen optimal abzusichern, schränken diese Maßnahmen die Möglichkeiten der Endanwender ein, da der User eine der größten Sicherheitslücken darstellt.
Das Ziel dieser Arbeit ist die Ausarbeitung der aktuell angewandten Sicherheitsmaßnahmen in Unternehmensnetzwerken, deren Möglichkeiten das System zu schützen und auf deren Einfluss auf die Endanwender einzugehen. Dazu wird folgende Forschungsfrage gestellt: „Welche technischen Maßnahmen mit vertretbaren Einschränkungen für den operativen Betrieb schützen Firmennetzwerke effektiv vor Angriffen?“
Um die Forschungsfrage und Hypothesen dieser Masterarbeit beantworten zu können, wurde zunächst eine Literaturrecherche durchgeführt, um einen Überblick über die derzeitigen Sicherheitsstandards zu gewinnen. Im Anschluss wurden qualitative Experteninterviews geführt, um die quantitativen Ergebnisse zu analysieren, priorisieren und zukünftige Möglichkeiten aufzuzeigen.
Sowohl Literaturrecherche als auch Experteninterviews zeigen auf, dass die behandelten Sicherheitsmaßnahmen für die User in einer homogenen IT-Infrastruktur, in der auf Usability-Anforderungen im Sicherheitskonzept geachtet und sicherheitstechnisch ein Kompromiss eingegangen wurde, mit vertretbaren Einschränkungen verbunden sind.
Die Untersuchung von zukünftigen Sicherheitskonzepten wie Zero Trust oder der Einsatz von künstlicher Intelligenz in diesem Kontext bieten ein breites Spektrum für weitere Forschung.
Aufgrund der fortschreitenden Digitalisierung werden mehr und mehr physische Produkte in der digitalen Welt abgebildet. Vor allem in Hinsicht auf digitale, identitätsbezogene Bescheinigungen ist es notwendig, dass diese nicht betrügerisch genutzt werden können, denn die jährliche Anzahl an Identitätsdiebstählen ist enorm. Hierfür braucht es eine Möglichkeit, diese digitalen Bescheinigungen so abzubilden, dass sie einerseits als fälschungssicher angesehen werden können und andererseits ein Identitätsdiebstahl unmissverständlich auffallen würde.
Ziel dieser Arbeit war es, die gestellte Forschungsfrage „Welche Herausforderungen birgt die Umsetzung einer Blockchain-Anwendung zum Nachweis von identitätsbezogenen Bescheinigungen?“ zu beantworten. Um diese Forschungsfrage beantworten zu können, wurde neben der Erarbeitung von theoretischen Grundlagen ein Prototyp geschaffen, welcher als Grundlage für die Ermittlung der möglichen Herausforderung dient. Dabei wurde einerseits ein Smart-Contract entwickelt, welcher die notwendigen Funktionalitäten auf Blockchain-Basis zur Verfügung stellt und andererseits wurde eine Webanwendung kreiert, welche die Schnittstelle zwischen Smart-Contract und Anwender/Anwenderin darstellt.
Anhand der erhaltenen Ergebnisse des Prototyps konnten schließlich Herausforderungen identifiziert und mögliche Lösungsvarianten ermittelt werden. Als Hürden gelten dabei hauptsächlich Limitierungen im Sinne der Möglichkeiten und Struktur eines Smart-Contracts, welche der Definition einer Selbstbestimmtheit entsprechen und der Identifikation von seriösen Ausstellern der Nachweise. Sowohl die Aktualisierung des Gültigkeitsstatus anhand des Gültigkeitsdatums eines Nachweises als auch die Sicherstellung des Datenschutzes in Hinsicht auf sensible Daten stellen weitere Herausforderungen dar, welche es zu lösen gilt.
Die empfohlenen Lösungsvarianten dienen als Anhaltspunkt für weitere Forschungsarbeiten. Hierfür wurden abschließend offene Fragestellungen definiert, welche für dieses Vorhaben herangezogen werden können.
Das Thema IT-Sicherheit ist eines der sich am schnellsten wandelnden Gebiete in der Informationstechnologie.Mit Werten von bis zu einer Million neuen Schadprogrammen pro Tag konfrontiert, sieht man auch, wo dieser Wandel seinen Ursprung hat.
In einem so volatilen Umfeld gibt es folglich viele Lösungen, die Sicherheit gegen monetären Einsatz versprechen. Die Kosten einiger High-End Lösungen sind aber leicht in der Lage, das IT-Budget einer Firma zu sprengen. In diesem Bereich setzt die vorliegende Masterarbeit an.
Diese Arbeit beschäftigt sich mit der Frage, ob es möglich ist, ein aktuelles Microsoft Betriebssystem nur mit Hilfe von Bordmitteln und dem LAPS Toolkit so weit abzusichern, dass es aktuellen Bedrohungen standhalten kann. Unabhängig vom Ausgang soll ein Nebenprodukt eine möglichst sichere Konfigurationsempfehlung für das Microsoft Windows Betriebssystem bzw. dessen Schutzkomponenten sein.
Hierzu befasst sich die Arbeit zuerst mit der theoretischen Situation, wie Angriffsvektoren, der Kategorisierung von Gefahren und der Taxonomie von unerwünschten und schädlichen Programmen. Nach der theoretischen Betrachtung folgt ein Blick auf die aktuelle Situation und die Betrachtung von exemplarischen Angriffen, zum einen von Malware zum anderen auf Basis der Befragung von Red-Team Sicherheitsexperten.
Im Anschluss werden die Verteidigungstechniken vorgestellt, deren optimale Einstellungen vorgestellt und argumentiert sowie der Einfluss auf Angriffe besprochen.
Aus der Kombination der Informationen über die aktuelle Sicherheitssituation sowie den gewonnenen Daten aus der Betrachtung der Wirksamkeit der Schutzmaßnahmen, erfolgt anschließend die Bewertung des Schutzgrades, der rein mit Bordmitteln erreicht werden kann.
Web Application Security
(2022)
In der heutigen Zeit spielt die Absicherung von modernen IT-Systemen eine wichtige Rolle und stellt gleichzeitig eine Herausforderung für viele Unternehmen dar. Bei den Versuchen, strikte Richtlinien umzusetzen und die eigenen Daten zu schützen, stoßen einige davon an ihre Grenzen. Die konstant wachsende Anzahl an modernen Bedrohungen forciert dabei hohe Investitionen und regelmäßige Überprüfung, Anpassung und Verbesserung der unternehmensinternen Prozesse. Aufgrund der Diversität der Bedrohungen stellen unterschiedliche Systeme dabei unterschiedliche Funktionalitäten bereit und es gibt keine zentrale Stelle für Abwehrmechanismen. Dabei stellt sich die Frage, ob eine zentrale Abhandlung diverser Bedrohungen auf Seiten einer Applikation sinnvoll ist, oder ob davon abgesehen werden sollte.
Um dies zu beantworten werden sicherheitsrelevante Aspekte im Bereich von Web Application Security untersucht und ein Einblick in die Relevanz zur Absicherung von WebApplikationen gegeben. Darüber hinaus werden einige der gängigsten Bedrohungen von modernen Systemen analysiert und beschrieben. Neben Konzepten, die dabei unterstützen, die Sicherheit von Software-Systemen zu erhöhen, werden ebenfalls die Möglichkeiten zur Auslagerung sicherheitsrelevanter Aspekte untersucht.
Der Fokus der Arbeit bezieht sich auf Web Application Firewalls und es wird konkret auf deren Verwendung, Architektur und deren Grenzen eingegangen. In diesem Kontext werden sowohl Lösungen kommerzieller Anbieter, als auch bekannte Open-Source Lösungen vorgestellt und verglichen. Die Open-Source Lösung ModSecurity wurde dabei für eine Anwendung in der Praxis ausgewählt. Es wurde ein Konzept aufgestellt, um die Integrität von HTTP-Cookies zu validieren und dieses wurde mithilfe eines eigens erstellten Regelwerks innerhalb von ModSecurity umgesetzt. Die Umsetzung dieses Konzepts hat gezeigt, dass eine solche moderne Anforderung auch erfüllt werden kann, ohne dabei die betroffene Applikation an sich verändern zu müssen.
Anhand der zuvor durchgeführten Recherche und der praktischen Anwendung wird einerseits die Flexibilität und der Nutzen einer WAF verdeutlicht, und andererseits dargelegt, dass eine eigens adaptierte Implementierung keinen Mehrwert gegenüber der Verwendung bestehender Lösungen bietet.