Diplom- und Bachelorarbeiten 2018 | IT Security & Information Security by FH St. Pölten

St. Pölten University of Applied Sciences

informatik & security

IT Security & Information Security

Diplom- und Bachelorarbeiten | 2018

fhstp.ac.at 1

Inhaltsverzeichnis Diplom- & Bachelorarbeiten Information Security & IT Security Vorwort Geschäftsführung, Leiterin des FH-Kollegiums, Studiengangsleiter. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Masterstudium Information Security .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Absolventinnen und Absolventen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Diplomarbeiten.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Studiengangsbeirat. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

Bachelorstudium IT Security.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 Absolventinnen und Absolventen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 Bachelorarbeiten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 Impressum Herausgeberin, Medieninhaberin und Verlegerin: Fachhochschule St. Pölten GmbH, Matthias Corvinus-Straße 15, 3100 St. Pölten | www.fhstp.ac.at Lektorat: Mag. Eva Schweighofer, Bakk., Lukas Peh, BA Gestaltung und Satz: Anna Achleitner Fotos: Fotosearch.com (Titelseite) | Marko Kozlica, Daniel Bründl, Carola Berger (Absolventinnen und Absolventen) Martin Lifka Photography (S. 4, 7, 31, 80) | NMPB Architekten ZT GmbH Wien (S. 81) | Raphaela Raggam (S. 5) Druck: Bösmüller Print Management GesmbH & CO KG Vorbehaltlich Druck- und Satzfehler

Fachhochschule St. Pölten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

Vorwort Liebe Leserin, lieber Leser! Das Department Informatik und Security wird durch seine fachliche Reputation als wichtiger Ansprechpartner für Wirtschaft, Industrie und diverse Institutionen anerkannt. Das internationale Team ist durch Kooperationen im In- und Ausland vernetzt und seine Innovationskraft sowohl in Studium und Lehre als auch in Forschung und Entwicklung ist über die regionalen Grenzen hinaus maßgebend. Mit den Bachelor und Master Studiengängen, dem Institut für IT-Sicherheitsforschung und dem Josef Ressel Zentrum für die konsolidierte Erkennung gezielter Angriffe (TARGET) wird für die Studierenden ein attraktives und einzigartiges Ausbildungs- und Trainingsumfeld angeboten. Die hohe Expertise und Motivation des Departmentteams, das klare Bekenntnis zur F&E, die Verschränkung zwischen Forschung und Lehre sowie die Vorreiterarbeit in der Entwicklung und Umsetzung von innovativen Lehr- und Lernformaten bleiben die Ingredienzen dieses Erfolges. Wir danken J. Haag, P. Tavolato, E. Piller und S. Schrittwieser sowie dem gesamten Team für die exzellente Arbeit, unseren nationalen und internationalen akademischen Wirtschafts- und Industriepartnerinnen und -partnern sowie unseren Studierenden für die gute Zusammenarbeit und den hohen Einsatz. Wir gratulieren unseren Absolventinnen und Absolventen zu ihren Studienabschlüssen und wünschen allen viel Erfolg für die Zukunft. Dr. Gabriela Fernandes und DI Gernot Kohl, MSc Geschäftsführung FH St. Pölten

Wie jedes Jahr gibt uns die Publikation der Studiengänge IT Security und Information Security über ihre aktuellen Bachelor- und Diplomarbeiten einen umfassenden Überblick über die Vielfalt der Problemstellungen und deren kompetente Bearbeitung in diesem Bereich. Ein gut etablierter Evaluierungszyklus, bei dem die Studierenden, ebenso Absolvent*innen, Praktikumsanbieter*innen und Arbeitgeber*innen befragt werden, garantiert, dass die Ausbildung an der FH St. Pölten aktuelle Entwicklungen aufgreift bzw. soweit möglich antizipiert und mit Curriculumsveränderung darauf reagiert. Es werden laufend innovative Lehr- und Lernformen entwickelt, erprobt und umgesetzt. Wichtig ist die Vernetzung von Lehre und Forschung, die im Bereich IT Security durch den Einsatz von Forscher*innen des Josef Ressel Zentrums für konsolidierte Erkennung gezielter Angriffe (TARGET) und des Instituts für Sicherheitsforschung in der Lehre erfolgt und andererseits diese Institute interessierten Studierenden die Möglichkeit bieten, Forschungserfahrung zu sammeln. Die Lehrenden sind international wie regional vernetzt und garantieren besten Praxisbezug. Unter der bewährten Leitung von FH-Prof. Dipl.-Ing. Johann Haag und FH-Prof. Dipl.-Ing. Dr. Paul Tavolato begleiten und motivieren sie die Studierenden zu außerordentlichen Leistungen. Dafür sei ihnen allen ein herzlicher Dank ausgesprochen. Ich gratuliere den Absolvent*innen sehr herzlich zum erfolgreichen Studienabschluss. Der vorliegende Band von Abschlussarbeiten soll als Anregung für Studierende dienen, selbst nach Exzellenz zu streben und als Information für jene, die sich für ein Studium an der FH St. Pölten interessieren.

„Es ist nicht genug zu wissen – man muss auch anwenden. Es ist nicht genug zu wollen – man muss auch tun“. Johann Wolfang von Goethe

An der FH St. Pölten werden seit nunmehr über zehn Jahren IT-Security-Spezialistinnen und -Spezialisten ausgebildet. Seit fünf Jahren wird das Studium nun auch berufsbegleitend angeboten – eine ideale Kombination aus theoretischem Wissen und Erfahrungen aus der Praxis. Egal ob unsere Absolventinnen und Absolventen dadurch bereits im Berufsleben stehen, sie nun diesen Schritt in die Praxis tun oder nach Abschluss noch ein weiterführendes Studium anschließen: Sie sind durch ihr umfangreiches Wissen und ihr praxisnahes Studium ideal für die kommenden Herausforderungen gerüstet. Wir sind fest davon überzeugt, dass die Absolventinnen und Absolventen des Bachelor Studiengangs IT Security und des Master Studiengangs Information Security genau diese, bereits von Johann Wolfgang von Goethe hervorgehobene, Kombination aus theoretischem Wissen und praktischer Anwendung während ihres Studiums an der FH St. Pölten erfahren konnten. Hierbei haben sie sich im Laufe ihrer Ausbildung nicht nur die erforderlichen fachlichen Kompetenzen angeeignet und diese bei zahlreichen Prüfungen unter Beweis gestellt, sondern hatten zusätzlich die Möglichkeit, das erlangte Wissen bereits im Rahmen des Berufspraktikums erfolgreich umzusetzen und anzuwenden. Zusätzlich haben die Studierenden auch gelernt, Herausforderungen im Rahmen von wissenschaftlichen Arbeiten wie Bachelor- oder Diplomarbeiten nicht nur anzunehmen, sondern mit Erfolg und Enthusiasmus zu bestehen. Dabei behandeln die studentischen Arbeiten aktuellste Themen und Fragestellungen aus den Forschungsschwerpunkten des Instituts für IT Sicherheitsforschung, des Josef Ressel Zentrums TARGET oder praktische Aufgabenstellungen in direkter Zusammenarbeit mit Firmenpartnern. All die Ergebnisse aus diesen Arbeiten möchten wir Ihnen nun in Form dieses Diplom- und Bachelorarbeitbands ans Herz legen. Wir sind überzeugt, dass Ihnen das Lesen eine Fülle interessanter Fakten, aber auch die eine oder andere Anregung für ihren eigenen Bereich bieten wird. Vielleicht ist ja etwas speziell für Sie dabei. Als verantwortliche Studiengangsleiter möchten wir uns bei allen Beteiligten, die dieses Projekt ermöglicht haben, herzlich bedanken: Bei den Firmen für ihre Druckkostenbeiträge, bei den Betreuern der Arbeiten, aber vor allem bei den Autorinnen und Autoren für ihre hervorragende Arbeit, die nun zu ihrem akademischen Abschluss führt. FH-Prof. Dipl.-Ing. Johann Haag Studiengangsleiter IT Security (BA) FH-Prof. Dipl.-Ing. Dr. Paul Tavolato Studiengangsleiter Information Security (MA)

FH-Prof. Mag. Dr. Monika Vyslouzil Leiterin des FH-Kollegiums 4

Information Security Master | berufsbegleitend Abschluss

Diplom-IngenieurIn (Dipl.-Ing.)

Kosten pro Semester

EUR 363,36 + ÖH-Beitrag

International

Studiendauer

Option: Auslandssemester

4 Semester Studienplätze/Jahr

www

Bewerbung und weitere Infos:

fhstp.ac.at/mis

Die moderne Gesellschaft ist stark von der Funktionsfähigkeit vieler Informationssysteme abhängig. Das Studium kombiniert Technik und Management und bildet Expertinnen und Experten aus, welche die Sicherheit von Gesamtsystemen garantieren sowie Informationssicherheit im Unternehmen verankern können.

Studieninhalte

Berufsfelder

Ausgleichsmodul Unterschiedliche Module für Studierende mit IT-Security-Bachelorabschluss und jene mit allgemeinem Informatik-Bachelorabschluss zum Angleichen des Informationsstands

Absolventinnen und Absolventen arbeiten u. a. als: n Chief Security Officer n IT Infrastructure Engineer n Security Consultant n IT-Safety-Expertin/-Experte n IT Security Solution Engineer/Architect n Datenschutzbeauftragte/r n IT-ForensikerIn n Compliance Officer, RisikomanagerIn n IT-Governance-Expertin/-Experte n IT Solution Architect n Malware-AnalystIn n AuditorIn

Kernthemen Wesentliche Kompetenzen in den Bereichen Infrastructure Security, Software Security, Privacy, Sicherheitsmanagement und Informationssicherheit Fachspezifische Vertiefung Studierende wählen eine der Vertiefungen: n Software Security n Industrial and Infrastructure Security n IT-Management 6

Absolventinnen und Absolventen 2018 Masterstudium Information Security Dipl.-Ing. Stefan Biehl, BSc Dipl.-Ing. Stefan Boubela, BSc Dipl.-Ing. Bianca Danczul, BSc Dipl.-Ing. Sebastian Eresheim, BSc Dipl.-Ing. Melisa Geko, BSc Dipl.-Ing. Simon Hasler, BSc Dipl.-Ing. Patrick Franz Kochberger, BSc Dipl.-Ing. Armin Kraus, BSc Dipl.-Ing. Richard Lechner, BSc Dipl.-Ing. Daniel Mestan, BSc Dipl.-Ing. Julian Rauchberger, BSc Dipl.-Ing. Lukas Schmalzbauer, BSc Dipl.-Ing. Kevin Schneider, BSc Dipl.-Ing. Werner Schober, BSc Dipl.-Ing. Julian Schrittwieser, BSc Dipl.-Ing. Dominik Sramec, BSc Dipl.-Ing. Daniel Tremmel, BSc Dipl.-Ing. Mario-Valentin Trompeter, BSc

Analyse der Sicherheit von digitalen Zahlungssystemen

Dipl.-Ing. Stefan Biehl, BSc

Dipl.-Ing. Stefan Boubela, BSc

Betreuer: FH-Prof. Univ.-Doz. Dipl.-Ing. Dr. Ernst Piller

Betreuer: FH-Prof. Dipl.-Ing. Dr. Sebastian Schrittwieser, Bakk.

Ausgangslage Das Internet war der Ursprung für viele Innovationen und Veränderungen. Es haben sich enorme gesellschaftliche Strukturen rund um das digitale Netz entwickelt. Im Internet analoge und digitale Güter und Services zu kaufen oder zu konsumieren ist ein aufkommendes Bedürfnis. Der digitale Zahlungsverkehr greift schon längst aus der rein digitalen Welt in den Alltag über. Er gewinnt gegenüber den konventionellen Zahlungssystemen wie Bargeld-, Kredit- oder Debitzahlungen zunehmend Marktanteile. Heute gehören Zahlungen mit dem Smartphone schon bei einigen Personengruppen zum Alltag, für andere wirken sie noch befremdlich. Für die EndverbraucherInnen sehen die verschiedenen modernen Zahlungssysteme von außen alle sehr ähnlich aus, da das Resultat der getätigten Zahlung immer dasselbe ist. Betrachtet man jedoch das Verfahren im Hintergrund, gibt es große technologische Unterschiede. Eines der Grundprinzipien davon ist es, den Kunden eine sichere und flexible Zahlungsplattform zu bieten. Um diese Bedürfnisse zu erreichen, werden innovative Cloudkonzepte oder eigens dafür entwickelte Hardwarelösungen verwendet. Aufgrund der hohen Modularität auf VerbraucherInnenseite müssen bei solchen Zahlungssystemen auch viele weitere Faktoren zum Thema Sicherheit betrachtet werden.

Entwicklung eines flexiblen Systems aus neuronalen Netzen zur Klassifizierung von Malware

Ziel Ob eine sichere und moderne digitale Zahlung auch für die EndbenutzerInnen möglich ist, gilt es festzustellen. Die technische Vorstellung der am Markt vertretenen Lösungen, schafft einen ersten Überblick und befasst sich im Verlauf tiefergehend mit deren spezifischen Technologien. Zielführend werden diese Umsetzungen unter dem Kontext der IT-Security und den aufkommenden komplexen Anforderungen für sicheren Geldtransfer betrachtet. Ergebnis Im Rahmen dieser Arbeit konnte eine umfangreiche Analyse von digitalen Zahlungssystemen hinsichtlich ihrer technischen und organisatorischen Sicherheit durchgeführt werden. Anhand der Erläuterung bekannter Bedrohungen, Szenarien und möglichen Weiterentwicklungen entsteht aufbauend ein Bild über den derzeitigen Sicherheitsgrad von modernen Zahlungsmöglichkeiten. Außerdem wird noch auf den Stellenwert einer digitalen Identität eingegangen, die im engen Zusammenhang mit einer digitalen Zahlung steht. Abschließend kann man die vorgestellten Zahlungsmethoden als sicher einstufen.

Ausgangslage Neuronale Netze sind eine vielversprechende Technologie im Bereich künstliche Intelligenz, um damit automatisch Klassifizierungen und Regressionen durchzuführen. In verschiedensten Versuchen konnten diese Netze bereits beeindruckende Ergebnisse erzielen und dabei die Fähigkeiten des Menschen übertreffen. Auch in der Malware-Erkennung gelten neuronale Netze als zukunftsträchtige Technologie und sollen die klassischen signatur-basierten Verfahren, welche gegen die heutigen Mengen und Methoden von Malware kaum eine Chance haben, ablösen. Zwar existieren bereits Systeme, die unter Laborbedingungen nahezu perfekte Ergebnisse erzielen, diesen mangelt es jedoch meist an Alltagstauglichkeit und der Möglichkeit, sich flexibel an die tatsächliche Anwendungsumgebung anzupassen. Weiter fehlt für neuronale Netze ein umfassender Überblick, um weitere Forschung und Entwicklung zu ermöglichen und zu fördern. Ziel Das Ziel dieser Arbeit ist einerseits, Grundlagen für neuronale Netze wie Architekturen und Verfahren zu beschreiben, andererseits, ein flexibles System zur Klassifizierung von Malware theoretisch zu modellieren und praktisch zu implementieren.

Ergebnis Diese Arbeit beschreibt daher zu Beginn eine umfangreiche Zusammenfassung zu neuronalen Netzen und häufigen Verfahren und Algorithmen, um eine einheitliche Ausgangslage zu schaffen und Entwicklungen in diesem Bereich zu fördern. Die Grundlagen reichen dabei von einfachen Fragen wie „Was sind neuronale Netze?“ bis zu modernen Verfahren, wie Adaptive Moment Estimation, und Problemen, wie Overfitting und Covariate Shift, um das Thema möglichst vollständig abzudecken. Danach werden aufgrund der Vielzahl an verfügbaren Netzen und Frameworks einerseits passende Netze zur Erreichung der gesetzten Zielsetzung dieser Arbeit, aber auch verschiedenste Frameworks zur praktischen Implementierung evaluiert. In späteren Kapiteln werden darauf basierend zwei Systeme theoretisch modelliert, verbessert und zuletzt praktisch implementiert. Entscheidungen und neue Verfahren werden dabei in simplen Versuchen praktisch untermauert. Das resultierende System bietet die Funktionalität eines herkömmlichen Classifiers, während es mehr Flexibilität bei Training und Implementierung bietet und einen Mechanismus zur Steuerung von False-Positive-Rate und Erkennungsrate besitzt. Des Weiteren ist das System durch ein implementiertes Kodierungsverfahren in der Lage, nahezu jeden Input ohne größere Anpassungen zu verarbeiten.

Compliance in der Sicherheitstechnik

Dipl.-Ing. Bianca Danczul, BSc

Dipl.-Ing. Sebastian Eresheim, BSc

Betreuer: Dipl.-Ing. Herfried Geyer

Betreuer: FH-Prof. Dipl.-Ing. Dr. Sebastian Schrittwieser, Bakk.

Ausgangslage Im Normalfall werden in der elektronischen Sicherheitstechnik die Anlagen vor der Übergabe zwar korrekt installiert und programmiert, jedoch werden bei der weiteren Betreuung dieser Systeme meist Kosten eingespart, wodurch die Systeme viele Jahre ohne Wartung oder Updates in Betrieb sind. Durch das fehlende Patch-, Identitäts-, oder Netzwerkmanagement sinkt das Niveau der IT-Security und Informationssicherheit daher stetig. Dies birgt unter anderem die Gefahr, dass bei Nichteinhaltung der gesetzlichen Vorgaben – insbesondere in Hinblick auf den Schutz personenbezogener Daten durch die Datenschutzgrundverordnung – hohe Strafen auf ein Unternehmen zukommen können. Diese Arbeit betrachtet daher mögliche Maßnahmen, um die Einhaltung der aktuell gültigen Rechtslage zu gewährleisten. Ziel Das Ziel dieser Arbeit ist einerseits festzustellen, wie AGB und Verträge gestaltet sein müssen, um die rechtlichen Rahmenbedingungen einzuhalten. Andererseits soll die Frage beantwortet werden, wer bei kompromittierten Systemen für Schäden innerhalb der gesetzlichen Gewährleistung haftet. Dazu werden zunächst sowohl relevante, einzuhaltende rechtliche Vorgaben und unternehmensinterne und -externe Regelwerke identifiziert, als auch die Funktionsweise der sicherheitstechnischen Systeme erläutert. 12

Process Classification via Process Events

Ergebnis Im Zuge dieser Arbeit konnte eine Übersicht über die zu beachtenden Gesetze und Normen sowie über die wichtigsten Vertragsarten erstellt und die Funktionsweise der sicherheitstechnischen Systeme erläutert werden. Anhand dessen wurden einerseits die rechtlichen Rahmenbedingungen identifiziert sowie Beispiele zur Haftungsfreizeichnung gegeben. Andererseits wurde versucht, die Frage zu beantworten, wer bei kompromittierten Systemen für Schäden innerhalb der Gewährleistung haftet. Dazu wurde aufbauend auf der Funktionsweise der verschiedenen Systeme und auf den rechtlichen Grundlagen eine fiktive Fallstudie erstellt, welche sich mit der Haftung bei kompromittierten Systemen einmal ohne den und einmal mit dem Verlust personenbezogener Daten beschäftigt. Ausblick Insbesondere Fragen zur Haftung sind komplex zu beantworten, da eindeutige Rechtsprechungen und Urteile bezüglich der korrekten Auslegung der DSGVO derzeit noch fehlen. Es bleibt daher zu hoffen, dass in naher Zukunft durch OGH-Urteile Klarheit in die genaue Auslegung der Datenschutzgrundverordnung gebracht werden kann.

Ausgangslage Zielgerichtete Angriffe auf Computersysteme sind heutzutage leider keine Seltenheit mehr. Mehrere, vermutlich staatlich gesponserte, Gruppen, denen oftmals Nähe zu gewissen Geheimdiensten nachgesagt wird, arbeiten tagtäglich daran, fremde Netzwerke zu unterwandern und sich permanent Zugriff zu verschaffen. Ihr Motiv dabei ist meistens das Sammeln von spezifischen Informationen über ihr Ziel. Um sich permanenten Zugriff zu einem Netzwerk zu verschaffen, müssen die Angriffe lange Zeit unbemerkt bleiben; AngreiferInnen müssen daher ihre Spuren verschleiern und Einbruchsindikatoren verstecken. Eine Technik, die ihnen dabei zugutekommt, ist das sogenannte Prozessaushöhlen. Dabei werden unbedenkliche Prozesse (wie zum Beispiel explorer.exe) gestartet, jedoch der Code im Speicher des Prozesses durch den Schadcode, der versteckt bleiben soll, ersetzt. Das Resultat ist ein Prozess, der von außen betrachtet harmlos aussieht, in Wahrheit allerdings potenziell schadhafte Aktionen am System oder im Netzwerk durchführen kann. Erkannt werden können solche Techniken am veränderten Verhalten und der dadurch generierten Ereignisse am System. Prozessaushöhlen ist nur eine von vielen Varianten, bei denen Prozesse ihr Verhalten ändern, nachdem sie kompromittiert worden sind und anschließend unüblich Ereignisse

erzeugen. Wichtig ist, zu verstehen, dass nicht nur das Auftreten von „bösartigen“ Ereignissen, sondern auch das Fehlen von üblichen Ereignissen als Grundlage dient. Ziel Das Ziel dieser Arbeit ist, festzustellen, inwieweit sich Prozesse anhand der von ihnen generierten Ereignisse identifizieren lassen. Dies kann dann einerseits selbst schon als Erkennungswerkzeug von bestimmten Angriffen dienen, andererseits kann es als Grundlage für ein Anomalieerkennungssystem verwendet werden. Außerdem ist so ein System hilfreich bei der Einschätzung von unbekannten Prozessen, indem es Ähnlichkeiten zu bereits bekannten Prozessen aufzeigen kann. Ergebnis Im Zuge dieser Arbeit konnte festgestellt werden, dass es mit Hilfe von Methoden aus der Statistik in Kombination mit maschinellem Lernen tatsächlich möglich ist, Prozesse anhand der von ihnen generierten Ereignisse zu klassifizieren. Des Weiteren wurden optimale Parameter festgestellt, zueinander in Beziehung gesetzt und daraus Interpretationen abgeleitet.

Effects of the General Data Protection Regulation on Information Security: An Ontology of GDPR

Dipl.-Ing. Melisa Geko, BSc

Dipl.-Ing. Simon Hasler, BSc

Betreuer: FH-Prof. Mag. Dr. Tjoa Simon

Betreuer: Dipl.-Ing. Dr. Henri Ruotsalainen

Ausgangslage Viele Unternehmen haben erkannt, dass der richtige Einsatz der Datenanalyse ein entscheidender Wettbewerbsvorteil ist. Dieser Umstand und geringe Strafen bei Nichteinhaltung führten dazu, dass der Schutz der Privatsphäre oft vernachlässigt wurde. Um dies zu ändern und den Datenschutz in der gesamten Europäischen Union zu harmonisieren, hat die EU-Kommission ein neues Gesetz beschlossen, welches die Rechte des/der Betroffenen klärt und einen angemessenen Schutz personenbezogener Daten ermöglicht. Die neue EU-Datenschutzverordnung (DSGVO) vereinheitlich den Umgang und die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen EU-weit. Durch hohe Strafen bei Nichteinhaltung (d.h. zwischen zu 2% - 4% des weltweiten Jahresumsatzes) übt die neue Datenschutzverordnung einen hohen Druck auf die Organisationen aus, sich den Anforderungen der DSGVO anzupassen. Studien haben jedoch gezeigt, dass Unternehmen von den tatsächlichen Anforderungen überfordert sind. Ziel Das Ziel dieser Arbeit ist, eine Struktur zu schaffen, die die wichtigsten Anforderungen der Datenschutzgrundverordnung an die Informationssicherheit festlegt, um Organisationen bei diesem komplexen Thema mit einer Wissensbasis zu unterstützen. 14

Signal Intrusion Detection for Remote Keyless Entry Systems

Ergebnis Die Anforderungen der DSGVO, die relevant für die Informationssicherheit sind, wurden in einer Ontologie dargestellt. Diese Ontologie besteht aus fünf Hauptbereichen: Data, Organisation, Prinzipien, Rechte und Pflichten der Datenschutzgrundsätze, die Pflichten des/der für die Verarbeitung Verantwortlichen und die Rechte der betroffenen Person. Die vorgestellte Ontologie kann von Organisationen genutzt werden, um ein erstes Verständnis der DSGVO-Anforderungen zu erhalten, aber auch die für die Verarbeitung Verantwortlichen und AuftragsverarbeiterInnen können bestimmen, welche Pflichten sie gegenüber der betroffenen Person haben und was sie bei der Verarbeitung personenbezogener oder sensibler Daten beachten müssen. In dieser Ontologie wird dies durch die Verknüpfung der Grundsätze der Datenverarbeitung mit den Pflichten des/ der für die Verarbeitung Verantwortlichen und den Rechten des/der Betroffenen erreicht.

Ausgangslage Da Autohersteller zunehmend elektronische Sicherheitsmechanismen verwenden, um ihre Fahrzeuge vor Einbrüchen zu schützen, ergeben sich ganz neue Angriffswege, die oftmals nur noch den Einsatz äußerst billiger und leicht erwerblicher Geräte und erstaunlich geringes Wissen erfordern. Beim sogenannten „RollJam“-Angriff wird das Funksignal eines Autoschlüssels aufgezeichnet und gleichzeitig die Sendefrequenz gejamt, sodass das Signal nie beim Auto ankommt und ungültig wird. Dies erlaubt es dem/der AngreiferIn, das nach wie vor gültige Signal zu einem späteren Zeitpunkt von einem anderen Sendegerät neuerlich abzusenden und auf diese Weise das Auto ohne den zugehörigen Schlüssel zu öffnen. Millionen Fahrzeuge verschiedenster Marken, die in den letzten rund 20 Jahren produziert wurden, sind weltweit von dieser Problematik betroffen und es soll daher eine Sicherheitslösung zur Erkennung bösartiger Sendegeräte im Rahmen dieser Arbeit entwickelt werden.

ob ein empfangenes Signal vom echten Funkschlüssel abgesendet wurde oder nicht. Ergebnis Die Arbeit stellt verschiedene Sendegeräte vor, die in der Lage sind, das Signal eines Autoschlüssels aufzuzeichnen und zu einem späteren Zeitpunkt in böswilliger Absicht erneut abzusenden. Es konnte durch die visuelle Repräsentation dieser Signale und deren Analyse nachgewiesen werden, dass senderspezifische Unterschiede auftreten. Diese wurden in einem Daten-Set gesammelt, das als Input für zwei verschiedene Machine-Learning-Algorithmen zur Datenklassifikation zum Einsatz kam. Eine Ergebnisauswertung hat gezeigt, dass ein MachineLearning-Ansatz in der Lage ist, Signalquellen mit sehr hoher Genauigkeit zu bestimmen und sich dadurch für ein Signal-Intrusion-Detection-System eignet. Dieses wurde abschließend implementiert und in der Arbeit präsentiert.

Ziel Ziel dieser Arbeit ist es, zu ermitteln, ob Unterschiede in analogen Signalen ermittelt werden können, wenn diese von unterschiedlichen Geräten abgesendet werden. In weiterer Folge soll ein Signal-Intrusion-Detection-System zur Erkennung von Einbruchsversuchen entwickelt werden, das anhand individueller Charakteristiken in Signalen bestimmt, 15

Funktionsanalyse von ausführbaren Dateien – Aufspüren von kryptographischer Funktionalität mittels Visualisierung

Dipl.-Ing. Patrick Kochberger, BSc

Dipl.-Ing. Armin Kraus, BSc

Betreuer: FH-Prof. Dipl.-Ing. Dr. Sebastian Schrittwieser, Bakk.

Betreuer: FH-Prof. Dr. Simon Tjoa

Ausgangslage Die Untersuchung von unbekannten Programmen oder Schadsoftware macht es oft notwendig, kryptographische oder andere Funktionalität aufzuspüren. Funktionalität, als ein bestimmtes mögliches Verhalten, kann verwendet werden, um Software zu klassifizieren oder den/die BenutzerIn auf etwaige Folgen oder vorhandene, nicht erwünschte Bestandteile hinzuweisen. Diese Analyse von Binärdateien kann ein unübersichtlicher und schwieriger Prozess sein. Um diesen zu vereinfachen und angenehmer zu gestalten, ist es notwendig, neben Automatisierung, dem Analysten oder der Analystin einen Überblick zu verschaffen. Die Darstellung als Bild kann nicht nur dabei helfen, sondern bietet auch die Möglichkeit, visuelle Muster aufzudecken. Graphische Muster ermöglichen einen einfacheren Vergleich und haben einen hohen Wiedererkennungswert. Diese Arbeit untersucht daher den Begriff Funktionalität sowie die vorhandenen Herangehensweisen bezüglich Visualisierung von Frameworks zur Analyse von Binärdateien. Ziel Das Ziel dieser Arbeit ist, festzustellen, welche Möglichkeiten es gibt, kryptographische Operationen in einer ausführbaren Datei zu lokalisieren. Dazu werden die Eigenschaften 16

Developing an Information Security Strategy

und der Aufbau von kryptographischen Routinen, stellvertretend durch den AES (Advanced Encryption Standard) oder Rijndael-Algorithmus, erläutert. Des Weiteren wird der typische Vorgang beim Compilieren und Decompilieren näher beleuchtet. Ergebnis Durch eine Recherche der vorhandenen Literatur im Bereich der Identifikation von Kryptographie wurden diverse Charakteristiken von kryptographischem Code entdeckt. Neben der Benutzung von Konstanten ist auch ein hohes Aufkommen von arithmetischen und bitweisen Anweisungen eine typische Eigenschaft. Aufbauend auf diesen Erkenntnissen wurde eine Vorgehensweise zur visuellen Darstellung von ausführbaren Programmen vorgeschlagen, welche abschließend auf Praktikabilität überprüft wurde, indem Bilder von mehreren Proben erstellt und ausgewertet wurden.

Ausgangslage Die strategische Führung von Unternehmen hat sich innerhalb der letzten 25 Jahren entwickelt. Organisationen mussten lernen, ihre aktuelle Situation zu analysieren und ihre Position zu identifizieren, um Wettbewerbsvorteile zu schaffen. Es wurden viele verschiedene Ansätze getestet, um das dynamische Umfeld des Wettbewerbs zu meistern. Die Erfahrungen aus diesen Tests führten zu einer Empfehlung, wie Unternehmensstrategien definiert werden sollten. Als Basis für eine Strategie dienen Geschäftsmodelle. Diese definieren, wie ein Unternehmen arbeiten soll und wie Werte geschaffen werden können. Als wesentlicher Bestandteil der Strategieentwicklung unterstützen Geschäftsmodelle bei der Identifizierung von Kernproblemen und liefern eine Ausgangsbasis. Je nach Methode unterstützt es die Organisationen bei der Ermittlung der aktuellen Situation und lässt Rückschlüsse auf zukünftige Ereignisse zu. Die Literatur zeigt, dass die meisten Methoden für das Management von Geschäftsstrategien entwickelt wurden, Methoden zur Entwicklung von Informationssicherheitsstrategien sind aber nur spärlich vorhanden.

chen. Des Weiteren sollen die Grundbausteine einer solchen Strategie identifiziert werden. Ergebnis Es werden Informationen über die wesentlichen Fakten von Informationssicherheit präsentiert, wozu diese benötigt werden und welche Notwendigkeit es für eine Informationssicherheitsstrategie im Unternehmen gibt. Insgesamt wurden fünf bestehende Geschäftsmodelle bzw. Methoden adaptiert und für den Rahmen der Erstellung einer Informationssicherheitsstrategie verändert. Des Weiteren werden Hilfestellungen zur Vermeidung der üblichen Fehlerquellen gegeben. Zusätzlich wird noch jede entwickelte Methode anhand eines Beispiels mit einem fiktiven Unternehmen erläutert. Abschließend findet sich eine exemplarische Informationssicherheitsstrategie, die einen Überblick gibt, wie eine solche Strategie aussehen kann.

Ziel Das Hauptziel dieser Forschung ist die Analyse bestehender Geschäftsmodelle bzw. Geschäftsentwicklungsmethoden und Modifikation des Anwendungsgebietes, um die Entwicklung einer Informationssicherheitsstrategie zu ermögli17

Supporting GDPR implementation through the application of BPMN Workflows

Dipl.-Ing. Richard Lechner, BSc

Dipl.-Ing. Daniel Mestan, BSc

Betreuer: FH-Prof. Dr. Simon Tjoa

Betreuer: Dipl.-Ing. Dipl.-Ing. Christoph Lang-Muhr, BSc

Ausgangslage Am 24. Mai 2018 trat die neue Datenschutzgrundverordnung, auch DSGVO genannt, in Kraft. Doch viele Unternehmen haben Probleme bei der Erfüllung der Vorgaben. Oftmals mangelt es an frei verfügbaren Ressourcen, welche eine Umsetzung der Regeln unterstützen. Als Resultat schaffen es besonders oft kleine und mittelständische Unternehmen nicht, den Anforderungen Folge zu leisten. Sie sehen sich durch ihre nicht dem Gesetz entsprechende Datenverarbeitung der Gefahr ausgesetzt, drakonische Strafen verbüßen zu müssen. Prozesse und Abläufe müssen umgestaltet und oftmals auch neue definiert werden. Es herrscht große Unsicherheit bei der Erstellung solcher Aufgabenfolgen. Hinzu kommt, dass viele Unternehmen keine Expertinnen und Experten im Bereich Prozessmodellierung angestellt haben und deswegen oftmals kostspielige externe BeraterInnen anstellen müssen. Auch die Kommunikation mit den sogenannten „Betroffenen“ der Datenverarbeitung ist genauestens reglementiert. Betriebe sollten daher eine klare Kommunikationsstrategie, inklusive klar definierter Kommunikationswege implementieren. Ziel Das Ziel dieser Arbeit ist es, Unternehmen dabei zu unterstützen, die Anforderungen der DSGVO zu erfüllen. Dazu werden generische Arbeitsabläufe, welche die Vorgaben des Gesetzes erfüllen, entwickelt. Besonders die Betrof18

Open Networking

fenenrechte und die damit verbundenen Aufgaben sollen beleuchtet werden. Zusätzlich soll Betrieben durch die Bereitstellung von Beispiel-Antragsformularen geholfen werden, mit den Vorgaben konforme Kommunikationswege zu implementieren. Ergebnis Die Arbeit unterstützt die Implementierung der DSGVO in mehrerlei Hinsicht. Um sicherzustellen, dass der Anwender oder die Anwenderin das richtige Programm zur Anpassung eines Workflows an seine oder ihre Vorlieben verwendet, wurde eine Marktanalyse durchgeführt. Im Rahmen dieser wurden einzelne Modellierungsprogramme bewertet. Es wurden Arbeitsabläufe zu den Betroffenenrechten vorgestellt und andere zu Themen wie der Identitätsfeststellung und zu Benachrichtigungsverpflichtungen. Als weitere unterstützende Ressource wurden Formulare zur Kontaktaufnahme erstellt, welche die Vorgaben des Gesetzes erfüllen und einfach vom Anwender oder der Anwenderin an die eigenen Bedürfnisse angepasst werden können.

Ausgangslage Schon lange sind Bare-Metal-Server ein fixer Bestandteil von Rechenzentren. Diese Technologie hat sich dank der Vorteile, die durch die Trennung der Hardware und Software und damit der freien Wahl des Betriebssystems möglich sind, im Server-Bereich etabliert. Bei Netzwerkkomponenten fehlte diese Möglichkeit und es kamen bisher ausschließlich proprietäre Systeme aus gebündelter Hardware und Software zum Einsatz, wodurch es eine Abhängigkeit von einzelnen Herstellern gab. Open Networking portiert diese etablierte Technologie und ihre Vorteile in die Welt der Netzwerkinfrastruktur. Ziel Die Möglichkeit, offene Systeme im Netzwerk einzusetzen, ist noch relativ neu und findet zurzeit fast ausschließlich bei großen IT-Unternehmen Anwendung. Durch diese Arbeit wird unter anderem geklärt, welche Auswirkungen der Betrieb von Open Networking auf das Netzwerk-Management hat. Außerdem wird mithilfe von Testszenarien der Einsatz solcher Systeme in Produktionssystemen und Rechenzentren simuliert und bewertet. Ergebnis Durch den Einsatz von Open Networking wird das Netzwerk-Management, dank der Verwendung von Linux als Basis der Betriebssysteme, stark vereinfacht und stan-

dardisiert. Auch auf Systeme von Herstellern proprietärer Systeme hat diese Entwicklung Auswirkungen, da diese die Schnittstellen ihrer Systeme teilweise öffnen. Neben großen IT-Unternehmen wie Google und Microsoft gibt es auch in Österreich bereits einzelne Unternehmen, welche das Potential hinter dieser Technologie erkannt haben und auf solche Systeme setzen. Um alle Vorteile von Open Networking auszunützen, sind jedoch DevOps- und ProgrammierKenntnisse erforderlich. Wenn diese Anforderungen erfüllt sind, können Unternehmen durch die Vorteile von Open Networking stark profitieren. Ausblick Auch wenn Open Networking noch nicht überall zum Einsatz kommt, wird sich diese Technologie in den nächsten Jahren weiter etablieren. Die EntwicklerInnen der offenen Betriebssysteme schlagen jedoch bereits neue Wege ein, da viele Unternehmen den Wunsch äußern, ihre oft aus Komponenten verschiedener Hersteller bestehende CloudInfrastruktur zentral zu steuern. Software-Agents, wie die Open-Source-Eigenentwicklungen von Facebook (FBOSS) und Microsoft (SONiC), zeigen die Möglichkeiten von „Open Networking 2.0“, wodurch es in Zukunft möglich sein wird, alle Arten von Netzwerkkomponenten zentral zu steuern. Voraussetzung dafür ist aber, dass Hersteller von proprietären Systemen ihre Systeme für diese Zwecke zumindest teilweise öffnen. 19

Speculative execution side-channel attacks: Exploring cause, impact and mitigations

Dipl.-Ing. Julian Rauchberger, BSc

Dipl.-Ing. Lukas Schmalzbauer, BSc

Betreuer: FH-Prof. Dipl.-Ing. Dr. Sebastian Schrittwieser, Bakk.

Betreuer: Ing. Dipl.-Ing. Richard Thron, BSc, CISSP

Ausgangslage Anfang 2018 wurde durch die Veröffentlichung der Sicherheitslücken Meltdown und Spectre neues Bewusstsein für die weitreichenden Folgen von hardwarebasierten Angriffsvektoren geschaffen. Durch die Entdeckung dieser Schwachstellen wurde eine neue Kategorie von Angriffen geschaffen. Die sogenannten Speculative Execution SideChannel Attacks nutzen Schwächen im Design moderner CPUs aus, die überwiegend auf Grund von Performanceoptimierungen entstanden sind. Damit ist es einem/einer AngreiferIn möglich, eine Vielzahl an bisher für unüberwindbar gehaltene Sicherheitsbarrieren zu überwinden und unbefugten Lesezugriff auf geschützte Speicherbereiche zu erhalten. Ziel Diese Arbeit hat als Ziel, die Ursachen, Auswirkungen und Gegenmaßnahmen dieser neuartigen Kategorie von Schwachstellen verständlich zu erklären. Dazu werden bestehende Angriffe sowie jene Komponenten der Hardware, die an Out-of-order Execution beteiligt sind, analysiert, um daraus die grundlegenden Ursachen der Sicherheitslücken abzuleiten. Weiters wird undokumentiertes Verhalten von CPUs analysiert, um die Grundlage für die Erforschung neuer Angriffsvektoren zu schaffen.

Studie über Kinder- und Jugendschutzprogramme – Evaluierung ausgewählter Kinder- und Jugendschutzlösungen auf Basis der Wirksamkeit technischer Maßnahmen

Ergebnis Speculative Execution Side-Channel Attacks stellen eine interessante neue sicherheitstechnische Herausforderung dar. Ihre komplette Behebung ist oft nicht möglich und ihre potentiellen Auswirkungen sind schwer abzuschätzen. Im Zuge der Arbeit wurden Meltdown und aktuell bekannte Varianten von Spectre durchleuchtet und im Detail erklärt. Daraus wurden drei grundlegende Ursachen für das Auftreten dieser Sicherheitslücken abgeleitet. Verschiedene neuartige Angriffsflächen wurden evaluiert und basierend auf dem darunterliegenden Hardwaredesign erforscht. Es wurde eine neuartige Methode, die es erlaubt spekulative Lesezugriffe zur Erkennung von Rootkits zu nutzen, entwickelt und getestet. Schlussendlich wurden drei mögliche Änderungen am Hardwaredesign zur Schließung der Sicherheitslücken erarbeitet, analysiert und eine Kombination aus zweien empfohlen, um in Zukunft bestmöglichen Schutz bei möglichst geringen Performanceeinbußen zu ermöglichen.

Ausgangslage Pornografie, Terrorismus, Anleitungen zum Selbstmord, Rassismus, Gewalt oder Stalking – das sind mitunter Beispiele für Thematiken, mit welchen sich Kinder und Jugendliche im Web gewollt oder ungewollt auseinandersetzen. Um Eltern nun bei der Filterung von unpassenden Inhalten zu unterstützen, bieten verschiedenste Firmen, oft in Kombination mit einem Antivirenprogramm, eine sogenannte „Kindersicherung“ an. Die Anwendungen versprechen zum Teil einen soliden Schutz vor unerwünschten Inhalten im Web. Doch es stellt sich die Frage: Wie gut funktionieren diese Kinderschutzprogramme wirklich? Ziel Das Ziel der Arbeit ist es, anhand von bestehenden Bedrohungen zuerst Verbreitungsmöglichkeiten und in weiterer Folge entsprechende Schutzmaßnahmen abzuleiten. Diese Funktionalitäten werden dann als Kriterien für die Bewertung von Kinderschutzlösungen herangezogen. Weiterführend werden Softwareprodukte unter Windows 7, Windows 10, Android 7.1.1 und iOS 11.1 von 56 Herstellern untereinander in einer Vorauswahl verglichen, um darauffolgend pro genanntem Betriebssystem fünf Kindersicherungen einem Praxistest zu unterziehen. Dieser Test enthält neben der Bewertung der praxisrelevanten Funktionalitäten ebenso Szenarien zur Umgehung der Kindersicherungen, um die Resilienz der Produkte entsprechend überprüfen zu können.

Ergebnis Nach der Durchführung des Praxistests stellte sich heraus, dass jedes der 20 Produkte zumindest zwei Umgehungsszenarien nicht bestanden hatte und sich die Anwendungen äußerst stark in der Funktionalitätsbandbreite unterschieden. Faktisch bedeutet dies, dass keine der getesteten Kindersicherungen einen hundertprozentigen Schutz vor einer Umgehung bieten konnte. Ausblick Aufbauend auf diese Diplomarbeit kann nun ein valides Modell zur Vermeidung von unpassenden Inhalten für entsprechende Altersgruppen entwickelt werden. Hierbei sollte unbedingt der Einfluss der Kommunikation und Beratung durch Eltern miteinbezogen werden, da ein Kinderschutzprogramm niemals die menschliche Komponente in diesem Zusammenhang ersetzen, sondern diese nur durch ihre gegebenen Funktionalitäten unterstützen kann.

Fuzzing – Brute-Force CVE Generator

Dipl.-Ing. Kevin Schneider, BSc

Dipl.-Ing. Werner Schober, BSc

Betreuer: Dipl.-Ing. Dr. Martin Pirker, Bakk.

Betreuer: FH-Prof. Dipl.-Ing. Dr. Sebastian Schrittwieser, Bakk.

Ausgangslage Das Testen von Software stellt eine wichtige Aufgabe in der Qualitätssicherung dar. Fuzzing ist eine der Möglichkeiten, die beim Software Testing benutzt werden kann, um Fehler und Sicherheitslücken möglichst automatisiert zu entdecken. Die Entwicklung verschiedenster Typen von Fuzzern hat das Thema Fuzzing zu einer praktisch relevanten Vorgangsweise beim Testen von Software gemacht. Obwohl Fuzzing als aufwendige „Brute-Force“ Möglichkeit bekannt ist, kann ein modernes Fuzzing bereits sehr gute Ergebnisse erzielen – folgt man den Veröffentlichungen und Berichten von Fuzzing-Projekten und großer Unternehmen der IT-Branche, mit deren scheinbar endlosen Auflistungen an gefundenen Fehlern und bestätigten Schwachstellen (CVEs) in verschiedenster Software. Ziel Diese Arbeit beschäftigte sich erstens mit der Auswahl passender Fuzzer oder Services zu einem konkreten Szenario. Zweites Ziel war die praktische Erprobung von Fuzzern. Die praktischen Ergebnisse eines Stabilitätstests eines Windows Drivers mittels Fuzzing und den dabei auftretenden Problemen lieferte in weiterer Folge die Ausgangslage für die Entwicklung eines neuen, besseren Fuzzing-Konzepts.

Internet of Dongs – a long way to a vibrant future

Ergebnis Im durchgeführten Stabilitätstest konnten mehrere Fehler mittels Fuzzing entdeckt werden. Die Fehler wurden den Entwicklern des Windows Drivers weitergemeldet und somit konnte eine Verbesserung durch den Einsatz von Fuzzing erzielt werden. Basierend auf der durchgeführten Methodik des Stabilitätstests konnten aufgetretene Probleme und Verbesserungspotential im Anwendungsbereich Kernel Fuzzing von Closed-Source Systemen erkannt werden. Zum Abschluss wurde ein Konzept vorgestellt, welches eine zukünftige Anwendung von Fuzzern in diesem Bereich unterstützen soll. Ausblick Mit dem Aufkommen von neuen Konzepten und Technologien könnte auch ein weiterer Fortschritt im Fuzzing gelingen. Besonders die Entwicklungen hin zu neuen Dienstleistungen wie „Fuzzing as a Service“ könnten in der Zukunft eine wichtige Rolle spielen.

Ausgangslage In den letzten Jahren und Jahrzehnten hat sich das Internet der Dinge langsam aber stetig in unser tägliches Leben eingeschlichen. Das Internet der Dinge ist zu einer essentiellen Untermenge des gesamten Internet gewachsen und eine Welt ohne dem Internet der Dinge wäre heutzutage unvorstellbar. Für den Großteil der Menschheit ist dieses Faktum nicht sofort sichtbar bzw. offensichtlich. Hauptverantwortlich dafür ist, dass das Internet der Dinge ein Nebenprodukt der seit Jahrzehnten andauernden Digitalisierung unseres täglichen Lebens ist. Aufgrund der relativ langsamen Einführung von immer mehr automatisierten Prozessen und der digitalen Verflechtung von nahezu allen nur vorstellbaren Geräten mit dem globalen Internet war eben dieser Digitalisierungsprozess für die Menschheit nicht wirklich transparent. Die allgemeine Öffentlichkeit weiß in geringem Ausmaß über diesen Prozess Bescheid. Potentiell weiß man, dass der lokale Stromnetzbetreiber ein Smart Grid implementiert, weil man ein Smart Meter installiert bekommen hat. Manche mögen sogar ein smartes Zuhause besitzen, aber spätestens an diesem Punkt ist der Wissenszenit der Allgemeinheit im Normalfall erreicht. Die harte Wahrheit ist jedoch, dass das Internet der Dinge bereits ein unvorstellbares Ausmaß angenommen hat. Das Internet der Dinge, wie es heute bereits existiert, verbindet nahezu alles mit jedem. Wir verbinden Objekte wie Autos, Gebäude, Gehsteige, Uhren, Spiegel und noch viel exotischere Dinge wie Babyphones

und Sexspielzeug miteinander. Auf den ersten Blick hören sich diese Szenarien sehr futuristisch an, aber im 21. Jahrhundert, in unserer heutigen Realität, hat uns die Zukunft bereits eingeholt. Eine dieser exotischen Unterkategorien des Internet der Dinge, smarte Sexspielzeuge, werden den Grundstein für diese Arbeit bilden. Aufgrund des regen Treibens in der Forschung in diesem Bereich wurde ein eigener Forschungsbereich mit dem Namen Teledildonics gebildet. Ziel Im Zuge dieser Arbeit werden mehrere smarte Sexspielzeuge einer Schwachstellenanalyse unterzogen. Dabei geht es einerseits um technische Schwachstellen, aber auch um die datenschutzrechtlichen Auswirkungen auf die AnwenderInnen. Zu guter Letzt wird der rechtliche Aspekt mehrerer Schwachstellenklassen untersucht, die es potentiell erlauben sexuelle Handlungen ohne Zustimmung der NutzerInnen durchzuführen. Ergebnis Im Zuge der Schwachstellenanalysen der smarten Sexspielzeuge wurden gravierende Schwachstellen identifiziert. Die Schwachstellen ermöglichen einerseits vollen Zugriff auf explizite Nutzerdaten inklusive Bildmaterial und KlartextPasswörtern. Anderseits ist es AngreiferInnen ein leichtes, die Geräte aus der Ferne ohne Berechtigung zu steuern. 23

Automatisierte Generierung von personenbezogenen Passwortlisten

Dipl.-Ing. Julian Schrittwieser, BSc

Dipl.-Ing. Dominik Sramec, BSc

Betreuer: Dipl.-Ing. Robert Luh, BSc

Betreuer: FH-Prof. Prof. (h.c.) Dipl.-Ing. (FH) Thomas Brandstetter, MBA

Ausgangslage In der IT-Forensik ist man durch die steigende Nutzung von Kryptographie verstärkt vor das Problem gestellt, die Beweise auf sichergestellten Datenträgern nicht auswerten zu können, da diese von der Besitzerin oder dem Besitzer verschlüsselt wurden. Um die für die Aufklärung des Falles wichtigen Informationen wieder zugänglich zu machen, besteht oft keine andere Möglichkeit, als das unbekannte Passwort zu erraten, was eine äußerst rechen- und damit zeitintensive Aufgabe darstellt. Sichere Passwörter gelten jedoch als schwierig zu merken, weshalb oft auf Begriffe und Zahlen aus dem privaten Leben – wie etwa Namen oder Geburtsdaten – zurückgegriffen wird. Gleichzeitig werden viele dieser persönlichen Informationen im Internet, vorwiegend in sozialen Netzwerken, bereitwillig preisgegeben. Diese Tatsache bildet für die IT-Forensik eine aussichtsreiche Möglichkeit, das notwendige Passwort schneller zu ermitteln und Zugang zu den verschlüsselten Beweismitteln zu erlangen. Ziel Ziel dieser Arbeit ist es, herauszufinden, nach welchen Mustern personenbezogene Passwörter aufgebaut sind und ob mit Hilfe automatisierter Internetrecherchen Passwortlisten generiert werden können, die einen Vorteil gegenüber sogenannten Brute-Force-Attacken bieten. Zu diesem 24

Sicherheitsrisiken und Gegenmaßnahmen für DevOps Umgebungen

Zweck wurde die Entwicklung eines Tools angestrebt, das nach Angabe von Benutzernamen der Zielperson in sozialen Netzwerken automatisiert nach Informationen sucht und daraus eine personalisierte Passwortliste generiert. Das Tool kann einerseits in der IT-Forensik genutzt werden, um Zugang zu wichtigen verschlüsselten Datenträgern zu erlangen und andererseits von Privatpersonen, um sich einer Art Selbsttest zu unterziehen. Ergebnis Im Zuge der Arbeit wurde der theoretische Hintergrund zu Passwörtern und der Akquise von personenbezogenen Informationen erforscht. Die niedrigen Erfolgsaussichten und hohe Zeitintensität von klassischen Brute-Force-Attacken zeigen, dass eine automatisierte Generierung von personenbezogenen Passwortlisten eine aussichtsreiche Alternative darstellt. Durch die erfolgreiche Umsetzung der Erkenntnisse und positive Evaluierung des Tools wurde gezeigt, welche zusätzliche, vielleicht unerwartete Bedeutung personenbezogene Informationen im Internet haben können.

Ausgangslage DevOps ermöglicht es einem Team, Features und Applikationen schneller auszuliefern, indem die Kooperation zwischen Dev (Entwicklung) und Ops (Betrieb) verbessert wird. Im Fokus der klassischen Applikationsentwicklung steht das Ausliefern von Software in einer definierten Qualität, welche unter anderem mit funktionalen Tests erreicht wird. Dabei werden Tests, die in Richtung Security gehen, leider oftmals vernachlässigt oder erst zum Schluss mithilfe von Penetration Tests durchgeführt. DevSecOps beschreibt hierbei die frühe Integration von Security in die Deployment Pipeline und damit auch die Einbindung von Security Testing in die Entwicklung. Hierbei werden diverse Praktiken, Prinzipien und Tools beschrieben, die zeigen, wie eine Applikation von der Entwicklung bis zum Betrieb in Produktion geschützt werden kann. Leider wird auch bei DevSecOps die Sicherheit oftmals vernachlässigt, jedoch auf eine andere Art und Weise als bei DevOps. Eine DevOps-Umgebung bietet dem/der Angreifenden eine Vielzahl an Angriffsmöglichkeiten, wie beispielsweise das Übernehmen von wichtigen Systemen und Lösungen, darunter die Continuous-Integration-/Continuous-DeliveryLösung oder der Einführung von Schadcode und anderen Funktionen in Applikationen. Diese Arbeit beschreibt mög-

liche Angriffe gegen die Deployment Pipeline und Gegenmaßnahmen zu deren Erkennung und Prävention. Ziel Das Ziel dieser Arbeit ist das Aufdecken von möglichen Angriffen auf eine DevOps-Umgebung und die Beschreibung passender Gegenmaßnahmen. Hierbei wird eine mögliche Deployment Pipeline vorgestellt und mithilfe von Attack Trees werden Angriffsvektoren und Angriffsmöglichkeiten dargestellt und beschrieben. Diese Bedrohungen werden anschließend durch die beschriebenen Gegenmaßnahmen entkräftet. Ergebnis Die Arbeit führte in die Prinzipien von DevOps und DevSecOps ein und gab einen Überblick über Konzepte und Praktiken und deren Integration in die Deployment Pipeline. Weiters wurden Gründe, Ziele und Probleme von DevSecOps erläutert und mögliche Tools und Praktiken zur Absicherung der Deployment Pipeline gezeigt. Anschließend wurden mögliche Angriffsziele genannt und mithilfe von Attack Trees wurden Angriffe, die Wege darstellen, um diese Ziele zu erreichen, aufgezeigt und beschrieben. Die in weiterer Folge angeführten Gegenmaßnahmen verhindern oder ermöglichen zumindest die Erkennung von Angriffen. Abschließend wurden die häufigsten Maßnahmen aufgelistet. 25

Traditionelle Application Delivery Controller in ContainerUmgebungen

Dipl.-Ing. Daniel Tremmel, BSc

Dipl.-Ing. Mario-Valentin Trompeter, BSc

Betreuer: Dipl.-Ing. Dipl.-Ing. Christoph Lang-Muhr, BSc

Betreuer: FH-Prof. Mag. Dr. Tjoa

Ausgangslage Wie so oft in der IT-Welt gibt es auch in der Applikationsentwicklung immer wieder Trends, die bestehende Praktiken und Abläufe grundlegend verändern. So auch das Thema „DevOps“ – eine Methodik der agilen Softwareentwicklung, in der die Abteilungen „Development“ und „Operations“ eng zusammenarbeiten, um den Software-Release-Zyklus zu verkürzen. Die Etablierung von DevOps-Methoden sollte jedoch geplant sein, damit es zu keinen größeren Problemen in der ITInfrastruktur oder in der IT-Compliance kommt. So müssen bei der Einführung neuer Infrastruktur-Komponenten immer Unternehmensanforderungen wie Hochverfügbarkeit, Skalierbarkeit und Sicherheit genauer betrachtet und anhand dieser Metriken bewertet werden. In dieser Arbeit werden traditionelle Application Delivery Controller modernen Application-Delivery-Lösungen aus der Container-Welt gegenübergestellt. Auch wird die Integration der beiden Welten beschrieben. Ziel Das Ziel dieser Arbeit ist, festzustellen, inwiefern Systeme aus einer Zeit vor DevOps, im konkreten Fall traditionelle Application-Delivery-Controller-Lösungen wie z. B. „F5 BIG-IP“, mit modernen Systemen aus der DevOps-Welt, im 26

Wechselwirkungen von Service und Security Management – Wie beeinflussen Prozesse/Aktivitäten der Service Management Domain ein Information Security Management System?

konkreten Fall Container-Umgebungen wie z. B. „Kubernetes“, zusammenarbeiten können. Dazu werden die einzelnen Architekturen und Lösungen näher beschrieben. Im Anschluss wird im Zuge eines Laboraufbaus ein praktischer Anwendungsfall in Form der Veröffentlichung eines Webservices für jede der beiden Insellösungen beschrieben und demonstriert. Auch wird die Möglichkeit des Zusammenspiels der beiden Lösungen, zur Schaffung einer „Hybridlösung“, für den vorgegebenen Anwendungsfall beschrieben und demonstriert. Ergebnis Im Zuge dieser Arbeit konnte die Einbindung traditioneller Application-Delivery-Controller-Lösungen in eine ContainerLösung praktisch demonstriert werden. Der Laboraufbau gibt Aufschluss darüber, inwieweit Unternehmensanforderungen wie Skalierbarkeit oder Sicherheit mit den zwei Insellösungen sowie mit der Hybridlösung erfüllt werden können. Auf Basis der gewonnenen Erkenntnisse werden auf die Auswirkungen der Einführung von Container- und Hybridlösungen in Unternehmen eingegangen und die nötigen Veränderungen im Unternehmen näher erläutert und erklärt. Dies gibt einen Überblick über die Chancen und Risiken bei der Einführung und Verwendung moderner ApplicationDelivery-Lösungen.

Ausgangslage Es ist ein deutlicher Trend zu verzeichnen, dass auch in Zukunft der Ruf nach Zertifizierungen ein unbedingtes Erfordernis für IT-Organisationen darstellen wird, weshalb sich diese Diplomarbeit im Besonderen mit den Wechselwirkungen zwischen IT-Service und Security Management beschäftigt. Regelwerke fördern nicht nur die Transparenz und Vergleichbarkeit, vielmehr stationieren diese auch ein Zeichen für Qualität. Dritten wird es ermöglicht, anhand etwaiger Anforderungen diverse Bereiche wie Planung, Kontrolle und Monitoring besser abzudecken. Zahlreiche Standards am Markt machen die Entscheidungsfindung für das Management jedoch keinesfalls leichter. Ziel Dennoch richten die Organisationen vermehrt ihre ITLandschaft nach Regelwerken der IT-Service und Security Management Domain aus, um den Marktanforderungen gerecht zu werden. Demzufolge sind anschließend zur Übersicht der vorliegenden Standards die bekanntesten Vertreter der vorliegenden Themenbereiche, die ISO/IEC 20000, die ISO/IEC 27001 respektive die ISO/IEC 27002, selektiert, um auf deren Basis fortführende Aussagen in einem Tool abzubilden.

Ergebnis Das Herzstück bildet dabei eine Kreuztabelle, welche die Abhängigkeiten der ISO/IEC 20000 zur ISO/IEC 27001 und ISO/IEC 27002 darstellt. Mit Hilfe von Expertinnen und Experten aus Forschung und Wirtschaft wurde diese Matrix entwickelt, um Aussagen über die gegenseitigen Abhängigkeiten wissenschaftlich auszudrücken. Durch das im Zuge dieser Arbeit konzipierte Assessment Tool können auf Basis der entwickelten Kreuztabelle und Auditbewertungen weitere Berechnungen durchgeführt werden. Organisationen wird dadurch ermöglicht, vorausschauend zu eruieren, welche Prozesse und Kontrollen mit welchen Standards am besten abgedeckt werden, wie sie sich in Kombination auswirken und wo die einzelnen Schnittstellen zwischen diesen zu finden sind. Das Tool agiert dabei zum einen als unterstützendes Werkzeug im Zuge von Audits zur Dokumentation und zum anderen können mit den entstehenden Ergebnissen Entscheidungen zu Standards getroffen beziehungsweise entsprechende Handlungen durchgeführt werden.

Studiengangsbeirat Um einen möglichst marktorientierten und bedarfsgerechten Praxisbezug in den Studiengängen IT Security und Information Security zu gewährleisten, wurde im Jahr 2010 ein Studiengangsbeirat eingerichtet. Dieser Beirat fungiert als wichtiges Bindeglied zwischen Ausbildung und Wirtschaft und stellt damit die laufende qualitative Weiterentwicklung der beiden Studiengänge sicher. Die Unternehmen agieren dabei als AuftraggeberInnen für Projekte und Diplomarbeiten, PartnerInnen in Forschungsprojekten, Mitglieder beim Entwicklungsteam oder ArbeitgeberInnen für Praktikantinnen und Praktikanten oder Absolventinnen und Absolventen. Derzeit sind im Beirat mehr als 30 namhafte österreichische und internationale Unternehmen und Organisationen vertreten.

Beirat für die Studiengänge IT Security und Information Security

IT Security Bachelor | Vollzeit | berufsbegleitend Abschluss

Bachelor of Science in Engineering (BSc)

Kosten pro Semester

Studiendauer (Semester)

International

EUR 363,36 + ÖH-Beitrag

6 Vollzeit 7 berufsbegleitend Studienplätze/Jahr

35 Vollzeit 15 berufsbegleitend

Option: Auslandssemester

www

Bewerbung und weitere Infos:

fhstp.ac.at/bis

Cyber Crime gehört weltweit zu den massivsten Bedrohungen für die Wirtschaft. Gleichzeitig funktionieren immer mehr Prozesse nur noch EDV-gestützt. Im Studiengang erhalten Studierende eine 360-Grad-Ausbildung in allen wesentlichen Schwerpunkten der IT Security, die sie ideal für diese Herausforderungen rüstet.

Studieninhalte

Berufsfelder

Die Ausbildung besteht aus vier Schwerpunkten: n IT-Betrieb n Netzwerktechnik n Sicherheitstechnologien n Sicherheitsmanagement und Organisation

Absolventinnen und Absolventen werden in allen Brachen, in denen ein sicherer IT-Betrieb gewährleistet sein muss, dringendst benötigt.

Wesentlicher Teil der Ausbildung ist der Wissenstransfer in die Praxis. In zahlreichen Projekten mit Unternehmen und in der sogenannten „Krisenwoche“ bereiten sich die Studierenden theoretisch und praktisch auf ein Worst-Case-Szenario vor.

Es ergeben sich dadurch beispielhaft folgende Berufsbilder: n Sicherheitsbeauftragte/r (Chief Security Officer) n Security-ArchitektIn n E-Payment- / E-Government- / E-Business-BeraterIn n Security-BeraterIn n Netzwerk-/Betriebssystem-AdministratorIn n Datenschutzbeauftragte/r n AuditorIn n Digital-Rights-Management-ExpertIn

Absolventinnen und Absolventen 2018 Bachelorstudium IT Security Ing. Stefan Baumgartner, BSc

Sebastian Krizek, BSc

Stefan Slawitscheck, BSc

Andreas Bawart, BSc

Lukas Läugner, BSc

Lisa Steinwendtner, BSc

Michael Bieder, BSc

Julian Lindenhofer, BSc

David Straßegger, BSc

Dieter Brauner, BSc

Timo Longin, BSc

Peter Swoboda, BSc

Dominik Burak, BSc

Florian Neumair, BSc

Marcus Szing, BSc

Christoph Elshuber, BSc

Rene Offenthaler, BSc

Alexander Tauber, BSc

Alexander Fink, BSc

Mag. Jakub Pasikowski, BSc

Manuel Traxler, BSc

Thomas Gimpl, BSc

Thomas Pointner, BSc

Martin Trimmel, BSc

Florian Holzbauer, BSc

Lena-Valerie Rechberger, BSc

Jürgen Waldl, BSc

Dominik Ivic, BSc

Christopher Rohl, BSc

Christoph Wiedner, BSc

Erwin Jäger, BSc

Florian Schier, BSc

Kevin Wolf, BSc

Clemens Jung, BSc

Franz Schrefl, BSc

David Ziegelwanger, BSc

Florian Kapfenberger, BSc

Raphael Schrittwieser, BSc

Markus Zwettler, BSc

Erich Knoll, BSc

Roland Schwarzinger, BSc

Thomas Krammer, BSc

Stefan Schweighofer, BSc

Daniel Kristen, BSc

Florian Seitl, BSc

Die Kreativbranche ist nichts für Dich? Dann zeig uns, was wirklich in Dir steckt und bewirb Dich für Forschung, Technik, Beratung oder ein Doktorat bei SBA Research. Mehr über unsere Positionen findest Du auf www.sba-research.org/jobs. *Zeichnerisches Talent wird nicht vorausgesetzt. 32

Pen-Testing für Fortgeschrittene* 33

Netzwerksegmentierung – Vom Flat-Network bis TrustSec

Ing. Stefan Baumgartner, BSc

Andreas Bawart, BSc

Betreuer: Dipl.-Ing. Dipl.-Ing. Christoph Lang-Muhr, BSc

Betreuer: Dipl.-Ing. Dr. Henri Ruotsalainen

Ausgangslage 13. Mai 2017, mittags. Die Familie sitzt beim Mittagessen, das Telefon läutet. Der Rechenzentrumsdienstleister berichtet von einer neuen Bedrohung, der WannaCry-Attacke. Ein Ransomware Trojaner – wieder einer, aber mit Biss. Denn der Übertragungsvektor ist neu – erstmals wird im großen Stil eine nur Monate zuvor veröffentlichte Sicherheitslücke als Methode zur Infektion verwendet. Die Gedanken kreisen um die Verwundbarkeit des eigenen Rechenzentrums. Was passiert, wenn dieses befallen wird, wie lange wäre ein potentieller Ausfall, wie hoch die Kosten? Sind alle Systeme auf dem aktuellen Stand? Wie ist es um die Systeme bestellt, die aus verschiedenen Gründen nicht aktualisiert werden können? Sind diese isoliert oder können diese uneingeschränkt kommunizieren? Kann ein potentieller Ausbruch gestoppt oder zumindest verlangsamt werden, und wenn ja, wie? 24. September 2017, vormittags. Das Telefon läutet – es ist ein Mitarbeiter aus der Entwicklungsabteilung. Es ist „etwas passiert“. Ein Testdurchlauf hat nach einer durchgeführten Systemkopie nicht das Testsystem mit Daten befüllt, sondern ein Produktivsystem. Und wieder kreisen die Gedanken: Wie viele Datensätze wurden manipuliert? Ist der Schaden manuell korrigierbar? Muss das in Mitleidenschaft gezogene System aus der Sicherung wiederhergestellt werden? Wie lange muss das System außer Betrieb 34

TempestSDR – Comparison of low-cost equipment for video eavesdropping

genommen werden? Wie kann so ein Fehler zukünftig verhindert werden? Das Management entscheidet: Diesen Problemen und Bedrohungen muss Einhalt geboten werden, das Netzwerk selbst muss sicherer werden. Ziel Das Ziel dieser Arbeit ist es, die Bedrohungen zu analysieren, die sich aus historisch gewachsenen Netzwerkstrukturen ergeben sowie Möglichkeiten darzustellen und zu betrachten, welche Lösungen die Hersteller im Portfolio haben. Die einzelnen Strategien sollen miteinander verglichen werden und die spezifischen Vor- und Nachteile herausgearbeitet werden. Ergebnis Im Zuge der Arbeit wurden die organisatorischen und technischen Problemstellungen, die sich aus dem Betrieb eines nicht segmentierten oder flachen Netzwerks ergeben, erhoben und dargestellt. Es wurde ermittelt, mit welchen Problemen bei einer fundamentalen Änderung des Netzwerkdesigns zu rechnen ist und verschiedene Strategien zur Segmentierung betrachtet. Den bekannten Segmentierungsstrategien wurde in einem praxisnahen Laboraufbau die Cisco-TrustSec-Lösung gegenübergestellt und erarbeitet, wie damit IT-Sicherheitsanforderungen abgebildet werden können.

Ausgangslage Mit einem Computer ergeben sich im Alltag viele Erleichterungen für Benutzer und Benutzerinnen. Sehr viele Tätigkeiten lassen sich heutzutage durch solche Geräte von Zuhause aus bequem steuern. Dies reicht von der Tätigung von Banküberweisungen bis zum Verfassen geheimer Dokumente. Dabei ist es oft gewünscht, dass diverse Informationen – speziell Sicherheitsrelevante - nicht von Dritten mitbekommen werden können. Abseits von Viren, Trojanern oder Ähnlichem, kann auch jeglicher, an das System angeschlossene Bildschirm mittels einer einfachen Antenne und einem Software Defined Radio abgefangen und aus einer gewissen Distanz die angezeigten Informationen wiederhergestellt werden. Dieses Problem ist schon seit den mittlerweile veralteten CRT-Bildschirmen bekannt und wurde über die Jahre stetig weiter erforscht. Dabei ist ein solcher Angriff nach wie vor ohne großen Aufwand bei den modernen Flachbildschirmen durch unerwartete Abstrahlung von Signalen möglich.

stellen. Des Weiteren gilt es herauszufinden, ob der Inhalt mit den unterschiedlichsten günstigen Komponenten noch wiederherstellbar ist. Ergebnis Im Zuge dieser Arbeit wurde das Thema weitestgehend analysiert, um damit einen Vergleich der Wiederherstellungsqualität des original übertragenen Bildsignals mittels frei verfügbaren Empfängerkomponenten durchzuführen. Dabei wurde in festgelegten metrischen Abständen ein unbeabsichtigtes Videosignal abgefangen und das originale Bild mittels einer entsprechenden Software wiederhergestellt. Daraus wurde ersichtlich, welche unterschiedlichen und günstigen Komponenten in unterschiedlichsten Abständen die beste Qualität der Ergebnisse liefern. Des Weiteren wurde aus diesen Ergebnissen ersichtlich, wie mobil und einfach ein solcher Angriff durchgeführt werden könnte.

Ziel In dieser Arbeit gilt es herauszufinden, mit welchen günstigen Empfängergeräten ein Videosignal abgefangen werden kann und sich die beste Empfangsqualität ergibt. Dazu wird in einem Test versucht, mittels aktuellen und günstigen Antennen sowie SDR-Empfänger das Bild eines Flachbildschirmes, durch ein Abfangen des Signales, wiederherzu35

Auswirkungen von selektiven Jamming-Angriffen in WLANNetzwerken

Michael Bieder, BSc

Dieter Brauner, BSc

Betreuer: Dipl.-Ing. Dr. Henri Ruotsalainen

Betreuer: FH-Prof. Prof. (h.c.) Dipl.-Ing. (FH) Thomas Brandstetter, MBA

Ausgangslage Nachdem WLAN-Netzwerke mit dem 802.11 Standard mittlerweile nicht mehr nur in Haushalten, sondern auch in kritischen Infrastrukturen zu finden sind, sind Angriffe auf diese Netze besonders häufig und gefährlich. Eine Art von Angriffen, welche den Betrieb von WLAN stark beeinträchtigen können, sind Jamming-Angriffe. Während zum Beispiel konstante Jammer leicht zu erkennen sind, da sie durchgehend ein Signal senden, fällt das Erkennen eines selektiven Jammers schwerer. Letzterer hört den Channel ab und beginnt das Blockieren erst, wenn ein Signal erkannt oder sogar erst, wenn ein bestimmtes Paket festgestellt wird. Aufgrund der Komplexität eines solchen Angriffs konnte ein selektiver Jammer bisher nur mit teurer Software Defined Radio Peripherie durchgeführt werden. In der Arbeit „Advanced Wi-Fi attacks using commodity hardware“ von Mathy Vanhoef zeigt dieser sogenannte „low layer Angriffe“ mit billigen WLAN-Dongles von der Stange, welche eine Modifikation der Firmware zulassen. Zu diesen Angriffen zählte unter anderem ein selektiver Jamming-Angriff. Da dieser Jamming-Angriff mit herkömmlichen WLANDongles auf 802.11 WLAN-Netzwerke durchgeführt werden kann, zeigt das, dass die Durchführung eines selektiven Jamming-Angriffes auch mit wenig Kosten möglich ist.

Sicherheit von SIMATIC Industriesteuerungen – Entwicklung eines SPS Wurms

Ziel Diese Arbeit dient zur Evaluierung der Effizienz dieses selektiven Jammers von Mathy Vanhoef, welcher auf dessen Github-Seite zur Verfügung steht. Ziel ist es, festzustellen, ob beziehungsweise inwieweit Angriffe dieser Art eine reale Bedrohung auf die derzeitigen Netzwerke darstellen kann. Ergebnis Um dies festzustellen, wurden unterschiedliche Geräte mit diesem selektiven Jammer angegriffen. Mit Hilfe des Versuches konnte dann festgestellt werden, dass der JammingAngriff zwar einfach zu implementieren ist und auf kurzer Distanz gut funktioniert, jedoch auf weitere Distanz sehr stark an Leistung verliert und daher noch keine ernsthafte Bedrohung auf derzeitige WLAN-Netzwerke darstellt.

Ausgangslage Industriesteuerungen kommen in vielen Bereichen der Industrie zum Einsatz. Das Einsatzgebiet reicht dabei von einfachen Ampelanlagen über die produzierende Industrie, der Lebensmittelindustrie, der chemischen Industrie, der Stahlindustrie und der Automobilherstellung bis zur Steuerung von kritischen Infrastrukturen in den Branchen Energie, Wasser, Ernährung, Transport und Verkehr. Ein möglichst unterbrechungsfreier und ausfallsicherer Betrieb ist dabei oberstes Gebot. Unterschiedliche Vorfälle der Vergangenheit, wie der Angriff des Computerwurms Stuxnet auf die Uranzentrifugen der Versuchsanlage für Brennstoffanreicherung im Iran 2010 oder der Angriff auf das Ukrainische Stromnetz 2015 haben bewiesen, dass die Gefahr eines gezielten kriminellen Angriffs auf Industriesteuerungen zu diesem Zeitpunkt unterschätzt wurde. Zahlreiche Strategien, Maßnahmen und Verbesserungen wurden entwickelt, um die Sicherheit von Industriesteuerungen gegen Cyber-Angriffe zu erhöhen. Auf internationalen Konferenzen zur Informationssicherheit wurden mögliche Angriffsszenarien auf Industriesteuerungen präsentiert. Zum Beispiel wurde 2016, auf der Black Hat Asia, der „PLCBlaster“, ein Wurm, der speziell für Industriesteuerungen entwickelt wurde, vorgestellt. Dieser Wurm sucht selbstständig innerhalb eines Netzwerks nach weiteren Industriesteuerungen, installiert dort eine Kopie von sich selbst, aktiviert sich und führt den programmierten Schadcode aus.

Da im deutschsprachigen Raum der Hersteller Siemens als Marktführer gilt, wurden für die Untersuchungen und Tests nur Steuerungen von Siemens verwendet. Da die Lebensdauer von Industriesteuerungen allgemein zehn bis 20 Jahre beträgt, wurden sowohl Steuerungen, die schon längere Zeit am Markt vertreten sind, als auch Steuerungen der neuesten Generation für die Tests herangezogen. Ziel Das Ziel dieser Arbeit ist, einen Überblick zu möglichen Bedrohungen und aktuellen Gegenmaßnahmen zu bieten. Außerdem sollen die unterschiedlichen Sicherheitsmerkmale der verschiedenen Generationen von Steuerungen aufgezeigt werden. Diese Arbeit soll auf die Gefahren aufmerksam machen und Bewusstsein schaffen, dass eine Verbesserung der Sicherheit und der Schutz vor Angriffen aus dem Internet notwendig sind. Ergebnis Um Anlagen vor Cyber-Angriffen zu schützen und auf dem aktuellen Stand der Technik zu halten, ist der Aufbau eines ganzheitlichen Sicherheitskonzepts anzustreben. Die Sicherheit von Industriesteuerungen muss laufend kontrolliert und überwacht werden und die Umsetzung von Verbesserungsmaßnahmen muss ein laufender Prozess sein. Auch wenn es schwierig ist, bei laufenden Industrieanlagen Updates oder Sicherheitstests durchzuführen, muss hier ein Umdenken stattfinden.

Datenschutzgrundverordnung in Österreich

Dominik Burak, BSc

Christoph Elshuber, BSc

Betreuer: FH-Prof. Mag. Dr. Simon Tjoa

Ausgangslage Die Datenschutzgrundverordnung ist seit dem 25.05.2018 in Kraft. Sie gilt für alle 28 EU-Mitgliedsstaaten, aber auch für Unternehmen und Organisationen außerhalb der EU, sofern eine Verarbeitung von Daten von EU-BürgerInnen durchgeführt wird. Bei der Datenschutzgrundverordnung hat sich der Strafrahmen deutlich erhöht, welcher bei einer Strafhöhe von zwei bis vier Prozent des weltweiten erzielten Jahresumsatzes oder bis zu zehn oder 20 Millionen Euro angesetzt ist. Des Weiteren müssen Unternehmen sehr viele neue „intensive“ Dokumentationen führen, wie z. B. das Verarbeitungsverzeichnis, um im Falle einer Kontrolle diese Dokumentationen der Aufsichtsbehörde vorlegen zu können. Durch die Datenschutzgrundverordnung kommt das Thema IT-Sicherheit mehr in den Fokus der Unternehmen und soll damit die Wichtigkeit des Schutzes von personenbezogenen Daten in der heutigen Zeit aufzeigen. Es soll damit eine Harmonisierung des Datenschutzes, des Datenschutzniveaus und eine Vereinheitlichung in der gesamten EU geboten werden. Durch Datenschutzbestimmungen kann das Vertrauen zwischen Kundinnen und Kunden sowie Unternehmen gestärkt werden. In vielen Ländern wurden schon Umfragen durchgeführt, nur in Österreich ist die Anzahl der Umfragen zur Datenschutzgrundverordnung sehr spärlich. 38

Risikomanagement-Prozessmodellierung im militärischen Umfeld

Ziel Ziel dieser Arbeit ist es, durch eigene Befragungen die Lücke der in Österreich spärlich durchgeführten Umfragen zu schließen. Das Ziel der Umfrage war es, noch kurz vor dem in Kraft treten der DSGVO die aktuelle Lage in Österreich zu analysieren. Hierbei wurde auf einzelne Maßnahmen der Datenschutzgrundverordnung eingegangen und diese erfragt. Des Weiteren war ein Ziel, durch die Umfrage den Unternehmen die Wichtigkeit der Datenschutzgrundverordnung vor Augen zu führen. Ergebnis Bei der Analyse der Umfrage, an der 90 Personen teilgenommen haben, konnten folgende Erkenntnisse extrahiert werden: Die Mehrheit der Unternehmen hat die erforderliche Zugangs- und Zutrittskontrolle umgesetzt, wobei aber ein Nachholbedarf bei der Umsetzung der Zugriffs-, Weitergabe- und Eingabekontrolle erkannt wurde. Das Verarbeitungsverzeichnis befindet sich laut Mehrheit der Unternehmen gerade in der Umsetzung oder die Unternehmen haben es in der Zeit nach der Umfrage umgesetzt. Um den betroffenen Personen ihre Rechte zu gewährleisten, benötigen Unternehmen auch hier Prozesse und Verfahren. Die Mehrheit hat bereits das Recht auf Berichtigung implementiert, bei den restlichen umgesetzten Rechten konnten bislang etwa die Hälfte der Unternehmen diese umsetzen.

Ausgangslage Organisationen im privaten und öffentlichen Sektor sind zunehmend von Informationstechnologien (IT) abhängig, um ihre Unternehmensziele zu erreichen. Kommt es zu Störungen und Ausfällen der IT-Systeme, zieht dies in der Regel beträchtliche finanzielle sowie Imageschäden nach sich. Aus diesem Grund ist es für Unternehmen wichtig, Risiken zu minimieren, bevor sie entstehen. Dies kann durch gezieltes Risikomanagement erfolgen. Auch staatliche Einrichtungen müssen auf die immer größere Bedeutung von IT und die damit einhergehenden Bedrohungen angemessen reagieren. Darunter fällt auch das Kommando Führungsunterstützung und Cyber Defence (KdoFüU&CD) des Bundesministeriums für Landesverteidigung (BMLV). Ein Teil der IKT-Services des Kommandos arbeitet mit personenbezogenen Daten. Diese müssen wegen der im Mai 2018 in Kraft getretenen DatenschutzGrundverordnung (DSGVO) ein Risikomanagement vorweisen. Das Kommando nimmt dieses Ereignis als Anlass, die vorhandenen Risikomanagementprozesse einer Evaluierung zu unterziehen. Dafür sollen die Prozesse neu modelliert werden, um wieder dem aktuellen Stand zu entsprechen.

Ziel Das Ziel dieser Arbeit ist, aufzuzeigen, welche Prozesse und Verantwortlichkeiten bzw. Rollen für die Einführung, den Betrieb und die Wartung eines Risikomanagement-Systems im BMLV – KdoFüU&CD notwendig sind. Zusätzlich soll herausgearbeitet werden, inwiefern sich die militärischen Einflüsse auf den Risikomanagement-Prozessschritt ‚Risikoassessment‘ auswirken. Durch eine Evaluierung von diversen Risikomanagementstandards (beispielsweise ISO, NIST, BSI, OCTAVE Allegro) sollen die Unterschiede zwischen den einzelnen Standards bei der Prozessmodellierung aufgezeigt werden. Unter Berücksichtigung dieser Evaluierung sollen in weiterer Folge passende Risikomanagement-Prozesse für das KdoFüU&CD ausgearbeitet und modelliert werden. Ergebnis Im Zuge dieser Arbeit wurden die Unterschiede bei der Prozessmodellierung zwischen einzelnen RisikomanagementStandards und Normen dargestellt. Durch die Aufbereitung war es möglich, eine Modellierung durchzuführen, welche die Aspekte mehrerer Standards berücksichtigt und ihre Stärken einarbeitet. Anhand der modellierten Prozesse zeigte sich, dass eine Kombination aus mehreren Standards erforderlich war, um eine optimale Prozessmodellierung für das KdoFüU&CD erarbeiten zu können.

Rechenzentrumsbetrieb nach ISO 22301 – Integration eines BCMS in den Betrieb eines IT Full Service Providers

Alexander Fink, BSc

Thomas Gimpl, BSc

Betreuer: FH-Prof. Mag. Dr. Simon Tjoa

Betreuer: FH-Prof. Dipl.-Ing. Dr. Sebastian Schrittwieser, Bakk

Ausgangslage Ein Rechenzentrumsbetrieb ist immer wieder Risiken unterschiedlichster Art ausgesetzt, die im schlimmsten Fall die Erbringung von mit Kundinnen und Kunden vereinbarten Services oder Dienstleistungen beeinträchtigen oder sogar verhindern. Diese Risiken sind sehr verschieden und werden auch durch die zunehmend komplexer werdenden Geschäftsprozesse und die stärker werdende Abhängigkeit von der IT immer zahlreicher. Naturkatastrophen, Cyberangriffe und Lieferausfälle sind nur ein paar von unzähligen, möglichen Gefährdungsszenarien. Um dennoch vorbereitet zu sein, ist betriebliches Kontinuitätsmanagement (BCM) im Falle einer Krise für die strukturierte Bewältigung und für die Bereitstellung von Maßnahmen notwendig, um Schäden verschiedenster Art auf ein Minimum zu beschränken. Zu diesem Thema gibt es zahlreiche bewährte Normen, wie die ISO 22301. Wenn sich ein Unternehmen dazu entscheidet BCM, zu betreiben, dann muss es in der Praxis in eine bestehende, komplexe Prozesslandschaft integriert werden.

Ziel Ziel dieser Arbeit ist es, BCM nachträglich in einen Rechenzentrumsbetrieb und in die dafür typische Normenwelt zu integrieren und mit den bereits gelebten Management40

Virtually Secure – How secure is virtualization in the focus on cloud computing?

systemen und Prozessen in Einklang zu bringen. Durch die Abstimmung zu anderen Normen und die Vermeidung von Redundanzen soll zudem mit so wenig zusätzlichem Aufwand wie möglich ein zweckdienliches, normgerechtes BCM auf die Beine gestellt werden. Zusammenfassend verfolgt dieser Ansatz eine Senkung der Kosten und der inkonsistenten Doppelregulierungen im Betrieb, sowie eine Verkürzung der Implementationszeit. Ergebnis Im Zuge der Arbeit wurde eine Vorgehensweise ausgearbeitet und beschrieben, um ebendieses Ziel zu erreichen. Diese zählt ebenso zu den Ergebnissen der Arbeit, wie die Durchführung und Validierung dieser an einem realen Beispiel, dem Raiffeisen Rechenzentrum. Diese Durchführung wiederum steuert sowohl eine praxisorientierte Referenzumsetzung als auch diverse begleitende Empfehlungen zu den Ergebnissen der Arbeit bei. Vervollständigt wird die Arbeit durch Hilfestellungen, wie man in der Praxis darauf aufbauen kann und welche weiteren Schritte hin zu einem vollständigen BCM notwendig sind.

Ausgangslage Das Handy vibriert. Eine E-Mail bezüglich eines dringenden Projektes. Schnell das Notebook aufgeklappt, mit dem Hotspot des Handys verbunden und schon arbeitet man von überall aus mit den eigenen Daten. VPN ist dafür nicht mehr nötig – Cloud Lösungen sind viel bequemer. Weltweite Erreichbarkeit von Services und Daten ist heute selbstverständlich. Der Trend der vergangenen Jahre setzt sich fort und immer mehr Applikationen und Dienste verlagern sich in die Cloud. So komfortabel diese Entwicklung sowohl für MitarbeiterInnen als auch für Firmen zu sein scheint, immer wieder zeigen uns aktuelle Vorfälle auf, welche Unsicherheiten Cloud-Computing und die damit einhergehende Virtualisierung mit sich bringen. Diese Arbeit fokussiert sich daher auf allgemeine Unsicherheiten und vergangene Vorkommnisse und stellt diese Nachteile den Vorteilen gegenüber.

Ergebnis Als Ergebnis dieser Arbeit haben sich folgende Schwachstellen herauskristallisiert: Mangelhafte Handhabung: Es gibt viele Fehler, die ein/e (Cloud-)AdministratorIn machen kann, welche die Sicherheit der kompletten Infrastruktur in Mitleidenschaft ziehen können. Aber auch Clients- oder Service-NutzerInnen können – beabsichtigt oder unbeabsichtigt – Probleme erzeugen, die mehr als nur die eigene virtuelle Maschine beeinflussen. Überschwängliches Vertrauen: Das bedingungslose Vertrauen in Software (wie dem Hypervisor) und Hardware (wie Intel TPM) und das deswegen nur schleichende Verbessern der Technologien birgt immense Risiken für (Cloud-)Virtualisierungs-NutzerInnen. Den Abschluss der Arbeitet bildet eine Auflistung an Möglichkeiten zum Schutz der Virtualisierung sowie Gegenmaßnahmen gegen viele Sicherheitslücken.

Ziel Diese Arbeit hat sich als Ziel gesetzt, Virtualisierung – im Besonderen in der Cloud - zu durchleuchten, Unklarheiten zu beseitigen, Fehler in der Realisierung aufzuzeigen und Administratorinnen und Administratoren darauf hinzuweisen, dass die vergangenen Vorfälle sich in jeder Firma – egal welcher Größe – wiederholen könnten. 41

Internet-wide scanning of IPv6 using custom version of ZMAP

Florian Holzbauer, BSc

Dominik Ivic, BSc

Betreuer: Priv.Doz. Mag. Dipl.-Ing. Dr. Edgar Weippl

Betreuer: FH-Prof. Mag. Dr. Simon Tjoa

Ausgangslage Internetweite Scans erlauben uns das Ausmaß von Schwachstellen, die Erreichbarkeit der einzelnen Hosts, also den momentanen Zustand des Internets, zu beurteilen. Mit Version vier des Internet-Protokolls kann der gesamte Adressraum innerhalb von einer Stunde gescannt werden. Die Anzahl an möglichen Adressen reicht jedoch nicht mehr für die stark steigende Anzahl an Geräten, die mit dem Internet verbunden sind. Mit der zunehmenden Umstellung auf Version sechs des Internet-Protokolls wird zwar das Problem der Adressknappheit gelöst, aber es werden auch neue Herausforderungen für das Scannen geschaffen. Scans können aufgrund des riesigen nun zur Verfügung stehenden Adressraums nicht mehr in der Form wie bisher durchgeführt werden.

Ziel Es soll ein Tool zur Verfügung gestellt werden, welches es ermöglicht, erste internetweite IPv6-Scans durchzuführen, um die Erreichbarkeit der einzelnen Subnetze aller gerouteten/allokierten Netzwerke zu messen. Aktive Subnetze können anschließend durch bereits vorhandene Scanner genauer untersucht werden. Da Scans nicht auf den gesamten IPv6-Adressraum ausgeführt werden können und eine Liste an IPv6-Netzwerken erstellt werden muss, soll untersucht werden, welche Datengrundlage sich für internetweite Scans am besten eignet. Das Prinzip dieser Arbeit ist es, das internetweite Scannen in mehrere Schritte einzuteilen. Ziel dieser Arbeit ist es nicht, das vollständige IPv6-Scannen zu ermöglichen, sondern nur das Filtern von aktiven Subnetzen zu realisieren.

Erste Anpassungen gängiger Scanner an das neue Protokoll wurden bereits gemacht. Diese spezialisieren sich jedoch meist auf einzelne Netzwerke beziehungsweise ähnlich wie bei tracerouting auf das Erstellen einer Topologie. Für internetweite Scans, welche sich auf den Endhost fokusieren, gibt es jedoch erst wenig Ansätze: Die ZMAPVersion der TU München scannt vorher erstellte Listen an IPv6-Adressen, die in der Masterthesis von Christoph Kukovic entwickelte Version sämtliche Subnetze in einem Netzwerk.

Ergebnis Im Rahmen dieser Arbeit wurde eine Adaption von ZMAP entwickelt, welche es ermöglicht, Scans zum Messen von aktiven Subnetzen durchzuführen. Es wurde die Datengrundlage für Scans auf alle gerouteten und alle allokierten IPv6-Netzwerke eingegrenzt und gezeigt, welche Vorteile sie bieten. Des Weiteren wurde ein Algorithmus entwickelt, um die Liste aller allokierten Netzwerke als Grundlage für Scans verwenden zu können. Erste Scans des österreichischen IPv6-Raum wurden durchgeführt, deren Ergebnisse ausgewertet und somit die Funktionalität des Scanners bewiesen.

Die Umsetzung der Datenschutz-Grundverordnung im Gesundheitswesen anhand eines Fallbeispiels

Ausgangslage Die Datenschutz-Grundverordnung trat am 25. Mai 2016 in Kraft und kommt ab dem 25. Mai 2018 nach zweijähriger Übergangsfrist zur Anwendung. Verordnungen der EU gelten unmittelbar und direkt. Im Gegensatz dazu musste das rechtliche Vorgängerregime, die Richtlinie 95/46/EG, von den EU-Mitgliedsstaaten erst in nationales Recht umgesetzt werden, in Österreich durch das DSG 2000. Somit ersetzt die Datenschutz-Grundverordnung die Datenschutzrichtlinie 95/46/EG und das DSG 2000. Diese EU Verordnung gilt in allen Mitgliedsstaaten und dem EWR.

Ziel Diese Arbeit beschäftigt sich mit einem Fallbeispiel aus dem Gesundheitswesen. Die Zielsetzung dieser Arbeit ist es, aufzuzeigen, wie ein ganzheitliches DatenschutzManagement-System im Krankenhaus etabliert wird, sprich, wie der Datenschutz im Haus organisiert, dokumentiert und gelebt wird, um die Nachweis- und Rechenschaftspflicht zu erfüllen. Zudem analysiert die Arbeit, wie bei Anfragen von Betroffenen vorgegangen wird und welche Maßnahmen bei einem Data Breach getroffen werden müssen, um der Meldefrist von 72 Stunden nachzukommen.

Die Zielsetzung der neuen EU-Datenschutz-Grundverordnung ist vorrangig, den bestehenden Datenschutz weiterzuentwickeln und das Datenschutzrecht im privaten wie im öffentlichen Bereich europaweit zu harmonisieren und zu stärken. Um die geregelten Inhalte in den 99 Artikeln der Datenschutz-Grundverordnung besser zu verstehen, wird die Verordnung durch Erwägungsgründe ergänzt. Im Erwägungsgrund 13 der Datenschutz-Grundverordnung wird unter anderem konkretisiert, dass für ein gleichmäßiges Datenschutzniveau für natürliche Personen eine Verordnung erforderlich ist, welche alle WirtschaftsteilnehmerInnen miteinschließt, alle Mitgliedsstaaten mit denselben Rechten und Pflichten ausstattet und alle Mitgliedsstaaten gleich sanktioniert.

Ergebnis Diese Arbeit verdeutlicht, wie ein Datenschutz-Management-System aufgebaut wurde und welche technischen und organisatorischen Maßnahmen zur Umsetzung der Datenschutz-Grundverordnung getroffen wurden um konform zu sein. Zusätzlich zeigt die Arbeit auf, wie ein Verzeichnis von Verarbeitungstätigkeiten aussehen kann und welche Inhalte seitens der Datenschutz-Grundverordnung erforderlich sind. Anhand der Durchführung einer Ist-Erhebung und einer Gap-Analyse wurden in weiterer Folge Maßnahmen abgeleitet, um der Datenschutz-Grundverordnung zu entsprechen und so drakonischen Strafen und drohenden Reputationsschäden entgegenzuwirken.

Sicherheitsanalyse OpenDaylight

Erwin Jäger, BSc

Clemens Jung, BSc

Betreuer: Dipl.-Ing. Dipl.-Ing. Christoph Lang-Muhr, BSc

Betreuer: Dipl.-Ing. Peter Kieseberg

Ausgangslage Der Terminus Software Defined Networking ist aktuell in aller Munde. Die Zeit ist auch wahrlich reif für neue Paradigmen im Netzwerksektor. Der SDN-Controller wiederum, das zentrale und wichtigste, das steuernde Element eines solchen Netzwerkes, muss wohlüberlegt gewählt werden. Mit ihm steht und fällt letzten Endes die komplette Vernetzung. Mit der ersten Version eines Software-Defined-Controllers im Jahre 2008 wurde eine neue Ära im Bereich des Networkings eingeläutet. Heute, knapp zehn Jahre später, zählen wir rund 30 verfügbare Open-Source-Controller und einige kommerzielle Produkte. Unter den vielen Open-SourceControllern sticht vor allem OpenDaylight hervor. Es wird von einer extrem großen Gemeinschaft an Userinnen und Usern und auch von der Wirtschaft ernst genommen und hat sich (nach eigenen Angaben) zu einem Semi-Standard entwickelt. Aber wie steht es um die Sicherheit? Muss man sich Sorgen um den Betrieb machen, wenn man zu solch einem Open-Source-Tool greift? Ziel Das Ziel dieser Arbeit war in erster Linie festzustellen, wie es um die Sicherheitsfeatures von OpenDaylight bestellt ist. Bietet die Open-Networking-Foundation Unterstützung? Gibt es Anleitungen? Werden „best practices“ vermittelt? Wie sehen die eventuellen Angriffe auf ein Netzwerk aus, 44

ISA-Erkennung mit Javascript

dass mit OpenDaylight als Controller betrieben wird? Als zusätzliches Ziel wurde ebenfalls versucht, theoretisch mögliche und auch bereits bekannte Angriffe gegen Netzwerke allgemein und Software-Defined-Networks speziell zu kategorisieren. Auch hier wurde im Besonderen das Augenmerk auf Netzwerke gelegt, die auf OpenDaylight basieren. Ergebnis Im Zuge dieser Arbeit konnte dank einer breit gefächerten Literatur zu dieser Thematik ein Überblick über mögliche Angriffe skizziert werden. Zusätzlich wurde auch gleich – wo vorhanden – auf die entsprechenden Gegenmaßnahmen eingegangen. Im Bereich der Kategorisierung wurde ein bestehendes System als Basis genommen und um weitere – darin nicht angeführte – Attacken ergänzt. Auch die Unterscheidung aktiver oder passiver Angriffe konnte kurz behandelt werden. Als Fazit kann davon ausgegangen werden, dass OpenDaylight ein reifes und sicheres Tool darstellt, wenn Administratorinnen und Administratoren sich an einige grundlegende Spielregeln halten.

Ausgangslage Das Internet ist mit seiner Fülle an Informationen allgegenwärtig. Doch dabei werden die BesucherInnen von Werbetreibenden bei jedem Mausklick verfolgt. Um die AnwenderInnen quer durch das Internet zu verfolgen, identifizieren Webseiten BenutzerInnen durch das Erstellen digitaler Fingerabdrücke. Für diese Fingerabdrücke werden von Webseiten unter anderem die Hardwareeigenschaften des aufrufenden Gerätes verwendet. Die dafür nötigen Abfragen können durch Software manipuliert werden und somit kann der Fingerabdruck verändert werden. Um BesucherInnen der Webseiten dennoch identifizieren zu können, muss die Qualität der Fingerabdrücke gesteigert werden. Die Qualität eines Fingerabdrucks nimmt zu, wenn dieser nicht nur aus Abfragen entsteht, sondern auch durch Leistungstests ermittelt wird. Es existieren bereits Leistungstests, die einzelne Aspekte eines Prozessors überprüfen, jedoch kein Test, der die grobe Prozessorfamilie und damit den Gerätetyp (Smartphone, Standrechner, Server) bestimmt.

erprobt werden. Am Ende der Arbeit soll beantwortet werden, ob durch die erstellten Leistungstests die Prozessorfamilie bestimmt werden kann. Ergebnis Es wurde im Rahmen der Arbeit ein etablierter Test in JavaScript implementiert und auf 15 verschiedenen Geräten durchgeführt. Es wurde versucht diesen Test so zu gestalten, dass die, über die Jahre gestiegenen, Taktraten wenig bis keinen Einfluss auf das Ergebnis haben. Nach der Auswertung der gesammelten Daten war die Erkenntnis, dass die Geräte innerhalb einer Prozessor-Familie bereits so unterschiedliche Leistungen erbringen, dass eine Bestimmung der Prozessor-Familie nicht möglich war.

Ziel Ziel der Arbeit ist es, einen Überblick über die beiden verbreitetsten Prozessor-Architekturen und deren, im Laufe der Jahre hinzugekommenen, Erweiterungen zu geben. Des Weiteren werden eventuell bestehende Tests aus anderen Programmiersprachen evaluiert. Die Tests sollen auf einer Test-Webseite umgesetzt und an einer Reihe Testgeräte 45

Blockchain – Funktionsweise, Konsensverfahren und Sicherheitsprobleme

Florian Kapfenberger, BSc

Erich Knoll, BSc

Betreuer: FH-Prof. Univ.-Doz. Dipl.-Ing. Dr. Ernst Piller

Betreuer: Dipl.-Ing. Herfried Geyer

Ausgangslage Früher oder später möchte man sich den Traum des Eigenheims verwirklichen. Hat man ein passendes Haus gefunden, das in das geplante Budget passt, so fehlt nur mehr der Kaufvertrag. Das Problem ist nun, dass dieser Vertrag von einer dritten Person beglaubigt werden muss. VerkäuferIn und KäuferIn gehen gemeinsam zu einer Notarin oder einem Notar und lassen den Kaufvertrag unterschreiben. Beide sind glücklich und einige Euros leichter, denn die hat die Notarin oder der Notar für die seine Unterschrift eingesteckt. In Zukunft könnte dieser Weg wegfallen, stattdessen unterschreiben KäuferIn und VerkäuferIn mithilfe der BlockchainTechnologie. Bürokratie könnte modernisiert werden und zentrale Autoritäten wären nicht mehr notwendig. Die Komplexität und die tatsächlichen Implementierungen der Blockchain ist jedoch noch ein Hindernis für eine dezentrale Zukunft. Neben Kryptowährungen gibt es wenige bekannte Anwendungen von Blockchains. Theoretisch gibt es tausende Anwendungsbespiele in Bereichen der Finanzen, Immobilien, Gesundheitswesen, Wahlen, Identitätsmanagment, etc. Die Technologie ist noch in den Kinderschuhen und wird in sich in den nächsten Jahren beweisen müssen. Sofern sich die Blockchain-Technologie beweisen kann, wird sie verbessert werden und in Zukunft Anwendung finden. Das Internet wurde auch nicht an einen Tag entwickelt. 46

Langzeitarchivierung – Umweltfaktoren als Einflüsse hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit bei offline Datensicherungen

Ziel Das Ziel dieser Arbeit ist, die komplexe Arbeitsweise der Blockchain zu erklären. Es werden die einzelnen Komponenten und die Funktionsweise innerhalb eines BlockchainNetzwerkes beschrieben. Ein wichtiger Teil ist die Kommunikation zwischen den Computern im Netzwerk und wie sie sich untereinander synchronisieren (Konsensverfahren). Weiters werden Sicherheitsprobleme der Blockchain aufgezeigt. Ergebnis Es wurden mehrere Konsensverfahren vorgestellt und ihre Funktionsweise beschrieben. Der Überblick ergab, dass es viele Konsensverfahren gibt und jedes Verfahren Stärken und Schwächen hat. Einige Konsensverfahren sind schlichtweg nicht mehr modern, da die Arbeitsweise sehr viel Energie beansprucht.

Ausgangslage Fast jeder kann sich noch an Datenträger wie zum Beispiel Disketten erinnern, auf denen vor Jahren Fotos, Lieblingsspiele oder andere Erinnerungen gespeichert wurden. Die meisten mussten jedoch später ernüchtert feststellen, dass entweder nicht mehr die nötigen Lesegeräte vorhanden sind oder wenn doch, die Daten nicht mehr lesbar waren. Gründe dafür sind der technische Fortschritt und Alterungsprozesse. Nicht jedes Speichermedium ist daher für alle Zwecke der digitalen Langzeit-Archivierung geeignet. Insbesondere die Lebenserwartung in Abhängigkeit zur gewünschten Archivierungsdauer muss berücksichtigt werden, sowie Umwelteinflüsse, wie zum Beispiel Temperatur, Luftfeuchtigkeit und auch Einwirkung von Magnetfeldern oder gar Strahlung. Da Informationssicherheit eine immer größere Rolle spielt, muss nicht nur die Verfügbarkeit, sondern auch, wenn möglich, die Auswirkungen dieser Einflüsse auf die Vertraulichkeit und Integrität, bei der Wahl des Speichermediums berücksichtigt werden. Diese Aspekte sind die Grundsäulen in der IT-Sicherheit und müssen in jede sicherheitsrelevante Betrachtung einfließen. Wie diese Daten zu sichern sind, betrifft nicht nur Regierung und Wirtschaft, sondern auch den privaten Sektor. Die Entscheidung, welche Art von Datenträger zum Einsatz kommt, wird dabei oft nicht faktengestützt getroffen.

Ziel Das Ziel dieser Arbeit ist, die unterschiedlichen nicht flüchtigen Speichermedien, vom Magnetband über Festplatten bis hin zum Mikrofilm, zu betrachten, sowie die Auswirkungen der unterschiedlichen Umwelteinflüsse in Korrelation mit der Lebensdauer zu bewerten. Dazu werden unterschiedlichste Studien und Herstellerangaben betrachtet, um aufschlussreiche Bewertungsmatrizen zu erhalten. Ergebnis Im Zuge dieser Arbeit konnte eine umfassende Übersicht aller nichtflüchtiger Datenspeicher erstellt werden. Die Umwelteinflüsse wurden gesondert, hinsichtlich der Auswirkungen auf die CIA-Triade (Vertraulichkeit, Integrität und Verfügbarkeit), bewertet. Des Weiteren wurden diese Informationen je Datenträger zusammengefasst, um auch die Verlässlichkeit als Bewertungsfaktor abbilden zu können Ausblick Zukünftige Arbeiten sollten die Laufwerke und eventuelle externe Controller mit in die Betrachtung einbeziehen. Auch gesetzliche Anforderungen (Verwaltungsrecht, Medizinrecht usw.) wären eine interessante Ergänzung zu diesem Thema, um die rechtlichen Auflagen unterschiedlicher Gesetze und Normen in die Bewertungsmatrizen miteinfließen lassen zu können. 47

Raspberry PI 3 – Eine Alternative zu herkömmlichen Thin-Client-Systemen?

Thomas Krammer, BSc

Daniel Kristen, BSc

Betreuer: Dipl.-Ing. Daniel Haslinger, BSc

Betreuer: FH-Prof. Dipl.-Ing. Dr. Sebastian Schrittwieser, Bakk.

Ausgangslage Heutzutage ist die IT-Infrastruktur eines Unternehmens einem stetigen technologischen Wandel unterzogen. Dieser Wandel sorgt meist für eine Mischkonstellation diverser Clientgeräte. Der dadurch entstehende administrative und finanzielle Aufwand ist enorm. Um die Anzahl der Geräte zu beschränken, ist eine Konsolidierung der Client- und Serverinfrastruktur von der Unternehmens-IT gefordert. Viele Unternehmen tendieren daher zu einer Single-Board-Computer-/Thin-Client-Lösung. Diese Geräte zeichnen sich durch ein schlankes Design, geräuschloses Arbeiten und sehr geringen Stromverbrauch aus. Jedoch wirft dies einige Fragen auf: Können solche Arbeitsplätze in jedem Unternehmen realisiert werden? Ist mit Einschränkungen zu rechnen? Welche Vor- und Nachteile ergeben sich daraus? Ziel Das Ziel dieser Arbeit ist eine Gegenüberstellung der bisher verwendeten Client-Technologien in Unternehmen, das Aufzeigen von Vor- und Nachteilen sowie eine Bewertung hinsichtlich deren Anwendungsgebiete und Skalierbarkeit. Bezüglich der aufzuwendenden Kosten für eine Migration von bestehenden Clients hin zu Thin-Clients, auf Basis des Single-Board-Computers „Raspberry Pi 3“, wurde eine Referenzimplementierung in einem Unternehmen durchgeführt. 48

Reverse Lookup von gespeicherten WLANs in einem Smartphone

Ergebnis Im Zuge dieser Arbeit wurden verschiedenste Client-Technologien gegenübergestellt und anhand diverser Faktoren wie Zentralisierung, Sicherheit, Homogenität, verwendete Applikationen, Support bzw. Lebensdauer und Kosten bewertet. Dadurch wurde festgestellt, ab welcher Anzahl von Clients sich eine Migration zu Thin-Clients finanziell lohnt. Jedoch muss festgehalten werden, dass es einer genauen Prüfung und Evaluierung bedarf, ob es im jeweiligen Unternehmen sinnvoll ist, eine Remote-Desktop-Services-Lösung flächendeckend für alle MitarbeiterInnen bereitzustellen. Mögliche Entscheidungspunkte sind unter anderem die bestehende Netzwerkinfrastruktur, die Internetanbindung und die Anforderungen an eingesetzte Applikationen.

Ausgangslage Wer in der aktuellen Zeit ab und zu fernsieht oder auch Serien im Internet anschaut, wird schon des Öfteren mit forensischen Analysen zu tun gehabt haben. Diese Analysen sind meist dank der produzierenden Firmen überdramatisch gestaltet und so kann mit einem einzigen Mausklick ein Kennzeichen eines vollkommen unscharfen Bildes in ein pixelfreies Bild verwandelt werden. Allerdings gibt es auch in der richtigen Welt, abseits von Film und Serie, Bedarf an forensischen Analysen. Mit einer diesen forensischen Analysen beschäftigt sich der Autor im Rahmen der Arbeit. In der heutigen Zeit wird es im forensischen Bereich immer stärker notwendig, Beweise auch von mobilen Endgeräten zu sichern. Da diese mobilen Endgeräte, im speziellen Smartphones, einen sehr flüchtigen Speicher haben und es in der Natur der Forensik liegt, so wenig wie möglich am Zielgerät zu verändern, wurde eine Methode erforscht, welche als Ziel hatte, ein Smartphone anhand seiner WLANDaten zu lokalisieren. Ziel Genauer gesagt bedeutet dies, dass die WLAN-Daten des Zielgerätes passiv, das heißt ohne Eindringen in das Gerät, gesammelt werden und für eine tiefergehende Analyse vorbereitet werden. Die Art und Weise wie die Daten gewonnen werden, ist auf das WLAN-Protokoll zurückzuführen. In

diesem wird ein sogenannter Probe-Request ausgesendet, welcher die Namen der dem Gerät bekannten WLAN-Netze mitschickt. Diese SSIDs, Namen der WLAN-Netze, werden dann aufgrund ihrer Daten analysiert und mit einer oder mehreren WLAN-Datenbanken verglichen. Aufgrund dieser WLAN-Datenbanken ist dann eine Einordnung des WLANNetzes in ein Land möglich. Rückschließend wird dann extrahiert, in welchen Ländern dieses Smartphone und sein/e BesitzerIn unterwegs war. Ergebnis Für die Implementierung wurde ein Raspberry Pi herangezogen, auf welchem der gesamte Programm-Code laufen sollte. Aufgrund der aktuellen Sicherheitsvorkehrungen und der Veränderung in der WLAN-Implementierung von mobilen Endgeräten, ist es nicht mehr möglich die Namen der WLAN-Netze passiv durch das Abfangen der WLANProbe-Requests zu erhalten. Diese Sicherheitsvorkehrungen haben es unmöglich gemacht, die Idee einer passiven Smartphone-Analyse zu nutzen, um die Lokalisierungsdaten eines Endgerätes zu bekommen. Nichts desto trotz wurde in der Arbeit auch untersucht, wie man WLAN-Netzwerknamen zu bestimmten Ländern zuordnen kann oder wie eine passive Smartphone-Analyse trotzdem doch noch funktionieren könnte.

Robustheit von Smartphone-Stego-Tools gegenüber Bildbearbeitung am Smartphone

Sebastian Krizek, BSc

Lukas Läugner, BSc

Betreuer: Dipl.-Ing. Peter Kieseberg

Betreuer: FH-Prof. Mag. Dr. Simon Tjoa

Ausgangslage Steganographie wird als Kunst und Wissenschaft bezeichnet, deren Ziel es ist, Sachen unbemerkt in sogenannten Träger zu verstecken. Beliebte Träger in der heutigen digitalen Zeit sind Bilder, Videos und Audiodateien. Die drei Anker der Steganographie sind die „Payload Capacity“, „Robustness against Attacks“ (sowohl Bearbeitung, als auch statistische Attacken) und die „Undetectabilitiy“. Das Gegenstück der Steganographie ist die Steganalyse, welche versucht die Steganographie zu brechen. Ziel Das Ziel dieser Arbeit ist, herauszufinden wie robust derzeitige Steganographie- implementierungen, gegenüber Bearbeitung am Smartphone, sind. Hierfür werden zehn verschiedene Stego-Tools, hauptsächlich SmartphoneApps, getestet und verglichen. Des Weiteren wird auch ein kurzer Überblick zu Steganographie und ihrem Konkurrenten, der Steganalyse, geboten. Ergebnis Das Ergebnis der Arbeit ist eine Auflistung der untersuchten Stego-Tools und den Bearbeitungskategorien. Keines der Tools hat sich als besonderes robust herausgestellt. Auch schon die kleinste Bearbeitung zwingt die meisten Implementierungen in die Knie. Lediglich zwei Tools konnten vier von 22 Bearbeitungskategorien widerstehen. Zwei Tools 50

Welche Auswirkungen hat die Datenschutz-Grundverordnung auf Unternehmen und welche Rechte und Pflichten haben die BürgerInnen diesbezüglich?

konnten drei Bearbeitungskategorien widerstehen. Entgegen der allgemeinen Meinung hat sich ein LSB Verfahren als robusteste Implementierung hervorgetan.

Ausgangslage Als 2012 die Datenschutzverordnung ‚GDPR‘ veröffentlicht wurde, war dies der Startschuss für eine Vielzahl von Debatten. Die nachfolgenden Verhandlungen brachten die 2015 veröffentlichte Datenschutz-Grundverordnung (DSGVO) hervor. Dieses 200 Seiten umfassende Dokument trat in allen EU-Mitgliedstaaten im Mai 2018 in Kraft. Viele Themen, wie etwa das Recht auf Vergessenwerden, werden in dieser Verordnung behandelt und reguliert. Die Zeitspanne bis zum Inkrafttreten sollten Unternehmen nutzen, um die zahlreichen nötigen Änderungen umzusetzen und den Mehrwert der Verordnung auch im Unternehmen bewusst zu machen. Vielen Unternehmen ist jedoch bis dato die Art der Umsetzung, der Sinn der Verordnung und in welche Arbeitsabläufe diese eingreift, nicht bewusst. Dies ist umso bedenklicher, da bei Nicht-Einhaltung der Bestimmungen potenzielle Strafen von bis zu 4% des weltweiten Jahresumsatzes anfallen können. Diese Aspekte müssen bei der Umsetzungsplanung der IT-Sicherheit betrachtet werden und in jede sicherheitsrelevante Umsetzung einfließen. Dies betrifft nicht nur große Konzerne, sondern auch KMU’s sowie den privaten Sektor. Die Entscheidung, welche Art von Datenträger zum Einsatz kommt, wird dabei oft nicht faktengestützt getroffen.

Ziel Neben einem Überblick über die Neuerungen der Datenschutz-Grundverordnung, einer vereinfachten Ausarbeitung einiger Passagen, sowie einem schwerpunktmäßigen Blick auf den Grad der Änderungen, die Unternehmen treffen, versucht die Arbeit ganz gezielt auch die praktischen Umsetzungstipps und To-Do‘s von bereits eingeführten Maßnahmen zu berichten. Ergebnis Die nähere Betrachtung der Datenschutzgrundverordnung zeigt klar und deutlich, dass die Datenschutzgrundverordnung alle Betriebe, vom Kleinbetrieb über ein mittelständisches Unternehmen bis hin zum Großkonzern, trifft. Größeren Betrieben ist dieser Umstand bewusst und die Prozesse im Betrieb wurden in der Regel schon in Hinblick auf das Inkrafttreten der neuen Verordnung bewertet. Ob kleinen Unternehmen dieser Umstand und die Tragweite, in der sie von der Datenschutzgrundverordnung betroffen sind, klar ist, darf noch bezweifelt werden. Gerade in den Bereichen können im Falle der Verarbeitung von personenbezogenen Daten dementsprechende Schritte seitens der Entscheidungsträger notwendig werden. Diese können von der Dokumentation der Arbeitsabläufe, Einführung von Prozessen, bis hin zur Umstrukturierung der IT oder einer Einführung von Enterprise-Resource-Planning-Systemen reichen. 51

PDF Dokument Tracking

Julian Lindenhofer, BSc

Timo Longin, BSc

Betreuer: Dipl.-Ing. Dr. Martin Pirker, Bakk.

Betreuer: Dipl.-Ing. Robert Luh, BSc

Ausgangslage Wissen und Informationen sind heutzutage die wichtigsten wirtschaftlichen Ressourcen von Unternehmen. Unternehmensinterne Daten wie Buchhaltung, Angebote, Forschungen, Verfahrensdokumentationen, Visionen und Pläne werden oft als die Kronjuwelen des Unternehmens angesehen. Mit zunehmender Bedeutung der digitalen Daten in den Unternehmen stieg auch die Anzahl der Cyberangriffe in den letzten Jahren massiv und wird auch in Zukunft weiter steigen. Jedes Unternehmen kann potentiell Opfer von digitalen Attacken werden. Neben der Prävention eines Sicherheitsvorfalls ergibt sich die Frage, ob man die Daten im Falle eines Angriffs direkter schützen kann. Das PDF-Format ist ein weitverbreitetes Standardformat für digitale Dokumente. Den meisten BenutzerInnen ist aber nicht bewusst, dass PDF ein sehr komplexes und umfangreiches Format ist. Ein Ansatz wäre es, PDF-Dokumente mit einem digitalen Peilsender auszustatten, um diese später nachzuverfolgen. Kann PDF somit zur Informationsgewinnung über DokumentnutzerInnen verwendet werden? Ziel Diese Arbeit beschäftigt sich mit den Möglichkeiten der skriptbaren Funktionen in Standard-konformen PDF-Dokumenten. Dies umfasst in erster Linie die Evaluierung der bekannten, definierten Funktionen in Bezug auf eine mögliche 52

Die Entdeckung von XSS – Das Finden neuer Wege der Codeausführung in HTML

nicht vorgesehene Verwendung. Das benötigt eine Evaluierung von gezielt modifizierten Prototypen von PDF-Dateien auf der Windows-Plattform mit mehreren PDF-Readern und Browser-Engines. Mit dem aus dieser Arbeit generierten Wissen lässt sich dann eine sicherheitskritische Einschätzung erstellen, ob die Möglichkeit besteht, mithilfe dieser manipulierten Dokumente Daten über den PDF-lesenden BenutzerInnen zu sammeln. Ergebnis Im Laufe der Arbeit wurden einige Funktionen und TriggerEvents identifiziert, welche in ihrer Funktionalität über die im Standard definieren Aktionen hinausgehen. Diese Funktionen konnten in PDF-Prototyp-Dokumente integriert werden. Ein praktischer Test mit einer Auswahl an Readern und Browser-Engines diente zur Überprüfung der theoretisch identifizierten Möglichkeiten. Anhand dieser Tests wurde dann eine Übersicht erstellt, welche Funktionen auf welchen PDF-Applikationen wie detailliert implementiert sind. Abschließend wurden die Prototypen noch mithilfe von Virenscannern auf eine etwaige Einstufung als Malware überprüft. Lediglich einer von 58 Antivirenscannern schlug Alarm.

Ausgangslage Das Einschleusen von bösartigem HTML-Code in einen harmlosen Datenfluss einer Webapplikation ist eine weit verbreitete Praxis in der Welt der HackerInnen, um Codeausführung in Browsern von Opfern zu erlangen. Die Rede ist von Cross-Site-Scripting. Um zu verhindern, dass bösartiger HTML-Code Schaden bei Benutzerinnen und Benutzern einer Webapplikation anrichtet, gibt es mehrere Gegenmaßnahmen. Diese beschränken die Kommunikation meist auf HTML-Code, der als gutartig angenommen wird und keine Code-Ausführung erlauben sollte. Das Problem hierbei ist, dass es aufgrund mangelnden Wissens über die Vielzahl der möglichen HTML-Codes passieren könnte, dass diese Gegenmaßnahmen ein eingebautes Schlupfloch für Cross-Site-Scripting mit sich bringen. Das Wissen über mögliche Arten der Code-Ausführung in Browsern ist demnach von äußerster Wichtigkeit, um entsprechende Sicherheitssysteme darauf aufzubauen. Um einen Teil dieser Bedrohung abzuwenden, befasst sich diese Arbeit mit dem Finden von Arten der automatischen Code-Ausführung in HTML.

Ziel Ziel dieser Arbeit ist es festzustellen, welche Möglichkeiten der automatischen Code-Ausführung in HTML bei aktuellen Browsern vorhanden sind. Dazu wird eine Vorgehensweise vorgestellt, die mittels grammatikalischer Analyse versucht, Grundstrukturen und Komponenten von bisherigen Arten der Code-Ausführung, also Cross-Site-Scripting-Payloads, zu identifizieren. Das Testen der Funktionalität aller Kombinationen dieser Strukturen und Komponenten soll dabei weitere Methoden der automatischen Code-Ausführung offenbaren. Ergebnis Im Zuge dieser Arbeit konnten bisherige sowie neue Wege der automatischen Code-Ausführung mit der vorgestellten Methodik gefunden werden. Darunter fallen auch solche, die „global“ wahrscheinlich noch unbekannt sind. Aufbauend auf diesen Daten wurden weitere Analysen durchgeführt. Ergebnisse dieser Analysen zeigen, welche der gefundenen Arten der Codeausführung die wahrscheinlich größte Bedrohung für bestehende Gegenmaßnahmen darstellen.

Agile Application Security – Flexibilität und Geschwindigkeit wo bleibt die Sicherheit?

Florian Neumair, BSc

Rene Offenthaler, BSc

Betreuer: FH-Prof. Dipl.-Ing. Dr. Sebastian Schrittwieser, Bakk.

Betreuer: Dipl.-Ing. Dr. Martin Pirker, Bakk.

Ausgangslage Agile Arbeitsweisen haben in den letzten Jahren in allen erfolgreichen Software-Unternehmen Einzug erhalten. Dies hat zu immensen Verbesserungen in der Geschwindigkeit und Flexibilität geführt, mit der auf Änderungen im Geschäftsumfeld reagiert werden kann. Prozesse, die mit anderen Herangehensweisen Monate gedauert haben und klarer Abnahmen bedurften, werden nun auf wenige Wochen herunter gebrochen und zu großen Teilen in die Eigenverantwortung der selbstorganisiert agierenden ProjektMitarbeiterInnen übergeben. Das Ziel dieser Herangehensweise ist es, nach zwei bis drei Wochen direkt nutzbare Funktionen und Innovationen für die Kundinnen und Kunden bereit zu stellen. Um dies zu ermöglichen ist es nötig, agile Teams mit Wissensträgerinnen und -trägern aus allen hierfür benötigten Gebieten auszustatten. Dabei dürfen die Teams aber nicht zu groß werden, um die Vorteile der agilen Arbeitsweise nicht zu verlieren. Der Fokus auf Neuheiten und Innovationen birgt jedoch die Gefahr, den Sicherheitsaspekt aus dem Blickfeld zu verlieren, da Sicherheit keine Funktion hat, sondern ein Gesamtkonzept ist, welches sich über alle Anforderungen hinweg erstreckt. Ein weiteres Problem besteht in der simplen Tatsache, dass in agilen Projektmodellen keine Sicherheitsprozesse vorgesehen sind. 54

Office Document Tracking

Ziel Diese Literaturanalyse beleuchtet die häufigsten verwendeten agilen Projektmodelle und evaluiert bestehende Konzepte zur Integration von Sicherheit in die Arbeitsweise, sowie deren Prozessabläufe. Ziel ist es, einen Überblick zu geben, welche Ansätze hierzu bereits bestehen. Des Weiteren wird evaluiert, welche Vor- und Nachteile diese IntegrationsAnsätze besitzen, um eine Möglichkeit zu schaffen, diese zu integrieren, ohne die Vorteile der agilen Methoden zu verlieren. Ergebnis Im Zuge der Arbeit konnte ein umfassender Überblick über bestehende agile Methoden sowie Ansätze zur Integration von sicherheitsrelevanten Tätigkeiten erstellt werden. Des Weiteren wurden diese Ansätze im Hinblick auf ihre Auswirkungen in der agilen Arbeitsweise verglichen. Aufbauend auf diese Analyse wird eine Empfehlung ausgesprochen, wie diese Aktivitäten Schritt für Schritt mit der größtmöglichen Wirkung in bereits bestehende agile Arbeitsweisen integriert werden können.

Ausgangslage Information ist eine Teilmenge von Wissen und das reichste Hab und Gut jeder einzelnen Person. Die Ressource Information ist vor allem in der heutigen IT-Welt von großer Bedeutung und daher mehr als schützenswert. Für Unternehmen sind Informationen, um im globalen Konkurrenzkampf mit anderen Unternehmen die Nase vorne zu haben. Da wir in einem Informations- oder auch Digitalzeitalter leben, in welchem sämtliches Wissen größtenteils digital gesammelt bzw. archiviert oder verteilt wird, gibt es zahlreiche Möglichkeiten, dieses Wissen zu verarbeiten. Betrachtet man dies nun aus der Welt der Windows-Anwender, so ist hier die „Office“-Programmlinie von Microsoft am populärsten. Aufgrund der hohen Nutzung von Dateiformaten wie DOCX (Word), PPTX (PowerPoint) und XLSX (Excel) sind diese auch ein attraktives Angriffsziel für Hacker. Welche Gefahren nun Office-Dokumente tatsächlich mit sich bringen, ist nicht so leicht beantwortbar, denn bereits die standardkonformen Funktionen der Office-Suite sind komplex und ermöglichen mitunter auch nicht-offensichtliche Verwendungen.

Ziel Diese Arbeit beschäftigt sich mit der Identifizierung und anschließend näheren Untersuchung von Funktionen und Datenstrukturen in den Dateiformaten der Office-Suite. Die Frage ist, welche von diesen können möglicherweise für neue Zwecke manipuliert werden? Im Anschluss daran folgt eine experimentelle, praktische Evaluierung dieser Funktionen mit den Microsoft-Office-Programmen auf dem Betriebssystem Windows. Das aus dieser Arbeit gewonnene Wissen erlaubt somit eine sicherheitskritische Einschätzung, ob beispielsweise manipulierte Dokumente Daten unerwünscht an externe EmpfängerInnen weiterreichen können oder nicht. Ergebnis Im Zuge dieser Arbeit konnte eine umfassende Übersicht über Funktionen der Office-Suite erstellt werden, welche über den offensichtlichen, standardisierten Zweck hinaus missbraucht werden können. Dabei wurden ausführliche Tests mit den Dateitypen DOCX, PPTX und XLSX durchgeführt. Vor allem die Gefahr, persönliche Informationen an externe KommunikationspartnerInnen weiterzuleiten, wurde eruiert und in Form einer sicherheitskritischen Einschätzung dokumentiert. Schlussendlich wurde besonders Wert daraufgelegt, Sicherheitsmechanismen zu eruieren, welche die BenutzerInnen der Office-Produktpalette vor Angriffen solcher Art schützt. 55

Bewertung des ISO 27001 Standards für den Einsatz in KMU

Mag. Jakub Pasikowski, BSc

Thomas Pointner, BSc

Betreuer: FH-Prof. Dipl.-Ing. Herfried Geyer

Betreuer: Dipl.-Ing. Peter Kieseberg

Ausgangslage Die österreichische Wirtschaft besteht fast zur Gänze aus kleinen und mittelgroßen Unternehmen (KMU). Durch die allgegenwärtige Digitalisierung werden diese Unternehmen einer Welle neuer Gefahren ausgesetzt. Große Unternehmen setzen deswegen bereits seit Jahren auf Informationssicherheitsmanagement. Die gängige Meinung ist jedoch, dass die vorhandenen Standards, wie die ISO 27001, zu umfangreich, kompliziert und letzten Endes zu teuer sind, um auch von KMU eingesetzt zu werden. Wie sehen das jedoch die Unternehmen selbst? Ist eine Einführung eines Informationssicherheitsmanagementsystems tatsächlich zu teuer oder gibt es andere Gründe, weshalb die Umsetzung bisher hauptsächlich großen Unternehmen vorbehalten geblieben ist? Können KMU die Maßnahmen zur Implementierung von Informationssicherheit selbst umsetzen oder ist externe Hilfe, etwa von einem Beratungsunternehmen, nötig? Welche Maßnahmen sind aus Sicht der Unternehmen erforderlich? Ziel Um diesen Fragen nachzugehen, analysiert die Arbeit die Umsetzbarkeit der vom ISO 27001 Standard empfohlenen Maßnahmen in KMU und stellt diese Analyse den Ergebnissen einer Umfrage gegenüber, die im Juni 2018 unter österreichischen IT-KMU durchgeführt wurde. Dabei werden 56

Smartphone-Messenger - Untersuchung einer Auswahl von Messenger unter Android im Jahr 2018

die einzelnen Maßnahmen unter den Aspekten der finanziellen Leistbarkeit, des zeitlichen Aufwandes, des notwendigen Know-hows und der Relevanz für das Unternehmen betrachtet. Ergebnis Daraus konnten drei zentrale Ergebnisse gezogen werden. Erstens werden von den Unternehmen nicht die finanziellen Mittel als zentrale Hürde für die Umsetzung gesehen, sondern die dafür notwendigen zeitlichen Aufwände und zusätzlichen Verantwortungen. Zweitens schätzen die befragten IT-Betriebe ihre eigenen Kenntnisse als ausreichend gut ein, um sich eine selbständige Umsetzung der Maßnahmen zuzutrauen und sehen sich nicht auf externe Beratung angewiesen. Drittens hat ein Großteil der befragten Unternehmen bereits viele der vorgeschlagenen Maßnahmen umgesetzt und befindet sich damit auf halbem Weg zu einer ISO 27001 Zertifizierung.

Ausgangslage Seit der Übernahme von WhatsApp durch Facebook gibt es immer öfters Bedenken, dass der Konzern durch die Fusion der beiden Unternehmen nun Zugang zu diesen Daten erlangt hat und diese Informationen für das Unternehmen Facebook selbst verwenden kann. Jedoch gibt es keine Erkenntnis darüber, was genau mit den Daten passiert, wofür diese tatsächlich verwendet werden und vor allem, wie sicher die Daten bei den diversen Messengern sind. Ein erstes Hindernis tritt schon bei der Installation einer Anwendung aus dem Play Store von Google auf, denn zuerst muss eine Zustimmung der Anwenderin beziehungsweise des Anwenders erteilt werden, die der App erlaubt, auf bestimmte Bereiche des Mobiltelefons zuzugreifen. Ohne diese Erlaubnis kann die Installation oft nicht abgeschlossen und die App nicht verwendet werden. Diese Berechtigungen für den Zugriff können starke Eingriffe und Auswirkungen für die Sicherheit des Mobiltelefons, sowie auf die Privatsphäre der Besitzerin oder des Besitzers haben. Zusätzlich ist oft unklar, ob Messenger ihre Daten nicht im internen Speicher des Smartphones ablegen.

ziehungsweise Missbrauch am mobilen Endgerät geschützt werden. Es soll untersucht werden, ob Produkte ihre Daten im lokalen Speicher am Endgerät abspeichern und ob diese Daten ausgelesen werden können. Ergebnis Im Zuge der Arbeit konnte eine Übersicht über die derzeit aktuellsten Messenger für Android erstellt werden. Damit konnte eine Auswahl von Messengern getroffen werden, welche am Testgerät installiert und anschließend verglichen wurden. Bei der Untersuchung ohne zusätzliche Software konnten Dateien wie Fotos und Videos sowie Meta-Informationen gefunden werden. Die Datenbanken für die Chat-Verläufe konnten unter den gegebenen Rahmenbedingungen nicht vollständig extrahiert werden. Beim Einsatz von Hilfsmitteln konnten, ohne Veränderungen am Smartphone vorzunehmen, einige personenbezogene Daten der Messenger ausgelesen werden. Der Schutz der persönlichen Interessen der BenutzerInnnen und die Datensicherheit der Produkte konnte nicht nachgewiesen werden. Es konnten zwar nur wenige Chatverläufe ausgelesen werden, jedoch aber die meisten Medien wie Fotos und Videos.

Ziel Diese Arbeit fokussiert sich auf die Gerätesicherheit bei den derzeit gängigsten Smartphone-Messengern unter Android und darauf, wie die Daten der NutzerInnen vor Angriffen be57

Die Umsetzung der Datenschutz-Grundverordnung im Rahmen eines Datenschutzmanagementsystems für KMU

Lena-Valerie Rechberger, BSc

Christopher Rohl, BSc

Betreuer: Dipl.-Ing. Herfried Geyer

Betreuer: FH-Prof. Prof. (h.c.) Dipl.-Ing. (FH) Thomas Brandstetter, MBA

Ausgangslage Die Datenschutz-Grundverordnung, welche seit Mai 2018 für Unternehmen der EU gilt, sorgte in Österreich für große Aufregung. Durch die Reform der Datenschutzgesetze ergeben sich zahlreiche, komplexe Anforderungen, die von den Betrieben umgesetzt werden müssen. Besonders im Bereich der sensiblen personenbezogenen Daten gelten strenge Vorschriften, die beispielsweise Einrichtungen betreffen, in denen Gesundheitsdaten verarbeitet werden. Um diese kritischen Daten zu schützen und die Einhaltung der gesetzlichen Vorgaben nachweisen zu können, ist ein Managementsystem für den Datenschutz unerlässlich. Doch dies stellt vor allem kleine und mittlere Unternehmen, die einen Großteil der österreichischen Wirtschaft ausmachen, vor große Herausforderungen. Vorhandene Lösungsansätze richten sich an große Unternehmen mit entsprechenden Strukturen und eignen sich aufgrund des Umfangs und der Komplexität kaum für den Einsatz in kleineren, ressourcenschwachen Betrieben. Ziel Ziel der Arbeit ist daher, die Entwicklung eines vereinfachten Datenschutzmanagementsystems für die Umsetzung der Anforderungen der Datenschutz-Grundverordnung, welches an kleine und mittlere Unternehmen, die sensible personenbezogene Daten verarbeiten, angepasst ist. 58

Bluetooth Security

Ergebnis Im Rahmen dieser Arbeit wurden zunächst die konkreten gesetzlichen Anforderungen für die Zielgruppe identifiziert, die sich aus der Datenschutz-Grundverordnung ergeben. Außerdem wurden vorhandene Lösungsansätze für die Implementierung eines Datenschutzmanagementsystems auf ihre Eignung für die Zielgruppe untersucht, ein passendes Rahmenwerk ausgewählt und dieses inhaltlich analysiert. Das gewählte Werk dient als Grundlage für die Ableitung eines Konzepts für ein vereinfachtes Managementsystem.

Ausgangslage Man macht sich fertig für die Arbeit, aber bevor man außer Haus geht, möchte man unterwegs seine Lieblingsmusik vom Handy hören. Es wird Bluetooth am Handy aktiviert und mit den Bluetooth-Kopfhörern verbunden. Unterwegs bleibt man noch bei einem Cafe stehen, um einen Kaffee für die Fahrt zur Arbeit zu kaufen. Während man ansteht und auf seinen Kaffee wartet, kann eine unschuldig aussehende Peron mit ihrem Laptop auf einem Nebentisch versuchen, sich über Bluetooth ihr Handy zu hacken.

Als Ergebnis dieser Arbeit wird somit ein Rahmenwerk zur ganzheitlichen Umsetzung des Datenschutzes für kleine und mittlere Unternehmen vorgestellt, das helfen soll, die Anforderungen der Datenschutz-Grundverordnung bezüglich der Verarbeitung sensibler personenbezogener Daten rechtskonform und nachweisbar umzusetzen. Dazu werden die acht Schritte, die sich regelmäßig wiederholende Abläufe darstellen und für die Implementierung erforderlich sind, detailliert erläutert und bieten somit einen klaren Leitfaden für die Umsetzung, an dem sich betroffene Unternehmen orientieren können.

Aus diesem Grund ist es wichtig, ein Bewusstsein für die aktuellen Bedrohungen zu schaffen und diesen Bedrohungen Einhalt zu gebieten. Diese Arbeit betrachtet mögliche Angriffe und welche Hilfsmittel für einen Hack von Nöten sind.

nen Angriff auf ein Smartphone beschrieben. Anschließend wurden die bekanntesten Angriffe über Bluetooth theoretisch behandelt und zum Schluss wurden diesen Angriff auch in die Praxis umgesetzt. Man kann aus den gewonnen Informationen schließen, dass Bluetooth noch ein paar Schwachstellen hat, aber die Entwickler die Sicherheit von Bluetooth nicht unbeachtet lassen.

Ziel Das Ziel dieser Arbeit ist, zu zeigen, was für einen Angriff an Equipment benötigt wird und wie die Angriffe in der Theorie, als auch in der Praxis funktionieren. Für die Versuche werden ein fünf Jahre altes Smartphone und ein aktuelles Smartphone als Testobjekte verwendet. Ergebnis Im Zuge dieser Arbeit wurden unterschiedliche Soft- und Hardwares verglichen und deren Vor- und Nachteile für ei59

Analyse von OT Security Frameworks

Florian Schier, BSc

Franz Schrefl, BSc

Betreuer: FH-Prof. Mag. Dr. Simon Tjoa

Betreuer: Dipl.-Ing. Gabor Österreicher, BSc

Ausgangslage Operational Technology (OT) nimmt eine zentrale Rolle bei der Automatisierung und Überwachung von industriellen Steuerungsanlagen ein. Diese Systeme finden häufig Anwendung in produzierenden Organisationen, welche oft zu kritischer Infrastruktur gezählt werden können. Kritische Infrastruktur hat einen hohen Anspruch an Safety, Verfügbarkeit und Sicherheit. OT-Systeme waren ursprünglich physisch vom IT-Netzwerk getrennt und wurden in geschlossenen Systemen betrieben. Somit war der IT-Sicherheit ein niedriger Stellenwert bei der Auswahl und Entwicklung von Protokollen zugeteilt. Durch die historische Entwicklung und durch den Einsatz von Protokollen, der Zusammenlegung sowie der Nutzung von Ressourcen der IT sind OT-Systeme ebenfalls Gefährdungen ausgesetzt. Organisationen können nicht genau evaluieren, welche Komponenten in ihren OT-Netzen Anwendung finden. Somit fehlt das Wissen über die Sicherheitsrisiken, die vorhanden sind, und Organisationen können keine Maßnahmen priorisieren und implementieren, um die Anforderungen an Sicherheit zu erfüllen. Wenn Systeme zusätzlich an das Internet angeschlossen sind, um zum Beispiel Systeme Remote zu warten oder Parameter zu überwachen, eröffnet das AngreiferInnen einen großen Angriffsvektor, weil diese Systeme leicht über bekannte Plattformen, wie Shodan gefunden werden können. 60

IPv6 Security – Toolkits für Angriffe und mögliche Gegenmaßnahmen

Ziel Das Ziel dieser Arbeit ist es, Kriterien zu entwickeln und einen Überblick zu erhalten, welche Publikationen sich mit dem Thema OT-Sicherheit beschäftigen und die vordefinierten Anforderungen erfüllen. Daraus ist ersichtlich, welche Maßnahmen fehlen, um ein Unternehmen adäquat abzusichern. Ergebnis Im Zuge dieser Arbeit entstand eine Security Landscape mit zwölf Themenblöcken, welche im Vorhinein einer sorgfältigen Recherche und Analyse von Best-Practise-Ansätzen unterzogen wurde. Anhand derer wurden 50 Kriterien entwickelt, die es ermöglichen die Maturität der Publikationen und Normen zu evaluieren. Insgesamt wurden neun verschiedene Normen und Publikationen herangezogen, welche anhand der speziell ausgewählten Kriterien untersucht wurden. Außerdem wurde das Verbesserungspotential ermittelt, mit dem ersichtlich ist, welche allgemeinen Punkte der verschiedenen Kriterien von den Normen nicht beachtet werden. Die Analyse ermöglicht es, Publikationen und Normen auszuwählen, die anwendbar sind, um ein Unternehmen ausreichend abzusichern. Zusätzlich werden Themenblöcke aufgezeigt, die innerhalb der Normen nicht ausreichend behandelt wurden. Als Fazit wurde eine Empfehlung abgegeben, um ein Unternehmen adäquat abzusichern.

Ausgangslage Beinahe jedes neue technische Gerät heutzutage hat die Möglichkeit der Einrichtung einer Netzwerkverbindung. Parallel zum stetigen Anstieg dieser Geräte, wächst natürlich auch der Bedarf an IP-Adressen. Diese Anforderungen wurden bei der damaligen Entwicklung des IPv4-Protokolls nicht bedacht, wodurch der verfügbare Adressbereich nicht für heutige Verhältnisse ausgelegt wurde und deshalb beinahe erschöpft ist. Daher wurde bereits vor Jahren das Nachfolgeprotokoll IPv6 entwickelt, um diesem Problem entgegen zu wirken. Gleichzeitig wurde versucht, die bekannten Sicherheitsprobleme beziehungsweise Schwächen, die vom IPv4-Protokoll bekannt sind, bei IPv6 zu beseitigen. Die beiden Protokolle sind daher von Grund auf verschieden und untereinander nicht kompatibel. Eine Kommunikation zwischen den Protokollen ist deshalb nur durch Übersetzungsmechanismen, wie Network Address Translation, möglich. Durch den zusätzlichen Betrieb von IPv6-Netzwerken können und werden sich neue Risiken ergeben, die einer/einem NetzwerkadministratorIn bewusst sein sollten, damit entsprechende Gegenmaßnahmen implementiert werden können und auf eventuelle Angriffe reagiert werden kann. Ziel Das Ziel dieser Arbeit ist, das IPv6-Protokoll in Bezug auf die Sicherheit zu betrachten. Im ersten Teil findet eine Erläu-

terung sicherheitsrelevanter Funktionen des IPv6-Protokoll statt. Danach werden Toolkits recherchiert, mit denen Angriffe beziehungsweise Tests durchgeführt werden können. Mit diesen Tools sollen dann Netzwerkkomponenten auf deren Sicherheit getestet werden. Ergebnis Gesamtheitlich betrachtet ist die Protokollsicherheit bei IPv6, im Vergleich zu IPv4, in etwa gleich zu stellen. Im Unterschied zu IPv4 existieren Maßnahmen bei IPv6, um das Protokoll selbst absichern zu können. Diese Maßnahmen sind mit einem erheblichen administrativen Aufwand verbunden, wodurch sie in der Praxis meist keinen Einsatz finden. Bei den durchgeführten Angriffen beziehungsweise Tests der Netzwerkkomponenten konnte lediglich ein Fehlverhalten bei einer Firewall aufgezeigt werden. Gegenmaßnahmen die auf Netzwerkgeräten konfiguriert werden können, wie schon bei IPv4, gibt es bereits seit Jahren ebenfalls für IPv6. Ausblick Zukünftige Arbeiten könnten Gegenmaßnahmen praktisch umsetzten und testen, ob Angriffe danach nicht mehr möglich wären. Außerdem könnten weitere Netzwerkkomponenten in Bezug auf ihrer Sicherheit wie Switches, Intrusion Detection Systemen oder Data Leakage Prevention Systeme untersucht und bewertet werden. 61

Sicherheit einer Big-Data-Architektur

Raphael Schrittwieser, BSc

Roland Schwarzinger, BSc

Betreuer: Dipl.-Ing. Dipl.-Ing. Christoph Lang-Muhr, BSc

Betreuer: Dipl.-Ing. Peter Kieseberg

Ausgangslage Big Data ist momentan ein sehr aktuelles Thema und wird häufig in Berichterstattungen als ein wichtiger Bereich der Zukunft angepriesen. Es ermöglicht, riesige Mengen an Daten mit großer Geschwindigkeit zu analysieren, die mit bisherigen Methoden nicht ausgewertet werden konnten. Diese starke Analysefähigkeit könnte zu entscheidenden Durchbrüchen in verschiedenen Forschungsbereichen, wie etwa der Medizin oder der Klimaforschung, führen. Jedoch handelt es sich bei Big Data um ein relativ neues Anwendungsgebiet der IT und die Grenzen des Möglichen werden gerade erst erforscht. Dies führt auch zu einem großen Problem. Weil viele Firmen noch wenig Erfahrung im sicheren Umgang mit der Software haben, die für Anwendungen im Big Data Bereich verwendet werden, kommt es immer wieder zu Zwischenfällen, die zu Datenlecks führen. Dabei können im schlimmsten Fall Daten entwendet werden, die personenbezogene Informationen enthalten, wie zum Beispiel Gesundheits- oder Finanzdaten, und eigentlich nicht an die Öffentlichkeit gelangen sollten. Aufgrund dessen ist es notwendig, dass Big-Data-Architekturen gegen Angriffe abgesichert werden. Dies ist jedoch eine große Herausforderung, da solche Systeme aus einer Vielzahl von Geräten bestehen und zur Analyse der Daten viele unterschiedliche Programme verwendet werden können. Dadurch entsteht eine relativ große Angriffsfläche, 62

Steganographie von HEIF-Dateien

die vor Angriffen geschützt werden muss. Ziel Das Ziel dieser Arbeit ist es, einen Überblick über die Begriffe und Funktionen von Big-Data-Systemen zu liefern und den momentanen Stand der Technik zu erläutern, indem erklärt wird, in welchen Bereichen es zu Problemen für Sicherheit und Datenschutz kommt. Zusätzlich werden einige Programme und Methoden vorgestellt, die Lösungen für diese Probleme bieten und dadurch die Sicherheit erhöhen. Ergebnis Die Vielzahl an unterschiedlichen Ausführungen von BigData-Systemen führt dazu, dass es keine Standardlösung gibt, wie solch eine Architektur abgesichert werden kann. Abhängig davon, wofür ein Big-Data-System verwendet werden soll, ist unterschiedliche Software vorhanden, die verschiedene Angriffswege ermöglicht. Um die Sicherheit zu steigern, gibt es einige generelle Regeln, die beachtet werden sollten. Jedoch ist es am besten, wenn im Einzelfall geprüft wird, welche Angriffsmöglichkeiten vorhanden sind und diese anschließend abgesichert werden.

Ausgangslage Steganographie beschreibt das Verstecken von Informationen in einem Trägermedium. Oft verwendete Medien für Steganographie sind Bilder, Musik und Videos. HEIF ist ein relativ neues Containerformat für Bilder und Bilderserien, welches hauptsächlich wegen seiner besonders effektiven Komprimierung – HEVC – an Beliebtheit gewinnt. Apple brachte mit dem iOS11 Update Softwareunterstützung für das Bildformat, Windows und Android bieten vorerst noch Testimplementierungen an. Wegen der steigenden Unterstützung von HEIF, der Vielzahl an Funktionen und der besseren Komprimierung wird es oft als Nachfolger von JPEG gesehen. Dadurch ergibt sich eine Relevanz für eine steganographische Untersuchung des Dateiformats. Ziel Das Ziel dieser Arbeit ist, einen Überblick über steganographische Möglichkeiten in HEIF zu geben und die verschiedenen Umsetzungen des Dateiformats zu analysieren. Des Weiteren wird ein umfassender Überblick über die Herausforderungen der Steganographie, Komprimierung in Bildern und Videos, sowie eine detaillierte Zusammenfassung über HEVC/H.265 präsentiert. Das Containerformat wird im Detail untersucht und die Umsetzbarkeit von steganographischen Methoden von HEVC für HEIF bewertet. Außerdem soll ein Programm umgesetzt werden, welches eine der gefundenen Schwachstellen ausnützt.

Ergebnis Als Ergebnis der Arbeit wurde eine Auflistung der untersuchten Methoden zum Verstecken von Informationen festgehalten. Eine der vielversprechendsten Ansätze, das Verstecken zwischen sogenannten Media-Data-Blöcken durch Offset-Manipulation, wurde als Programm umgesetzt. Die Umsetzbarkeit weiterer Methoden wurde in der Praxis getestet und theoretische Ansätze wurden betrachtet. Derzeitige HEIF-Implementierungen bieten sich für das Verstecken von Informationen an, da nicht nur durch die Komprimierung HEVC, sondern auch durch EXIF Daten und Metadaten von HEIF-Potenzial für Steganographie besteht. Ausblick HEIF ist ein allmählich an Bedeutung gewinnendes Format, dessen Softwareimplementierungen zurzeit noch nicht alle Funktionen unterstützen. Daher wäre eine weitere Untersuchung mit den fertigen Umsetzungen hilfreich, um das steganographische Potenzial dieser Features festzustellen.

Detection of Cryptographic Functions in Binaries – Evaluation of the Tool CryptoHunt

Stefan Schweighofer, BSc

Florian Seitl, BSc

Betreuer: Dipl.-Ing. Patrick Kochberger, Bsc

Betreuer: FH-Prof. Univ.-Doz. Dipl.-Ing. Dr. Ernst Piller

Ausgangslage Über die letzten Jahre hinweg stieg die Popularität von „Ransomware“ im Malware-Bereich stark an, was zur Folge hatte, dass auch die Zahl der Betroffenen zugenommen hat. „Ransomware“ ist eine Kategorie von Malware, welche Daten von Betroffenen mit kryptographischen Verfahren verschlüsselt und anschließend Lösegeld für die Entschlüsselung fordert. Zudem stehen Malware-AnalystInnen oft vor der Herausforderung, dass eine Vielzahl an unterschiedlichen Programmen untersucht werden muss. Dies bedeutet, dass die Entwicklung von entsprechenden Gegenmaßnahmen gegen unbekannte Arten von „Ransomware“ einige Zeit in Anspruch nehmen kann und eine zum Teil automatisierte Analysemethode von großer Wichtigkeit ist. Eines der automatisierten Analyseprogramme, welches über die letzten Jahre in diesem Bereich entwickelt wurde, ist „CryptoHunt“. Mit „CryptoHunt“ ist es möglich, über unbekannte Programme zu urteilen und festzustellen, ob ein unbekanntes Programm eine kryptographische Funktion benutzt und um welche es sich handelt. Diese Arbeit beschäftigt sich mit dem Programm „CryptoHunt“ und versucht, dieses in einer Testumgebung zu evaluieren.

Comparison of hash based signatures – Secure digital signatures for autonomous driving

Ziel Das Ziel dieser Arbeit ist es, festzustellen, wie gut „CryptoHunt“ bestimmte kryptographische Funktionen in Binärprogrammen erkennen kann. Dabei wird die Testumgebung, in der „CryptoHunt“ ursprünglich getestet wurde, nachgestellt und eine neue Testumgebung mit neuen Software Versionen aufgebaut. Die Ergebnisse aus beiden Testumgebungen sollen anschließend verglichen werden, um festzustellen, ob es Unterschiede gibt und wie die Ergebnisse im Vergleich zu den Tests von „CryptoHunt“ aussehen. Ergebnis Beide Testumgebungen wurden erfolgreich aufgebaut und die anschließenden Tests wurden mit unterschiedlichen kryptographischen Algorithmen durchgeführt. Abschließend wurde ein großer Vergleich zwischen den Ergebnissen der Tests erstellt, wobei einige Unterschiede zwischen den Testumgebungen festgestellt werden konnten. Zudem stellte sich durch die Ergebnisse heraus, dass „CryptoHunt“ in bestimmten Situationen gut funktioniert, aber es bei der Erkennung von kryptographischen Funktionen auch noch zu einigen Herausforderungen kommen kann.

Ausgangslage Durch die aktuelle Forschung wird der Grundstein gelegt, um in Zukunft autonomes Fahren zu ermöglichen. Dafür sind nicht nur Entwicklungen seitens der Steuerung notwendig, sondern auch hinsichtlich der Sicherheitstechnik. Ein wesentlicher Punkt bei am Verkehr teilnehmenden Parteien in der Zukunft wird die sogenannte „Car-to-Car Communication“ sein. Zusätzlich ist allerdings auch die Kommunikation zu bestehender Infrastruktur, wie beispielsweise Ampeln oder Verkehrszeichen, extrem wichtig, da letzten Endes Menschenleben an der Integrität der Daten hängen. Nachdem im Laufe der nächsten 15 Jahre mit immer stärkeren Quantencomputern gerechnet werden muss, ist es notwendig, dieses sehr langlebige System bereits jetzt gegen Angriffe von leistungsstarken Quantencomputern abzusichern. Ziel Ziel dieser Arbeit ist es, einen Überblick über die derzeit bestehenden hashbasierten Digitale-Signatur-Verfahren zu geben. Es soll über dies hinaus evaluiert werden, ob es Verfahren gibt, die ausreichend Sicherheit bieten, im Kontext von autonomem Fahren verwendbar sind und deren Entwicklungsstand soweit fortgeschritten ist, dass durch eine Verwendung keine Komplikationen zu erwarten sind.

Ergebnis Im Zuge der Arbeit konnte eine Übersicht erstellt und die am vielversprechendsten Verfahren identifiziert werden. Die beiden ähnlichen Ansätze von XMSS und SPHINCS stellen sich bei Verwendung von entsprechenden Parametern als post-quanten sicher heraus, können durch vorhandener Implementationen verwendet werden und sind auch auf Mikrocontrollern lauffähig. Es wurde allerdings auch festgestellt, dass die Geschwindigkeit bei SPHINCS ein großes Problem darstellt und sich dadurch XMSS trotz umfangreicherer Anforderungen an die Umgebung als besserer Kandidat für den Verwendungszweck autonomes Fahren herausstellt. Ausblick Im Rahmen des Forschungsprojekts KIF soll evaluiert werden, welche Signaturverfahren der Post-Quanten-Kryptographie im Rahmen von autonomen Fahren verwendbar sind. Die Ergebnisse aus dieser Arbeit dienen als Ausgangsbasis für diesen Teil des Projekts und es sollen unter anderem Tests auf Hardware durchgeführt werden, welche vergleichbar ist zu jener, die auch in autonomen Fahrzeugen eingesetzt werden wird.

Korrelieren von Ereignissen in einer Deception Umgebung

Stefan Slawitscheck, BSc

Lisa Steinwendtner, BSc

Betreuer: Dipl.-Ing Dr. Martin Pirker, Bakk.

Betreuer: Mag. Dr. Simon Tjoa

Ausgangslage AngreiferInnen auf heutige komplexe IT-Systeme können verschiedenste Schwachstellen ausnutzen und bei einem erfolgreichen Angriff einen großen Schaden verursachen. Einen 100%igen Schutz gibt es in der Praxis nicht. Daraus ergibt sich die Motivation zur frühestmöglichen Erkennung von Angriffen – sofern möglich – um effektive Gegen- und Schutzmaßnahmen einzuleiten. Bei der Analyse eines erfolgreichen Angriffs ist die Erkennung von den Zusammenhängen („Kausalitäten“) von verschiedensten aufgezeichneten („überwachten“) System Events eine Kernherausforderung. Eine automationsgestützte Analyse fördert die Effektivität und die Effizienz der Angriffsanalyse. Speziell die Erkennung von Kausalitätsketten über Prozessgrenzen hinweg, stellt hierbei eines der Kernprobleme dar. Ziel Diese Arbeit beschäftigt sich mit dem Problem der robusten Identifikation, Korrelation und Dokumentation von EventKausalitäten über Prozessgrenzen hinweg. Ergebnis Das Ergebnis der Arbeit ist eine prototypische Lösung, die verschiedenste Events von unterschiedlichen Prozessen miteinander verknüpft und so die Zusammengehörigkeit der Events in einer Log-Datei dokumentiert. Als Grundlage dient 66

Einfluss von Threat Intelligence auf Informationssicherheitsmanagementsysteme

ein Windows-basiertes Szenario, in dem Anfragen an einen Webserver (Nginx) in weiterer Folge dynamisch weitere Interaktionen mit einem Datenbankserver (MySQL) auslösen. Die entwickelte Lösung ermöglicht die Nachvollziehung der einzelnen Verarbeitungsschritte anhand der Informationen in der Log-Datei. Im Rahmen eines Einsatzes in einer Deception-Umgebung ermöglicht dies die Herausarbeitung von Ursache (bestimmte Netzwerkanfrage) zu Wirkung (Dateizugriff, Datenbankzugriff, Datenveränderungen).

Ausgangslage Unternehmen sowie deren Kundinnen und Kunden geraten in den letzten Jahren immer öfters in den Fokus von AngreiferInnen. Zu den Zielen dieser Attacken gehören das Stehlen oder Kompromittieren von Daten sowie das Vernichten von Assets, welche einen Finanz- oder Reputationswert aufweisen. Bisher eingesetzte statische Verfahren gegen Cyber-Attacken sind nicht mehr ausreichend, um gegen komplexe, widerstandsfähige und schwer erkennbare Bedrohungen standzuhalten. Threat Intelligence bietet die Möglichkeit, diese Art von Attacken zu verhindern, und ist dementsprechend ein steigender Trend im Bereich der Informationssicherheit. Jedoch entwickelt sich Threat Intelligence immer mehr zu einem „Buzzword“. Viele Unternehmen setzen Threat Intelligence ein, jedoch fehlt oft das nötige Know-how für einen effizienten und erfolgreichen Einsatz. Ziel Das Ziel dieser Arbeit ist es, zu zeigen, wie Threat Intelligence das Informationssicherheitsmanagement verändert. Um die Auswirkungen aufzuzeigen wird ein Threat Intelligence Cycle, mit fünf Phasen – Organisation, Erhebung, Analyse, Erstellung sowie Evaluierung und Verbesserung – durchlaufen. Dieser soll Verständnis für Threat Intelligence in Unternehmen schaffen und die Funktionalität von Threat Intelligence erläutern.

Ergebnis Im Rahmen dieser Arbeit konnten die Phasen, welche bei einer Threat-Intelligence-Integration durchlaufen werden, anhand eines Cycle dargestellt werden. Die einzelnen Phasen geben Aufschluss über die jeweils durchgeführten Tätigkeiten, die für die Threat-Intelligence-Fähigkeit des Unternehmens von Bedeutung sind, um somit ein Grundverständnis für Threat Intelligence zu schaffen. Anschließend werden die relevanten Ergebnisse für das Informationssicherheitsmanagement, welche durch den Cycle aufgezeigt wurden, zusammenfassend angeführt und deren Vernetzung innerhalb des Unternehmens verdeutlicht. Schlussendlich werden die Auswirkungen durch den Einsatz von Threat Intelligence den Controls der ISO 27001 zugeordnet, um den Einfluss auf das Informationssicherheitsmanagement der Unternehmen zu veranschaulichen.

Herausforderungen und Limitierungen an Cyber-Security-Testumgebungen

David Straßegger, BSc

Peter Swoboda, BSc

Betreuer: Dipl.-Ing. Daniel Haslinger, BSc

Betreuer: FH-Prof. Dipl.-Ing. Dr. Sebastian Schrittwieser, Bakk.

Ausgangslage Dropbox, Facebook, Google Drive und Microsoft Office 365 stehen vor der Herausforderung, Tag für Tag Millionen von Menschen mit ihren Dienstleistungen versorgen zu müssen. Die Kundinnen und Kunden stellen hohe Anforderungen und erwarten ständige, weltweite Verfügbarkeit. Die Prüfung der Dienste auf Sicherheitsschwachstellen gestaltet sich in einem derart dynamischen und stets produktiven Umfeld besonders schwierig, denn jeder Ausfall kostet Geld, schwächt das Vertrauen der Kundinnen und Kunden in den Service und gefährdet nicht zuletzt die Marktposition. Aus diesem Grund spielen speziell isolierte Testumgebungen eine große Rolle im Bereich Cyber Security. Sie ermöglichen das Untersuchen der Dienste auf Schwachstellen, ohne negative Auswirkungen auf die Produktivumgebung zu riskieren. Doch der Nachbau von Produktivumgebungen ist keinesfalls trivial. Die Art der Testumgebung, die eingesetzte Software, sowie das zu untersuchende Produkt oder Phänomen beeinflussen den Erfolg der Prüfung und das Design der Testumgebung selbst. Diese Arbeit beschäftigt sich mit den Herausforderungen an virtualisierte Testumgebungen und deren Limits im Bereich der Sicherheitsforschung. Ziel Die Arbeit behandelt die aktuellen Probleme virtueller 68

Detecting System Management Mode Rootkits – Detecting System Manangement Mode Malware Through Their Activities

Testumgebungen im akademischen und industriellen Bereich. Dazu werden drei verschiedene Virtualisierungsprodukte einem Eignungstest zur Sicherheitsforschung unterzogen, um deren Einschränkungen zu ermitteln. Die Tests befassen sich unter anderem mit der Isolierung der virtuellen Infrastruktur und bewerten die Genauigkeit und Realitätstreue einer virtuellen Testumgebung. Ergebnis Das Resultat der Arbeit zeigt, dass zur Zeit keines der getesteten Virtualisierungsprodukte eine vollkommen ideale, virtuelle Testumgebung für den Bereich Sicherheitsforschung bietet. Die Literaturrecherche hat zudem ergeben, dass es (zur Zeit der Entstehung dieser Arbeit) keine einheitlichen Leitfäden oder Standards für das Design und die Implementierung von virtuellen Testumgebungen gibt. Ein großer Kritikpunkt sind die mangelnden Konfigurationsmöglichkeiten bei Virtualisierungsprodukten, um die Rahmenbedingungen und das Verhalten von virtuellen Maschinen zu steuern. Dies führt zu Ungenauigkeiten in Experimenten und zum Verlust von Realitätstreue. Schlussendlich konnten aus den Erkenntnissen zahlreiche Probleme virtueller Umgebungen für das beschriebene Einsatzszenario identifiziert werden. Diese stehen als Basis für weitere Forschung zur Verfügung.

Ausgangslage Seit vielen Jahren werden wissenschaftliche Arbeiten zum Thema Malware im hochprivilegierten System Management Mode (SMM) veröffentlicht und Proof of Concepts (PoCs) Implementierungen vorgestellt. Ursprünglich wurde der SMM entwickelt, um betriebssystemunabhängige Steuerungsvorgänge in einem Computer zu ermöglichen. Da die Verbreitung einer solchen Malware, im Vergleich zu typischer Malware, komplex ist und eine umfassende Kenntnis des Zielsystems benötigt wird, waren die Bedenken hinsichtlich einer weitreichenden Infektion sehr gering. Mit der Veröffentlichung von geheimen Dokumenten von Regierungsbehörden und Unternehmen, die auf offensiven Einbruch und Überwachung von Computernetzwerken spezialisiert sind, wurde der Nachweis erbracht, dass Malware bereits verwendet und kommerziell verkauft wird. Da die Erkennung von SMM-basierter Malware durch die Eigenheiten des SMM schwieriger ist als von herkömmlicher Malware, werden in dieser Arbeit Methoden und Techniken vorgestellt, um ein SMM-Rootkit durch die Auswirkungen dessen auf ein infiziertes System zu erkennen.

entwickelt, mit welchem Veränderungen im Verhalten eines Systems festgestellt und eine Infektion des SMM erkannt werden kann. Ergebnis Im Zuge dieser Untersuchungen wurde eine umfassende Analyse der Faktoren durchgeführt, welche durch solch eine Malware beeinflusst werden. Es wurde anhand von realen Anwendungen gezeigt, welchen Einfluss Malware im SMM auf ein Computersystem, abgesehen von der Schadwirkung, haben kann. Ausblick Durch das Bekanntwerden der Sicherheitslücken SPECTRE und MELTDOWN, kann die Erkennung von Malware im SMM weiter vorangetrieben werden. Für die systematisierte Erkennung von Malware im SMM sollte neben der Beeinflussung des Systems auch der Inhalt des SMM analysiert werden, um eine genaue Identifizierung der Malware zu ermöglichen.

Ziel Das Ziel dieser Arbeit ist, die Auswirkungen einer Malware im SMM zu untersuchen und anhand der Ergebnisse Erkennungsmethoden zu erarbeiten und diese Ergebnisse nutzbar zu machen. Als Ergebnis dieser Arbeit wird ein Tool 69

Erweiterte Personalisierungsinformationen

Marcus Szing, BSc

Alexander Tauber, BSc

Betreuer: Dipl.-Ing. Peter Kieseberg

Betreuer: Dipl.-Ing. Patrick Kochberger, BSc

Ausgangslage Egal ob zu Hause, in der Arbeit oder unterwegs. Das Smartphone ist heute unser ständiger Begleiter in allen möglichen Situationen des Lebens. In jeder freien Minute wird ein Blick darauf riskiert, schnell ein paar Nachrichten eingetippt oder nur kurz etwas recherchiert. Dann noch am Wochenende einen Ausflug machen und den ArbeitskollegInnen oder FreundInnen Bilder zeigen oder schicken, wo man nicht schon überall war. Falls mal eine Funktion vermisst wird, noch schnell eine App nachinstallieren und dem perfekten Glück steht nichts mehr im Weg. Klingt beinahe perfekt, bis dann das heißgeliebte Smartphone einmal verloren geht oder, wie es für manche gar nicht möglich erscheint, gehackt wurde. Dann bricht Panik aus. Was ist denn jetzt eigentlich verloren? Worauf hat der/die AngreiferIn nun Zugriff? Bei all den Daten, die das Smartphone erfasst und abspeichert, ist das gar nicht so einfach auf die Schnelle zu beantworten. Daher beschäftigt sich diese Arbeit genau mit diesem Problem. Welche personenbezogenen Daten werden auf Smartphones abgespeichert und erlauben Rückschlüsse auf den/die BenutzerIn selbst? Zusätzlich wird auch auf gerätespezifische Daten eingegangen, welche Rückschlüsse auf das Gerät erlauben.

Transparency of Windows Subsystem for Linux

Ziel Das Ziel dieser Arbeit ist es, so viele erweiterte Personalisierungsinformation wie möglich auf den verwendeten Test-Smartphones zu finden, damit in Zukunft bekannt ist, welche Informationen es vor Angreiferinnen und Angreifern zu schützen gilt. Es wird jeweils ein Android- und ein iOS-basiertes Smartphone für eine bestimmte Zeit alltäglich verwendet und im Anschluss daran auf kritische Daten durchsucht und analysiert. Ergebnis Im Zuge der Arbeit konnte eine Vielzahl an Informationen aus den beiden Testgeräten herausgelesen werden. Es wurden drei Ansätze verfolgt die Daten zu extrahieren, um einen zusätzlichen Vergleich herauszuarbeiten, wie viel Aufwand ein/e AngreiferIn benötigt, um an die sensiblen Informationen zu gelangen. Dies beginnt zunächst beim einfachen Anschluss an einen handelsüblichen PC über die Datenextraktion mithilfe eines Backups, bis hin zum Einsatz eines professionellen forensischen Analyse-Tools. Des Weiteren wurden auch die Unterschiede zwischen den beiden dominanten Herstellern Google und Apple ausgearbeitet und verglichen. Mit diesen Ergebnissen wurde schließlich eine große Übersicht all dieser Daten erstellt.

Ausgangslage Oft stellen sich EntwicklerInnen und AdministratorInnen die Frage, ob ihre Aufgabe in einem anderen Betriebssystem einfacher zu bewältigen wäre. Ein weiterer Gedanke in diesem Zusammenhang ist die Kombination von zwei Systemen, beispielsweise Windows und Linux, um einen effizienteren Arbeitsablauf darzustellen. WSL, ein neues Feature von Microsoft, versucht dies zu lösen. Es ermöglicht LinuxProgramme nativ in Windows auszuführen. Doch neben der Vereinfachung vieler Aufgaben entstehen Gefahren, die es AngreiferInnen und Schadsoftware erleichtern, in Systeme einzudringen und sich dort unentdeckt zu persistieren. Aus diesem Grund ist es wichtig, die Eigenschaften von WSL und mögliche Angriffs-Vektoren auf dieses System kennen zu lernen, um ein Bewusstsein für Gefahren zu entwickeln und eine Basis zu legen, auf die in Zukunft Strategien zu Härtung aufgebaut werden können. Diese Arbeit zeigt zunächst den Aufbau und beschäftigt sich dann mit Methoden zur Erkennung von WSL.

Ergebnis Im Zuge der Arbeit wurden mögliche Vektoren zur Erkennung des Features WSL getestet, welche sich in die Kategorien einteilen: Kernel Version, Kommunikation Kanal, voreingestellte Konfiguration und System-Call-Verhalten. Dabei wurden unter anderem alle System Calls geprüft. Die größte Varianz bilden dabei System Calls, die in WSL zum jetzigen Zeitpunkt nicht unterstützt werden und daher einen entsprechenden Fehler werfen. Aufbauend auf dieser Analyse wurde ein Programm entwickelt, welches eine Wahrscheinlichkeit ausgibt, dass es sich um WSL handelt. Des Weiteren ist eine Eingrenzung der verwendeten Version möglich, basierend auf der erstmaligen Unterstützung eines System Calls.

Ziel Ziel der Arbeit ist es, das Level der Transparenz des neuen Microsoft-Features-Windows-Subsystem für Linux zu ermitteln. Dazu werden einzigartige Eigenschaften von WSL mit Linux verglichen. Ein besonderes Augenmerk liegt dabei auf System Calls. 71

Verhalten von MPTCP mit vielen Pfaden

Manuel Traxler, BSc

Martin Trimmel, BSc

Betreuer: Dipl.-Ing. Gabor Österreicher, BSc

Betreuer: Mag. Dr. Simon Tjoa

Ausgangslage Endgeräte verfügen heutzutage oft über mehr als nur eine Netzwerkverbindung, z. B. zum Internet. Nicht selten stehen ihnen diese zur selben Zeit zur Verfügung. Typischerweise wird von Benutzerinnen und Benutzern allerdings nur eine dieser Verbindungen für Datenübertragungen genutzt. Multipath TCP (MPTCP) ermöglicht Anwendungen, einen gebündelten Kanal über mehrere Pfade zu betreiben. Dadurch bieten sich diverse neue Möglichkeiten. Einerseits können Übertragungen bei einem Ausfall einer Anbindung reibungslos von einer Route zu einer anderen wechseln. Andererseits können Daten verteilt über mehrere Wege versendet werden, um AngreiferInnen das Mitlesen zu erschweren. Die wohl offensichtlichste Möglichkeit ist es allerdings, den Datendurchsatz zweier oder mehrerer Verbindungen zu bündeln, um höheren Datendurchsatz zu erreichen. Im Rahmen der Arbeit wird das Augenmerk speziell auf den letzten Aspekt gelegt. Es wird erforscht, ob es sich mit dem derzeitigen Entwicklungsstand von MPTCP lohnt, eine Netzwerkanbindung auf mehrere Leitungen aufzuteilen, oder ob durch Bündelung der Anbindungen Bandbreite auf den jeweiligen Pfaden ungenutzt bleibt.

Risikobasierter Ansatz zur Platzierung von Honeypots

Ziel Ziel der Arbeit ist es, die Effizienz der Referenzimplementierung von MPTCP mit einer hohen Anzahl an Verbindungen zu testen und die gewonnenen Ergebnisse mit denen einer Übertragung mittels Single Path TCP zu vergleichen. Dafür werden Endgeräte mit einer hohen Anzahl an Netzwerkverbindungen ausgestattet und Daten werden darüber verteilt übertragen. Die Netzwerkaktivitäten werden währenddessen untersucht und die Wirksamkeit in den getesteten Szenarien wird ausgewertet. Ergebnis Die durchgeführten Versuche werfen Licht auf diverse Aspekte von Multipath TCP. Im Laufe der Arbeit stellt sich heraus, dass die Rahmenbedingungen, in denen Multipath TCP zum Einsatz kommt, Einfluss auf die Effektivität haben. In einigen Versuchen werden tatsächlich optimale Werte erzielt: Gibt es nur einen Pfad oder werden multiple Verbindungen über verschiedene Subnetze aufgebaut, bleibt die Übertragung konsistent und erweist sich als effektive und effiziente Technik zur Übermittlung von Daten. Bei anderen Versuchen werden jedoch Schwächen des Multipath-Congestion-Control-Algorithmus deutlich – besonders bei Übertragungen innerhalb desselben Subnetzes wird auf keinem der Subflows die maximal mögliche Bandbreite erreicht.

Ausgangslage Um genaue Informationen über AngreiferInnen herauszufinden, müssen Systeme in das Netzwerk integriert werden, welche eine Überwachung und Protokollierung von Angriffen übernimmt. Ein solches System ist der Honeypot, er wurde speziell für Überwachungs- und Analyseaufgaben entwickelt. Der Honeypot wird so eingesetzt, dass ein Angriff darauf stattfinden soll. Er liefert genaue Informationen über das Verhalten des Angriffs. Je nach Platzierung, Form und Interaktion können verschiedene Typen von Angriffen analysiert werden. Doch bei der Benutzung von Honeypots können für Unternehmen gewisse Risiken entstehen. Denn AngreiferInnen können Honeypots verwenden, um von dort aus in das reale System des Unternehmens zu gelangen oder ein anderes externes Netz anzugreifen.Daher sollten Organisationen für die Implementierung von Honeypots risikobasierte Ansätze verwenden, damit auch die richtige Platzierung, Form und Interaktionen gewählt wird.

Ziel Das Ziel dieser Arbeit ist, Unternehmen zu zeigen, welche risikobasierten Ansätze sie verwenden können, um einen Honeypot in ihr Netzwerk zu integrieren. Dazu wurden drei Ansätze beschrieben, welche die schützenwertesten Komponenten identifiziert, die Anfälligkeiten der internen Systeme aufzeigt und welche Gegenmaßnahmen gesetzt werden können. Außerdem wird gezeigt, welche Honeypots Unternehmen gegen die häufigsten Cyberangriffe auf österreichische Organisationen einsetzen können. Ergebnis Im Zuge dieser Arbeit konnten verschiedene risikobasierte Ansätze erläutert werden, die Unternehmen dabei helfen sollen, die richtige Entscheidung bei der Platzierung, Form und Interaktion eines Honeypots zu treffen. Außerdem wurden verschiedenen Typen der Platzierung, der Form und der Interaktion detailliert erklärt, um so Unternehmen einen tieferen Einblick in das Thema Honeypots zu geben. Zusätzlich wurden für drei Cyberangriffsarten konkrete Empfehlungen für den Einsatz von Honeypots gegeben.

Diese Arbeit beschreibt drei Ansätze, welche Unternehmen einsetzen können, um Antworten auf Platzierung, Form und Interaktion zu bekommen. Zudem werden Angriffsformen erklärt und welcher Honeypot dagegen am besten hilft.

IPv6 – „Must-Have“ oder Mythos? – Eine Kosten-/Nutzenanalyse für KMUs und deren IT-EntscheidungsträgerInnen Jürgen Waldl, BSc

Christoph Wiedner, BSc

Betreuer: Dipl.-Ing. Gabor Österreicher, BSc

Betreuer: FH-Prof. Dipl.-Ing. Dr. Sebastian Schrittwieser, Bakk.

Ausgangslage Die IPv4-Adressbereiche neigen sich dem Ende zu. Trotz allem findet die spezifizierte Nachfolgetechnologie „IPv6“ in österreichischen kleinen und mittleren Unternehmen (KMUs) bisher sehr wenig Akzeptanz. Nachdem IPv6 aber bei Internet Service Providern, großen Konzernen und auch Content Providern mittlerweile standardmäßig verwendet wird, stellt sich für viele österreichische KMUs die Frage der Notwendigkeit von IPv6. Im Zuge dieser Arbeit werden daher folgende Fragen beantwortet: Ist IPv6 in österreichischen KMUs notwendig? Welchen Mehrwert bringt einem KMU die Implementierung von IPv6? n Welches Risiko bringt die Implementierung oder NichtImplementierung von IPv6 mit sich? n n

Ziel Das Ziel dieser Arbeit ist aufzuzeigen, welche Risiken und welchen Mehrwert ein KMU durch IPv6 zu erwarten hat. Dazu wird eine Metrik zur Bewertung von Kosten und Nutzen von IPv6 erstellt, um so IT-EntscheidungsträgerInnen eine Entscheidungshilfe zur Auseinandersetzung mit IPv6 bieten zu können. Einerseits sollen die Kosten unterschiedlicher IPv6-Implementierungsmöglichkeiten dargestellt und in Form spezifischer Kennzahlen belegt werden. 74

Identification of Binary Packers – Analyzing the accuracy of statistical classification

Andererseits wird aber auch der Nutzen dieser Implementierungsformen näher betrachtet. Ergebnis Im ersten Abschnitt dieser Arbeit wird auf die grundlegenden Funktionen und Unterschiede des IPv6-Standards im Vergleich zum IPv4-Standard eingegangen. Ebenso werden aktuelle Angriffsszenarien im IPv6-Standard aufgearbeitet und beschrieben, um in weiterer Folge auf die Prävention dieser Probleme eingehen zu können. Im zweiten Teil werden vier vordefinierte Implementierungsvarianten von IPv6 auf Basis ihrer Kosten und ihres Nutzens bewertet und eine Metrik zur Messung dieser Kosten und Nutzen erstellt. Aufgrund der Tatsache, dass mittlerweile nahezu jedes IP-fähige Gerät mit aktiviertem IPv6-Stack ausgeliefert wird und dadurch auch in nativen IPv4-Netzwerkumgebungen via IPv6 kommuniziert wird, ist eine der grundlegenden Erkenntnisse dieser Arbeit, dass für jedes Unternehmen und jede Organisation die Etablierung einer IPv6 Security Baseline aus Security-Sicht eine Notwendigkeit ist. Zusätzlich können – je nach Anforderung an die IT und das Unternehmen – andere Implementierungsvarianten von IPv6 sinnvoll sein. Auch der Großteil der österreichischen Internet Service Provider ist für künftige IPv6-Anforderungen ihrer Kundinnen und Kunden gerüstet. Dies wurde in einer im Zuge dieser Arbeit erstellten Umfrage ebenso evaluiert und entsprechend aufbereitet.

Ausgangslage Heutzutage ist das Internet ein fester Bestandteil unseres Alltags und kaum noch wegzudenken. Doch das Internet bringt nicht nur Vorteile mit sich, sondern auch eine Vielzahl an Bedrohungen. Diese Bedrohungen warten regelrecht nur darauf, dass ein/e unwissende/r BenutzerIn schädliche Dateien, wie Viren oder Trojaner, herunterlädt und diese ausführt. Ist man erst einmal infiziert, werden die privaten Daten in den meisten Fällen gestohlen oder gelöscht. Glücklicherweise gibt es jede Menge guter Antiviren-Systeme, die den/ die BenutzerIn vor genau solchen Bedrohungen schützen sollen. Jedoch setzen die EntwicklerInnen von schädlichen Dateien verstärkt auf bestimmte Programme, auch Packer genannt, mit denen sie ihre Viren wie ganz normale Dateien aussehen lassen und somit für Antiviren-Systeme unerkannt bleiben. Um dagegen vorzugehen, müssen neue Systeme entwickelt werden, mit denen erkannt werden kann, welches Programm zur Veränderung verwendet wurde. Mit diesem Wissen können Dateien entsprechend weiter analysiert und in Folge dessen korrekt als schädlich oder nicht schädlich eingestuft werden. Das System, das in dieser Arbeit behandelt wird, extrahiert bestimmte Eigenschaften aus der zu testenden Datei und klassifiziert diese mithilfe von statistischen Algorithmen.

Ziel Das Ziel dieser Arbeit ist, ein bestehendes Erkennungssystem auf seine Genauigkeit und Tauglichkeit in einer realen Umgebung zu überprüfen. Hierfür wird das System unter möglichst realen Bedingungen mit entsprechenden Daten überprüft. Zusätzlich wird versucht, die Erkennungsrate durch Anpassungen am System, sowie durch die Erweiterung von zusätzlichen Eigenschaften zu verbessern. Ergebnis Im Verlauf der Arbeit stellte sich heraus, dass das getestete System ca. 81 Prozent der getesteten Dateien erfolgreich erkennen konnte, was es durchaus für eine Nutzung in einem realen Szenario qualifiziert. Durch weitere Analysen konnten sowohl eine Verbesserung des Systems, als auch eine Erweiterung der verwendeten Eigenschaften durchgeführt werden. In Folge dieser Anpassungen war es möglich, die Erkennungsrate um ungefähr fünf Prozentpunkte auf insgesamt 86 Prozent zu erhöhen.

IoT Honeypots – Ein Leitfaden zur Auswahl von IoT-Honeypotsoftware

Kevin Wolf, BSc

David Ziegelwanger, BSc

Betreuer: FH-Prof. Prof. (h.c.) Dipl.-Ing. (FH) Thomas Brandstetter, MBA

Betreuer: FH-Prof. Dipl.-Ing. Dr. Sebastian Schrittwieser, Bakk.

Ausgangslage Das sogenannte „Internet of Things (IoT)“ ist in der Mitte der Gesellschaft angekommen. Für so gut wie alle Lebensbereiche ist eine “smarte” Lösung verfügbar. Diese sollen der Nutzerin oder dem Nutzer Informationen liefern oder bestimmte Aufgaben erleichtern. Beispielhafte Einsatzbereiche für diese neuen Technologien umfassen Smart-HomeSteuerungen, Fitnesstracker, Lautsprecher mit integrierter Sprachsteuerung oder mit der Cloud verbundene Küchengeräte.

Ziel Ziel dieser Arbeit ist es, einen Überblick über vergangene Angriffe auf IoT-Systeme zu geben und aus diesen Daten Kriterien für die Auswahl von Honeypotsystemen zu erarbeiten. Mithilfe dieser Kriterien werden exemplarisch verschiedene, bestehende Honeypot-Softwareprodukte auf deren Eigenschaften und Funktionsweisen analysiert und eingeteilt. Abschließend findet eine Gewichtung der Kriterien statt, um diese Systeme auf deren Tauglichkeit als IoT-Honeypot zu überprüfen.

Beim Einsatz dieser Technologien muss auch die Sicherheit der verarbeiteten Daten und der Schutz der Geräte vor Malware beachtet werden. Diese werden mit der immer größeren Verbreitung auch immer öfter gezielt attackiert. Auch Sicherheitsforscherinnen und Sicherheitsforscher lenken ihre Aufmerksamkeit immer stärker auf diese Gerätetypen und Anwendungen.

Ergebnis Aus der Analyse von Angriffen auf IoT-Systeme und Statistiken über Attacken im IoT-Bereich konnten interessante Daten über die Verbreitungsmethoden und verwendeten Mechanismen von IoT Malware gewonnen werden. Aus dem Vergleich von aktuell verfügbaren IoT-Honeypotprodukten ging kein klarer Sieger hervor, jedoch konnten die geeigneten Produkte eingegrenzt werden. Je nach Einsatzzweck und gewünschten Ergebnisdaten konnten auch Empfehlungen abgegeben werden.

Ein übliches Werkzeug für die Angriffserkennung, Klassifizierung und Analyse sind Honeypots. Im IoT-Sektor wird, aufgrund der speziellen Einsatzzwecke, besondere Hard- und Software eingesetzt. Diese Anforderungen müssen auch bei der Auswahl eines geeigneten Honeypotsystems bedacht werden, um mit diesem sinnvolle Ergebnisse zu erzielen.

JavaScript based Man-in-the-Browser Attacks

Ausgangslage Über die letzten Jahrzehnte gab es diverse Fälle von weit verbreiteter Computer-Malware. Ein prominentes Beispiel davon ist Zeus, ein Trojaner dessen Ziel darin besteht, Rechner zu infizieren und den NutzerInnen mittels OnlineBanking Geld zu stehlen. Beginnend im Jahr 2007 infizierte Zeus bis dato mehrere Millionen Computer und richtete dabei Schaden in der Höhe von hunderten Millionen Dollar an. Trotz seines Alters und dem Umfang, in welchem Zeus bereits analysiert wurde, ist nach wie vor zu vermuten, dass weltweit viele tausende Rechner infiziert sind. Dies zeigt, dass es sich bei sogenannten Banking-Trojanern um eine der fortschrittlichsten und gefährlichsten Typen von Malware handelt.

Dies wirft die Frage auf, ob zukünftig eine Mischung dieser beiden Formen, also ein browserbasierter Banking-Trojaner, beobachtet werden kann.

Dazu kommt, dass stetig neue Formen von Schadsoftware geschaffen werden. Beispielsweise führte die steigende Beliebtheit von Kryptowährungen zu vollständig browserbasierter Malware, welche unbemerkt den Rechner zum „Mining“ dieser Währungen missbraucht. Aus AngreiferInnenSicht hat Malware in dieser Form den klaren Vorteil, dass für den/die BenutzerIn kein direkt ersichtlicher Schaden entsteht. Zusätzlich muss der Rechner des Benutzers oder der Benutzerin nicht direkt infiziert werden – es reicht das Besuchen der Seite.

Ergebnis Im Zuge dieser Arbeit konnte ein voll funktionsfähiger Banking-Trojaner ausschließlich in JavaScript umgesetzt werden. Dabei wurden die Eigenschaften und Funktionsweisen von Zeus in vier Kategorien eingeteilt: das Stehlen, Senden, Speichern und Modifizieren/Verstecken von Daten innerhalb des Web-Browsers. Jeder dieser vier Aspekte konnte auf zumindest eine Art realisiert werden.

Ziel Ziel der Arbeit ist es, genau diese Frage zu beantworten. Mithilfe von JavaScript wird versucht, einen funktionsfähigen Banking-Trojaner zu implementieren. Dabei sollen möglichst viele Funktionen von Zeus und ähnlicher Malware nachgebildet werden. Zusätzlich wird darauf geachtet, dass der entstandene Code auf keinen bestimmten Browser beschränkt ist. Stattdessen soll es möglich sein, den Trojaner auf gängigen Browsern wie Mozilla Firefox, Google Chrome oder Internet Explorer erfolgreich auszuführen.

Air Gap Covert Channels

Markus Zwettler, BSc Betreuer: Dipl.-Ing. Daniel Haslinger, BSc

Ausgangslage Der Air Gap – oft als heiliger Gral zur Abschottung von unternehmenskritischen Systemlandschaften betitelt – erfuhr in den letzten Jahren einen starken Rückgang seines schon von Anbeginn stark umstrittenen Sicherheitsprinzips. Dies ist hauptsächlich auf die seit 2014 stark zunehmende Forschungsaktivität im Gebiet des Air Gaps an sich, und vor allem hinsichtlich möglicher Angriffsszenarien auf durch Air Gaps geschützte Systeme zurückzuführen. Da das Prinzip eines Air Gaps die physikalische sowie logische Isolierung eines Systems vorsieht, bedienen sich diese Angriffsmethoden sogenannter Covert Channels (=verdeckte Seitenkanäle). Diese beruhen unter anderem auf Signalen von diversen Hardware-Komponenten, die beispielsweise bei ausreichender Belastung des Datenbusses zwischen CPU und RAM erzeugt werden. Die Anzahl der erforschten Covert Channels stieg in den letzten Jahren rapide an, wodurch es zunehmend schwieriger wird, den Überblick über mögliche Angriffsszenarien sowie deren Möglichkeiten und Effizienz zu behalten. Ziel Das Ziel dieser Arbeit ist, die Sicherheitsmaßnahme Air Gap im heutigen Zeitalter hinsichtlich dieser neuen Covert Channels zu evaluieren. Dazu müssen vorerst bestehende Probleme mit dem Prinzip des Air Gaps an sich beleuchtet werden, um anschließend einen Überblick über alle bereits 78

erforschten Verfahren zur Überbrückung eines Air Gaps zu geben und diese anhand einer im Rahmen dieser Arbeit definierten Metrik zu vergleichen. Schlussendlich soll versucht werden, eines der Angriffsszenarien in der Praxis mit möglichst einfachsten Mitteln umzusetzen. Dadurch kann das generelle Risiko, das von den unterschiedlichen Covert Channels ausgeht, bewertet werden. Ergebnis Im Zuge dieser Arbeit konnte eine umfassende Übersicht über aktuelle Angriffsmethoden auf Air Gap Systeme erstellt und die wichtigsten Unterschiede und Charakteristiken ausgearbeitet werden. Anhand eines definierten Beispielszenarios wurde eine Metrik erstellt, um die Angriffsmethoden zu vergleichen und anschließend einen Kandidaten für die praktische Umsetzung auswählen zu können. Die praktische Implementierung der ausgewählten Methode zeigte allerdings, dass diese nicht robust mit Low-End-Equipment umgesetzt werden konnte und potentielle Angreifer auf spezielle, kostenintensivere Hardware zurückgreifen müssen.

6 Departments

FH St. Pölten My best place to study

In den Departments Medien und Wirtschaft, Medien und Digitale Technologien, Informatik und Security, Bahntechnolgie und Mobilität, Gesundheit sowie Soziales bietet die FH St. Pölten praxisorientierte Lehre und Forschung am Puls der Zeit.

3.075 Studierende Mehr als 3.000 Studierende absolvierten 2017 ein Bachelor-, Masterstudium oder einen Weiterbildungslehrgang an der FH St. Pölten.

22 Studiengänge An der FH St. Pölten werden aktuell 22 Bachelor und Master Studiengänge sowie zahlreiche Weiterbildungslehrgänge angeboten. Das gesamte Ausbildungsangebot weist eine hohe Praxisorientierung auf, die Studienpläne werden laufend an aktuelle Anforderungen des Arbeitsmarktes angepasst.

7 Forschungsinstitute

Die FH St. Pölten zählt zu den forschungsstärksten Fachhochschulen in Österreich und arbeitet mit nationalen und internationalen Partnerinnen und Partnern an anwendungsbezogenen Projekten.

6.577 Alumni Die mehr als 6.500 Absolventinnen und Absolventen der FH St. Pölten sind am Arbeitsmarkt sehr gefragt und in Unternehmen und Einrichtungen im In- und Ausland tätig.

Der Campus St. Pölten Die FH St. Pölten wächst in den nächsten Jahren zum „Campus St. Pölten“: Bis 2020 entsteht ein Zubau, der gemeinsam mit dem bestehenden Gebäude einen modernen „Campus der Zukunft“ mit innovativen Lehrund Lernräumen bieten wird.

877 Lehrende 2017 lehrten 120 Dozentinnen und Dozenten sowie 757 nebenberufliche Lektorinnen und Lektoren an der FH St. Pölten. Ein Großteil der Lehrenden kommt direkt aus der Praxis.

Durch die enge Vernetzung mit Hochschulen auf der ganzen Welt bietet die FH St. Pölten Studierenden sowie Mitarbeiterinnen und Mitarbeitern zahlreiche Möglichkeiten, Auslandserfahrung zu sammeln.

Stand 2017

131 Partnerhochschulen 81

IT is all about

Gestalten Sie mit uns die digitale Zukunft! Entdecken Sie Ihre Möglichkeiten! Gestalten Sie mit uns die digitale Zukunft! Entdecken Sie Ihre Möglichkeiten!

Starte Deine Karriere mit einem der führenden Provider für IT-Security Lösungen.

Wir Nähere suchen qualifizierte undSie motivierte Mitarbeiter mit fachlicher Infos erhalten unter +43 1 99 3 99-0 oder auf Expertise. Wirwww.raiffeiseninformatik.at wollen überzeugende und herausragende Persönlichkeiten mit hoher Serviceorientierung, die Dinge auch aus anderen Blickwinkeln betrachten, eigenverantwortlich handeln und bereit sind, ungewöhnliche Wege zu gehen - Teamplayer mit Know-how, Neugier und Begeisterung für den Job Nähere Infos erhalten Sie unter +43 1 99 3 99-0 oder auf www.raiffeiseninformatik.at

Mehr unter www.acp.at/karriere FH StPoelten_2018.indd 1

26.07.2018 13:02:00

JETZT GLASFASER-RASEN IN ST. PÖLTEN! Und vom Glasfaserplus-Netz profitieren. · Surfen mit bis zu 300 Mbit/s · HD-TV und riesige Programmauswahl · Telefonieren ohne A1-Grundgebühr

GLEI CH I N F ORM I ERE N U ND A NM E L DE N : 0 8 0 0 8 0 0 514 / KA B EL P LU S . AT

Fachhochschule St. Pölten GmbH, Matthias Corvinus-Straße 15, 3100 St. Pölten T: +43 2742 313 228, F: +43 2742 313 228-339, E: csc@fhstp.ac.at, I: www.fhstp.ac.at 84