Diplom- und Bachelorarbeiten 2020 | IT Security & Information Security by FH St. Pölten

St. Pölten University of Applied Sciences

informatik & security

IT Security & Information Security Diplom- und Bachelorarbeiten | 2020

fhstp.ac.at 1

#fhstp

Inhaltsverzeichnis Diplom- & Bachelorarbeiten Information Security & IT Security Vorwort Geschäftsführung, Kollegiumsleitung, Studiengangsleiter.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Masterstudium Information Security Absolvent*innen.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Diplomarbeiten.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Studiengangsbeirat. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

Bachelorstudium IT Security Absolvent*innen.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 Bachelorarbeiten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

Fachhochschule St. Pölten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104

Vorwort

Liebe Leserin, lieber Leser! Das Department Informatik und Security wird durch seine fachliche Reputation als wichtiger Ansprechpartner für Wirtschaft, Industrie und diverse Institutionen anerkannt. Das internationale Team ist durch Kooperationen im In- und Ausland vernetzt und seine Innovationskraft sowohl in Studium und Lehre als auch in Forschung und Entwicklung ist über die regionalen Grenzen hinaus maßgebend. Mit den Bachelor- und Master Studiengängen, dem Institut für IT-Sicherheitsforschung und dem Josef Ressel Zentrum für Blockchain Technologien und Sicherheitsmanagement wird für die Studierenden ein attraktives und einzigartiges Ausbildungs- und Trainingsumfeld angeboten. Die hohe Expertise und Motivation des Departmentteams, das klare Bekenntnis zur F&E, die Verschränkung zwischen Forschung und Lehre sowie die Vorreiterarbeit in der Entwicklung und Umsetzung von innovativen Lehr- und Lernformaten bleiben die Ingredienzen dieses Erfolges. Wir danken dem gesamten Team für die exzellente Arbeit, unseren nationalen und internationalen akademischen Wirtschafts- und Industriepartner*innen sowie unseren Studierenden für die gute Zusammenarbeit und den hohen Einsatz. Wir gratulieren unseren Absolvent*innen zu ihren Studienabschlüssen und wünschen allen viel Erfolg für die Zukunft. Dipl.-Ing. Gernot Kohl, MSc (Geschäftsführer | Chief Executive Officer (CEO)) FH Prof. Dipl.-Ing. Hannes Raffaseder (Geschäftsführung | Chief Research and Innovation Officer (CRO and CINO)) FH Prof. Dipl.-Ing. Johann Haag (Geschäftsführung | Chief Operation Officer (COO)) 4

Wie jedes Jahr gibt uns die Publikation der Studiengänge IT Security und Information Security über ihre aktuellen Bachelor- und Diplomarbeiten einen umfassenden Überblick über die Vielfalt der Problemstellungen und deren kompetente Bearbeitung in diesem Bereich. Ein gut etablierter Evaluierungszyklus, bei dem die Studierenden, Absolvent*innen, Praktikumsanbieter*innen und Arbeitgeber*innen befragt werden, garantiert, dass die Ausbildung an der FH St. Pölten aktuelle Entwicklungen aufgreift bzw. soweit möglich antizipiert und mit Adaptierungen des Curriculums darauf reagiert. Es werden laufend innovative Lehr- und Lernformen entwickelt, erprobt und umgesetzt. Wichtig ist die Vernetzung von Lehre und Forschung, die im Bereich IT Security durch den Einsatz von Forscher*innen in der Lehre erfolgt, die im Josef Ressel Zentrums für Blockchain Technologien und Sicherheitsmanagement oder am Institut für Sicherheitsforschung tätig sind. Gleichzeitig bieten diese Institute interessierten Studierenden die Möglichkeit Forschungserfahrung zu sammeln. Die Lehrenden sind international wie regional vernetzt und garantieren besten Praxisbezug. Unter der bewährten Leitung von Helmut Kaufmann und Simon Tjoa begleiten und motivieren sie die Studierenden zu außerordentlichen Leistungen. Dafür sei ihnen allen ein herzlicher Dank ausgesprochen. Ich gratuliere den Absolvent*innen sehr herzlich zum erfolgreichen Studienabschluss. Der vorliegende Band von Abschlussarbeiten soll als Anregung für Studierende dienen, selbst nach Exzellenz zu streben und als Information für jene, die sich für ein Studium an der FH St. Pölten interessieren. FH-Prof.DI Dr. Alois Frotschnig (Leiter des FH-Kollegiums)

„Bildung ist das, was übrigbleibt, wenn wir vergessen, was wir gelernt haben.“ Edward Frederick Lindley Wood, 1. Earl of Halifax (1881-1959)

Die FH St. Pölten bildet seit über zehn Jahren IT-Security-Spezialist*innen aus. Bereits seit 2013 wird das Studium auch berufsbegleitend angeboten, welches Studierenden ermöglicht, ihr Wissen neben dem Berufsleben zu vertiefen. Unabhängig davon, ob unsere Absolvent*innen schon im Berufsleben stehen, den Schritt in die Praxis machen oder nach Abschluss noch ein weiterführendes Studium anschließen: Sie sind durch ihr umfangreiches Wissen und praxisnahes Studium optimal für die großen Herausforderungen gerüstet. Wir sind fest davon überzeugt, dass Absolvent*innen des Bachelor Studiengangs IT Security und des Master Studiengangs Information Security während ihres Studiums an der FH St. Pölten genau die Kombination aus theoretischem Wissen und praktischer Anwendung erfahren konnten, die aktuelles Wissen in Bildung überführt. Hierbei haben sie sich im Laufe ihrer Ausbildung nicht nur die erforderlichen fachlichen Kompetenzen angeeignet und diese bei zahlreichen Prüfungen unter Beweis gestellt, sondern hatten zusätzlich die Möglichkeit, das erlangte Wissen erfolgreich im Berufspraktikum umzusetzen und anzuwenden. Zusätzlich haben die Studierenden gelernt, Herausforderungen im Rahmen von wissenschaftlichen Arbeiten wie Bachelor- oder Diplomarbeiten nicht nur anzunehmen, sondern mit Erfolg und Enthusiasmus zu bestehen. Dabei behandeln die studentischen Arbeiten aktuellste Themen und Fragestellungen aus den Forschungsschwerpunkten des Instituts für IT Sicherheitsforschung, des Josef Ressel Zentrum für Blockchain Technologien und Sicherheitsmanagement. Dieser Diplom- und Bachelorarbeitsband fasst all die Ergebnisse aus diesen Arbeiten zusammen. Wir sind überzeugt, dass Ihnen das Lesen eine Fülle interessanter Fakten, aber auch die eine oder andere Anregung für Ihren eigenen Bereich bieten wird. Vielleicht ist ja etwas speziell für Sie dabei. Als verantwortliche Studiengangsleiter möchten wir uns bei allen Beteiligten, die dieses Projekt ermöglicht haben, herzlich bedanken: Bei den Firmen für ihre Druckkostenbeiträge, bei den Betreuer*innen der Arbeiten, aber vor allem bei den Autor*innen für ihre hervorragende Arbeit, die nun zu ihrem akademischen Abschluss führt. Mag. Helmut R. Kaufmann Studiengangsleiter IT Security (BA) FH-Prof. Mag. Dr. Simon Tjoa Studiengangsleiter Information Security (MA)

Applied Research and Innovation in Computer Science Master | Dual | English Degree

Master of Science in Engineering (MSc)

Tuition Fee1

EUR 363,36 + student union fee

International

Duration

Option: semester abroad

4 semesters Study Places/Year

www

Information and Application:

fhstp.ac.at/mcs

The English-language master degree programme trains you for a professional career at the interface between industry and research. As a graduate of this programme you will be equipped with profound knowledge in applied computer science research to shape the digital transformation.

Study Content

Professional Field

The study programme will equip you with comprehensive theoretical and practical knowledge in computer science. Students will have the opportunity to participate in national and international research projects.

Alumni are well suited for a job as: n Senior Researcher n Project Manager n Digital Innovation Manager n Innovation Consultant n IT Expert for Research & Development n Malware Analyst n Data Scientist n IoT Expert n Research Manager n Technology Strategist

Focus Areas n Scientific Work n Computer Science n Science and Society n Innovation Management n Computer Science Research Projects

tuition fee for students from third countries: EUR 1.500 per semester + student union fee

#Digital Technologies #Informatics #Security

Cyber Security and Resilience Master | Dual | English Degree

Master of Science in Engineering (MSc)

Tuition Fee1

EUR 363,36 + student union fee

International

Duration

Option: semester abroad

4 semesters Study Places/Year

www

Information and Application:

fhstp.ac.at/mcr

The new English-language master degree programme is the ideal preparation for an activity in the cyber security and resilience sector which is in strong economic demand. The programme gives you not only comprehensive technical and organisational security competencies but also expert knowledge of new technologies (such as artificial intelligence).

Study Content

Professional Field

Information security plays a central role for companies and institutions. The programme teaches key competencies in the fields of basic security (e.g. cryptography, Internet and mobile security, network security) and security design (e.g. privacy, big data, cloud computing).

Graduates of this programme are well-suited for jobs such as: n Security Consultant n Security Analyst n Information Security Officer n IT Forensic Expert n Cyber Risk Manager n Cyber Resilience Specialist n Data Protection Officer n Auditor

Recent studies have shown that experts in the field of cyber security and resilience are in urgent demand. After completing this study programme, you will be a soughtafter specialist with various different career opportunities and professional prospects.

tuition fee for students from third countries: EUR 1.500 per semester + student union fee

#Digital Technologies #Informatics #Security 7

Data Intelligence1 Master | Vollzeit Abschluss

Diplom-Ingenieur*in (Dipl.-Ing.)

Kosten pro Semester

EUR 363,36 + ÖH-Beitrag

International

Studiendauer

Option: Auslandssemester

4 Semester www

Studienplätze/Jahr

Bewerbung und weitere Infos:

fhstp.ac.at/mdi

Die digitale Transformation in Unternehmen ist ein zentrales Trendthema und benötigt Expert*innen mit einer fundierten Ausbildung im Bereich der Datennutzung. Intelligente Datennutzung oder Verfahren der künstlichen Intelligenz (Artificial Intelligence, AI) können interne und externe Prozesse in Unternehmen nachhaltig verändern. Das Ziel des weiterbildenden Master Studiengangs ist es, AI-Expert*innen auszubilden, die nicht nur fortgeschrittene Verfahren der AI beherrschen, sondern diese in Unternehmen sicher umsetzen können. Sie finden neue Wege und teilen ihr Wissen, um eine nachhaltige und umfassende AI-Nutzung in Österreich und/oder international sicherzustellen.

Studieninhalte n Advanced Data Science: Parallel Computing, Semantic Systems, Natural Language Processing, Reinforcement Learning, Deep Learning, Advanced supervised and unsupervised Machine Learning Algorithms, Federated Machine Learning n Digital Business Transformation: Personalmanagement, Unternehmensführung für die digitale Transformation, Change Management n Future Work Skills: Data Thinking und Innovationsmanagement Schwerpunkte n Neue Zukunftsthemen, die sich mit der neuen Digital- und Datenstrategie der EU-Kommission decken Der Studiengang befindet sich aktuell in Entwicklung. Studieninhalte können sich gegebenenfalls noch ändern. Vorbehaltlich der Akkreditierung durch die AQ Austria.

n Starke Praxisphasen, studienübergreifende Synergien und interdisziplinäre Projekte sowie Forschungsaktivitäten

Berufsfelder Die Absolvent*innen bedienen ein breites Spektrum an beruflichen Tätigkeitsfeldern. Durch eine an der FH St. Pölten bereits bestens etablierte Entrepreneurial Education werden Studierende zusätzlich bei der möglichen Gründung von Start-ups optimal unterstützt. Weitere Berufsfelder sind: n Data Scientist n Business Analyst n Data Architect n Data Engineer

#Medien #Wirtschaft #Digitale Technologien #Informatik #Security

Information Security Master | berufsbegleitend Abschluss

Diplom-Ingenieur*in (Dipl.-Ing.)

Kosten pro Semester

EUR 363,36 + ÖH-Beitrag

International

Studiendauer

Option: Auslandssemester

4 Semester Studienplätze/Jahr

www

Bewerbung und weitere Infos:

fhstp.ac.at/mis

Die moderne Gesellschaft ist stark von der Funktionsfähigkeit vieler Informationssysteme abhängig. Das Studium bietet Ihnen das notwendige Wissen aus Technik und Management, um Informationssicherheit in Unternehmen verankern zu können und die Sicherheit von Gesamtsystemen zu gewährleisten.

Studieninhalte

Berufsfelder

Ausgleichsmodul Unterschiedliche Module für Studierende mit IT-Security-Bachelorabschluss und jene mit allgemeinem Informatik-Bachelorabschluss zum Angleichen des Informationsstands.

Als Absolvent*in arbeiten Sie u. a. als: n Chief Security Officer n IT Infrastructure Engineer n Security Consultant n IT-Safety-Expert*in n IT Security Solution Engineer/Architect n Datenschutzbeauftragte*r n IT-Forensiker*in n Compliance Officer, Risikomanager*in n IT-Governance-Expert*in n IT Solution Architect n Malware Analyst n Auditor*in

Kernthemen Sie erlangen wesentliche Kompetenzen in den Bereichen Infrastructure Security, Software Security, Privacy, Sicherheitsmanagement und Informationssicherheit. Fachspezifische Vertiefung Sie wählen eine der Vertiefungen: n Software Security n Industrial and Infrastructure Security n IT-Management

#Digitale Technologien #Informatik #Security 9

Absolvent*innen 2020 Masterstudium Information Security

Dipl.-Ing. Stefan Baumgartner, BSc

Dipl.-Ing. Rene Offenthaler, BSc

Dipl.-Ing. Andreas Bawart, BSc

Dipl.-Ing. Mag. Jakub Pasikowski, BSc

Dipl.-Ing. Michael Bieder, BSc

Dipl.-Ing. Thomas Pointner, BSc

Dipl.-Ing. Christian Brandl, BSc

Dipl.-Ing. Ing. Jan Rammel, BA

Dipl.-Ing. Dominik Burak, BSc

Dipl.-Ing. Lena-Valerie Rechberger, BSc

Dipl.-Ing. Julian Eder, BSc

Dipl.-Ing. Florian Schier, BSc

Dipl.-Ing. Christoph Elshuber, BSc

Dipl.-Ing. Stefan Schweighofer, BSc

Dipl.-Ing. Thomas Gimpl, BSc

Dipl.-Ing. Ing. Markus Seitner, BSc

Dipl.-Ing. Stefan Hagl, BSc

Dipl.-Ing. Christopher Simader, BSc

Dipl.-Ing. Florian Holland, BSc

Dipl.-Ing. Lisa Steinwendtner, BSc

Dipl.-Ing. Florian Holzbauer, BSc

Dipl.-Ing. Marcus Szing, BSc

Dipl.-Ing. Lukas Kirchner, BSc

Dipl.-Ing. Matteo Tomaselli, BSc

Dipl.-Ing. Thomas Krammer, BSc Dipl.-Ing. Julian Lindenhofer, BSc Dipl.-Ing. Timo Longin, BSc Dipl.-Ing. Florian Neumair, BSc

Wenn ich dem Netzwerk nicht mehr traue – Frameworks und Lösungen zu ZeroTrust

Dipl.-Ing. Stefan Baumgartner, BSc Betreuer: Dipl.-Ing. Dipl.-Ing. Christoph Lang-Muhr, BSc

Ausgangslage Früher war alles einfacher. Es gab ein Innen und ein Außen. Die Angreifer kommen von außen, die zu schützenden Assets waren innen. Doch die Welt hat sich weiterentwickelt, die Cloud hat in die IT-Landschaften der Unternehmen Einzug gehalten. Dadurch ergeben sich neue Möglichkeiten, aber auch neue Herausforderungen. Zugriffe können nicht mehr am Netzwerkperimeter blockiert werden, denn der Perimeter weicht multiplen Zugangspunkten. Neue Konzepte wurden entwickelt – Zero Trust war geboren. Ziel Diese Arbeit gibt einen Überblick über die Historie, die aktuellen Technologien und versucht sich an einer Erklärung und einer Bewertung der aktuellen Produkte auf diesem hoch dynamischen Feld der Netzwerksicherheit.

Ergebnis Die Arbeit zeigt, dass die Entwicklung einer Zero Trust Lösung nicht trivial ist, aber letztendlich mit solidem Handwerk zu bewerkstelligen ist. Dazu wurde, basierend auf OpenSSH, Python, PHP und Standardfunktionalitäten ein Framework entwickelt, das die grundlegenden Anforderungen an ZeroTrust Lösungen abdeckt. Die Analyse der Herstellerlösungen hat gezeigt, dass auch die Hersteller teilweise noch Hausübungen zu erledigen haben, um wirklich alle Anforderungen zu erfüllen – oder dies im Gegenzug gar nicht versuchen und spezielle Lösungen für einzelne Facetten des Anforderungsportfolios anbieten.

Lauschangriff auf WLAN-Geräte zur Standortbestimmung – Experimentelle Untersuchung und Analyse des tatsächlichen Bedrohungsfaktors Dipl.-Ing. Andreas Bawart, BSc Betreuer: Dipl.-Ing. Dr. Henri Ruotsalainen

Ausgangslage In der heutigen Zeit sind drahtlosnetzwerkfähige Geräte nicht mehr wegzudenken. Angefangen von Smartphones bis hin zu VR-Brillen, ja sogar Kaffeemaschinen. Ganz bequem können unterwegs oder auf dem Sofa die aktuellen Nachrichten und E-Mails abgerufen werden und falls noch ein WLAN-Netzwerk zur Verfügung steht, um ganz gemütlich einen Film zu streamen, verbindet man sich darauf. Doch so angenehm, wie es anfangs klingt, ist es leider nicht. Wer denkt schon daran, dass eine angreifende Person unentdeckt in den eigenen Räumlichkeiten oder im Firmengebäude mitlauscht und die eigene aktuelle Position ermitteln kann. Dabei gibt es viele günstige Geräte, die so etwas ermöglichen. Diese Arbeit beschäftigt sich mit dem stromsparenden Tracking von WLAN-Geräten, welches durch günstiges Equipment erzielt wird und eruiert, ob es eine reale Bedrohung darstellt. Ziel Das Ziel dieser Arbeit ist, herauszufinden, inwiefern ein Lauschangriff mit einer kostensparenden und handelsüblichen Ausrüstung möglich ist. In weiterer Folge werden die lauschenden Mikrokontroller nur über gewöhnliche Power Banks mit Spannung versorgt, um ein unentdecktes Langzeittracking zu ermöglichen. Dazu werden mehrere Experimente in einer Räumlichkeit durchgeführt, um die tatsächlichen Möglichkeiten herauszufinden, und zusätz-

lich wird ermittelt, ob mit diesem Szenario ein realer Angriff durchgeführt werden kann. Ergebnis Im Zuge dieser Arbeit wurde das Thema weitgehendest analysiert um mit günstigen Mikrocontrollern das Tracking von Geräten mittels dem sogenannten RSSI Wert – dieser stellt die Stärke eines empfangenen Funksignals dar – durchzuführen. Aufbauend auf die zusätzliche Analyse des Stromverbrauchs zeichnete sich ab, dass längere Trackingphasen durch die Verwendung eines vom Mikrokontroller unterstützten Tiefschlafmodus möglich werden. Für das gesamte Equipment wurden weniger als 70 EUR Budget benötigt. Zum Schluss wurde der gesamte Ablauf sowie die Vorbereitungen für einen Aufbau und Einrichtung zum Tracking genauer beleuchtet und anhand der gewonnenen Information herausgefunden, dass ein solches mitsniffen des Netzwerkverkehrs zum Tracken von Geräten zwar etliche Vorbereitungen benötigt, aber dennoch ein potenzielles Bedrohungsrisiko darstellt.

Interferenz in Ambient Assisted Living Systemen – Ein low-cost Aufbau zur Analyse der RSSI-Werte im städtischen und ländlichen Raum Dipl.-Ing. Michael Bieder, BSc Betreuer: Dipl.-Ing. Dr. Henri Ruotsalainen

Ausgangslage Der Received Signal Strength Indicator (RSSI), ist ein Indikator, um die empfangene Signalstärke von einem Sender zu einem Empfänger darzustellen. Nachdem der RSSI verfügbar ist, sobald ein kabelloses Signal besteht, wird er nicht nur für die Anzeige der Signalstärke, sondern zusätzlich dazu verwendet, um Personen zu lokalisieren oder Aktivitäten von Personen zu erkennen. Die Aktivitätserkennung erstreckt sich vom Liegen, Stehen oder Sitzen bis hin zur Hand- oder Atembewegung einer Person. Daher wird der RSSI oft von Smart Home Systemen dazu verwendet, um automatisierte Dienste, welche auch als „Ambient Assisted Living“ (AAL) bezeichnet werden, anzubieten, welche die Aktivitäten einer Person erkennen und dementsprechend handeln. AAL kommt im speziellen oft bei älteren Personen zum Einsatz, um ihnen ein unbeschwertes Leben zu ermöglichen. Diese Dienste werden auch oftmals im Gesundheitsbereich oder Rettungs-/Sicherheitssektor genutzt, um automatisiert auf bestimmte Situationen reagieren zu können. Daher ist es wichtig, die Zuverlässigkeit des RSSI zu evaluieren und diesen in unterschiedlichen Umgebungen zu analysieren.

Ziel In dieser Arbeit wird ein Versuchsaufbau gezeigt, der es ermöglicht, den RSSI an unterschiedlichen Standorten zu messen und zu vergleichen. Für die Standorte wurde eine Wohnung in Wien und ein Haus in Niederösterreich gewählt, um einen Vergleich zwischen ländlichen und städtischen Raum zu schaffen. Außerdem wurde der Versuchsaufbau so konzipiert, dass geringe Kosten von rund € 100 notwendig sind. Ergebnis Bei den Ergebnissen war ersichtlich, dass an beiden Standorten starke Schwankungen durch Störungsquellen verursacht wurden und keine eindeutige Eingrenzung zu gewissen Uhrzeiten oder Wochentagen stattfinden konnte. Außerdem war zu erkennen, dass das ländliche Umfeld generell einen besseren und stabileren RSSI-Wert aufwies. Nachdem viele AAL-Dienste einen Schwellwert für RSSI bei Aktionen definieren, könnte eine Aktion aufgrund einer zu starken Schwankung ausgeführt werden, sollte der Schwellwert zu gering gewählt sein. Dadurch könnten zum Beispiel Einsatzkräfte gerufen oder ein Alarm ausgelöst werden, ohne das tatsächliche Gefahr besteht.

Testbed for Crowd Monitoring based on Wireless Channel Measurements Dipl.-Ing. Christian Brandl, BSc Betreuer: Dipl.-Ing. Dr. Henri Ruotsalainen

Ausgangslage In den letzten Jahren hat die visuelle Identifizierung von Menschen an Popularität gewonnen. Zu den Anwendungsbereichen gehören das Gesundheitswesen, die Biometrie und das Smart Home. Die Dringlichkeit dieses Themas hat im Laufe des Jahres 2020 rapide zugenommen, da viele Länder Vorschriften zur Eindämmung der COVID-19 Pandemie erlassen haben. Leicht verfügbare Daten aus Konzepten zur Überwachung von Menschenansammlungen könnten zusätzliche Informationen liefern, z.B. im Falle einer lokalen Zunahme von Infektionen, während die Entwicklung der Pandemie verfolgt wird. Die derzeitigen videobasierte Lösungen, die in großem Maßstab angewandt werden könnten, sind jedoch komplex und kostspielig. Darüber hinaus haben diese Techniken weitere Probleme wie den Schutz der Privatsphäre, da sensible Informationen gesammelt und für andere Zwecke weiter genutzt werden können. Eine potentielle Alternative zu Überwachung von Menschenmengen ist die Interpretation menschlichen Verhaltens aus den Reflexionen drahtloser Signale. Die gegebene Arbeiten haben zum Beispiel erfolgreich biometrische Authentifizierung auf der Grundlage der Messung von HF-Reflexionen demonstriert. Inspiriert durch die Ergebnisse ist es günstig, Möglichkeiten zur Überwachung des Verhaltens von Menschenmengen mit einer ähnlichen Technik zu untersuchen. Da die drahtlosen Netzwerke heutzutage allgegenwärtig (zB 4G/5G/WLAN), können diese Techniken in die bestehende drahtlose Infrastruktur ohne große Modifikationen eingebettet werden.

Ziel Das Ziel dieser Arbeit ist die Untersuchung von Möglichkeiten zur Durchführung der Überwachung von Menschenmengen auf der Grundlage von HF-Messungen. Der Schwerpunkt liegt dabei insbesondere auf der Schätzung der Anzahl der Benutzer in Innenräumen. Der wichtige Teil besteht darin, das theoretische Konzept durch Experimente zu verifizieren. Hier werden ESP32-Mikrocontroller verwendet, um ein IoT Sensornetzwerk zu imitieren, das die notwendigen Daten zur Analyse liefert. Ergebnis Mit dem entwickelten RF-Sensing-Testbed konnte zunächst gezeigt werden, dass auch die Mikrocontroller erfolgreich zur Personenzählung eingesetzt werden können. Hierbei liefern die von den Mikrocontrollern gesammelten sogenannten „Channel-State-Information“ Rohdaten, die anschließend mit einem maschinellen Lernalgorithmus interpretiert werden. Mit dem Einsatz des sogenannten Random Forest Classifiers konnte eine hohe Genauigkeit von ca 97% bei der Schätzung erreicht werden. Daher konnte diese Studie zeigen, dass die passive HF-Sensorik eine praktikable Option für die Überwachung von Menschenmengen ist.

Open Source Intelligence (OSINT) – Evaluieren und Vergleichen von Tools

Dipl.-Ing. Dominik Burak, BSc Betreuer: FH-Prof. Mag. Dr. Simon Tjoa

Ausgangslage IT-Systeme sind immer öfter über das Internet erreichbar und Social Media Plattformen werden vermehrt für die Kommunikation verwendet. Damit steigt die Anzahl an Informationen, die aus frei verfügbaren Quellen im Internet gesammelt werden können. Diese sogenannten OSINT Informationen können mit speziellen Tools zur Informationsbeschaffung eines Ziels eingesetzt werden. Informationen werden dabei von Suchmaschinen oder Foren gesammelt und in Beziehung zueinander gestellt. Social Media Plattformen können aufgrund der gespeicherten sensiblen und privaten Kommentare von Personen ein attraktives Ziel für Angreifer, wie auch bei der Informationsbeschaffung für ITSysteme, darstellen. Ziel Ziel der Arbeit ist eine Übersicht der analysierten kostenlosen OSINT-Tools zu geben und mit zuvor definierten Kriterien gegenüber zu stellen und zu vergleichen. Weiters werden Use Cases definiert, um den praktischen Einsatz der Tools zu beleuchten. Mit dem praktischen Test soll Unternehmen verdeutlicht werden, wie Informationen gesammelt und beispielsweise Schutzmaßnahmen für IT-Systeme gegen Angreifer getroffen werden können. Während der Analyse der Tools wurde festgestellt, dass einige Tools eine Anbindung an Social Media Plattformen bieten, womit Angreifern die Möglichkeit gegeben wird, Informationen von Personen 16

zu sammeln. Daher war es ein weiteres Ziel, eine praktische Analyse durchzuführen, welche Informationen mit den standardmäßigen Datenschutzeinstellungen auf Social Media Plattformen extrahiert werden können. Ergebnis Mit den OSINT-Tools wurden echte Namen von Personen gefunden, welche folgend für Cyber Stalking Angriffe verwendet werden können. Ebenso können E-Mail-Adressen von Personen und Unternehmen gesammelt werden. Es können Kommentare von Social Media Plattformen durchsucht und gespeichert werden. Die Korrektheit der gesammelten Informationen wurde überprüft, indem beispielsweise die gefundenen E-Mail-Adressen mit jenen des Unternehmens verglichen wurden. Obwohl nur die kostenlosen APIKeys der Tools verwendet wurden, konnte eine Vielzahl an Informationen, darunter persönliche Namen, IPs und Hosts, über das Ziel gefunden werden.

Forensische Methoden, Einsatz in Industrieanlagen

Dipl.-Ing. Julian Eder, BSc Betreuer: FH-Prof. Prof. (h.c.) Dipl.-Ing. (FH) Thomas Brandstetter, MBA

Ausgangslage Mit Anfang des 21. Jahrhunderts und Beginn der Vernetzung von Industrieanlagen mit dem Internet wurden neue Ziele für angreifende Personen eröffnet. Angriffe auf kritische Infrastrukturen und militärische Einrichtungen häufen sich und können im schlimmsten Fall Menschenleben gefährden. Diese Infrastrukturen werden oftmals mit Steuerungssystemen betrieben, die durch ihre Langlebigkeit in Zeiten geschaffen wurden, in denen noch nicht an die Vernetzung mit dem Internet gedacht werden konnte. Werden diese Steuerungssysteme angegriffen, muss mittels forensischer Methoden versucht werden, die Veränderungen im Steuerungssystem zu erkennen und diese zur Sicherstellung des sicheren Fortbetriebs zu beheben. Durch die forensischen Methoden können im weiteren Verlauf einer Untersuchung mögliche Angriffsmuster eines Vorfalls erkannt werden. Forensische Methoden sind in den Bereichen der herkömmlichen IT-Systeme ausführlich erforscht, jedoch unterscheiden sich diese IT-Systeme zu industriellen Anlagensteuerungen. Deswegen können die Methoden nicht im gleichen Umfang und mit den selben Programmen untersucht werden. Zur Untersuchung eines Vorfalls werden die Programme der herstellenden Unternehmen von Steuerungssystemen verwendet.

Ziel Das Ziel dieser Arbeit ist zu untersuchen, wie forensische Methoden in industriellen Anlagensteuerungen eingesetzt werden können. Auf Grundlage einer selbst geplanten Industrieanlage und Anlagenarchitektur sollen drei herstellende Unternehmen gewählt werden und deren Systeme durch prototypische Anwendung der forensischen Methoden zur Erhebung von Daten untersucht werden. Ergebnis Es wird eine umfassende Übersicht über die forensischen Methoden gegeben. Die Unterschiede zwischen herkömmlichen IT-Systemen und Anlagensteuerungen in den Netzwerken und der speicherprogrammierbaren Steuerungen werden ersichtlich. Aufbauend auf die Industrieanlage wurden die Unternehmen Siemens, ABB und Schneider Electric gewählt, deren Systeme in den Bereichen Speicherprogrammierbare Steuerung, Supervisory Control and Data Acquisition, Human Machine Interface und Netzwerk untersucht wurden. Hierbei ist ein Unterschied in der Dokumentationstiefe der Unternehmen, der Funktionalität und deren Informationsgehalt für eine forensische Untersuchung ersichtlich.

Nationale Cyber-Übungen – Anforderungen und Metriken

Dipl.-Ing. Christoph Elshuber, BSc Betreuer: FH-Prof. Mag. Dr. Simon Tjoa

Ausgangslage Cyber-Angriffe und andere Cyber-Bedrohungen können von einer kurzen Betriebsunterbrechung bis hin zu einem flächendeckenden Ausfall von kritischen Diensten mit potenziell verheerenden Auswirkungen führen. Auf nationaler und staatlicher Ebene wurden daher Anstrengungen unternommen, um das Bewusstsein für Cyber-Sicherheit sowie die Reaktion und Koordination auf CyberVorfälle zu verbessern. Eine erste gesetzliche Grundlage wurde erstmalig in Österreich im Dezember 2018 mit dem Netz- und Informationssystemsicherheitsgesetz (NIS-G) geschaffen. Nachdem diese im NIS-G definierten Anforderungen in den Unternehmen etabliert wurden, gilt es als nächsten Schritt, diese Thematik ständig und möglichst realitätsnah zu beüben. Dafür bieten sich Cyber-Übungen an, welche eine Vielzahl an Akteuren aus verschiedenen gesamtstaatlichen Bereichen einbeziehen können wie private Unternehmen, Ministerien und Betreiber wesentlicher Dienste. Übungen – seien es groß angelegte Simulationen oder einfache diskussionsbasierte Übungen – sind unverzichtbare, vielseitige Werkzeuge für die Situationswahrnehmung und 18

die Vorbereitung auf Vorfälle, die für eine effektive CyberSicherheit und Cyber-Abwehr von entscheidender Bedeutung sind. Ziel Das Ziel der Diplomarbeit ist es, Anforderungen und Metriken an nationale Cyber-Übungen zu identifizieren. Diese, in der Arbeit gewonnenen, Erkenntnisse sollen eine Grundlage für zukünftige nationale Cyber-Übungen bieten. Um die Forschungsfragen zu beantworten, wird anfänglich der State-of-the-Art im Bereich der Cyber-Übungen erforscht. Nachdem der Technikstand erfasst ist, wird mit Hilfe von Experteninterviews ein nationaler Bezug hergestellt. Als sozialwissenschaftliche Erhebungsmethode wird dabei das Leitfadeninterview mit Fachleuten gewählt, die im Zuge ihrer Tätigkeiten und Positionen Erfahrungen bei nationalen und internationalen Cyber-Übungen sammeln konnten. Ergebnis Im Zuge der State-of-the-Art-Erfassung und den durchgeführten Experteninterviews ließen sich 16 Anforderungen ableiten, die für nationale Cyber-Übungen von Relevanz sein können. Anhand der durchgeführten Interviews zeigte sich, dass die Thematik im gesamtstaatlichen Umfeld präsent ist und daher weiterführende Forschung auf diesem Gebiet betrieben werden sollte, um die gesamtstaatliche CyberResilienz fortlaufend zu erhöhen.

Secure Industry 4.0 - A security concept for OT in focus on the company Greiner Extrusion Group

Dipl.-Ing. Thomas Gimpl, BSc Betreuer: FH-Prof. Prof. (h.c.) Dipl.-Ing. (FH) Thomas Brandstetter, MBA

Ausgangslage Menschen sind heutzutage zu jeder Zeit mit dem Internet in Verbindung; sei es mit Computern, Handys, Smart-Wearables oder mittels intelligenter persönlicher Assistenten. Aber nicht nur im Privatleben hat sich die kontinuierliche Konnektivität etabliert, auch in der Industrie regeln immer modernere und vernetzte Maschinen unser tägliches Leben. Angefangen von der zentral gesteuerten Ampelanlage über die Sensoren bei der Fertigung von maschinellen Teilen bis zu Windkraftwerken, die per Internet an die Zentrale alle nötigen Informationen liefern und Steuerbefehle erhalten. Diese Vernetzung teils kritischer Infrastrukturen führt zu einer Gefährdung von Leib und Leben aller Menschen, die damit in Kontakt kommen. Leider werden nicht alle dieser Komponenten mit dem notwendigen Sicherheitsaspekt an das Netzwerk oder das Internet angebunden. Grund dafür ist oftmals die unerwünschte Beeinträchtigung der Reaktionsfähigkeit der Maschinen, die Inkompatibilität der veralteten Komponenten zu neuen sicheren Verbindungsund Sicherungsmethoden, oder das fehlende Wissen der Administratoren. Ziel Die Arbeit hat sich als Ziel gesetzt, die Entstehung der Vierten Industriellen Revolution darzustellen, ihre Risiken aufzuzeigen und ein Verständnis zu schaffen, welche Firmen und Institutionen durch zu schnelle und unsichere Vernetzung

ihrer Infrastruktur bedroht sind, das Leben ihrer Mitarbeiter und der anliegenden Bevölkerung zu gefährden. Weiters soll am Beispiel der Firma Greiner Extrusion Group ein beispielhaftes Sicherheitskonzept erstellt werden, welches anderen Firmen – egal welcher Branche angehörig – als Basisvorlage dienen kann. Ergebnis Als Ergebnis dieser Arbeit hat sich herausgestellt, dass jedes Unternehmen und sogar staatliche Institutionen gefährdet sind, es jedoch mittels weniger einfacher Schritte möglich ist, einen großen Sicherheitsmehrwert in (zum Beispiel) einer produzierenden Firma wie Greiner Extrusion Group zu erreichen. Wichtige Grundpunkte sind die Erfassung der bestehenden Infrastruktur und deren Kommunikation, die Segmentierung der Netze und Einschränkung der Kommunikation zwischen selbigen, der Trennung von OT und IT Infrastruktur und deren Kommunikation mittels einer abgeschlossenen Kommunikationsschnittstelle, das Erstellen eines Reifegradmodells und die Schulung der Mitarbeiter sowohl in der OT als auch in der IT. Diese und einige weitere Schritte werden mittels Beispiels an der Greiner Extrusion Group im letzten Kapitel dargestellt und als Checkliste mit genauer Beschreibung im vorherigen Kapitel ausgeführt.

Forensische Analyse stattgefundener Kommunikation innerhalb von Spiele-Apps

Ing. Dipl.-Ing. Stefan Hagl, BSc Betreuer: FH-Prof. Dipl.-Ing. Dr. Sebastian Schrittwieser, Bakk.

Telefongesprächsaufzeichnungen oder Anrufdatenermittlungen sind essentielle Methoden der Strafverfolgungsbehörden. Die Verbreitung von Instant Messaging Apps auf Smartphones hat Kriminellen die Möglichkeit gegeben, über andere, schwerer nachzuverfolgende Wege zu kommunizieren. Die Forschung der letzten Jahre stürzte sich regelrecht auf die forensische Analyse von Messengern wie WhatsApp, Telegram oder dergleichen. Kriminelle Personen nutzen zunehmend alternative Kommunikationswege, welche nicht auf den ersten Blick als solche zu erkennen sind. Eine interessante und unauffällige Kommunikationsmöglichkeit bieten Spiele mit eingebauten Chatmöglichkeiten auf mobilen Geräten. In dieser Arbeit wird untersucht, welche Daten einer stattgefundenen Kommunikation zwischen zwei SpielerInnen auf den Android- bzw. iOS-Geräten direkt abgelegt und so bei einer forensischen Untersuchung aufgefunden werden können. Es gibt etliche Datenakquisitionsmethoden in der Forensik. Je nach Anwendung können diese verschiedene Informationen extrahieren, aber auch unterdrücken. Diese Arbeit stellt die erlebten Informationsunterschiede je nach Methode dar. Es werden verschiedene Spiele-Apps jeweils auf den beiden Betriebssystemplattformen Android und iOS analysiert. Nach Abschluss der Untersuchung wird dargestellt, ob bei Auffindung von Artefakten innerhalb einer Plattform auch auf das Vorhandensein solcher in anderen 20

Betriebssystemen geschlossen werden kann. Die genauen Fundorte relevanter Kommunikationsartefakte werden präsentiert und mit den Funden in der jeweils anderen Betriebssystemversion verglichen. Ob überhaupt solche Artefakte innerhalb von Spiele-Apps zu finden sind, ist mit einem klaren Ja zu beantworten. In 82 Prozent der Analysen wurden entsprechende Daten aufgefunden. Auch die Untersuchung von, am Gerät gespeicherten, Benachrichtigungen ist für die Auffindung von Hinweisen für einen stattgefundenen Kontakt zwischen zwei Spieler*innen hilfreich. Je nach Betriebssystem sind verschiedene Datenextraktionsmethoden sinnvoller als andere - diese werden entsprechend herausgehoben. Die Ergebnisse aus dieser Arbeit sollen das Bewusstsein von Forensiker*innen dafür schärfen, dass auch in SpieleApps Kommunikationsinhalte auffindbar sind.

Konzept zur Wahl von sicheren Netzwerkkomponenten für einen Bürogebäudekomplex mit verschiedenen Firmen Dipl.-Ing. Florian Holland, BSc Betreuer: Dipl.-Ing. Oliver Eigner, BSc

Ausgangslage Ein gutes sowie günstiges Unternehmensnetzwerk aufzubauen, bieten mittlerweile viele IT-Dienstleistungsunternehmen an. Dass dieses Netzwerk aber auch noch sicher gestaltet ist und den modernen Anforderungen eines Unternehmens entspricht, gestaltet sich nicht so einfach. Vor allem die Wahl von sicheren Netzwerkkomponenten und die nachhaltige Planung, dass das Unternehmen auch in Zukunft auf ein sicheres, performantes Netzwerk zählen kann, ist eine große Herausforderung. Welche Anforderungen gilt es zu erfüllen? Wie sieht ein geeignetes Netzwerkdesignkonzept aus? Was sind sichere Netzwerkkomponenten? Diese und viele weitere Fragen werden aufbereitet und gezielt beantwortet. Weiters spielt die Vernetzung von Mobilgeräten (Smartphone, Notebooks) mittels WLAN ein großes Thema in dieser Arbeit. So wurden WLAN-Szenarien in den Bürogebäuden thematisiert, welche die Platzierung der Access Points und die notwendige Performance beschreiben.

in diesem Gebäude mehrere Firmen untergebracht sind, welche in verschiedenen Firmenverbünden miteinander arbeiten können. Ergebnis Mit dieser Arbeit konnte ein geeigneter Netzwerkdesignprozess und die Kundenbedarfsanalyse definiert werden. Weiters wird ein umfangreicher Überblick über die Netzwerkdesignvarianten und Tools zur Planung gegeben. Eine Beschreibung von notwendigen Sicherheitsmaßnahmen begleiten das Netzwerkkonzept stetig und sorgen für die IT-Sicherheit. Der zweite Teil der Arbeit ist der Praxisteil, bei dem die gewonnenen Erkenntnisse in einem Netzwerkkonzept umgesetzt wurden. Der praktische Aufbau der Netzwerkkomponenten, welche die Technologie rund um IEEE 802.1X widerspiegelt, war Teil der Arbeit. Eine geeignete Produktevaluierung rund um das Netzwerkkonzept wurde vorgenommen, um den relevanten Praxisbezug stets im Auge zu behalten. Abschließend werden Empfehlungen hinsichtlich des Netzwerkmanagements, insbesondere für Update- und Wartungsrichtlinien sowie Beispiele für Service Level Agreements gegeben.

Ziel Das Ziel dieser Diplomarbeit besteht darin, einen Guide für den gesamten Netzwerkdesign-Prozess und ein geeignetes Konzept für einen Bürogebäudekomplex wiederzugeben. Es soll auch die Möglichkeit berücksichtigt werden, dass 21

IPv6-Reconnaissance – Internet-weite Analyse von ICMPv6

Dipl.-Ing. Florian Holzbauer, BSc Betreuer*innen: Dipl.-Ing. Peter Kieseberg | Dr. Johanna Ullrich

Ausgangslage Das Internet - Wir benutzen es täglich, um mit Freunden zu kommunizieren, Erfahrungen zu teilen oder einfach im Web zu surfen. Die Kommunikation im Internet erfolgt ganz ähnlich wie beim Verschicken eines Briefes mittels Adressen, nur das statt Hausnummern und Postleitzahlen, IP-Adressen verwendet werden. Der starke Zuwachs an mit dem Internet verbundenen Geräten führte jedoch zu einer Knappheit an verfügbaren IP-Adressen. Daher wurde die Länge der Adressen in einer neuen Version (IPv6) angepasst und von 32 Bit auf 128 Bit erhöht. Dies hat Konsequenzen für internetweite Messungen. In IPv6 kann nicht mehr an jede vorhandene Adresse ein Paket geschickt werden. Bisherige Ansätze versuchen, die Anzahl an Zielen zu reduzieren, indem Adresslisten aus DNS, CDN Logs, etc. gebildet werden. Im Rahmen dieser Arbeit wird ein neuer Ansatz verfolgt. Bei diesem soll zwischen aktiven und nicht aktiven Subnetzen unterschieden werden. Aktive Subnetze eignen sich anschließend für weitere Messungen. Dafür soll evaluiert werden, ob neben Echo-Replies auch ICMPv6-ErrorMessages geeignet sind, um den Status eines Netzwerkes abzuleiten. Ziel Ziel dieser Arbeit ist es herauszufinden, welche ICMPv6Antworttypen verwendet werden und was die Ursache für diese sind. Router limitieren die Anzahl der Error-Messages, 22

daher soll festgestellt werden wie sich dies auf die Messung auswirkt. Zusätzlich wurden Netzwerke mit Aliasing erkannt, bei denen jede Anfrage mit einem Echo-Reply beantwortet wird. Das Aussortieren dieser soll ermöglicht werden. Ergebnis Die Messergebnisse zeigen die Verteilung der Antworttypen in den Kategorien Antworten, Adressen, antwortende Netzwerke und Zielnetzwerke. Es wird erstmalig visualisiert, dass sich Rate-Limiting unterschiedlich auf die einzelnen Antworttypen auswirkt. Eine eigens implementierte Methode zur Erkennung von Aliasing zeigt, dass über 99% der empfangenen Echo-Replies aus Netzwerken mit Aliasing stammen. Um die Ursachen der Antworttypen zu finden, erfolgt ein Clustering der Netzwerke basierend auf deren Antwortverhalten. Dadurch wurden Netzwerke identifiziert, die es erlauben, aus Address-Unreachable Antworten, aktive Subnetze abzuleiten. Andere Netzwerke zeigen starke Einflüsse von Firewalling, sowie Fehlkonfigurationen durch Routing Loops. Bei all diesen Verhalten wurden deutliche geografische Unterschiede festgestellt.

EU-DSGVO – Anforderungen bei der Integration in bereits bestehende Information Security Prozesse und beim nachfolgenden verordnungskonformen Betrieb Ing. Dipl.-Ing. Lukas Kirchner, BSc Betreuer: Dipl.-Ing. Herfried Geyer

Ausgangslage Im Mai 2018 ist die bereits 2016 beschlossene EU-Datenschutz Grundverordnung (EU-DSGVO) - zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in Kraft getreten. Mit dieser EU-DSGVO will man ein einheitliches Datenschutzniveau in allen Mitgliedsstaaten erreichen. In Österreich galt bislang das Datenschutzgesetz 2000 (DSG 2000), welches hiermit überholt wurde. Durch das bisher bestehende Gesetz sollten Unternehmen eigentlich auf bereits bestehende Dokumentationen und Umsetzungen aufbauen können – aufgrund der bislang jedoch vergleichsweise geringen Strafen wurde dieses Thema teilweise vernachlässigt und gewinnt nun an sehr hoher Bedeutung (Bußgelder von bis zu 4% des weltweiten Jahresumsatzes eines Unternehmens). Nun stellt sich die Frage, wie die EU-DSGVO sinnvoll in einem Unternehmen umgesetzt werden kann, welche vorhandenen Ressourcen genutzt werden können, inwieweit in bestehende Prozesse eingegriffen werden muss und wie der weitere verordnungskonforme Betrieb gewährleistet werden kann. Aus aktuellem Anlass ist auch das Thema Home-Office relevant, welches aufgrund der vergangenen globalen Gesundheitslage für viele Arbeitnehmer*innen eingeführt wurde.

Ziel Ziel dieser Arbeit ist eine Übersicht der Arbeitsschritte die notwendig sind, um ein Unternehmen EU-DSGVO konform vorzubereiten (Stichwort: Rechte der Betroffenen/Pflichten der Verantwortlichen). Es soll auch betrachtet werden, wie bereits bestehende Prozesse von einem Informationssicherheits-Managementsystem (ISMS) nach der internationalen Norm ISO 27001 im Rahmen der EU-DSGVO-Umsetzung genutzt werden können und welche Herausforderungen sich für Unternehmen ergeben, die ihren Mitarbeiter*innen Home-Office ermöglichen. Ergebnis Im Rahmen der Arbeit konnte gezeigt werden, welche Rechte den Betroffenen nach der neuen EU-DSGVO zustehen und welche Pflichten sich daraus für die sogenannten Verantwortlichen, also die Unternehmen, welche personenbezogene Daten verarbeiten, ergeben. Ist ein Unternehmen bereits nach ISO 27001 zertifiziert, können daraus einige Synergien genutzt werden und wertvolle Ressourcen gespart werden. Auch das Thema Home-Office wurde in Bezug auf den Datenschutz beleuchtet und es konnte dargestellt werden, welche Themengebiete dabei besonders von Relevanz sind.

Eine vergleichende Studie zu den Sicherheits- und Designaspekten von einem on-premise Rechenzentrum und einem Cloud Rechenzentrum Dipl.-Ing. Thomas Krammer, BSc Betreuer: Dipl.-Ing. Daniel Haslinger, BSc

Ausgangslage On-Premise Rechenzentren stehen im Wandel. Immer mehr Unternehmen versuchen Teile ihrer IT-Infrastruktur bzw. Services in die Cloud auszulagern. Um diesen Schritt überhaupt erst möglich zu machen, gilt es ein wohlüberlegtes Konzept hinsichtlich der verfügbaren Cloud Varianten zu erarbeiten. Dieses Konzept muss dabei auf die eigene IT Landschaft maßgeschneidert werden, um eventuell auftretenden Problematiken vorbeugen zu können. Welche Anforderungen gilt es zu erfüllen? Wie sieht der Sicherheitsaspekt in den unterschiedlichsten Cloud Ausprägungen aus? Welche Aufgaben müssen beide Parteien meistern? Diese und viele weitere Fragen werden in dieser Arbeit aufbereitet und beantwortet werden. Weiters spielt der Weg in die Cloud bzw. der Weg aus der Cloud eine große Rolle, um immer die Kontrolle und somit Zugriff auf die eigenen Daten zu behalten. Zusätzlich wurde in dieser Arbeit der Punkt des Disaster Recovery Plans näher beleuchtet.

Ziel Ziel dieser Diplomarbeit ist die Erstellung eines Leitfadens für Unternehmen unterschiedlichster Größe hinsichtlich des Einsatzes von Cloud- und On-premise Technologien. Dieser Leitfaden soll als Entscheidungshilfe dienen, um die verschiedensten Unternehmensanforderungen abdecken zu können. Ergebnis Diese Arbeit vergleicht in einer strukturierten Art und Weise die jeweiligen Vor- und Nachteile eines On-premise Rechenzentrums und seinem Cloud Kontrahenten. Dabei wurden die Arten von Clouddiensten und die On-premise Dienste basierend auf Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität bewertet. Basierend auf diesen Sicherheitsaspekten wurden Hilfestellungen für einen Business Continuity und Disaster Recovery Plan erstellt. Alle gewonnenen Informationen dienen letztendlich dazu, einen besseren Überblick über das Thema Cloud Computing aufzuzeigen und somit eine Migration in die Cloud bzw. einen Exit aus der Cloud zu ermöglichen.

Google Cloud Deception

Dipl.-Ing. Julian Lindenhofer, BSc Betreuer: Dipl.-Ing Dr. Pirker Martin, Bakk.

Ausgangslage Die heutige Unternehmenswelt ist geprägt durch permanente Veränderung und Fortschritt. Aktuell ist der Trend hin zur Implementierung und Verwendung von Cloudsystemen innerhalb vieler Unternehmen und von Privatpersonen nicht mehr aufzuhalten. Die Schattenseiten dieser Zentralisierung der Datenspeicherung sind einerseits der Verlust der vollständigen Kontrolle über die Daten bei Verwendung eines Drittanbieters und die Möglichkeit einer ungewollten Veröffentlichung dieser Daten durch den Drittanbieter im Zuge eines Cyberangriffes. Oftmals bemerken die Opfer viel zu spät, dass sie Opfer eines Cyberangriffes sind. In diesen Fällen haben viele Angreifer zumeist schon ihr Ziel erreicht und die gesuchten Daten gestohlen. Mit der zusätzlichen Verwendung von Deception-Technologien kann sich die Zeitspanne, in welcher sich der Angreifer unbemerkt im internen Netzwerk befindet, verringern und somit auch der potenzielle Schaden eingedämmt werden. Ziel Das Ziel der Arbeit ist festzustellen, inwieweit Deception Technologien mit Cloudprodukten und Infrastrukturen kompatibel sind. Die Arbeit eruiert, ob der Einsatz von Deception Technologien in der Cloud zu einer Verbesserung der Sicherheit führt und ob es möglich ist, Angriffe schneller als

bisher zu detektieren. Dazu wird die Google Cloud Platform und dessen Services analysiert und erarbeitet, wie Angriffe mithilfe von Ködern in der Cloud detektiert werden können. Ergebnis Im Zuge dieser Arbeit wurden Szenarien definiert, welche realistische Anwendungsbereiche von Cloudservices darstellen. Basierend auf den Szenarien erörtert die Arbeit Deception Konzepte, welche eine Angriffserkennung ermöglichen. Die erläuterten Konzepte wurden anschließend in die Praxis umgesetzt und mittels dreier Köder realisiert. Bei den Ködern handelte es sich um Fake Userdaten, Fake Administratoren und Fake Storage Einheiten innerhalb der Google Cloud. Sollten Angreifer diese Köder benutzen, schlägt das System Alarm und der Angriff wird detektiert. Mit Hilfe von simulierten Angriffen und diversen Tools wurden die Köder auf deren Funktion getestet. Es konnte gezeigt werden, dass potenzielle Hacker diese Köder finden, nicht von anderen Daten unterscheiden können und auch verwenden. Sobald dies geschieht, schlägt das System Alarm.

DNS-Schwachstellen in Webapplikationen – Eine Untersuchung der Sicherheit der DNS-Namensauflösung von Webapplikationen Dipl.-Ing. Timo Longin, BSc Betreuer: Dipl.-Ing. Dipl.-Ing. Christoph Lang-Muhr, BSc

Ausgangslage „Passwort zurücksetzen?“ – Diese Frage ist von LoginMasken moderner Webapplikationen kaum noch wegzudenken. Doch was steckt hinter dieser Funktion? In den meisten Fällen wird ein Link zur Passwortrücksetzung via E-Mail an die E-Mail-Adresse der Applikationsnutzer*in versandt. Damit ein E-Mail-Versand möglich ist, wird eine der Kerntechnologien des Internets benötigt, das „Domain Name System“ (DNS). Mit dem DNS ist es möglich, für eine E-Mail-Domäne wie „gmail.com“ die IP-Adresse „74.125.140.27“ zu ermitteln. So kann eine Webapplikation E-Mails zur Passwortrücksetzung von „admin@gmail.com“ an den E-Mail-Server mit IP-Adresse „74.125.140.27“ senden. Was würde jedoch passieren, wenn eine Angreifer*in diese DNS-Namensauflösung manipulieren kann? In einem Worst-Case-Szenario würde dies dazu führen, dass die E-Mail zur Passwortrücksetzung nicht zu „74.125.140.27“, sondern dem E-Mail-Server des Angreifers/der Angreiferin gesendet wird. Dadurch kann das Passwort vom Benutzerkonto mit der E-Mail-Adresse „admin@gmail.com“ geändert und das Benutzerkonto übernommen werden. Um diesen Angriffsvektor in Webapplikationen näher zu beleuchten, beschäftigt sich diese Arbeit mit der Sicherheit der DNSNamensauflösung von Webapplikationen.

Ziel Das Ziel dieser Arbeit ist, herauszufinden, ob Webapplikationen über Schwachstellen in deren DNS-Namensauflösung verfügen und inwiefern diese angreifbar sind. Dazu wird die DNS-Namensauflösung von 146 Webapplikationen im Internet auf Verwundbarkeit gegenüber verschiedener DNSAngriffe überprüft. Ergebnis Im Zuge dieser Arbeit wurde ein erster Einblick in die Sicherheit der DNS-Namensauflösung von Webapplikationen geschaffen. Ebenfalls wurden verschiedene Methoden zum Testen dieser vorgestellt. Aus durchgeführten Analysen hat sich herausgestellt, dass die DNS-Namensauflösung mehrerer Webapplikationen Schwachstellen beinhaltet. Ausblick Können die identifizierten Schwachstellen wie im beschriebenen Szenario ausgenutzt werden, ist dieser Angriffsvektor mit einer großen Bedrohung für Webapplikationen verbunden. Dies könnte einen neuen Trend von DNS-Angriffen entfachen.

Adobe Experience Manager security assessment automation

Dipl.-Ing. Florian Neumair, BSc Betreuer: Dipl.-Ing. Daniel Haslinger, BSc

Ausgangslage Webanwendungen sind zu einem festen Bestandteil des täglichen Lebens geworden, jedoch werden viele dieser Anwendungen mit schwerwiegenden Sicherheits-Schwachstellen eingesetzt, die mit fatalen Folgen ausgenutzt werden können. Sogenannte Web-Vulnerability-Scanner werden häufig eingesetzt, um Schwachstellen in Web-Anwendungen aufzuspüren. Diese Tools werden jedoch in den meisten Fällen sehr generisch umgesetzt, um allgemeine Sicherheitsschwachstellen zu finden. Sie können bei der Suche nach produktspezifischen Schwachstellen lediglich unterstützen, verfügen aber in der Regel nicht über die nötigen Domänen-Kenntnisse, die für einen Angriff auf die betreffende Anwendungsumgebung erforderlich ist. Ziel Ziel dieser Arbeit ist festzustellen, welche Web-VulnerabilityScanner sich im Hinblick auf die Faktoren Erweiterbarkeit, Funktionalität, Authentifizierung, Steuerung und Konnektivität, Abdeckung, Berichterstattung und Softwareentwicklungsprozess-Integrationsfähigkeit am besten eignen, um einen Schwachstellen-Scanner zu entwickeln, welcher in der Lage ist, produktspezifische Schwachstellen im Adobe Experience Manager zu identifizieren. Basierend auf einer testweisen Implementierung wird die Auswahl evaluiert und bewertet.

Ergebnis Durch eine testweise Implementierung eines solchen produktspezifischen Schwachstellen-Scanners unter der Verwendung des OWASP ZAP Projekts konnte erfolgreich gezeigt werden, dass dessen Erweiterungssystem sehr einfach in der Lage war, die benötigten Tests zu realisieren. Durch die Verwendung von OWASP ZAP als Basis für diese Arbeit wurde gezeigt, wie exakt und schnell eine solche Implementierung sein kann, um die Sicherheitstests einer spezifischen Software zu unterstützen. In Experimenten hat das implementierte Add-On gezeigt, dass selbst bei abgesicherten Systemkonfigurationen in einem so komplexen Setup Fehler die Installation offen für Angriffe machen können und dabei helfen kann, solche Schwachstellen aufzudecken. Aufgrund der guten Integrationsmöglichkeiten in den Softwareentwicklungsprozess und dem hohen Automatisierungsgrad kann die Integration von OWASP ZAP ein frühes Feedback im Softwareentwicklungsprozess geben und ein hohes Maß an Sicherheit im gelieferten Produkt gewährleisten.

Microsoft Cloud Deception

Dipl.-Ing. Rene Offenthaler, BSc Betreuer: Dipl.-Ing Dr. Pirker Martin, Bakk.

Ausgangslage Aktuell befinden wir uns in einem Zeitalter, in welchem die Digitalisierung immer weiter voranschreitet. Neben branchentypischen IT-Geräten wie Laptops haben heutzutage längst auch viele Haushaltsgeräte Computereinheiten integriert, welche mit dem Internet verbunden sind und Daten verarbeiten müssen. Die Erwartungen, speziell an Geräte innerhalb der IT-Branche, sind dabei enorm: Sie müssen effizient, kostengünstig und in sicherer Umgebung ihren ursprünglichen Zweck erfüllen. Um all diesen Erwartungen gerecht zu werden, bedarf es der Unterstützung einiger technologischer Hilfsmittel. Erst Mitte der 2000er-Jahre begann hierfür die Ära des Cloud Computing. Ziel dabei ist unter anderem die zentrale Speicherung von Daten sowie das hoch performante Verarbeiten dieser Daten. Trotz großer Sicherheitsbedenken steigt die Verwendung von Cloud Computing Ressourcen rasant an. Dies bringt jedoch gleichzeitig eine hohe Anziehungskraft für potenzielle Angreifer mit sich. Technologien zur Maximierung der Sicherheit einer Cloud Umgebung spielen daher aktuell eine immer größer werdende Rolle. Ziel Microsoft mit dessen Service Office 365 zählt zu einem der populärsten Unternehmen innerhalb der Cloud Branche. Aufgrund dessen beschäftigt sich diese Arbeit mit der 28

Sicherheit einer simulierten Unternehmensumgebung mit integriertem Office 365. Ziel ist es, zu überprüfen, ob durch die Verwendung von Deception Technologie die Sicherheit einer solchen Umgebung erhöht werden kann. Hauptaugenmerk bei der Integration von Deception Techniken ist die möglichst schnelle Erkennung von Angriffsversuchen und die Gewinnung von Informationen über verwendete Angriffstechniken. Ergebnis Im Zuge dieser Arbeit konnte die Sicherheit einer simulierten Office 365 Umgebung durch den Einsatz von Deception Techniken erhöht werden. Der sicherheitstechnische Erfolg der Deception Techniken, wie zum Beispiel die Alarmierung eines laufenden Angriffes, ist jedoch an technische Funktionalitäten der Microsoft Azure Cloud gebunden. Beschränkungen von Microsoft verhindern teilweise den Einsatz von diversen Deception Techniken. In zukünftiger Forschung ist es möglich, die Ergebnisse dieser Arbeit als Basis zur Integration von Deception Technologie in anderen Teilen eines Cloud Systems zu verwenden.

You are being watched! - Eine Analyse staatlicher, kommerzieller und sozialer Social-Credit-Systeme zur Bewertung der Bevölkerung am Beispiel Chinas Dipl.-Ing. Mag. Jakub Pasikowski, BSc Betreuer: FH-Prof. Dipl.-Ing. Herfried Geyer

Ausgangslage 2014 veranlasste die chinesische Regierung die Entwicklung eines Systems, das das „Vertrauen in der Gesellschaft“ wiederherstellen sollte, nachdem dieses durch diverse Skandale, angefangen bei dem bekannten Milchpulverskandal bis hin zu den Korruptionsvorwürfen gegen ranghohe Parteifunktionäre erschüttert wurde. Zu diesem Zweck sollte bis 2020 ein System geschaffen werden, welches die gesamte Bevölkerung Chinas sowie sämtliche Unternehmen öffentlich bewerten würde. Das Social Credit System war geboren. Sechs Jahre später ist das System zwar noch nicht ganz vollständig, doch dutzende Pilotprojekte seitens der Regierung und großer chinesischer Technologie-Unternehmen haben gezeigt, dass das Unterfangen möglich ist. Ziel Erstes Ziel dieser Arbeit ist es, der Frage nachzugehen, wie es zu dieser Art der totalen Überwachung in China kommen konnte, wie weit das System bereits fortgeschritten ist und welche Auswirkungen es auf die Bevölkerung haben kann. Zusätzlich werden die technischen Grundlagen, die den Betrieb eines solchen Systems ermöglichen, durchleuchtet. Im zweiten Teil der Arbeit werden Kriterien zur Analyse und Diskussion von Social Credit Systemen definiert und anhand von Beispielen angewendet. Zudem wird die Frage beantwortet, welche Risiken in einem Social Credit System existieren und welche von dem System selber ausgehen.

Abschließend wird analysiert, wie weit der Rest der Welt von ähnlichen Systemen entfernt ist. Ergebnis Zu diesem Zweck wurde eine ausführliche Literaturrecherche mittels wissenschaftlicher und journalistischer Quellen durchgeführt. Die Ergebnisse zeigen, dass sich die Regierung Chinas von der Einführung eines Social Credit Systems nicht nur gesellschaftspolitische Veränderungen, sondern auch eine Stabilisierung ihrer Machtposition erhofft. Anhand der Literaturrecherche wurden dann die vorgeschlagenen Kriterien für die Analyse von Social Credit Systemen abgeleitet und an drei Beispielen angewandt. Dazu wurde jeweils ein Social Credit System mit einem kommerziellen, staatlichen und sozialen Hintergrund vorgestellt und begutachtet. Abschließend wurden Systeme außerhalb Chinas betrachtet und es konnte aufgezeigt werden, dass das Potenzial für ein Social Credit System auch im Westen gegeben ist, da viele der zugrundeliegenden Technologien bereits jetzt, auch bei uns, im Einsatz sind.

Cyber-Bullying und Cyber-Stalking

Dipl.-Ing. Thomas Pointner, BSc Betreuer: FH-Prof. Mag. Dr. Simon Tjoa

Ausgangslage Die Digitalisierung und Vernetzung durch das Internet hat Cyber-Bullying und Cyber-Stalking während der letzten Jahre erhöht. Neben vielen anderen Verbrechen in der Onlinewelt werden Cyber-Bullying und Cyber-Stalking als zwei Arten der Internetkriminalität eingeordnet. Jedoch ist die Vorhersage der Täterschaft ohne geeignete Faktoren sehr schwierig. Ziel Diese Arbeit hat zum Ziel, die Faktoren bei den Täter*innen sowie bei den Opfern von Cyber-Bullying und Cyber-Stalking aufzuzeigen und zusammenzufassen. Diese sollen die Vorhersage von Cyber-Bullying und Cyber-Stalking ermöglichen und die Folgen für die beteiligten Personen reduzieren. Ergebnis Diese Arbeit liefert durch eine Literaturanalyse einen Überblick über die vorhandenen Erkenntnisse von Cyber-Bullying und Cyber-Stalking. Passend dazu wurden die historische Entwicklung, die Internetkriminalität in der DACH-Region und die Rollen in der Internetkriminalität behandelt. Anschließend wurden einige Arten der Internetkriminalität beschrieben, bevor Cyber-Bullying und Cyber-Stalking ausführlicher behandelt wurden. Dazu wurden verschiedene Rollen und Methoden sowie die Faktoren für die Vorhersage der beteiligten Menschen beschrieben. 30

Außerdem wurden die Folgen bei den betroffenen Personen und einige Möglichkeiten für das Vorgehen bei der Aufklärung der beiden Arten beschrieben, bevor der Zusammenhang von Rollen, Methoden und Faktoren sowie den Folgen erstellt wurde. Die Resultate wurden verglichen und die Unterschiede und Gemeinsamkeiten dargestellt. Es zeigte sich, dass zwar einige Gemeinsamkeiten vorhanden sind, aber Cyber-Bullying und Cyber-Stalking nicht identisch sind. Beispielsweise war das Geschlecht ein geeigneter Faktor für die Vorherbestimmung bei Cyber-Bullying und CyberStalking, bei den Opfern von Cyber-Bullying wiederum war es nur teilweise passend. Beim Alter konnte kein genauer Bereich erstellt werden, wodurch es kein passender Faktor war. Bei den anderen Faktoren sind noch weitere Forschungen notwendig und möglicherweise ist eine Kombination der Faktoren zielführend. Ausblick Die gewonnenen Erkenntnisse können bei der weiteren Forschung sowie für die Bekämpfung von Cyber-Bullying und Cyber-Stalking durch die Polizei eingesetzt werden. Ebenfalls können die Resultate für Schulung und Aufklärung dienen, um das Bewusstsein für die Thematik zu verbessern.

Phishing – Entwicklung eines Modells zur Erkennung von Phishing E-Mails für Anwender*innen

Dipl.-Ing. Ing. Jan Rammel, BA Betreuer: Dipl.-Ing. Dr. Robert Luh, BSc

Ausgangslage Phishing hatte seinen Anfang in den 90er Jahren und hat sich seither zu einer weltweit äußerst ernstzunehmenden Cyberbedrohung entwickelt. Mittlerweile landen beinahe täglich Phishing E-Mails in privaten und beruflichen E-MailPostfächern mit dem Ziel, vertrauliche und sensible Daten für kriminelle Handlungen zu erschleichen. Das Schadensausmaß kann dabei jedoch nicht nur aus finanzieller Sicht bewertet werden, sondern zieht in den meisten Fällen auch Imageverluste, Compliance-Probleme, Geldstrafen und häufig auch erhebliche Rechtskosten nach sich. Da bei Phishing Angriffen der handelnde Mensch beziehungsweise die Empfänger*in die Schwachstelle in der Verteidigungslinie darstellt, sollte hier mit unterschiedlichsten Maßnahmen gegen derartige Angriffe vorgegangen werden. Die technische und gestalterische Umsetzung bei Angriffsversuchen wird laufend besser und authentischer. Demnach wird es für technisch weniger versierte Nutzer*innen schwieriger, Phishing Angriffe zu erkennen. Dadurch steigt die Gefahr, (Zugangs-) Daten / Geld zu verlieren beziehungsweise Opfer von Schadsoftware zu werden.

unterstützen soll. Dazu sollen bereits bestehende Erkennungsmodelle, Leitfäden und Handlungsempfehlungen zu Phishing analysiert werden. Auf dieser Grundlage entsteht ein Modell, welches von der technischen Seite betrachtet einfach und verständlich aufgebaut ist und eine eindeutige und gleichbleibende Struktur für die Prüfung vorgibt und gleichzeitig auch auf alle E-Mail Nachrichten anwendbar ist. Ergebnis Um die Effektivität des Erkennungsmodells zu überprüfen, wurde ein Laborexperiment mit zehn E-Mail Samples mit insgesamt 45 Proband*innen, die in drei Versuchsgruppen zugeteilt wurden, durchgeführt. Dabei zeigte sich im Ergebnis, dass die Experimentalgruppe mit dem im Zuge der Arbeit entwickelten Erkennungsmodell als Hilfestellung die höchste Erkennungsrate bei Phishing E-Mails erzielte. Darüber hinaus wurde festgestellt, dass das entwickelte Erkennungsmodell bei technisch weniger versierten Nutzer*innen eine große Unterstützung für die zuverlässige Kategorisierung von Phishing E-Mails darstellte.

Ziel Ziel dieser Arbeit ist es, ein Erkennungsmodell in Form eines Leitfadens mit definiertem Ablauf zu entwickeln, welches bei der Klassifizierung in seriöse und betrügerische Nachrichten 31

Agiles Informationssicherheitsmanagement

Dipl.-Ing. Lena-Valerie Rechberger, BSc Betreuer: FH-Prof. Mag. Dr. Simon Tjoa

Ausgangslage Die Welt der Informationssicherheit ist heutzutage mehr denn je von Komplexität und raschen Veränderungen geprägt, wodurch der Schutz von Informationswerten eine ständige Herausforderung darstellt. Aufgrund der langfristigen Planungszyklen und den umfangreichen Dokumentationsanforderungen werden Informationssicherheitsmanagementsysteme (ISMS) nach der Norm ISO 27001 jedoch gelegentlich als schwerfällig, unflexibel und somit ungeeignet für ein schnelllebiges Umfeld kritisiert. Im Bereich der Softwareentwicklung hingegen existieren bereits einige Rahmenwerke, die sich durch ein iteratives, inkrementelles Vorgehen mit häufigen Feedbackschleifen kennzeichnen, wodurch eine rasche Reaktion auf veränderte Rahmenbedingungen ermöglicht wird. Ziel Das Ziel dieser Arbeit ist es daher, festzustellen, ob und wie die Flexibilität und Anpassungsfähigkeit agiler Ansätze im Kontext eines ISMS genutzt werden kann. Dazu wurde den Forschungsfragen nachgegangen, welche Grundsätze agilen Vorgehensmodellen und einem Informationssicherheitsmanagementsystem zugrunde liegen, ob sich diese beiden Ansätze verbinden lassen und wie ein solches Modell für ein agiles ISMS aussehen kann. 32

Ergebnis Zur Beantwortung wurden die zentralen Konzepte eines ISMS sowie die Grundsätze und Prinzipien agiler Ansätze und Scrum anhand einer umfassenden, qualitativen Literaturanalyse ermittelt und gegenübergestellt. Zudem wurde eine Literaturrecherche zur Erhebung ähnlicher Ansätze durchgeführt. Darauf aufbauend wurden agile Werte und Prinzipien für das Informationssicherheitsmanagement abgeleitet, die Vereinbarkeit der beiden Ansätze analysiert und daraus ein theoretisches Vorgehensmodell für ein agiles ISMS entwickelt. Da sich der Einsatz agiler Vorgehensmodelle nicht für alle Bestandteile eines ISMS gleichermaßen eignet, wurde ein kombinierter Ansatz in Anlehnung an das Konzept der bimodalen IT gewählt, welcher einerseits die plangetriebenen Aktivitäten eines ISMS angemessen berücksichtigt und andererseits flexible Reaktionen im Bereich des Risikomanagements und der Maßnahmenumsetzung ermöglicht. Die Arbeit zeigt somit, dass eine Verbindung agiler Herangehensweisen mit dem Bereich des Informationssicherheitsmanagements nach ISO 27001 machbar ist und beschreibt eine mögliche Variante für die Umsetzung.

Aufbau einer Cyber-Incident-Datenbank

Dipl.-Ing. Florian Schier, BSc Betreuer: FH-Prof. Mag. Dr. Simon Tjoa

Ausgangslage Die immens steigenden Ransomware-Angriffe des letzten Jahrzehnts haben eines klar verdeutlicht. Unternehmen sind infolge des rasanten technologischen Fortschritts vermehrt Ziel von Cyber-Angriffen. Vorhandene Sicherheitsmaßnahmen reichen oftmals nicht aus, um sich gegen Angreiferinnen und Angreifer*innen zu verteidigen. Dies wurde durch NotPetya untermauert. Der geschätzte Schaden belief sich auf 10 Milliarden Dollar und NotPetya war und ist einer der bekanntesten und destruktivsten Cyberangriffe der letzten Jahre. Cyberangriffe stellen eine zunehmende Bedrohung für alle Unternehmen in jeder Größenordnung, Branche sowie auch für Regierungen dar. Ziel Ziel dieser Arbeit ist es, einen Überblick darüber zu geben, welche frei verfügbaren Incident-Datenbanken publik sind. Zusätzlich wurden diese anhand von Cyberbedrohungen klassifiziert und kritisch analysiert. Weiters sollen die verfügbaren Technologien evaluiert werden, die für die Erstellung einer Incident-Datenbank notwendig sind. Daher wurden Cyber-Threat-Taxonomien dahingehend untersucht, wie diese angewendet werden können, um eine eigene Datenbank zu erstellen.

Ergebnis In der Arbeit konnte verdeutlicht werden, dass diverse Quellen vorhanden sind, die Security Incidents sammeln und aufarbeiten. Jedoch bestehen im Großen und Ganzen keine Datenbanken, die verwendet werden können, um eine Cyber-Incident-Datenbank zu entwickeln. Datenbanken bieten entweder einen sehr schwachen Detailgrad oder werden nicht mehr bzw. zu wenig gewartet. Daher wurden Cyber-Threat-Taxonomien evaluiert, um zu entscheiden, wie der Einsatz und die Entwicklung einer Incident-Datenbank aussehen könnte. Dabei hat sich herausgestellt, dass mit STIX bzw. MISP zwei Möglichkeiten und Ansätze existieren, eine Cyber-Incident-Datenbank zu erstellen und zu betreiben. Dazu wurde eine eigene Taxonomie entwickelt, um Events einheitlich zu klassifizieren und zu strukturieren. Ein Vorteil der ausgearbeiteten Lösung ist, dass die Taxonomie ebenso einfach und schnell in MISP importiert werden kann und zur Verwendung verfügbar ist.

Binary Deobfuscation - Automatic Attacks against Virtualization-based Obfuscatio

Dipl.-Ing. Stefan Schweighofer, BSc Betreuer: Dipl.-Ing. Patrick Kochberger, BSc

Ausgangslage Schadhafte Programme stellen eine Bedrohung für Unternehmen und Privatpersonen dar, was zur Folge hat, dass diese kontinuierlich analysiert werden müssen, um gegen neue Bedrohungen dieser Art gewappnet zu sein. Jedoch erschwert Obfuskation diesen Analyse Vorgang, da diese Methode von Schadsoftware Autor*innen genutzt wird, um Funktionalitäten in einem Programm zu schützen. Das Ziel von Obfuskation ist, die Analyse eines Programmes möglichst schwierig und zeitaufwändig zu gestalten. Die virtualisierungsbasierte Obfuskierung ist dabei eine fortgeschrittene Art der Obfuskierung und eine Analyse dieser Obfuskierung ist mit einem hohen Zeitaufwand verbunden. Deshalb wurden über die letzten Jahre einige Ansätze und Programme entwickelt, die diese Art der Obfuskierung rückgängig machen können. Damit kann eine Analyse dieser obfuskierten Programme wesentlich leichter durchgeführt werden. Deobfuskation beschreibt dabei die Auflösung der Obfuskierung in einem Programm. Des Weiteren wurden bereits automatisierte Programme entwickelt, welche im Stande sind, eine virtualisierungsbasierte Obfuskierung rückgängig zu machen. Diese Arbeit fokussiert sich auf vier dieser automatisierten Deobfuskierungsprogramme für virtualisierungsbasierte Obfuskierung und evaluiert diese in einer definierten Testumgebung. 34

Ziel Das Ziel dieser Arbeit ist es, vier unterschiedliche Programme zu evaluieren, welche eine automatisierte Analyse von virtualisierungsbasierter Obfuskierung ermöglichen. Dabei werden die Deobfuskierungsprogramme in verschiedenen Testszenarien mit unterschiedlichen Formen der virtualisierungsbasierten Obfuskierung getestet. Diese Arbeit beschreibt den Testvorgang und die gewonnenen Resultate aus der Evaluierung, um einen Einblick auf die Anwendbarkeit der Deobfuskierungsprogramme zu geben. Ergebnis Durch die Evaluierung hat sich gezeigt, dass es in bestimmten Testszenarien möglich ist, eine automatisierte Deobfuskierung mit den evaluierten Programmen durchzuführen. Jedoch ging aus den Ergebnissen hervor, dass es noch Herausforderungen gibt, welche gelöst werden müssen, um die Deobfuskierungsprogramme resistenter gegen unterschiedliche Formen der virtualisierungsbasierten Obfuskierung zu machen.

Analyse des Implementierungsgrades von Industrieprotokollen im Netzwerkanalysetool Wireshark

Dipl.-Ing. Ing. Markus Seitner, BSc Betreuer: FH-Prof. Dipl.-Ing. Dr. Sebastian Schrittwieser, Bakk

Ausgangslage Wireshark ist heutzutage eines der beliebtesten Netzwerkanalyse-Tools. Seit seiner Entwicklung sind stetig immer weitere Protokolle hinzugekommen, die Wireshark decodieren kann und vor allem in Büronetzwerken ist das Tool nicht mehr weg zu denken. Doch wie sieht es im Bereich der Industrie-Netzwerke diesbezüglich aus. Dort wurden anfänglich reine Fieldbus Protokolle eingesetzt. Diese verwendeten zur Übertragung oft serielle Interfaces im Gegensatz zu Firmennetzwerken, wo fast alles auf dem Ethernet Protokoll aufbaut. Letztgenanntes hat den Vorteil, dass Netzwerkpakete relativ einfach, entweder direkt am Endgerät oder auf einem Switch über Port-Mirroring oder am Kabel mit einem sogenannten Tap-Gerät aufgezeichnet werden können. Bei einem seriellen Interface werden spezielle Adapter benötigt und das Mitschneiden von den übertragenen Daten ist meistens auch schwieriger. Über die letzten Jahre zeichnet sich ein deutlicher Trend zu den Industrial Ethernet Protokollen hin ab. Diese haben die reinen Fieldbus Protokolle inzwischen bei der Errichtung neuer Industrie-Netzwerke überholt. Zusätzlich gibt es bereits die ersten Wireless Protokolle für Industrielle Anlagen.

Doch inwieweit kann Wireshark heutzutage mit diesen Protokollen umgehen? Werden die einzelnen Felder des Protokolls richtig ausgelesen und angezeigt oder wird das Protokoll vielleicht noch gar nicht verstanden? Ziel Das Ziel dieser Arbeit ist festzustellen, inwieweit die verschiedenen Industrieprotokolle in Wireshark implementiert sind. Dabei wird zuerst recherchiert, welche Industrieprotokolle es überhaupt gibt. Anschließend wird überprüft, ob für diese ein Dissector in Wireshark vorhanden ist. Für die Protokolle, bei denen ein PCAP File gefunden wird, wird eine genaue Auswertung des Implementierungsgrades erstellt (vollständig, teilweise, etc.). Zum Schluss wird noch für das “Fox” Protokoll ein Dissector programmiert. Ergebnis Im Zuge dieser Arbeit wurde eine Übersicht erstellt, welche Protokolle, inwieweit in Wireshark integriert sind. Dabei konnte festgestellt werden, dass es gravierende Unterschiede zwischen den älteren Fieldbus Protokollen und neueren Protokollen gibt, welche auf Ethernet aufbauen. Letztgenannte sind deutlich besser in Wireshark implementiert. Gesamt betrachtet sind nicht einmal 50% der Protokolle implementiert, was sicherlich auch dem geschuldet ist, dass einige Protokolle nicht quelloffen sind. 35

Cyber-Resilienz vs. Anti-Fragilität

Dipl.-Ing. Christopher Simader, BSc Betreuer: FH-Prof. Mag. Dr. Simon Tjoa

Ausgangslage Cyberbedrohungen entwickeln sich rasant weiter – fast täglich tauchen sie auf. Althergebrachte Cyber-Sicherheitskonzepte sind nicht mehr zeitgemäß und greifen in vielen Ausmaßen zu kurz, um den neuen Herausforderungen zu begegnen. Der Fachbegriff Resilienz steht in der Psychologie für die innere Widerstandsfähigkeit und Anpassungsfähigkeit, welche Menschen hilft, mit Stresssituationen umzugehen und diese zu überstehen. Bei der Cyber-Resilienz werden Vorsorgemaßnahmen getroffen, die sich wie ein Schirm über das gesamte System erstrecken, damit dieses auch während einer Stresssituation voll funktionsfähig bleibt. Sollte es zu einem Störfall kommen, versucht das System den vorherigen sicheren Zustand automatisch wiederherzustellen. Große komplexe Systeme bringen jedoch auch die heutigen Lösungsansätze der Cyber-Resilienz an ihre Grenzen, denn diese Sicherheitskonzepte haben eine niedrige Toleranz gegenüber Fehlern und machen eine Wiederherstellung des ursprünglichen Zustandes fast unmöglich. Ein neuer Denkansatz ist somit notwendig und wurde womöglich im Konzept der Anti-Fragilität gefunden. Bei der Anti-Fragilität soll nicht nur der ursprüngliche Zustand 36

wiederhergestellt werden, sondern das System soll laufend dazulernen, um zukünftigen Störungen besser entgegenwirken zu können. Ziele Das Ziel dieser Arbeit ist es festzustellen, ob die AntiFragilität über die Lösungsansätze der Cyber-Resilienz, im Hinblick auf die Sicherheit bei Informations- und Kommunikationstechniken, hinausgeht und mit den neuen Herausforderungen, wie Big Data, also sehr große Datenmengen, oder Industrie 4.0, die derzeitige Digitalisierung, fertig wird. Es gilt ebenfalls festzustellen, ob das Konzept der AntiFragilität zum Schutz der Informations- und Kommunikationstechniken überhaupt anwendbar ist und welche Ansätze bereits in diese Richtung gehen. Ergebnis Als einer der Vorreiter in Richtung Anti-Fragilität bei Informations- und Kommunikationssystemen gilt das Tool „Chaos Monkey“ vom Streaming-Portal Netflix. Dabei werden laufend kleine Instanzen mit Absicht zerstört, damit das System lernt, damit umzugehen und sich gegen unerwartete Stressoren abzuhärten. Ein weiterer Ansatz, um das System laufend zu verbessern, ist das Cyber Red Teaming. Hierbei agiert eine Gruppe als Angreifer, um Schwachstellen im System aufzudecken, und eine zweite Gruppe korrigiert die gefundenen Schwachstellen.

Agile Incident Response Teams

Dipl.-Ing. Lisa Steinwendtner, BSc Betreuer: Mag. Dr. Simon Tjoa

Ausgangslage Die heutige Informationssicherheitslandschaft wird immer häufiger zum Ziel von Cyber Angriffen, welche zu hohen finanziellen Verlusten für Organisationen führen können. Infolgedessen versuchen Unternehmen die Cyber Security Incidents zu minimieren, um den Schaden so gering wie möglich zu halten. In vielen Fällen sorgen organisationsinterne Incident Response Teams für die Behandlung der Cyber Security Incidents. In den vergangenen Jahren haben jedoch Forschungsarbeiten die Probleme bei den linearen und planorientierten Ansätzen der herkömmlichen Incident Response Methoden aufgezeigt. Die herkömmlichen Ansätze sind für die schnelllebige IT-Landschaft ungeeignet und verfügen nicht über die notwenige Anpassungsfähigkeit, um neuartigen Cyber Attacken entgegenwirken zu können. Ziele Das Ziel dieser Arbeit ist, zu beschreiben, wie agile Prinzipien und Methoden im Cyber Security Incident Management angewendet werden können.

Prozess für Incident Response Teams erarbeitet. Anschließend wird ein Beispiel für einen Cyber Security Incident anhand einer User Story mit dem agilen Prozess dargestellt. Ergebnis Im Rahmen dieser Arbeit wird eine Integration von agilen Methoden aus der Softwareentwicklung für das Incident Management durchgeführt. Mithilfe einer Nutzwertanalyse stellt sich Scrumban als bestgeeignete agile Methode für das Incident Management heraus. Dabei wird der Incident Response Prozess mit den Artefakten und Ereignissen von Scrumban adaptiert. Diese bereichern den Incident Response Prozess und bieten noch genügend Freiheiten, um die agile Methode auf das Incident Management anzupassen. Das Scrumban Board bietet während eines Incident eine Übersicht über alle Aufgaben, welche noch zu erledigen sind, sich in Bearbeitung befinden oder bereits abgeschlossen sind. Die agile Integration hat den Vorteil, dass die Incident Response Zeiten verkürzt werden können, indem schneller und wirkungsvoller auf Cyber Security Incidents reagiert werden kann. Zudem werden durch das Vorschreiben von standardisierten Ereignissen und Artefakten die Transparenz der Aufgaben und die Kommunikation erhöht.

Um dies zu erreichen, wird die Bewertung einiger der bekanntesten agilen Methoden basierend auf ihrer Eignung für den Incident Response Prozess durchgeführt und die geeignetste Methode ausgewählt. Anhand dieser wird ein agiler 37

Cyber-Terrorismus

Dipl.-Ing. Marcus Szing, BSc Betreuer: FH-Prof. Mag. Dr. Simon Tjoa

Ausgangslage In den Medien sorgen terroristische Anschläge immer wieder für Aufsehen, da oftmals erschreckende Bilder veröffentlicht werden. Dass tatsächlich große Gefahren von solchen Terrorgruppen ausgehen können, hat spätestens der Al-Qaida Anschlag vom 11. September 2001 gezeigt. Aber auch die Terrorgruppe „Islamischer Staat“ sorgte in den letzten Jahren für erschreckende Bilder aus der Region um Syrien. Diese Bilder wurden nicht nur im Fernsehen und Radio gebracht, sondern oftmals von den Terrorist*innen selbst in den eigenen Social-Media-Kanälen gepostet. Terrorist*innen können die weltweite Vernetzung des Internets aber nicht nur zur Propaganda und Kommunikation nutzen, sondern auch für Cyber-Angriffe auf kritische Infrastrukturen. Ziel Ein wesentlicher Punkt der Arbeit ist die Analyse bestehender Cyber-Angriffe auf terroristische Hintergründe. Dadurch sollen die Aktivitäten von terroristischen Organisationen sowie deren Auswirkungen näher untersucht werden. Hauptziel ist es, Informationen zu verschiedenen Angriffen von terroristischen Gruppen auf IT-Infrastrukturen aus den letzten Jahren aufzubereiten. Mithilfe dieser Informationen sollen zunächst Parallelen herausgearbeitet werden, 38

um einen besseren Überblick auf die Opfer von CyberTerrorist*innen zu bekommen. Anschließend sollen auf Basis bereits existierender Ansätze aus der Kriminologie und Cyber-Defence Techniken zur Vermeidung solcher Anschläge entwickelt werden. Ergebnis Im Zuge der Arbeit wurden neun große Fälle von CyberTerrorismus aufgearbeitet und die wesentlichen Merkmale aufbereitet. Dazu zählen die terroristische Angreifer*in, das Opfer des Angriffs, der Angriffshergang und die Folgen dieses Angriffs. In den gewählten Fällen zeigten sich anschließend einige Gemeinsamkeiten untereinander, wie z.B. in den Herkunftsländern der Angreifer*innen oder in den Arbeitsbranchen der Opfer. Auf Basis der gewonnenen Informationen konnten insgesamt 20 Techniken entwickelt werden, die bei den vergangenen Fällen Wirkung gezeigt haben, indem sie die Angriffe verhinderten oder die Schäden verringerten.

Automated Active Directory Testing – Creating a framework for automated internal Assessments

Dipl.-Ing. Matteo Tomaselli, BSc Betreuer: Dipl.-Ing. Dipl.-Ing. Christoph Lang-Muhr, BSc

Ausgangslage Wer hätte ahnen können, welche Herausforderungen das Jahr 2020 durch den Ausbruch von Covid-19 mit sich bringt. Dies betrifft im speziellen auch Unternehmen, welche vor der Herausforderung stehen, ihren Betrieb am Laufen zu halten. Um dies zu bewerkstelligen, müssen Lösungen geschaffen werde, die es den Mitarbeiter*innen erlaubt auch von zu Hause aus Ihre Arbeit zu verrichten. Die Bereitstellung von VPN Lösungen sowie anderen Werkzeugen, die den Zugriff auf das interne Netzwerk von Unternehmen ermöglichen, führt auch zur Vergrößerung der Angriffsfläche. Umso wichtiger ist es, einen sogenannten „AssumeBreach“ Ansatz zu verfolgen, welcher sicherstellt, dass der angerichtete Schaden im Falle eines Durchbruches im Perimeter, möglichst gering ausfällt. Während Sicherheit an vielen Stellen eine Rolle spielt, trifft dies jedoch besonders auf die Kernkomponenten eines Unternehmens zu. Diese Arbeit fokussiert daher die Evaluierung der Sicherheit von Microsofts Active Directory durch automatisierte Angriffe.

Fokus der Arbeit. Ergebnis Im Lauf der Arbeit wurde eine Analyse von verbreiteten Taktiken, Techniken sowie Prozeduren erstellt die von Angreifer*innen genutzt werden, um Privilegien zu eskalieren. Aufbauend auf diesen Analysen wurden ausgewählte Techniken sowie Prozeduren als Module des Frameworks implementiert. Für die Evaluierung des Frameworks sowie der implementierten Module wurde eine fiktive Active Directory Umgebung aufgesetzt. Schlussendlich konnte nachgewiesen werden, dass der Einsatz des Frameworks einen Mehrwert an Sicherheit durch die automatisierte Ausnutzung von Schwachstellen bringt.

Ziel Das Ziel der Arbeit ist die Entwicklung eines Frameworks, welches Unternehmen helfen soll, ihre Infrastruktur auf verbreitete Angriffsvektoren zu untersuchen basierend auf der Cyber-Kill-Chain. Neben der Identifizierung von Schwachstellen bzw. Angriffspfaden im internen Netzwerk, liegt hauptsächlich die automatische Ausnutzung dieser im 39

Forschung, Beratung oder Entwicklung? Bewirb dich jetzt!

Deine Benefits: SBA Research ist Österreichs größtes außeruniversitäres Forschungs- und Beratungszentrum für Informations- und IT-Sicherheit. In Zusammenarbeit mit TU Wien, Universität Wien, WU Wien, TU Graz, AIT und FH St. Pölten sowie internationalen Institutionen betreiben wir Spitzenforschung auf internationalem Niveau. Zusätzlich etablierten wir einen Dienstleistungsbereich, der seit Jahren als verlässlicher Partner von Ministerien, Behörden, Großunternehmen und KMUs geschätzt wird.

Unsere Mission: Unser nationales und internationales Forschungsund Firmennetzwerk zu erweitern Durch professionelle Beratung das Sicherheitsniveau unserer KundInnen und PartnerInnen signifikant zu erhöhen Neue Forschungsfelder zu entdecken und mitzugestalten Unsere Schwerpunkte: Grundlagenforschung & angewandte Forschung (AI/ML, IoT/Industrial Security, Blockchain, Privacy, Network/System Security) Consulting im Bereich ISMS (ISO 27001) sowie Durchführung von IT-Audits Penetration Testing & Secure Software Development

Gestaltungsfreiraum bei der Umsetzung neuer Services, Produkte und Konzepte Zahlreiche Benefits (Gleitzeit, Home-Office-Möglichkeit, Obst-Körbchen, Säfte, Kaffee, Team-Events, Club-Mate, etc.) Möglichkeit einer wissenschaftlichen Karriere (z. B. Doktorat) und der Zusammenarbeit mit ExpertInnen auf den verschiedensten Gebieten Laufende Weiterbildung (z. B. SANS) und Teilnahme an verschiedensten Konferenzen Dein Profil: Abgeschlossenes, einschlägiges Studium (IT-Security, Informatik, …) Solide technische Kenntnisse und ausgeprägtes Wissen im IT-Bereich Berufserfahrung im Bereich IT-Security ist von Vorteil Freundliche Persönlichkeit und eine schnelle Auffassungsgabe Wir freuen uns, dich kennenzulernen unabhängig davon ob BerufseinsteigerIn oder Profi!

Sende einfach deinen Lebenslauf und Kontaktdaten an: jobs@sba-research.org

www.sba-research.org

Studiengangsbeirat Um einen möglichst marktorientierten und bedarfsgerechten Praxisbezug in den Studiengängen zu gewährleisten, wurde im Jahr 2010 ein Studiengangsbeirat eingerichtet. Dieser Beirat fungiert als wichtiges Bindeglied zwischen Ausbildung und Wirtschaft und stellt damit die laufende qualitative Weiterentwicklung der Studiengänge sicher. Die Unternehmen agieren dabei als Auftraggeber*innen für Projekte und Diplomarbeiten, Partner*innen in Forschungsprojekten, Mitglieder beim Entwicklungsteam oder Arbeitgeber*innen für Praktikant*innen oder Absolvent*innen. Derzeit sind im Beirat mehr als 30 namhafte österreichische und internationale Unternehmen und Organisationen vertreten.

Beirat für die Studiengänge IT Security und Information Security

Data Science and Business Analytics Bachelor | Vollzeit Abschluss

Bachelor of Science in Engineering (BSc)

Kosten pro Semester

EUR 363,36 + ÖH-Beitrag

International

Studiendauer

Optionen: Internationales Projektsemester, Auslandssemester

6 Semester Studienplätze/Jahr

www

Bewerbung und weitere Infos:

fhstp.ac.at/bds

Data Science ist eine neue akademische Disziplin, die Ihnen neben statistischen und technischen Fähigkeiten auch Praxisund Anwendungswissen in einem wählbaren Fachbereich vermittelt.

Studieninhalte

Berufsfelder

Das Studium besteht aus vier Schwerpunkten: n Data Science: vermittelt die Fähigkeiten der Datenanalyse, des maschinellen Lernens und der künstlichen Intelligenz. n Informatik: befasst sich mit der Informationsverarbeitung, -übertragung und -speicherung. Wichtige Themen des Schwerpunkts sind Grund- lagen des Codings, Big-Data-Technologien und Business Intelligence. n Wirtschaft und Recht: befasst sich mit Grundlagen des Codings-, Big-Data-Technologien und Business Intelligence. n Wahlmodul: Da Datenspezialist*innen ihre Analysen immer in einem bestimmten Kontext durchführen, ermöglicht das Studium eine Spezialisierung in einem wählbaren Anwendungsgebiet (z. B.: Marketing, Gesundheit, Medien, Sicherheit, Produktion)1.

Neben der Beschäftigung als Data Scientist arbeiten Absolvent*innen unter anderem als: n Data Analysts: analysieren und interpretieren Datenquellen im Unternehmenskontext. n Data Engineers: entwickeln datengetriebene Anwendungen zur Unterstützung unternehmerischer Prozesse. n Business Intelligence Specialists: haben die Aufgabe, aus Unternehmensdaten neue Erkenntnisse zu generieren, um die Entscheidungsfindungsprozesse zu unterstützen. n Chief Data Officers: haben die unternehmensweite Verantwortung für die Sammlung und Verarbeitung von Daten und gewinnen in Organisationen zunehmend an Bedeutung.

Fachbereiche werden im dritten Semester vorgestellt und können frei gewählt werden. Sie werden nach Bedarf der Studierenden angeboten und kommen ab einer Teilnehmer*innenzahl von fünf Personen zustande.

#Medien #Wirtschaft #Digitale Technologien #Informatik #Security 43

IT Security Bachelor | Vollzeit | berufsbegleitend Abschluss

Bachelor of Science in Engineering (BSc)

Kosten pro Semester

Studiendauer (Semester)

International

EUR 363,36 + ÖH-Beitrag

6 Vollzeit | 7 berufsbegleitend Studienplätze/Jahr

35 Vollzeit | 15 berufsbegleitend

Option: Auslandssemester

www

Bewerbung und weitere Infos:

fhstp.ac.at/bis

Cyber Crime gehört weltweit zu den massivsten Bedrohungen für die Wirtschaft. Gleichzeitig funktionieren immer mehr Prozesse nur noch EDV-gestützt. Im Studiengang erhalten Sie eine 360-Grad-Ausbildung in allen wesentlichen Schwerpunkten der IT Security, die Sie ideal für diese Herausforderungen rüstet.

Studieninhalte

Berufsfelder

Die Ausbildung besteht aus vier Schwerpunkten: n IT-Betrieb n Netzwerktechnik n Sicherheitstechnologien n Sicherheitsmanagement und Organisation

Als Absolvent*in werden Sie in allen Branchen, in denen ein sicherer IT-Betrieb gewährleistet sein muss, dringend benötigt.

Wesentlicher Teil der Ausbildung ist der Wissenstransfer in die Praxis. In zahlreichen Projekten mit Unternehmen und in der sogenannten „Krisenwoche“ bereiten Sie sich theoretisch und praktisch auf ein Worst-CaseSzenario vor.

Es ergeben sich dadurch beispielhaft folgende Berufsbilder: n Sicherheitsbeauftragte*r (Chief Security Officer) n Security-Architekt*in n E-Payment-/E-Government-/E-Business-Berater*in n Security-Berater*in n Netzwerk-/Betriebssystem-Administrator*in n Datenschutzbeauftragte*r n Auditor*in n Digital-Rights-Management-Expert*in

#Digitale Technologien #Informatik #Security

Absolvent*innen 2020 Bachelorstudium IT Security Bettina Bauchinger, BSc

Maximilian Henzl, BSc

Johannes Pinger, BSc

Thomas Bichler, BSc

Matthias Hinterholzer, BSc

Patrick Pirker, BSc

Birger Schacht, BSc

Daniel Judt, BSc

Pascal Pizzini, BSc

Ing. Bernhard Bruckner, BSc

Andreas Katits, BSc

Florian Plainer, BSc

Patrick Burian, BSc

Dominik Knotzer, BSc

Sasha Prock, BSc

Alan Damian, BSc

Andreas Kolan, BSc

Stefan Rödl, BSc

Daniel Deuschl, BSc

Marko Kozlica, BSc

Michael Sailer, BSc

Kevin Dorner, BSc

Marcus Kramar, BSc

Katharina Schmid, BSc

Florian Eichelberger, MA BA BSc

Matthias Lampl, BSc

Kathrin Schneller, BSc

Max Engelmaier, BSc

Kathrin Lang, BSc

Edin Spahic, BSc

Thomas Farfeleder, BSc

Traude Lang, BSc

Markus Steinbauer, BSc

Thomas Ferenczi, BSc

Manuel Leithner, BSc

Patrick Steiner, BSc

Magdalena Fest, BSc

Stephan Leitner, BSc

Michael Swoboda, BSc

Christian Frey, BSc

Christian Lepuschitz, BSc

Michael Tuchny, BSc

Marc Gehart, BSc

Philip Madelmayer, BSc

Wolfgang Woehrer, BSc

Laura Gross, BSc

Markus Mader-Ofer, BSc

Alexander Zhanial, BSc

Florian Gruber, BSc

Oliver Mann, BSc

Patrick Zivkovic, BSc

Jakob Hagl, BSc

Roman Miant, BSc

Doris Hauser, BSc

Cem Oeztuerk, BSc

Georg Hehberger, BSc

Stefan Pfeiffer, BSc

Künstliche Intelligenz in Intrusion Detection Systemen – Eine Literaturanalyse zum Einsatz verschiedener Methoden der künstlichen Intelligenz zur Klassifikation von Angriffen in Intrusion Detection Systemen Bettina Bauchinger, Bsc Betreuer: Dipl.-Ing. Peter Kieseberg

Ausgangslage Eine Wirtschaft ohne Computersysteme wäre heute nicht mehr denkbar. Ein Angriff auf solch ein System kann weitreichende Folgen haben, von Nichtverfügbarkeit des Systems über den Verlust von Daten bis hin zur Gefährdung von Menschenleben. Gerade deswegen müssen diese Systeme bestens vor Angriffen jeglicher Art geschützt werden. Dazu werden in erster Linie Intrusion Detection Systeme (IDS) verwendet. Gewöhnliche IDS erkennen allerdings nur jene Angriffe, welche in der Datenbank vorhanden sind, gegen neue, unbekannte Angriffe haben diese keine Chance. Wie können die Computersysteme nun vor diesen Angriffen geschützt werden? Dazu wird ein IDS benötigt, welches Angriffe anhand verschiedener Eigenschaften erkennt und basierend darauf Angriffsmuster erlernen kann. Besonders vielversprechend ist dabei der Einsatz von künstlicher Intelligenz. Künstliche Intelligenz ist ein sehr weit gefächerter Begriff, welcher eine Vielzahl verschiedener Methoden umfasst. Diese Arbeit fasst zusammen, welche Methoden der künstlichen Intelligenz am häufigsten in IDS zum Einsatz kommen und anhand welcher Eigenschaften diese IDS verglichen werden können.

Ziel Das Ziel der Arbeit ist es jene Methoden der künstlichen Intelligenz festzustellen, welche in der Literatur am häufigsten in IDS eingesetzt werden und diese kurz zu beschreiben. Zudem sollen jene Eigenschaften gefunden und extrahiert werden, anhand deren es möglich ist, die verschiedenen Ansätze für IDS untereinander zu vergleichen. Um diese Ziele zu erreichen wird eine strukturierte Literaturanalyse durchgeführt, welche Literatur aus den Jahren 2015 bis 2020 miteinbezieht. Ergebnis Es wurde die Literaturanalyse mit 114 Papers durchgeführt. Dabei ist herausgekommen, dass künstliche neuronale Netze, Support Vector Machines, Fuzzy Logic, Decision Trees und der genetische Algorithmus jene Methoden sind, welche am häufigsten in IDS eingesetzt werden. Diese Methoden können anhand der verwendeten Kennzahlen, wie beispielsweise Detection Rate und False Alarm Rate, unter Beachtung der Verwendung von Feature Selection, der Art der Klassifikation sowie des verwendeten Datensets verglichen werden.

IT-Risikomanagement unterstützt durch ein Security Operations Center Thomas Bichler, BSc Betreuer: FH-Prof. Dipl.-Ing. Herfried Geyer

Ausgangslage Durch die fortschreitende Digitalisierung und die damit verbundene Abhängigkeit von der Informationstechnologie, steigt die Anzahl der IT-Risiken in den Unternehmen. Weiters sind Organisationen, unabhängig der Größe, immer öfters mit Cyber-Attacken konfrontiert. Um derartige Risiken optimal zu steuern, gilt IT-Risikomanagement (ITRM), vor allem in größeren Firmen und Konzernen als ein absolutes Muss. Zusätzlich, werden sogenannte Security Operations Center (SOC) für die operative Überwachung der IT-Sicherheit eingesetzt, um vor allem Cyber-Bedrohungen bestmöglich entgegen zu wirken. Sowohl das ITRM, als auch ein SOC verfolgen ein ähnliches Ziel, nämlich den Schutz des Unternehmens vor möglichen Risiken, welche durch den Einsatz von Informationstechnologie entstehen, zu gewährleisten. Für beide, jeweils separat, sind eine Vielzahl an wissenschaftlichen Arbeiten, Standards und Bücher verfügbar. Dennoch findet sich aktuell kaum Literatur, welche beide Themenbereiche in einem Kontext behandelt oder darüber hinaus den Mehrwert durch Verbindung von ITRM und SOC aufzeigt. Diese Tatsache lässt die Frage, in welcher Form ein SOC das ITRM möglicherweise unterstützen könnte, unbeantwortet. Ziel Ziel dieser Arbeit ist es, zu eruieren, durch welche Techniken und Verfahren ein SOC relevante Beiträge zum ITRM leisten

kann und welche Risikomanagementmethoden dazu geeignet sind. Dazu werden zunächst unterschiedliche Risikomanagement-Standards aufbereitet, sowie Technologien und Aufgaben eines SOC beschrieben. Anschließend wird durch eine theoretische Gegenüberstellung beider Themenbereiche aufgezeigt, welche SOC-Technologie in welcher Phase des ITRM einen bedeutsamen Benefit liefern kann. Ergebnis Durch das Aufarbeiten und Darstellen unterschiedlicher Risikomanagement-Standards vermittelt die Arbeit zunächst einen Überblick über gängige ITRM-Prozesse. Anschließend wird der zweite Themenbereich, das SOC, beleuchtet und die dort eingesetzten Technologien analysiert. Nach Schaffung dieser Grundlagen, wird der Mehrwert durch die Verbindung von ITRM und SOC erläutert. Im Zuge der Arbeit konnte festgestellt werden, welche die für das ITRM relevanten SOC-Technologien sind. Dabei stellte sich heraus, dass vor allem das „Vulnerability Management“ als auch die „Threat Intelligence“ dem ITRM in vielen Schritten erheblich unter die Arme greifen kann. Diese tragen speziell im Zuge der Risikoidentifikation und der Risikoanalyse wertvolle Informationen zum ITRM bei. Ebenso wurde festgestellt, dass der Risikomanagement-Standard ISO/IEC 27005 unter den betrachteten Methoden am besten für die Zusammenarbeit mit einem SOC geeignet ist.

An Analysis of 5 Million OpenPGP Keys

Birger Schacht, BSc Betreuer: Dipl.-Ing. Peter Kieseberg

Ausgangslage Die Geschichte des OpenPGP Standards für kryptographisches Material erstreckt sich über zwei Jahrzehnte. Der Standard wurde im Laufe der Zeit sowohl von politischen Veränderungen als auch dem Fortschritt von Technologie und neuen Erkenntnissen im Feld der Kryptographie beeinflusst. Die Eigenschaften des kryptographischen Materials, das sich im Laufe der Zeit angesammelt hat und vor allem die Veränderungen dieser, können Einblick in die Wechselwirkungen von Gesellschaft, Wissenschaft und Technologie geben. Die Sammlung von OpenPGP Schlüsselmaterial die im SKS-Keyserver Netzwerk gespeichert wird, bietet hier einen interessanten Einblick. Ziel Das Ziel dieser Arbeit ist eine statistische Auswertung von 5 Millionen öffentlichen OpenPGP Schlüsseln. Eine graphische Aufarbeitung der Entwicklung von Eigenschaften wie Schlüssellänge oder benutzten Algorithmen werden Einblick in die Verwendung eines der weitverbreitetsten kryptografischen Formate geben. Die gewonnenen Daten können eine Basis für Entscheidungsprozesse bilden und das Design zukünftiger kryptographischer Produkte beeinflussen. Ausreißer in den Graphen können Hinweise auf Fehler in Programmen sein und Hinweise zur Verwendung von Softwarelösungen geben. 48

Ergebnis Die Arbeit zeigt, dass OpenPGP ein sehr komplexes Datenformat ist, das seit der ersten Implementierung und den darauf folgenden Standardisierungsprozessen viele Veränderungen erfahren hat. Durch die Analyse wurde bestätigt, dass rechtliche Rahmenbedingungen einen großen Einfluss auf den Standard hatten. Weiters zeigt die Arbeit, dass es in der Entwicklung von kryptographischen Lösungen lange dauert, Altlasten von technischen Entscheidungen los zu werden. Durch die Betrachtung von Ausreißern in der Entwicklung von verwendeten Algorithmen hat ein Ausreißer auf Fehler in Softwarelösungen hingewiesen. Ausblick Die einmalige Auswertung des kryptographischen Materials bildet eine Grundlage für mögliche weitere Forschungsarbeiten. Viele Eigenschaften des OpenPGP Paketformats wurden nur kurz angesprochen und könnten noch tiefer analysiert werden. Weiters könnte es sinnvoll sein, regelmäßig ähnliche Analysen zu wiederholen, um zeitnah etwaige Probleme erkennen zu können und darauf zu reagieren.

Sicherheitsanalyse von gängigen Smart-Home-Systemen

Ing. Bernhard Bruckner, BSc Betreuer: Dipl.-Ing. Oliver Eigner, BSc

Ausgangslage Immer mehr Menschen entscheiden sich dazu, ihr Eigenheim mittels diverser Smart-Home-Lösungen luxuriöser zu machen. So haben Drucker, die selbständig Toner nachbestellen, längst Einzug in heimische Unternehmen gehalten. Eine Waschmaschine hingegen, die das Waschmittel oder Verschleißteile automatisiert nachbestellt, klingt in den Ohren vieler immer noch ein wenig weit hergeholt. Natürlich ist es komfortabel, bereits am Weg nach Hause via Handy die Heizung aktivieren zu können, damit beim Eintreffen bereits angenehm warme Temperaturen herrschen. Doch in Zeiten, wo Ransomware-Angriffe oder anderen Hacking-Attacken zu den normalen Tagesthemen gehören, sollte solch Luxus nur mit Bedacht implementiert werden. Ziel Ziel dieser Arbeit ist es, einen Überblick über die untersuchten Systeme mit besonderem Augenmerk auf IT-Sicherheit zu geben. So soll es anhand definierter Anhaltspunkte möglich sein, ein sicheres Smart-Home-System anzuschaffen beziehungsweise dieses möglichst sicher zu betreiben. Ebenso sollen Angriffsszenarien für Smart-Home-Systeme in die Arbeit integriert werden. Ein weiteres Ziel ist die Ausarbeitung der beiden sicherheitsrelevanten Entwürfe zur Absicherung von KNX-Installationen..

Ergebnis Im ersten Schritt wird die Funktionsweise und der Einsatzbereich von KNXnet/IP Secure und KNX Data Security erklärt sowie deren Sicherheitsmechanismen beschrieben. Mit diesen Drafts ist es möglich, eine KNX-Installation sicher zu betreiben. Weiters wird ein zur Verfügung gestelltes Smart Home auf Schwachstellen untersucht. Dabei wird eine kritisch anzusehende Herstellerkonfiguration vorgefunden, welche sich aber durch sicherheitsbewusste Konfiguration von Partnerfirmen des Herstellers beheben lässt. Des Weiteren wird ein Überblick über mögliche Angriffsszenarien auf das Webinterface und Angriffe aus der Literatur auf Smart Homes gegeben. Dadurch ist es möglich, schon vor Anschaffung des Smart Homes die sicherheitsrelevanten Kriterien zu kennen, um auch nach Implementierung von diesem keine Bedenken bezüglich Sicherheit haben zu müssen. So kann der Verschmelzung von virtueller und physikalischer Welt gelassener und aufgeschlossener entgegengetreten werden.

Dezentrale Nicht-Cloud-Synchronisierung

Patrick Burian, BSc Betreuer: Dipl.-Ing Dr. Pirker Martin, Bakk.

Ausgangslage Die Cloud ist derzeit in aller Munde. Alle, die ein Smartphone oder einen PC besitzen, haben mit hoher Wahrscheinlichkeit schon mal die Cloud zum Synchronisieren von Daten verwendet. Doch was passiert, wenn die Cloud als zentraler Datenspeicher ausfällt oder diese aus Angst vor Spionage als Speicher für sensible Daten nicht in Frage kommt? Wäre es nicht praktisch, Daten ohne die Cloud zu synchronisieren und dabei auch noch Features wie das automatische Zusammenführen von verschiedenen Versionen oder die Offline-Bearbeitung der Daten zu unterstützen? Genau für solche Anwendungszwecke wurden dezentrale Datenstrukturen entwickelt, welche keinen zentralen Server benötigen, um Daten zwischen Benutzer*innen zu synchronisieren. Dabei unterstützen sie verschiedene zusätzliche Features, wie die Offline-Bearbeitung oder die Zusammenführung verschiedener Versionen, ohne dass bei Konflikten der Benutzer oder die Benutzerin gefragt wird, welche Version behalten werden soll. Manche Implementierungen unterstützen jetzt schon Ende-zu-Ende-Verschlüsselung, wodurch sie auch für sensiblere Daten verwendet werden können. Ziel Ziel dieser Arbeit ist es, aufzuzeigen, welche Optionen es bezüglich der Peer-to-Peer-Synchronisation gibt. Es soll zusätzlich evaluiert werden, ob die Implementierungen heute 50

schon für Security- und Privacy-Anwendungen eingesetzt werden können. Um dies zu bewerkstelligen, werden der aktuelle Stand der Forschung und die Implementierungen analysiert und auf ihre Anwendbarkeit hin untersucht. Ergebnis Die Literaturrecherche für die Arbeit ergab, dass viele verschiedene passende, mitunter auch komplexe Lösungen und Implementierungen heute schon verfügbar sind. Es wurde eine Übersicht der aktuell existierenden Techniken und Algorithmen erstellt sowie deren Nachteile und Vorteile aufgezeigt. Für die vielversprechendste Technik wurden einige Implementierungen vorgestellt und diese dann auf ihre Tauglichkeit für Security- und Privacy-Anwendungen geprüft. Damit wurde ein Überblick über die aktuell existierenden Möglichkeiten geschaffen. Ausblick In der Zukunft wird in diesem Forschungsbereich sicher noch Einiges passieren, da die Nachfrage für eine konfliktfreie dezentrale Daten-Synchronisierung gegeben ist. Daraus könnten sich auch am kommerziellen Markt Produkte für End-User*innen entwickeln.

Zukunft der sicheren Datenspeicherung – Unterschiede und Gemeinsamkeiten von verteilten Datenbanken und Blockchain-Technologien Alan Damian, BSc Betreuer: FH-Prof. Univ.-Doz. Dipl.-Ing. Dr. Piller Ernst

Ausgangslage Seit dem Erscheinen des Bitcoins auf dem Markt im Jahre 2008 und dem damit einhergehenden Umsetzen der ersten Blockchain in die Praxis versuchen Firmen, das BlockchainKonzept für sich zu nutzen. Ein regelrechter Wettbewerb ist ausgebrochen, welche Firma diese neue Technologie als erste für sich einsetzen oder ein neues Produkt auf den Markt bringen kann, um dadurch ihre Stellung als Vorreiter dieser Technologie auf- und auszubauen. 2020 hat das Thema Blockchain nach wie vor eine große Relevanz, denn Blockchains sind auf dem Vormarsch in vielen Branchen, doch nicht nur im Business-Bereich, sondern auch in unseren Häusern. Blockchains haben das Potenzial dazu, unsere Idee von Kommunikation für immer zu verändern. Um große Datenmengen effizient zu speichern, werden aktuell fast nur Datenbanksysteme verwendet, da diese viele positive Aspekte, wie zum Beispiel die Datenintegrität, gewährleisten. Doch haben Blockchains ebenfalls viele der positiven Aspekte einer Datenbank, doch vor allem sorgt die Blockchain für eine komplette Transparenz, weil jede Teilnehmer*in Einblick in die Daten hat, die in der Blockchain gespeichert werden. Dadurch ergibt sich die Frage, ob das eine System das andere ersetzen kann, oder ob es nur für gewisse Projekte eingesetzt werden sollte, denn auch wenn die Blockchain-Technologie noch in den Kinderschuhen steckt, hat diese ein enormes Potenzial, welches es auszuschöpfen gilt.

Ziel Das Ziel dieser Arbeit ist, festzustellen, inwieweit es Unterschiede und Gemeinsamkeiten zwischen verteilten Datenbanksystemen und der Blockchain-Technologie gibt. Ein besonderes Augenmerk wird dabei auf das Benutzermanagement und das Rechtemanagement gelegt. Dazu werden zwei Systeme miteinander verglichen, die repräsentativ für ihre Sparte stehen und die Unterschiede sowie die Gemeinsamkeiten ausarbeitet. Ergebnis Im Zuge dieser Arbeit wurde das Datenbanksystem MariaDB und die Hyperledger-Fabric-Technologie analysiert. Bei dem Datenbanksystem wurde besonders auf die Replikation/Synchronisation der Datenbank eingegangen, da diese ähnliche Eigenschaften wie eine Blockchain besitzt. Aufbauend auf diese Analysen wurde ein konkreter Überblick der beiden Technologien gewonnen, um die Unterschiede und Gemeinsamkeiten zu erkennen.

Vergleich von FOSS und proprietärer Software zum Schutz von KMU-Netzwerken

Daniel Deuschl, BSc Betreuer: Dipl.-Ing. Gabor Österreicher, BSc

Ausgangslage Die Zahl der Anzeigen im Bereich der Internetkriminalität stieg in Österreich auch 2019 an. Zwei von drei heimischen Unternehmen sind durchschnittlich von Cyberattacken betroffen. Unternehmen investieren daher auch verstärkt in ihre IT; speziell der Bereich der IT-Sicherheit erhielt bei 32 Prozent der Unternehmen 2019 mehr Budget. Je größer ein Unternehmen ist, desto umfassender sind auch die eingesetzten Sicherheitsmaßnahmen. Blickt man nun auf Klein- und Mittelunternehmen, erhält man ein anderes Bild: Oft ohne dezidiertes IT-Security-Budget, oder sogar gänzlich ohne eigenständige IT-Abteilung, unterstehen die zu verarbeitenden Daten trotzdem demselben Schutzbedarf. Security-Fachleute sind sich einig: Am wirksamsten machen Sicherheitssysteme wie Firewalls und Intrusion-PreventionSysteme auf Angriffe aufmerksam. Unified Threat Management (UTM) bietet den vereinten Funktionsumfang von Firewalls, Intrusion-Prevention-Systemen, Anti Virus und weiteren Sicherheitslösungen direkt am Perimeter des Unternehmensnetzwerkes an. Open-Source-Software könnte hier einen zugänglichen und kostengünstigen Weg darstellen, um Unternehmen mit geringem IT-Budget einen adäquaten Schutz ihres Netzwerks und ihrer Daten zu bieten.

Ziel Das Ziel dieser Arbeit ist, Open Source UTM-Lösungen für den KMU-Markt zu evaluieren. Dafür werden aktuelle Methoden zur Evaluierung von Netzwerksicherheitsgeräten betrachtet und darauf aufbauend eine Methodik zum Vergleich von UTM-Lösungen entwickelt. Ebenso werden die Implementierungen des Fernzugriffs (üblicherweise VPN) der untersuchten Lösungen hinsichtlich ihrer Erfüllung aktueller Best-Practice-Standards überprüft. Ergebnis Die im Zuge dieser Arbeit entwickelte Methodik analysiert die Features von UTM-Geräten und testet Performance sowie Sicherheitsmechanismen mit Hilfe von Open-SourceSoftware. Schlussendlich wurden damit fünf freie sowie eine kommerzielle Lösung untersucht und so die zum Schutz von KMU-Netzwerken am besten geeigneten Varianten ermittelt.

Adversarial Machine Learning – Evaluating Attacks on Neural Networks and possible Defenses

Kevin Dorner, BSc Betreuer: FH-Prof. Mag. Dr. Simon Tjoa

Ausgangslage Sich während der Autofahrt gemütlich zurücklehnen, einen Kaffee trinken, ein kurzes Nickerchen einlegen, oder einfach nur aus dem Fenster schauen und die Seele baumeln lassen. Das Auto fährt von ganz alleine, die kürzeste Route wird je nach Verkehrslage automatisch neu berechnet und die Musik ist perfekt auf den persönlichen Geschmack und die aktuelle Stimmung zugeschnitten. Klingt utopisch? Viele dieser Technologien sind bereits im Einsatz und auch das vollständig autonom fahrende Auto ist wohl nur noch eine Frage der Zeit. Egal ob Cortana, Siri, Google Maps oder Spotify – all diese Anwendungen nutzen Maschinelles Lernen. Dabei finden vor allem neuronale Netzwerke, also durch komplexe Algorithmen lernfähige Programme, Einsatz, die speziell im Bereich der Bilderkennung und -klassifizierung bereits eine höhere Genauigkeit als Menschen erreichen. Durch dieses enorme Potenzial sind solche Netzwerke auch für sicherheitskritische Bereiche, wie selbstfahrende Autos oder das Überwachen von öffentlichen Räumen, interessant geworden. Doch die Forschung hat gezeigt, dass es mittels spezieller Angriffe möglich ist, diese Systeme auszutricksen. Kleinste Manipulationen an einem zu bewertenden Bild, die für einen Menschen oft unsichtbar sind, sorgen dafür, dass das neuronale Netzwerk ein „STOP“- Schild plötzlich als Luftballon wahrnimmt. Das wirft die Frage auf, wie sicher es ist, solche Technologien in sicherheitskritischen Bereichen einzusetzen. In dieser Arbeit

werden deshalb gängige Angriffe sowie Verteidigungsstrategien betrachtet. Ziel Das Ziel dieser Arbeit ist festzustellen, ob die Ergebnisse der bisherigen Forschung zu dieser Thematik rekonstruierbar sind. Dazu werden eine der effektivsten Angriffe unter originalgetreuen Laborbedingungen nachgestellt und die Ergebnisse miteinander verglichen. Ergebnis Im Zuge dieser Arbeit wurden verschiedene Angriffe auf neuronale Netzwerke vorgestellt und gängige Verteidigungsstrategien betrachtet. Des Weiteren wurde eine Attacke rekonstruiert und die dazu vorliegenden Forschungsergebnisse konnten bestätigt werden. Ebenso konnte gezeigt werden, dass „Defensive Distillation“ als Härtungsmaßnahme für neuronale Netzwerke nicht ausreichend ist. Letztlich wurde das Problem der Übertragbarkeit von manipulierten Bildern veranschaulicht und dadurch weitere Angriffsvektoren aufgezeigt.

Untersuchung zum Realismus der Darstellung von ITSecurity im Film an Hand ausgewählter Filme

Florian Eichelberger, MA BA BSc Betreuer: Dipl.-Ing. Peter Kieseberg

Ausgangslage Film, das ist entweder 24 Mal pro Sekunde Wahrheit oder Lüge. Das Medium Film wird schon seit seinen Anfängen zur Darstellung der Wirklichkeit oder dessen, was die Regisseur*in dem Publikum als solche präsentieren will, genutzt. In diesem Spannungsfeld bewegt sich auch die Darstellung von Technologie und damit auch IT Security. Von den Anfängen der Darstellung im frühen 20. Jahrhundert bis heute thematisieren sie viele Aspekte sowohl einer MenschMaschine Beziehung als auch einer möglichen Bedrohung durch Computer. Der Trend zu Filmen in denen IT Security und Hacking wesentliche Elemente sind setzt sich bis heute fort und bildet den inhaltlichen Grundstock dieser Arbeit. Acht Filme aus der Zeit von 1983-2015 werden nachfolgend hinsichtlich des Realismus ihrer Darstellungen von IT Security und Hacking analysiert und bewertet. Ziel Diese Arbeit untersucht acht ausgewählte Filme hinsichtlich ihres Gehalts an Realismus in der Darstellung von IT Security, wobei nicht nur relevante einzelne Szenen, sondern auch die Filme insgesamt bewertet werden. Das Ziel ist neben der Analyse der Filme auch eine kurze Untersuchung der Ergebnisse sowie eine Bewertung aus technischer Sicht nebst einer Untersuchung zu ausgewählten Wechselwirkungen zwischen Realität und Film und 54

ihren Einfluss auf die untersuchten Filme. Die Untersuchung selbst wird mittels einer qualitativen Analyse durchgeführt. Eine Schwierigkeit zeigt sich in der Auswahl der Filme und einer entsprechenden Bewertung der relevanten Aspekte, ohne den Rahmen dieser Arbeit zu sprengen. Aus diesem Grund wurden z.B. auch Serien, animierte Filme und Filme, welche für lokal begrenzte Märkte produziert wurden, nicht in die Auswertung aufgenommen. Ergebnis Die Analyse der Filme hat ergeben, dass es eine breite Palette an Darstellungsmöglichkeiten von IT Security und Hacking gibt, diese aber nur in wenigen Fällen wirklich realistisch ist und die überwiegende Anzahl der Filme entweder nur eine teilweise oder gar keine realistische Darstellung aufweisen. Hierbei zeigt sich aber keine zeitliche Korrelation zwischen Erscheinungsdatum und Realismus der Darstellung.

Serverless Computing – Wie verändern sich die Sicherheitsmaßnahmen einer Server-Infrastruktur beim Wechsel auf eine Serverless-Infrastruktur Max Engelmaier, BSc Betreuer: FH-Prof. Dipl.-Ing. Dr. Sebastian Schrittwieser, Bakk.

Ausgangslage Eine neue Art der serverlosen Infrastruktur konnte sich mit Serverless Computing etablieren. Durch Unternehmensgrößen wie Amazon, Microsoft und IBM, die bereits eigene Plattformen des Prinzips veröffentlichten, gewinnt es zusätzlich an Aufmerksamkeit. Neben Simplizität punktet es mit geringeren Kosten als alternative Infrastrukturlösungen und dem FaaS (Function-as-a-Service) Prinzip. Der große Vorteil bei Serverless Computing ist der Wegfall von operativen Aufgaben wie die Verwaltung von Netzwerk, Server und Speicher. Nutzer*innen wird dadurch der absolute Fokus auf die Entwicklung von Software ermöglicht. Trotz einiger Vorteile für Anwender*innen von Serverless Computing ergeben sich durch die Verschiebung der Verantwortung über die Infrastruktur auf den Anbieter neue Probleme. Ziel Das Ziel der Arbeit ist es, festzustellen wie sich Sicherheitsmaßnahmen für eine Server-Infrastruktur beim Wechsel auf eine Serverless-Infrastruktur verändern würden und warum. Hierbei sollen vor allem die Unterschiede der beiden Modelle aufgezeigt werden und wie sich die Sicherheit im Kontext auf diese verändert.

zum Einsatz kommen. Außerdem konnte die Weiterentwicklung der Sicherheitsmaßnahmen in Bezug auf eine Serverless-Infrastruktur dargestellt werden. Anschließend wurden die Maßnahmen genauer betrachtet, um festzustellen, wie diese die Sicherheit für Nutzer*innen gewährleisten. Nach dem Vergleich beider Systeme konnte gezeigt werden, was und warum sich Sicherheitsvorkehrungen ändern. Es lässt sich ein gleichbleibendes Maß an Sicherheit erkennen, was sich ändert, ist der Verantwortungsträger, der im Fall von Serveless Computing nicht mehr die Nutzer*in ist, sondern der Anbieter. Ausblick Serverless Computing hat sich über die Jahre zu einem sehr attraktiven Cloud-Computing-Konzept entwickelt. Gerade für Entwickler*innen, die gerne ihre Aufmerksamkeit auf den Programmcode richten würden, ohne sich um die operativen Belange, die sich rundherum befinden, zu kümmern. Das Maß an Sicherheit ist mit den aktuellen Vorkehrungen zwar nicht komplett ausgeschöpft, aber anhand der immer weiter steigenden Nutzungszahlen und mit der Aufmerksamkeit der Anbieter in Zukunft zu optimieren.

Ergebnis Mithilfe dieser Arbeit wurde ein Überblick geschaffen über die Sicherheitsmaßnahmen, die bei Serverless Computing 55

DockerWatch: The VirusTotal for Container Images Thomas Farfeleder, BSc Betreuer: Dipl.-Ing. Dipl.-Ing. Christoph Lang-Muhr, BSc

Ausgangslage Die Applikation ist entwickelt, das Dockerfile wurde mit allen Abhängigkeiten erstellt, das Image gebaut und auf der Entwickler Maschine getestet. Nun wird darauf gewartet, dass das CI/CD das Image abholt. Das PräproduktionsImage wird aktualisiert, die Integrationstests bestanden und Funktionstests geben grünes Licht. Ist es nun an der Zeit das Image in die Produktion auszurollen? Nicht so schnell! Container Images bestehen aus mehreren Schichten, wobei jede Schicht die Änderungen gegenüber der vorherigen widerspiegelt. Um die Entwicklungszeit zu verkürzen, wird meist auf bekannte öffentliche Images wie Ubuntu, Alpine oder Debian als Basis zurückgegriffen. Diese beinhalten in ihrer Basis eine Vielzahl an verschiedenen Paketen, die oft bekannte Schwachstellen aufweisen. Diese können in den darüber liegenden Schichten mitigiert werden, dies geschieht jedoch nur sehr selten. Deshalb sollte auch immer nur das notwendigste im Image enthalten sein, da die meisten der Pakete meist nicht im endgültigen Image benötigt werden. Da die aus den Images resultierenden Container selten in einer virtuellen Maschine, sondern direkt am Host und somit mit demselben Kernel laufen, können Schwachstellen im schlimmsten Fall zur Übernahme des Hosts führen. Aufgrund dessen sollten Schwachstellen in Images niemals ignoriert werden. Um den sicheren Einsatz zu gewährleisten, muss jedoch erst das Wissen vorherrschen, welche Schwachstellen ein bestimmtes Image überhaupt enthält. Dafür haben sich mittlerweile verschiedene Schwachstellen-Scanner am Markt etabliert, die genau diese Informationen aus den Images gewinnen und zur Verfügung stellen. 56

Ziel Ziel dieses Projekts war es, die derzeit am Markt vorhandenen Container Image Schwachstellen-Scanner zu eruieren, deren Funktionalität zu überprüfen und die besten davon in einem Projekt zu kombinieren. Das Projekt soll über ein Webinterface verfügen, welches den Imagenamen und den Imagetag des zu überprüfenden Image übergeben bekommt und nach der Analyse, die durch die verschiedenen Tools gefundenen Sicherheitslücken wieder ausgibt – ähnlich der Funktionsweise von VirusTotal. Ergebnis Es wurde ein modularer Prototyp entwickelt, der die verschiedenen Funktionen und Scanner jeweils in separate Images aufsplittet, wodurch die Applikation gut skalierbar ist. Sie basiert im Ganzen auf einem Frontend, einer Jobqueue, einem Backend und einer Datenbank zur Speicherung der Analyseergebnisse. Das Backend holt aus der auf Redis basierenden Jobqueue die vom Frontend übergebenen Daten. Die implementierten Schwachstellen-Scanner werden mit diesen angestoßen. Nach erfolgreicher Analyse werden die relevanten Ergebnisse selektiert und in einer Graph-Datenbank gespeichert, wodurch sie für verschiedene Abfragen bereitstehen. Die Images können nun visuell aufbereitet mit ihren Paketen und deren Schwachstellen ausgegeben werden. Es kann jedoch auch umgekehrt eine Suchanfrage nach einer bekannten CVE gestellt werden, wodurch alle Pakete, die davon betroffen sind, und Images, in denen diese Pakete enthalten sind, zurückgeliefert werden.

Vergleich bestehender Cyber Ranges

Thomas Ferenczi, BSc Betreuer: FH-Prof. Mag. Dr. Simon Tjoa

Ausgangslage „Hackerangriff – Bekanntes Produktionswerk steht still“, fast schon täglich begegnen uns beim Durchsichten der Nachrichten solche und ähnliche Schlagzeilen. Die nicht erfassten Meldungen sind dabei vermutlich noch weitaus größer, da viele Unternehmen widerwillig dazu bereit sind, den Cyber-Angreifern eine beträchtliche Summe Geld zu zahlen um den Angriff vor der Öffentlichkeit zu verheimlichen. Häufig in der Annahme, dass man sich so vor einem kompletten finanziellen Ruin sowie einem größeren Imageschaden schützen kann – doch ist die Bedrohung erstmals im Netzwerk, ist es meist schon zu spät. Aber nicht nur Unternehmen gelten als beliebtes Ziel der Hackergruppen, selbst das Militär und Regierungen aus aller Welt kämpfen mit dem „Unsichtbaren Angreifer“ von außen. Über die Jahre hinweg wurde im IT-Sicherheitsbereich verstärkt nach Lösungen geforscht, sich proaktiv auf eine Cyber-Bedrohung vorzubereiten, die Idee der Cyber Range kam auf. Diese ermöglicht einen automatisierten Aufbau virtueller Testumgebungen samt der Abbildung komplexer Netzwerkstrukturen. Mittels vordefinierten Szenarien ist ein Angriff sowohl aus der Perspektive des Angreifers, als auch aus der Sicht des Verteidigers reproduzierbar.

Ziel Das Ziel dieser Arbeit ist, die Unterschiede bei den bestehenden, frei verfügbaren Cyber Ranges festzustellen. Wie viele Schulungsteilnehmer*innen können gleichzeitig ein Szenario durchführen? Wie leicht lässt sich selbst ein solches nachbilden? Diese und ähnliche Faktoren sollen anhand einer Vergleichstabelle dargestellt werden. Es soll somit ermöglich werden, eine für seinen Anwendungsfall entsprechende „ideale“ Cyber Range auswählen zu können. Ergebnis Die Arbeit zeigt auf, dass uns in den kommenden Jahren noch einiges attraktives in der Umsetzung von den Testumgebungen erwarten wird. Einige spannende Lösungsansätze befinden sich derzeit noch im Entwicklungsstadium, es existieren viele Plattformen, welche einen Mehrwert für den Ausführenden darstellen. Mittels Nachbildung der Plattformen wurden die Parameter, welche für einen abschließenden Vergleich in der Arbeit dienen, gewonnen. Schlussendlich wurden die einzelnen Parameter anhand von Relevanz und Nutzen eingestuft, sowie Punkte dafür vergeben. Anhand des daraus erzeugten Ergebnisses lässt sich ableiten, wie eine ideale Cyber Range aussehen könnte.

Software-Defined Wide Area Networks: Sicherheitsrisiko oder Sicherheitsoptimierung?

Magdalena Fest, BSc Betreuer: Dipl.-Ing. Gabor Österreicher, BSc

Ausgangslage Wide Area Networks (WAN) sind für Unternehmen von großer Bedeutung, da diese unternehmensweite Kommunikation gewährleisten, indem sie geografisch verteilte Standorte miteinander verknüpfen. Für diese Verbindungen können mehrere Technologien verwendet werden, wobei Multiprotocol Label Switching (MPLS) seit Jahren die führende Technologie ist, da es unter anderem durch seine hohe Performance und Verfügbarkeit überzeugt. Allerdings haben Unternehmen mittlerweile andere Anforderungen an WANs, welche sich mit MPLS nur schwer umsetzen lassen. Software-Defined WAN (SD-WAN) wurde entwickelt, um diesen neuen Anforderungen gerecht zu werden. Bei SD-WAN wird ein Overlay-Netzwerk auf den bestehenden WAN-Verbindungen aufgebaut und Pakete werden aufgrund von Richtlinien über unterschiedliche Links gesendet, wobei dies von einem zentralen Controller gesteuert und überwacht wird. SD-WAN setzt bei den unterliegenden WAN-Verbindungen hauptsächlich auf Internetlinks, weswegen es wichtig ist, dass die Sicherheit dieses Services genauer betrachtet wird, da Internetlinks als unsicher gelten. Ziel Das Ziel dieser Arbeit ist es, einen genaueren Überblick über die Sicherheit von Software-Defined Wide Area Networks zu geben, da es derzeit noch keine Arbeiten gibt, welche sich mit der Sicherheit dieses Services beschäftigen 58

und bereits viele Konzerne auf SD-WAN umgestiegen sind. Dazu werden einerseits Funktionen von SD-WAN betrachtet, welche die Sicherheit des Services garantieren sollen und andererseits bereits bekannte Risiken und Bedrohungen des Services analysiert. Anschließend wird ein Vergleich zu MPLS hergestellt und geklärt, ob SD-WAN in Zukunft die sicherere Wahl ist. Ergebnis Im Zuge dieser Arbeit wurde die Sicherheit von SD-WAN genau betrachtet. Es konnten Funktionen von SD-WAN ermittelt werden, welche die Sicherheit des WAN-Systems garantieren sollen. Zusätzlich wurden auch Risiken und Bedrohungen identifiziert, welche spezifisch sind für SD-WAN. Um einen Vergleich zu derzeitigen WAN-Technologien ziehen zu können, wurde zunächst geklärt, inwieweit Sicherheit bei MPLS gegeben ist, ehe es mit SD-WAN gegenübergestellt wurde und ein Fazit daraus gezogen werden konnte, welches Service künftig die sicherere Wahl ist.

Gegenüberstellung didaktischer Konzepte in der Security- und Awareness-Ausbildung für das Top-Management Christian Frey, BSc Betreuer: Dipl.-Ing. Peter Kieseberg

Ausgangslage Die Zahl der Schadensereignisse durch Internetkriminalität steigt stetig. Ein Großteil der Vorfälle basiert darauf, dass die Angreifer den Faktor Mensch ausnutzen, um an ihr Ziel zu kommen. In den Organisationen hängt die Sicherheitskultur wesentlich vom Sicherheitsbewusstsein des Personals ab. Es ist die Aufgabe des Top-Managements die entsprechenden Strukturen in der Organisation zu schaffen, damit sich eine Sicherheitskultur entwickeln kann. Laut wissenschaftlichen Studien sehen aber nur 2 von 10 Top-Manager*innen den strategischen Wert von Informationssicherheit in ihrem Unternehmen. Es gibt eine Reihe von Faktoren, die dazu führen, dass das Thema Informationssicherheit vom Top-Management hintangestellt wird. Tatsächlich ist das Top-Management aber selbst ein attraktives Ziel für Cyberangriffe. Ziel Diese Arbeit untersucht didaktische Methoden zur Schaffung und Vermittlung von Sicherheitsbewusstsein für das Top-Management. Es werden wichtige Faktoren und Herausforderungen, die es bei der Erstellung eines Sensibilisierungsprogramms für die Zielgruppe Top-Management gibt, analysiert. Dafür wird die vorhandene Literatur, die sich mit Sensibilisierungsprogrammen für die Zielgruppe TopManagement beschäftigt, anhand von didaktischen Aspekten untersucht. Darüber hinaus wird durch Interviews mit

österreichischen und internationalen Sicherheitsexpert*innen beleuchtet, wie die Security- und Awareness-Ausbildung für die Zielgruppe Top-Management in der Praxis gestaltet wird und was die kritischen Erfolgsfaktoren in Sensibilisierungsprogrammen sind. Ergebnis In der Literatur und in der Praxis werden didaktische Methoden bei Sensibilisierungsprogrammen für das TopManagement derzeit noch wenig berücksichtigt. Es gibt nur wenig Studien, die analysieren, wie das Sicherheitsbewusstsein von Top-Manager*innen erhöht werden kann. Dieses Dokument liefert konkrete Hinweise für die Erstellung eines Sensibilisierungsprogramms für die Zielgruppe Top-Management. Sicherheitsverantwortlichen wird empfohlen, sich im Vorfeld speziell mit den Bedürfnissen der Zielgruppe TopManagement auseinanderzusetzen. Durch Interviews und Beobachtungen können Inhalte und Format des Programms auf die Führungskräfte angepasst werden. Je besser das Programm auf ihren individuellen Wissensstand, Zeit etc. eingeht, desto besser wird das Ergebnis sein.

Text-Watermarkingmethoden der deutschen Sprache

Marc Gehart, BSc Betreuer: Dipl.-Ing. Dr. Robert Luh, BSc

Ausgangslage Ein Werk einer Autorin oder eines Autors wird unerlaubt als das geistige Eigentum einer dritten Person ausgegeben. Weiters werden in einem anderen Fall illegitime Kopien eines Dokumentes angefertigt und verteilt. In beiden Situationen kann digitales Text-Watermarking eingesetzt werden, um das Urheberrecht feststellen beziehungsweise die verantwortlichen Personen zu identifizieren. Dazu werden einzigartig bestimmbare Informationen permanent und auf nicht sichtbare Art und Weise in einem Text integriert. Für die Ausführung des Einbindungsprozesses kann auf unterschiedlichste Technikarten zurückgegriffen werden. Eine davon ist das Natural-Language Watermarking. Bei dieser wird unter anderem die Struktur, Grammatik und Wortwahl eines Textes verändert. Im Rahmen dieser Bachelorarbeit wird ein Einblick in die Methodik des Watermarkings gegeben und potenzielle Natural-Language Markierungstechniken, welche speziell auf die deutsche Sprache ausgelegt sind, untersucht und miteinander verglichen. Ziel Das Ziel dieser Arbeit liegt in der Darlegung und Bewertung der implementierten Natural-Language Markierungsmethoden. Dafür wird im Rahmen eines Experiments die Höhe der Anwendbarkeit, Ergiebigkeit und Fehlerrate dieser Techniken, sowie ungeeignete Anwendungsgebiete ermittelt. Für ein möglichst breites Spektrum an Themengebieten wurden 60

wirtschaftliche, medizinische, botanische und Informationstechnologie betreffende Texte, wie auch Unterhaltungsliteratur herangezogen. Ergebnis Das Experiment zeigte einen erheblichen Unterschied zwischen den Resultaten der einzelnen Markierungsmethoden. Die robusteren Techniken, welche die Struktur eines Satzes veränderten, wiesen im Vergleich zu den fragileren Methoden eine erhöhte Fehlerrate auf. Es konnten auch Differenzen zwischen kurzen und langen Texten sowie einzelnen Themengebieten ausgemacht werden. Dies betraf unter anderem das Umstellen von Haupt- und Nebensätzen, welche in wirtschaftlichen Texten kaum Anwendung fand. Im Gesamtergebnis konnte die Synonymersetzungsmethode die besten Werte liefern. Vor allem die Anzahl der mit dieser Technik erzielten Satzvariationen war überdurchschnittlich hoch.

Analyse bestehender Cyber-Übungen zum Aufbau einer Übungs-Datenbank

Laura Gross, BSc Betreuer: FH-Prof. Mag. Dr. Simon Tjoa

Ausgangslage Aufgrund der zunehmenden Digitalisierung hat auch die Anzahl der Angriffe in den letzten Jahren stark zugenommen. Die Durchführung von Cyber-Übungen ist ein wichtiger Bestandteil für Firmen, ihre Fähigkeiten in den Bereichen Vorbereitung, Reaktion und Wiederherstellungsmechanismen bei Cyber-Angriffen festzustellen. Neben den Angriffen auf Software oder Datenbanken werden genauso häufig die oft weniger aufgeklärten, End-Benutzer*innen angegriffen. So haben sich beispielsweise Phishing-Mails zu einem der primären Angriffs-Vektoren entwickelt. Durch auf die Ziele der Teilnehmer*innen abgestimmte, Übungen werden Situationen simuliert und in vorbereiteten Umgebungen durchgeführt. So kann hier z.B. der Fokus nur daraufgelegt werden, die Security Awareness der Mitarbeiter*innen zu stärken, oder direkt gezielte Angriffe zu starten. Da CyberÜbungen oftmals sehr umfangreich gestaltet sind und viele unterschiedliche Inhalte und Szenarien behandeln, ist es für Unternehmen unter Umständen nur erschwert möglich, die jeweils relevanten Informationen herauszufiltern. Ziel Ziel dieser Arbeit ist es, bestehende Cyber-Übungen sinnvoll in verschiedene Kategorien zu gliedern und eine Struktur für eine geeignete Datenspeicherung zu erstellen, um den Nutzer*innen einen schnellen Überblick über die wichtigsten Informationen zu verschaffen. Zusätzlich soll eine Oberflä-

che für die Verwaltung der Daten entworfen werden. Ergebnis Im ersten Teil der Arbeit wurde zunächst auf den Zweck und den Nutzen von Cyber-Übungen eingegangen. Im Zuge dessen wurden die unterschiedlichen Typen von CyberÜbungen beschrieben und wichtige Aspekte erläutert, die bei der Planung und Durchführung beachtet werden sollten. Im praktischen Teil wurde ein entsprechendes Datenmodell mit den wichtigsten Informationen für die Speicherung von Cyber-Übungen entworfen. Zusätzlich wurde mittels Microsoft Excel eine Oberfläche entwickelt, über welche es möglich ist, Daten zu suchen, darzustellen und einzupflegen. Insgesamt wurden im Zuge dieser Arbeit zehn Übungen analysiert und eingepflegt. Ausblick Ziel der Arbeit war es nicht, einen vollständigen Überblick über vorhandene Cyber-Übungen zu geben. Um umfassendere Aussagen über Cyber-Übungen und deren Trends treffen zu können, sollten zukünftig weitere Übungen in die Datenbank eingepflegt werden.

Mobile Device Fingerprinting

Florian Gruber, BSc Betreuer: Dipl.-Ing Peter Kieseberg

Ausgangslage In der analogen Welt werden biometrische Fingerabdrücke von Personen bei der Aufklärung in der Kriminalistik verwendet, um den oder die Täter*innen zu identifizieren. In der digitalen Welt können sogenannte digitale Fingerprints verwendet werden, um wiederkehrende Benutzer oder Devices zu erkennen. Digitale Fingerprints werden in vielen Bereichen der digitalen Welt verwendet. Diese Bereiche erstecken sich vom User-Tracking über Session-Management bis hin zu Fraud-Detection. Ein digitaler Fingerprint ist ein Set an ausgewählten Charakteristiken, die dazu beitragen ein Gerät oder eine Applikations-Session zu identifizieren. Diese Charakteristiken können mithilfe passiven oder aktiven Fingerprinting extrahiert werden. Bei der Zusammenstellung eines robusten Fingerprints ist die Balance zwischen Stabilität und Diversität des zu generierenden Fingerprints zu finden. Ziel Ziel der Arbeit ist es, Charakteristiken aus den Bereichen „Mobile Browser Fingerprinting“ und „Mobile Device Fingerprinting“ zu definieren, die zur Erstellung von Fingerprints von Mobile Devices herangezogen werden können – unter der Beachtung, dass so wenig wie möglich personenbezogene Daten der Benutzer*innen in dem Fingerprint inkludiert werden. 62

Ergebnis Mithilfe der Analyse des Standes der Technik konnte in Erfahrung gebracht werden, dass ein Mobile Browser Fingerprinting zur Generierung eines stabilen und diversen Fingerprints nicht gut herangezogen werden kann und deshalb Mobile Device Fingerprinting verwendet werden sollte. Darauf hin wurden diverse personalisierte Systemund Hardware-Charakteristiken aus dem Bereich Mobile Device Fingerprint, die zur Generierung eines Fingerprints in die nähere Auswahl kommen, ausgewählt. Um zu analysieren, ob sich diese ausgewählten Charakteristiken eignen, wurde eine App entwickelt, die in einer vier-wöchigen Studie Testdaten von diversen Geräten einholt. Die Analyse der eingereichten Testdaten ergab, dass die Charakteristiken der Summe der installierten Apps, ein ausgewähltes Subset an installierten Apps, die Laufzeit des Geräts und der Beschleunigungs-Sensor sich gut eignen um für einen Fingerprint herangezogen zu werden. Diese Informationen können ohne Einholen einer Berechtigung in Erfahrung gebracht werden. Anhand der durchgeführten Analyse kann gesagt werden, dass die Hinzuziehung von stabilen Charakteristiken, wie die installierten Apps, die Checksumme eines n-ten Bildes und der Beschleunigungs-Sensor zu einem einzigartigen Fingerprint beitragen. Indem stabile Charakteristiken verwendet werden, wird dem Fingerprinting-System die Möglichkeit gegeben, einen Fingerprint besser über einen Zeitraum hin einem Gerät zuzuordnen.

UEFI Secure Boot Linux

Jakob Hagl, BSc Betreuer: Dipl.-Ing. Dr. Pirker Martin, Bakk.

Ausgangslage Intels Prozessergenerationen sollen ab 2020 das Compatibility Support Module, die Kompatibilitätsschnittstelle zu dem legacy BIOS, nicht mehr unterstützen. Betriebssysteme können auf jenen Plattformen daher ausschließlich mit UEFI starten. Des Weiteren gibt es ausgewählte Computersysteme, die das optionale UEFI-Secure-Boot-Protokoll erzwingen und dies für die Anwender*in nicht deaktivierbar ist. Verschlüsselte Systempartitionen sind vor allem bei mobilen Endgeräten in letzter Zeit sehr wichtig geworden. Der Begriff Full Disk Encryption beschreibt hierbei ein Speichermedium, auf dem möglichst alle gespeicherten Daten verschlüsselt sind. Diese Arbeit betrachtet daher die Implementierung von Secure Boot in das Linux Open-Source-Ökosystem und ob verschlüsselte Systempartitionen in den Startprozess integrierbar sind.

Ergebnis Im Zuge dieser Arbeit konnte eine umfassende Übersicht von Secure Boot in Linux erstellt werden. Aufbauend auf dieser Übersicht wurde die Implementierung von Secure Boot in den ausgewählten Distributionen analysiert. Erweitert wurde der Boot-Prozess mit der automatischen Entsperrung der verschlüsselten Systempartition. Schlussendlich wurde eine Auflistung erstellt, inwiefern die verschiedenen Features von den getesteten Distributionen unterstützt werden.

Ziel Das Ziel der Arbeit ist es, festzustellen, ob auf ausgewählten Linux-Distributionen das Secure-Boot-Protokoll mit Full Disk Encryption gemeinsam implementiert und genutzt werden kann.

Security of Smart Sex Toys – A State of the Art Analysis of Smart Sex Toys

Doris Hauser, BSc Betreuer: Dipl.-Ing. Daniel Haslinger, BSc

Ausgangslage In der heutigen Zeit steigt stätig die Anzahl an verwendeten Internet of Things (IoT) Geräten, darunter auch smarte Sex Toys. In den letzten Jahren gab es viele Analysen zur Sicherheit von verschiedensten IoT-Geräten, die Großteils schlechte Praktiken in der Branche aufgezeigt haben. Da smarte Sex Toys sowohl in die Kategorie Internet of Things als auch generell als Tabu-Thema angesehen werden, wurden diese genauer in Sachen Sicherheit beleuchtet. Ziel Ziel dieser Arbeit war es ein Bild vom aktuellen Stand in Sachen Sicherheit in dieser Branche zu erfassen. Im speziellen sollte untersucht werden, welche technischen Methoden bei der Kommunikation zwischen den untersuchten Geräten und deren Herstellerservern verwendet werden, welche Mittel eingesetzt werden um den Transfer vor digitalen Angriffen zu schützen und welche persönlichen Daten in Umlauf gebracht werden. Ergebnis Es wurden in dieser Arbeit 4 smarte Sex Toys untersucht. Hierbei wurde entdeckt, dass alle Hersteller unter anderem HTTPS zur Übermittlung der Daten verwenden. Einige Daten werden jedoch immer noch in Klartext per HTTP übertragen, was es Angreifern sehr leicht macht abgefangene Daten zu lesen. Weiters wurden bei den Geräten 64

unterschiedliche Schwachstellen gefunden. Eine dieser Schwachstellen war die Möglichkeit, jegliche Namen von Benutzeraccounts auflisten zu können. Eine weitere war die Übertragung der Logindaten bei jeder übermittelten Nachricht anstatt der Verwendung eines Tokens, die das Auslesen von Benutzernamen und Passwörtern erschweren würde. Weiters wurde in keiner der Apps eine Methode eingesetzt, die es verhindert, dass sich ein Angreifer als Hersteller ausgibt und die App somit persönliche Daten an den Angreifer sendet. Es wurde ebenfalls erfasst, welche personenbezogenen Daten von jedem Gerät erhoben wurden und welche Risiken dies birgt. Ergebnis Alles in allem muss in dieser Branche noch mehr Awareness geschaffen werden über die Wichtigkeit von Sicherheit, besonders für Geräte, die sensible Daten in Umlauf bringen. Dieser Sektor bedarf noch mehr Forschung und der Zusammenarbeit zwischen Expert*innen und Herstellern, um in Zukunft die Sicherheit solcher Geräte auf den neuesten Stand zu bringen.

Modern Flavors of Secure Application Delivery as a Service

Georg Hehberger, BSc Betreuer: Dipl.-Ing. Dipl.-Ing. Christoph Lang-Muhr, BSc

Ausgangslage Das Internet ist oft ein gefährlicher Ort. Nicht nur die Benutzer*in erwartet dort allerlei Ungemach – auch Webanwendungen sind seit jeher Ziel von Attacken. Daher werden auch seit geraumer Zeit diverse Maßnahmen entwickelt, um Webanwendungen vor diesen zu schützen. Da Innovation und technische Weiterentwicklung auch in der IT-Sicherheit ein zweischneidiges Schwert darstellen, werden die Lösungen, welche dem Schutz einer Applikation dienen, wie auch Angriffe auf Applikationen, immer komplexer. Dieser Teufelskreis zieht, neben hohen initialen- wie auch laufenden Kosten, einen gesteigerten administrativen Aufwand im Betrieb der Lösungen nach sich. Dadurch werden dem Applikationsschutz dienliche Lösungen entweder gar nicht implementiert oder nur vernachlässigt gewartet. Dies findet die Ursache zumeist in dem Umstand der wachsenden Komplexität wieder – zu groß sind oft die Bedenken durch Änderungen am laufenden System eine nicht sofort erkennbare Funktionseinschränkung zu verursachen. Die Anzahl der Webanwendungen wächst, daher ist auch von einer erhöhten Anzahl schlecht geschützter Anwendungen auszugehen. Diese Arbeit betrachtet daher die Möglichkeit, Lösungen zum Applikationsschutz „as-a-service“ von einem externen Anbieter zu beziehen.

Ziel Das Ziel dieser Arbeit ist es eine Übersicht über die am Markt verfügbaren modernen Lösungen zur sicheren Applikationsveröffentlichung zu erstellen. Dazu werden ausschließlich Lösungen beleuchtet, welche über eine definierte Menge an Merkmalen verfügen und sich dadurch als moderne, „as-a-service“, Produkte auszeichnen. Vertreter von Servicetypen wie beispielsweise „PaaS“ und „SaaS“ werden anhand definierter Metriken bewertet und in Relation gesetzt. Weiters wird auf Eigenheiten in Implementierung und Betrieb eingegangen Ergebnis Durch die Arbeit konnte ein „state-of-the-art“ moderner Lösungen zur Applikationsveröffentlichung ermittelt werden. Je nach eingesetztem Technologiekonzept zeigen sich hier Unterschiede im kundenseitigen Implementierungsprozess. Weiters konnten die analysierten Lösungen gegen eine Menge definierter Metriken verglichen werden, um so die Anwendbarkeit der Lösungen in unterschiedlichen Szenarien festzustellen. Hier wurde ein Hauptaugenmerkt auf die verwendeten Sicherheitstechnologien wie auch auf vorhandene Industriezertifizierungen, beziehungsweise die Möglichkeit, die Lösungen im Einklang mit der DSGVO zu implementieren, gelegt. 65

Lightweight Distributed Communication

Maximilian Henzl, BSc Betreuer: Dipl.-Ing Dr. Pirker Martin, Bakk.

Ausgangslage Heutzutage werden öfters große Mengen an Daten von kleinsten Geräten wie Sensoren an komplexe Systeme verteilt. Es kommt vor, dass mehrere kleine Geräte mit derselben Station verbunden sind, aber unterschiedliche Arten von Daten an verschiedene Empfänger übertragen müssen. Meistens sind diese Stationen technisch auf den vorgesehenen Betrieb optimiert, um Platz und Geld zu sparen und erlauben keine aufwendigen Programme, die diesen Datenverkehr ermöglichen. Der Gedanke, komplexe Daten in einer umfangreichen und verteilten Infrastruktur zu senden, mit der Einschränkung, so wenig Ressourcen wie möglich zu verwenden, ist Grundlage dieser Arbeit. Daten an mehrere Ziele gleichzeitig senden, Nachrichten Prioritäten zuweisen oder erfolgreiches und einmaliges Empfangen der Nachricht zu gewährleisten, sind einige der Probleme, die dabei bedacht werden müssen. Es gibt bereits Protokolle und Programme, welche diese Probleme lösen und dabei immer Effizienter werden. Diese Lösungen zeigen dennoch Unterschiede auf, welche für verschiedene spezifische Anwendungsfälle gedacht sind und deren Auswahl genauere Überlegung benötigt. Diese Arbeit betrachtet Features moderner Software zum Senden und Empfangen von Daten unter eingeschränkten Bedingungen und zeigt deren Unterschiede auf.

Ziel Ziel dieser Arbeit ist einen Überblick über bekannte und auch neuere Lösungen zur Datenübermittlung verteilter Geräte zu schaffen. Dazu werden diese Programme in einer Testumgebung implementiert und spezielle Features betrachtet. Fokus liegt bei einfacher Implementierung, breiter Unterstützung verschiedener Betriebsmodi, Lauffähigkeit auf verschiedenen Systemen und weiteren Merkmalen. Ergebnis Am Ende der Arbeit konnte eine Testumgebung mit mehreren Applikationen und verschiedenen Übertragungsmethoden praktisch erstellt werden. Aus den gewonnenen Erkenntnissen der Implementierung und dem Auseinandersetzten mit unterschiedlichen Features, konnten Vergleiche unter den Programmen aufgestellt werden. Die daraus resultierte Übersicht dient zur Hilfe der Auswahl einer richtigen Lösung und kann als Basis für weitere Tests verwendet werden.

Einfluss des ROSI und der quantitativen Risikoanalyse auf Managemententscheidungen

Matthias Hinterholzer, BSc Betreuer: FH-Prof. Mag. Helmut Kaufmann, MSc

Ausgangslage Die Informationssicherheitsabteilung sitzt mit der Managementebene in einem Meeting. Es geht um die aktuellen IT-Risiken des Unternehmens. Das Ziel der Informationssicherheitsabteilung in diesem Meeting ist es, die Dringlichkeit von Investitionen in Gegenmaßnahmen darzulegen. Die Managementebene trifft ihre Entscheidungen aufgrund von Zahlen. Es geht dabei um die monetäre Bewertung der Risiken. Die Basis ob sich eine Investition in eine Gegenmaßnahme rentiert, ist der finanzielle Schaden falls das Risiko eintritt. Um vernünftig argumentieren zu können, muss das Risiko durch eine quantitative Risikoanalyse monetär bewertet werden. Diese Art der Risikoanalyse basiert auf der Wahrscheinlichkeitsrechnung, sowie der Monte-Carlo-Simulation. Es müssen verschiedene Parameter befüllt werden, um schlussendlich zu einer aussagekräftigen finanziellen Bewertung des Risikos zu gelangen. Die Stochastik bietet hierfür die Grundlage, dadurch kann mithilfe der Wahrscheinlichkeitsverteilung ein zutreffendes Ergebnis geliefert werden. Somit kann in einem Meeting mit der Managementebene für eine Investition in eine Gegenmaßnahme argumentiert werden, sowie die Entscheidung der Manager*innen beeinflusst werden.

einflussen können. Dazu wird nicht nur die mathematische Grundlage, auf welcher die Risikoanalyse basiert, beschrieben. Ebenfalls spielt die Monte-Carlo-Simulation eine sehr wichtige Rolle. Um eine Gesamtübersicht zu haben, wird der Zusammenhang zwischen der quantitativen Risikoanalyse und dem Risikomanagement erläutert. Außerdem wird der Return on Security Investments betrachtet und welche Berechnungsmodelle es dazu gibt. Ergebnis Aufgrund der Anführung eines Beispiels, in welchem eine quantitative Risikoanalyse mithilfe der Monte-Carlo-Simulation durchgeführt wurde, konnte praxisnah dargestellt werden, wie eine vernünftige Argumentationsbasis geschaffen wird, um die Managementebene von einer Investition zu überzeugen. Dabei spielt der Risikomanagement Prozess eine wichtige Rolle, damit Entscheidungen des Managements nachvollziehbar sind.

Ziel Diese Arbeit soll darlegen, inwiefern quantitative Risikoanalysen wichtige Entscheidungen auf Managementebene be67

Compiling open source malware

Daniel Judt, BSc Betreuer: Dipl.-Ing. Patrick Kochberger, BSc

Ausgangslage Seit Jahren erleiden Unternehmen unterschiedlichster Sektoren diverse Schäden durch Schadsoftware. Dabei muss nicht zwangsweise ein direkter finanzieller Verlust ein mögliches Szenario darstellen. Auch die Reputation eines Unternehmens kann durch solch einen Angriff sehr gefährdet werden. Aus diesem Grund greifen Unternehmen zu unterschiedlichen Methoden, um sich vor diesen Bedrohungen zu schützen. Es gelingt Angreifern allerdings häufig, die eingesetzten Schutzmaßnahmen zu umgehen. Vor allem bei komplexer Schadsoftware ist es in den meisten Fällen notwendig, eine genauere Untersuchung durchzuführen, um die potentiellen Auswirkungen der Schadsoftware zu minimieren. Um diesen Prozess zu erschweren, versuchen Angreifer den Quellcode und die Funktionsweise ihrer Schadsoftware zu verschleiern (auch als Obfuscation bezeichnet). Da eine Analyse folglich mehr Zeit in Anspruch nimmt, sind Unternehmen aufgrund von längeren Reaktionszeiten im Schadensfall einem Risiko ausgesetzt, das nur schwer bewertet werden kann. Ziel Das Ziel der Arbeit ist, mittels statischer Analyse unterschiedlicher Schadsoftware festzustellen, ob Methoden zur Obfuscation verwendet werden. Hierfür wurden zehn Beispiele unterschiedlicher Schadsoftware, deren Quellcode öffentlich verfügbar ist, in einer virtuellen Umgebung kompi68

liert und analysiert, um Erkenntnisse über die Verwendung der unterschiedlichen Obfuscation-Methoden zu erlangen. Ergebnis Im Zuge dieser Arbeit wurden zunächst Malware-Beispiele gesucht, deren Quellcode veröffentlicht wurde. Es wurde recherchiert, welche Funktionen die Malware besitzt und wie sich diese auf dem Zielsystem ausbreitet. Daraufhin wurde überprüft, ob diese kompiliert werden können, da in vielen Fällen nur Teile des Quellcodes verfügbar waren. Im nächsten Schritt wurden unterschiedliche Beispiele von Schadsoftware auf die Verwendung von ObfuscationMethoden untersucht. Dabei konnte festgestellt werden, dass mittels statischer Analyse oftmals nur Vermutungen zur Verwendung von Obfuscation Methoden aufgestellt werden können. Ein Vergleich der ermittelten Ergebnisse zeigt jedoch, dass komplexere Schadsoftware im Durchschnitt mit einer höheren Wahrscheinlichkeit Obfuscation-Methoden verwendet.

KPI-Set for Cyber Plan Games

Andreas Katits, BSc Betreuer: Dipl.-Ing. Peter Kieseberg

Ausgangslage Unternehmen und Regierungsinstitutionen sind einer zunehmenden Anzahl von Bedrohungen für die Cyber Security ausgesetzt. Eine Maßnahme gegen Cyber-Threats ist die Sensibilisierung für Cyber-Sicherheit durch das Spielen von Cyber-Security-Planspielen. Bisher gibt es keine einfache Möglichkeit, verschiedene auf dem Markt verfügbare Planspiele zu vergleichen.

Ergebnis Das Ergebnis dieses Papiers ist eine umfassende Liste von Leistungsindikatoren. Die meisten davon werden vom Spieledesigner / -anbieter festgelegt und die anderen dienen zur Evaluierung durch die Spieler*innen. Darüber hinaus werden Cyber-Planspiele in drei Genres unterteilt. Mit diesen Indikatoren und Genres ist ein Vergleich und eine Kategorisierung leicht möglich.

Ziel In dieser Arbeit soll eine spielerische Maßnahme in Form eines Planspiels erörtert werden. Planspiele können für die Schulung nahezu aller Teile eines Unternehmens verwendet werden. In dieser Arbeit wird der Schwerpunkt auf Planspiele im Kontext der Security-Awareness für Mitarbeiter*innen sowie auf Cybersicherheitsschulungen für IT-Mitarbeiter*innen gelegt. Ziel dieser Arbeit ist es, einen Überblick über Planspiele im Allgemeinen zu geben, einen tieferen Einblick in Cyber-Security-Planspiele zu erhalten und die Vergleichbarkeit verschiedener Cyber-Plan-Spiele zu ermitteln.

Perspektive In diesem Dokument wird für die Zukunft vorgeschlagen, die gefundenen KPIs zum Einrichten einer Datenbank zu verwenden. Die Registrierung und Bewertung von Cyberplan-Spielen aus der ganzen Welt würde helfen, das richtige Cyberplan-Spiel auswählen zu können.

Securing your IoT network @ Home - A Cyber Resilience concept for IoT Home Users

Dominik Knotzer, BSc Betreuer: FH-Prof. Mag. Dr. Simon Tjoa

Ausgangslage Das Thema „Internet of Things“ erfreut sich derzeit rasant wachsender Beliebtheit bei Heimanwender*innen. Diese Geräte erleichtern unseren täglichen Alltag enorm, jedoch machen uns diese, im Falle eines Hackerangriffs, hinsichtlich Datenschutz und Privatsphäre auch transparenter. Bereits im Jahr 2016 zeigte uns die Malware „Mirai“, welche ungefähr 500.000 IoT-Geräte weltweit infiziert hat, die Schwachstellen verschiedener IoT-Geräte auf. Ebenso zeigt die Webseite shodan.io auf, wie viele Geräte aktuell noch immer öffentlich zugänglich sind, aufgrund einfacher Schwachstellen. Das Interessante hierbei ist, dass diese Geräte mithilfe einfacher Einstellungen, widerstandsfähiger (engl. „resilient“) gemacht werden können. Wie sehen solche Techniken aus? Was kann ein eine Heimanwender*in einfach umsetzen? Was kann ich aktiv machen, um meine IoT-Geräte widerstandsfähiger zu machen? Exakt für diese Fragen ist „Cyber Resilient“ für Heimanwender*innen hilfreich. Ziel Diese Arbeit soll aufweisen, welche „Cyber Resilient“-Techniken eine Heimanwender*in tatsächlich anwenden kann und welche Techniken mit minimalem Aufwand den größten Widerstand gegen Angriffe erzielen. Zusätzlich wird auch ein Konzept einer besonders widerstandsfähigen Smart-HomeArchitektur und deren Techniken erläutert. 70

Ergebnis Das Resultat weist auf, dass Heimanwender*innen kaum „Cyber Resilient“-Techniken umsetzen können, aufgrund fehlender Einstellungen der Geräte, als auch aufgrund der Komplexität der technischen Umsetzungen. Zusätzlich fehlt es Heimanwender*innen auch an einem einfachen Überblick der IoT-Umgebung als auch an einem Feedback, um entsprechend auf Vorfälle reagieren zu können. Das erarbeitete Konzept zeigt eine vielversprechende Lösung für Heimanwender*innen auf, die mithilfe diverser Techniken umgesetzt werden kann. Jedoch ist die Umsetzung des Konzeptes mit heutigen Produkten nicht möglich. Ausblick Im Hinblick auf die zukünftige Entwicklung der Widerstandsfähigkeit von IoT-Geräten ist die Industrie gefragt. Es gibt noch immer genügend Produkte, die den Mindestanforderungen für Sicherheit nicht nachkommen, welche dringend notwendig wären.

Healthcare, Data Protection and Blockchain

Andreas Kolan, BSc Betreuer: Dipl.-Ing. Peter Kieseberg

Ausgangslage Heutzutage ist Bitcoin den meisten Menschen ein Begriff, sie assoziieren damit virtuelles Geld und sehen es als eine wertvolle Investitionsmöglichkeit. Nur wenige Menschen wissen genau, wie die zugrundeliegende Technologie der Blockchains funktioniert und welche anderen Anwendungsmöglichkeiten außer der Produktion von virtuellem Geld sie noch zu bieten hat. Eine dieser Anwendungsmöglichkeiten liegt im Gesundheitswesen. Im heutigen Gesundheitswesen werden täglich Terrabyte an Daten erstellt und verarbeitet, aber leider geschieht dies je nach Gesundheitsdienstanbietern, wie Ärzten, Spitälern oder Gesundheitsverbänden, unterschiedlich. Jeder dieser Anbieter hat einen Teil der Gesundheitsgeschichte eines Patienten gespeichert. Somit ist die Gesundheitsgeschichte eines Patienten sehr stark fragmentiert und der Zugang zu diesen Daten erweist sich oft als sehr mühsam. Im österreichischen Gesundheitssystem gibt es die Elektronische Gesundheitsakte (ELGA), die für jede Person in Österreich zu führen ist, solange er sich nicht dazu entscheidet, an ELGA nicht teilzunehmen. ELGA versucht die generierten Daten in eine einheitliche Form zu bringen und dem Patienten sowie den Gesundheitsdienstanbietern zur Verfügung zu stellen. Da es sich bei Gesundheitsdaten um sehr persönliche, private Daten handelt, muss mit ihnen entsprechend der Datenschutzgrundverordnung (DSGVO), umgegangen werden. Diese Arbeit betrachtet diese drei Teilaspekte und erläutert ob der Einsatz von Blockchains das Gesundheitswesen bereichern

kann oder nicht. Ziele Das Ziel dieser Arbeit ist es, zu klären wie BlockchainLösungen im medizinischen Sektor angewandt werden können, wo dies bereits geschieht und wo in dieser Richtung geforscht wird. Des Weiteren soll geklärt werden ob ein Einsatz im österreichischen Gesundheitswesen, unter Berücksichtigung der Datenschutzgrundverordnung und der Elektronischen Gesundheitsakte, rechtlich überhaupt möglich ist. Ergebnis Im Zuge dieser Arbeit wurde eine umfassende Übersicht über bereits angewandte und sich in Forschung befindliche Lösungen, zum Thema Blockchains im Gesundheitswesen, erstellt. Des Weiteren wurde die rechtliche Situation im österreichischen Gesundheitssystem, der Elektronischen Gesundheitsakte und der Datenschutzgrundverordnung, auf ihre Kompatibilität mit Blockchains analysiert. Aufgrund dieser Analysen konnte eine fundierte Aussage getroffen werden, ob der Einsatz von Blockchains im Gesundheitssystem in Österreich von Vorteil ist und ob es überhaupt Datenschutzrechtlich möglich ist, diese zum Einsatz zu bringen. Basierend auf den gewonnenen Erkenntnissen wird abschließend ein Einsatz, wie er im Österreichischen Gesundheitssystem funktionieren kann, exemplarisch dargestellt. 71

Information Security Awareness Games - An Overview

Marko Kozlica, BSc Betreuer: Dipl.-Ing. Patrick Kochberger, BSc

Ausgangslage Jeden Tag verwenden immer mehr und mehr Menschen Informationstechnologien, sei es als einfache Endanwender*innen, professionell in der Arbeit oder auch irgendwo dazwischen. Jede/r von uns ist umgeben von neuen Technologien, die den Alltag einfacher oder für manche sogar erst möglich machen. Jedoch ist sich nicht jede/r der potentiellen Gefahr bewusst, die mit diesem Luxus einhergeht. Immer wieder werden Menschen Opfer von sogenannten „Phishing Mails“ und geben ihre persönlichen Daten bekannt oder überweisen sogar Geldbeträge an die Angreifer*innen. Solche Angreifer*innen haben oft Tricks, wie sie ihre Opfer locken und davon überzeugen, das zu tun, was verlangt wird. Forscher*innen arbeiten schon lange daran, auch jene Menschen auf solche Gefahren vorzubereiten, die vielleicht nicht sehr gut im Umgang mit Computern sind. Eine Methode, die in dieser Arbeit behandelt wird, ist das sogenannte „Game-based Learning“, bei dem Spiele verwendet werden, um den Spieler*innen die wichtigen Inhalte beizubringen und helfen, sich diese auch gut zu merken. Ziele Das Ziel dieser Arbeit ist es, solche Spiele zu finden und zu analysieren, um einen möglichst guten Überblick über den Markt zu geben. Jemand, die/der für sich selbst oder andere Personen ein Spiel sucht, hat dann eine Sammlung an verschiedensten Spielen und kann ein passendes 72

aussuchen ohne lange im Internet suchen zu müssen. Es wurden über 20 Spiele gefunden, unter anderem Brett-, Karten- und Computerspiele, aber auch Apps für das Smartphone. Die Spiele wurden in verschiedene Kategorien eingeteilt, um diese zu beschreiben und nach Zielgruppen und Art des Spieles einzuordnen, außerdem wird bei jedem Spiel auch der Ablauf erklärt. Am Ende gibt es auch noch einen persönlichen Eindruck, der zwar subjektiv ist, aber auch einen realistischen Einblick in das Spiel geben soll, um die Entscheidung leichter zu machen. Zusammenfassend gibt es am Ende Tabellen, die auf den ersten Blick zeigen, welche Spiele in welche Kategorie (Zielgruppe und Art des Spieles) eingeordnet wurden. Ein kleiner Exkurs wird mit dem Thema der „CTF“ (Capture the Flag) Sicherheitsbewerbe gemacht, die selbst nicht unbedingt als Spiel angesehen werden, aber dennoch die gleichen Prinzipien verfolgen, um den Spielern die Materie beizubringen. Hier gibt es aber nur ein Beispiel und eine Erklärung, wozu diese gut sind und wie sie funktionieren.

OpenPGP Hardware-Token im mobilen und Zero-Trust Bereich

Ing. Marcus Kramar, BSc BSc Betreuer: Dipl.-Ing. Peter Kieseberg

Ausgangslage Eine wirklich sichere E-Mail Kommunikation ist zurzeit nur auf eigener Computerhardware in Kombination mit einem Hardware-Token möglich. Der private Schlüssel ist sicher verwahrt und wird nur beim Entschlüsseln oder Signieren der E-Mail Nachricht am Hardware-Token verwendet. Dieses Best-Case Szenario ist in Zero-Trust Umgebungen, beispielsweise in öffentlichen Einrichtungen, nicht möglich. Leider ist es auf diesen Fremdgeräten nicht erlaubt, eine Zusatzsoftware (GnuPG) zu installieren. Auf den meisten Endgeräten ist ein Webbrowser vorinstalliert. Somit ist es einfach, die eigenen E-Mails via eines Webmail-Dienstes zu verfassen oder zu lesen. Es gibt genügend Webmail-Anbieter sowie Browsererweiterungen, die nach dem Hochladen des Schlüsselmaterials E-Mail Nachrichten verschlüsseln, entschlüsseln und signieren können. Das Hochladen des eigenen Schlüsselmaterials ist ein Problem und täuscht eine scheinbare Sicherheit vor. Ab diesem Zeitpunkt muss man dem Anbieter des Webmail-Dienstes vertrauen und hoffen, dass das Schlüsselmaterial nicht gestohlen und missbraucht wird. Durch den Einsatz eines Hardware-Tokens würde dies verhindert werden. Ziel Das Ziel dieser Arbeit ist, festzustellen, ob OpenPGP Hardware-Token im mobilen und Zero-Trust Bereich uneingeschränkt verwendet werden können. Dazu müsste der

Treiber sowie der OpenPGP Client ins Web ausgelagert werden (WebUSB). Damit der Hardware-Token plattformunabhängig eingesetzt werden kann, wird ein Proofof-Concept für iOS Endgeräte entwickelt. Schlussendlich werden alle vorhandenen Tools, welche einen HardwareToken unterstützen, sowie Alternativen im mobilen Bereich, analysiert und verglichen. Ergebnis Klassisches OpenPGP ohne Hardware-Token ist nur auf eigener Computerhardware sicher. Die Verwendung eines Hardware-Tokens zur sicheren Schlüsselaufbewahrung ist in Zero-Trust Umgebungen notwendig. Der direkte Zugriff via WebUSB ist zurzeit nicht mehr möglich. Somit kann der Treiber nicht in die Web-Applikation ausgelagert werden und es wird für jedes Betriebssystem eine extra Software benötigt. Da es zu diesem Zeitpunkt keine plattformübergreifende Lösung gab, um Ende-zu-Ende verschlüsselte E-Mail Nachrichten auf allen Betriebssystemen mit einem Hardware-Token zu sichern, wurde ein Proof-of-Concept für iOS Endgeräte entwickelt. Dieses ermöglicht die Kommunikation mit dem OpenPGP Applet auf dem Hardware-Token.

Comparison of ISO 27001:2014 and its Annex A with the new ISO 20000-1:2018

Matthias Lampl, BSc Betreuer: FH-Prof. Dipl.-Ing. Herfried Geyer

Ausgangslage Die ISO 27001 zählt als international anerkannter Informationssicherheits-Standard zu den begehrtesten Zertifizierungen bei Unternehmen. Die Motive für eine Zertifizierung können dabei sehr unterschiedlich sein und reichen von reinen Marketingzielen bis hin zur gesetzlichen Verpflichtung aufgrund einer Einstufung als kritische Infrastruktur. Eine Zertifizierung ist durchaus mit großem Ressourcenaufwand für ein Unternehmen verbunden. Die Implementierung der notwendigen technischen und organisatorischen Maßnahmen kann je nach Komplexität der Organisation auch mehrere Jahre in Anspruch nehmen. Zusätzlich unterscheiden sich Unternehmen auch wesentlich in Ihren Bemühungen um standardisierte IT-Prozesse. Während Firma A ihre IT lediglich als Werkzeug sieht, behandelt Firma B die IT als Asset, welches direkt in den Wertschöpfungsprozess eingebunden wird und versucht Empfehlungen der ISO 20000 umzusetzen. Diese unterschiedlichen Ansätze und Motive teilen ISO 27001 Interessierte grob in zwei Lager, diejenigen, welchen ein Zertifikat genügt und diejenigen, welche tatsächlichen Vorteil aus einem Informationssicherheits- und IT Management System ziehen wollen.

Ziel Das Ziel dieser Arbeit ist, die ISO 27001 mit der ISO 20000:1 zu vergleichen und Überschneidungen bei den Empfehlungen zu identifizieren. Damit soll Unternehmen, welche die ISO 20000:1 oder Teile davon bereits umgesetzt haben, die Einschätzung der Aufwandsminderung für eine Implementierung der ISO 27001 erleichtert werden. Darüber hinaus sollen potenzielle Synergieeffekte hervorgehoben werden, welche durch Berücksichtigung beider Normen entstehen können. Ergebnis Die ISO 27001 bedient sich einiger Elemente der ISO 20000, dabei beruhen die Überschneidungen häufig auf der Notwendigkeit bestimmter Unternehmensstrukturen, um eine Steuerung des Unternehmens überhaupt erst zu ermöglichen. So sind in beiden Normen etwa Strukturen wie ein Incident- und Changemanagement, ebenso wie ein Supplier und Asset beziehungsweise Configuration Management gefordert. Trotz unterschiedlichem Fokus der jeweiligen Norm sind die Empfehlungen der ISO 20000 aber auch für die Wirksamkeit der ISO 27001 in diesen Bereichen von großer Bedeutung. Schlussendlich profitiert jedes Unternehmen direkt vom Mehraufwand, welcher durch Berücksichtigung beider Normen entsteht.

Quantencomputer: Gefahr für die Datensicherheit oder wissenschaftliche Innovation

Ing. Kathrin Lang, BSc Betreuer: FH-Prof. Univ.-Doz. Dipl.-Ing. Dr. Ernst Piller

Ausgangslage Die Verschlüsselung von Daten garantiert deren Sicherheit und Geheimhaltung. Aus genau diesem Grund ist sie aus dem heutigen Alltag eigentlich nicht mehr wegzudenken egal, ob beim Versenden von Mails, dem Überweisen der Miete oder bei Tätigkeiten, bei denen kein klassischer Computer benötigt wird, wie dem Bezahlen mit Bankomatkarte. Jeder Mensch führt diese und andere Tätigkeiten im täglichen Leben durch, aber die wenigsten denken bewusst darüber nach, wie die Daten dabei gesichert und verschlüsselt werden. Noch weniger sind sich bewusst, dass nach aktueller Prognose eben diese alltäglich verwendeten Verschlüsselungsverfahren und somit alle Verfahren, die diese verwenden, in voraussichtlich 10 bis 15 Jahren nicht mehr sicher sein werden. Der Grund hierfür ist der immer größer werdende Hype um das Thema Quantencomputer. Immer mehr Länder und Unternehmen arbeiten an einer schnell voranschreitenden Entwicklung von Quantencomputern und deren Anwendungen. Ein Quantencomputer ist allerdings in der Lage, sämtliche heute als sicher geltende asymmetrische Verschlüsselungen innerhalb kürzester Zeit zu entschlüsseln. Trotz der Bedrohung für heute gängige Verschlüsselungsverfahren sollte die Entwicklung von Quantencomputern nicht ausschließlich als negativ angesehen werden. Gerade auf dem Gebiet der IT Security bieten Quantencomputer einige Innovationen, welche die Sicherheit von Daten verbessern können.

Ziel Das Ziel dieser Arbeit liegt darin, aufzuzeigen, wo Handlungsbedarf besteht, um diese Risiken zu vermeiden beziehungsweise die Innovationen so früh wie möglich nutzen zu können. Es soll einerseits aufgezeigt werden, wo neue quantensichere Algorithmen und Verfahren benötigt werden, um Daten auch im Zeitalter von Quantencomputern weiterhin sicher übertragen und speichern zu können. Andererseits soll aber auch bewusst gemacht werden, welche Innovationen zukünftig genutzt werden könnten, um Daten besser zu schützen. Ergebnis Auf der einen Seite werden in dieser Arbeit einige weit verbreitete oder alltägliche Verfahren und Tätigkeiten, die asymmetrische Verschlüsselung verwenden, aufgelistet. Dabei werden deren Schwachstellen gegenüber Quantencomputern, deren Anwendungsgebiete und mögliche Wege, diese quantensicher zu machen, beschrieben. Auf der anderen Seite werden einige Innovationen durch Quantencomputer aufgelistet. Zusätzlich wird die Funktionsweise dieser kurz erklärt sowie deren potenzieller Nutzen angeführt. 75

Konfiguration von Linux-Hosts mit Active Directory GPOs oder vergleichbaren Methoden

Traude Lang, BSc Betreuer: FH-Prof. Dipl.-Ing. Hans Mühlehner

Ausgangslage Eine neue Systemadministrator*in startet in einem mittelständischen Unternehmen. Neben Windows-Server gibt es noch einen beträchtlichen Distributions-Zoo an Linux-Hosts; sämtliche Systeme sind spärlich dokumentiert. Zurzeit sind alle Systeme auf aktuellem Stand, unklar ist jedoch, ob alle Applikationen auch up-to-date sind. Eines haben alle Systeme gemeinsam – das Root-Passwort. Auch wenn die Situation in den wenigsten Unternehmen so schlimm ist, haben viele dennoch kein zentrales Management für Server und Clients. Daher sind auch oftmals unterschiedliche Konfigurationen im Einsatz. Meistens ist die Verwaltung von Windows-Systemen über ein Active Directory realisiert. Es stellt sich die Frage, ob es möglich ist, Linux-Hosts ganz oder zum Teil über ein solches zu verwalten. In dieser Arbeit wird erhoben, ob und in welchem Ausmaß Linux-Hosts mit Active Directory GPOs oder Alternativen konfiguriert werden können. Ziel Ziel der Arbeit ist es, sowohl Open Source als auch kommerzielle Lösungen zur Integration von Linux-Hosts in ein Active Directory mit der Steuerung über GPOs aufzuzeigen und zu bewerten. Dies geschieht durch die Analyse der

Funktionsweise der Gruppenrichtlinienverarbeitung, der Handhabung des Systems und des Funktionsumfangs der gebotenen Richtlinien. Außerdem werden die Systeme anhand von Eigenschaften bezüglich Spezifikation, Deployment, Verwaltung und Support betrachtet. Ergebnis Es wurde die Open Source-Lösung SSSD untersucht, mit welcher Benutzerzugriffsrechte über GPOs konfigurierbar sind. Auch Dritthersteller-Produkte bieten umfassende Systeme mit GPO-Unterstützung an. Anhand vier Hersteller konnte gezeigt werden, dass professionelle Unterstützung für unterschiedliche Bedürfnisse möglich ist. Mit bis zu 300 Gruppenrichtlinien und der Möglichkeit weitere IT-Sicherheits-Produkte hinzuzufügen, ist eine effiziente Systemadministration von Linux-Hosts möglich. Der Umfang der Richtlinien sowie deren Umsetzung und Inhalt unterscheiden sich je System allerdings erheblich. So kann der Schluss gezogen werden, dass es für Unternehmen jeder Größe eine passende Lösung für die zentrale Verwaltung von Linux-Hosts über GPOs gibt.

Covering Array Generation: Algorithms and implementation

Manuel Leithner, BSc Betreuer: Dipl.-Ing. Peter Kieseberg

Ausgangslage Testen ist ein essentieller Bestandteil der Software-Entwicklung, welcher dazu dient, Fehler in einer Anwendung zu erkennen. Dabei ist eine integrierte Vorgehensweise sehr ratsam, denn je später Bugs erkannt werden, desto teurer wird deren Behebung. Im Gegensatz zu den populären Unit Tests, bei denen Anwendungsfälle in ihrer Gesamtheit abgebildet werden, ermöglicht modellbasiertes Testen eine höher granulierte und intensivere Verifizierung einzelner Funktionen oder Prozesse. Ein solches Modell beinhaltet Informationen zu den verfügbaren Parametern einer Funktion, welche konkreten Werte diese jeweils annehmen können, sowie etwaige Einschränkungen bezüglich ungültiger Eingaben (z.B. „Wenn im ersten Parameter nicht ‚Windows‘ definiert wird, darf im zweiten Parameter nicht ‚Access‘ stehen“). Anhand dieser Spezifikation wird ein Test-Set generiert, welches einzelne Testfälle beinhaltet. Diese Generierung kann auf verschiedene Arten erfolgen: Ein naiver Ansatz wäre es, alle möglichen Kombinationen von Werten heranzuziehen. Damit werden zwar (bei korrekter Modellierung) alle Fehler erkannt, aber die große Anzahl der Testfälle ist meist untragbar. Kombinatorisches Testen stützt sich auf die Erkenntnisse von empirischen Studien, welche zeigen, dass alle darin analysierten Bugs durch die Interaktion von sechs oder weniger Parametern ausgelöst wurden. Sinnvoll

sind also Test-Sets, welche alle Werte-Kombinationen von einigen wenigen Parametern beinhalten. Das Ergebnis ist eine drastische Reduzierung der benötigten Testfälle bei fast gleichbleibender Effektivität zur Erkennung von Fehlern. Die Generierung solcher Tests ist jedoch eine komplexe Aufgabe, für die verschiedene Ansätze zur Verfügung stehen. Ziel Ziel dieser Arbeit ist es, jene Algorithmen und Implementierungen zur Generierung von kombinatorischen Test-Sets zu identifizieren, welche für den praktischen Einsatz am besten geeignet sind. Um eine nuancierte Aussage treffen zu können, werden verschiedene Modelle verwendet, welche eine Vielzahl von praktischen Problemstellungen abbilden. Ergebnis Das Ergebnis der Evaluierung ist ein quantitativer und qualitativer Vergleich von Tools anhand der Größe des resultierenden Test-Sets, Speicher- und Zeitverbrauch, Unterstützung für Einschränkungen sowie weiterer Metriken aus der aktuellen Forschung im Bereich des kombinatorischen Testens.

Threat Hunting using the ELK Stack

Ing. Stephan Leitner, BSc Betreuer: Dipl.-Ing. Gabor Österreicher, BSc

Ausgangslage Cyberangriffe nehmen immer komplexere Züge an, wodurch sich auch ihre Erkennung immer aufwendiger gestaltet. Hacker*innen nehmen sich dabei über mehrere Tage oder Monate hinweg die Zeit, ein spezifisches Netzwerk zu infiltrieren und die Kontrolle darüber zu übernehmen. Nicht jedes Intrusion Detection System erkennt solch komplexe und vor allem gezielte Angriffe. Um Rückschlüsse auf Angriffe ziehen zu können, müssen daher riesige Mengen an Logdateien diverser IT-Systeme analysiert werden. Die dafür zuständigen IT-Mitarbeiter*innen arbeiten mit sogenannten Security Information and Event Management (SIEM) Systemen, mit Hilfe derer nach „auffälligem Verhalten“ im Netzwerk gesucht wird. Dies könnte beispielsweise das Starten eines Programms sein, das nicht Teil des typischen Arbeitsalltags von Benutzer*innen ist. Ziel Ziel dieser Arbeit ist, es zu untersuchen, ob das als „ELK Stack“ bekannte System dafür eingesetzt werden kann, solch komplexe Angriffe in einem Netzwerk zu erkennen.

Der ELK Stack umfasst folgende drei Komponenten: 1) Elasticsearch: eine Datenbank zum Speichern diverser Loginformationen 2) Logstash: ein Tool, das als datenaufbereitende Schnittstelle zwischen den Logquellen und der Datenbank dient 3) Kibana: eine grafische Oberfläche, um auf die Daten in Elasticsearch zuzugreifen Ergebnis Für Systeme, deren Aufgabe es ist, Angriffe zu erkennen, wurden zu Beginn der Arbeit die folgenden vier wichtigsten Anforderungen erhoben: Die Normalisierung der Loginformationen, die Zugriffskontrolle auf das System, die Einhaltung der Datenschutzgrundverordnung (DSGVO) und die Alarmierung bei bestimmten Ereignissen. Davon erfüllte der untersuchte ELK Stack drei dieser vier Anforderungen zufriedenstellend, die der Alarmierung jedoch nur sehr begrenzt. Mithilfe von diversen Logdateien wurde außerdem in einer Testumgebung überprüft, ob es möglich ist, proaktiv in einem Netzwerk nach auffälligem Verhalten oder Bedrohungen zu suchen. Hierbei spricht man von Threat Hunting, welches in dieser Arbeit mithilfe der Taktiken, Techniken und Prozeduren (TTP) Methode simuliert wurde. Auch dies konnte mit dem ELK Stack erfolgreich umgesetzt werden.

Quantenresistente Public-Key Systeme für eingebettete Systeme

Christian Lepuschitz, BSc Betreuer: Dipl.-Ing. Dr. Henri Ruotsalainen

Ausgangslage Quantencomputer stehen unter dem Verdacht, die Sicherheit von Verschlüsselungsverfahren und damit auch der gesamten Kommunikation im Internet zu gefährden. Sensible Informationen wie Gesundheitsdaten, Forschungsergebnisse oder klassifizierte Informationen von Unternehmen könnten somit von unbeteiligten Dritten mitgelesen werden. Während ihre technische Realisierbarkeit vor einigen Jahren noch eine Glaubensfrage war, ist sie heute lediglich eine Frage der Zeit. Noch sind solche Systeme nicht alltagstauglich, doch bereits jetzt müssen wir neuartige Verfahren entwickeln und standardisieren, welche uns auch in Zukunft Vertraulichkeit und Integrität in der digitalen Kommunikation gewährleisten können. Durch zunehmende Digitalisierung finden auch sogenannte eingebettete Systeme immer mehr Verwendung. Diese verfügen nur über begrenzte Ressourcen und werden beispielsweise in der Luft- und Raumfahrt, in der Medizintechnik oder im Industrie-4.0-Umfeld - als Teil eines größeren Gesamtsystems - benötigt. Die Herausforderung besteht nun darin, neuartige Schlüsselaustauschverfahren zu entwickeln, die sowohl sicher gegen Angriffe von Quantencomputern, als auch mit den begrenzten Ressourcen von eingebetteten Systemen realisierbar sind.

Ziel Das Ziel dieser Arbeit ist es, noch nicht standardisierte, quantenresistente Schlüsselaustauschverfahren zu evaluieren und auf Basis ihrer Anforderungen die Implementierbarkeit auf eingebetteten Systemen zu prüfen. Hierzu werden die unterschiedlichen Arten von eingebetteten Systemen mit deren Einsatzgebieten aufgelistet, deren Hardwareeigenschaften mit den Minimalanforderungen der jeweiligen Algorithmen abgeglichen und zudem eruiert, wie ein Update auf ein quantenresistentes Verfahren aussehen könnte. Ergebnis Im Zuge dieser Arbeit wurden die bei der NIST-Ausschreibung (National Institute of Standards and Technology) “Post-Quantum Cryptography Standardization” eingereichten Vorschläge verglichen und im Bezug auf die Realisierung auf eingebetteten Systemen bewertet. Des Weiteren wurden die Probleme von aktuellen Schlüsselaustauschverfahren erläutert, die Problematik von Quantencomputern in der modernen Kryptografie dargelegt und eine Übersicht über den aktuellen Stand der Verschlüsselungsmethoden im Bereich der eingebetteten Systeme ausgearbeitet.

WLAN Angriffe aus großer Entfernung - Analyse mit direktionalen Antennen

Philip Madelmayer, BSc Betreuer: Dipl.-Ing. Dr. Henri Ruotsalainen

Ausgangslage Der Physische Aspekt bei WLAN-Netzwerken wird im Zusammenhang mit Sicherheit gerne einmal übersehen. Dabei wird davon ausgegangen, dass die Angriffsfläche von kabellosen Netzwerken auf die physische Umgebung des Signalursprungs beschränkt ist. Das ist jedoch nicht zwingend der Fall. Mit der nötigen Ausrüstung wie einer direktionalen Parabolantenne oder einer starken Omnidirektionalen Antenne können auch noch sehr schwache Signale empfangen und weiterverarbeitet werden. In dieser Arbeit wird auf die Gegebenheiten von WLAN kurz eingegangen, anschließend wird ein Überblick über die Sicherheit in WLAN Netzwerken gegeben, die Verschlüsselungsstandards von WLAN geschildert und allgemeine Bedrohungsszenarien dargelegt. Ziel Das Ziel dieser Arbeit ist die Darlegung der Auswirkungen einer stark direktionalen Antenne auf die einzelnen Angriffsmethoden. Durch die Reichweite einer solchen Antenne sollte es dem Angreifer möglich sein, bis zu mehreren Kilometern vom Zielnetzwerk entfernt zu sein. Jedoch birgt eine solche physische Entfernung vom Ziel auch Nachteile für den Angreifer bezüglich Latenz oder Datendurchsatz.

Ergebnis Im Anschluss wird analysiert, was für Auswirkungen Angriffe mit solch einer Antenne auf ein Einfamilienhaus mit SmartHome Komponenten haben kann. Es wird kurz die allgemeine Sicherheit von Smart-Home Systemen beleuchtet, anschließend werden die Auswirkungen der einzelnen Angriffe auf das Smart-Home System geschildert. Zusätzlich wird ein spezieller Angriffsaufbau für Rogue Acces Point oder Jamming gezeigt, der aus mehreren direktionalen Antennen angeschlossen an jeweils einen Raspberry Pi Einplatinencomputer besteht. Ausblick Diese Arbeit besteht aus theoretischen Überlegungen. Diese sollen in einer weiterführenden Arbeit praktisch analysiert werden. Die einzelnen Angriffe sollen mit entsprechender Hardware in einem real-world-Szenario durchgeführt werden. Mit 4G/5G Antennen könnten Handys und andere SIM-Karten fähige Geräte in Betracht gezogen werden. Das wäre mit einer rekonfigurierbaren Antenne möglich. Mit so einer Antenne könnten auch Mash-Systeme wie Zigbee oder Z-wave in die Smart-Home Thematik mit einbezogen werden.

TPM 2.0 - Analysis of Open Source Trusted Software Stacks and Features

Markus Mader-Ofer, BSc Betreuer: Dipl.-Ing Dr. Pirker Martin, Bakk.

Ausgangslage Vertrauen ist wichtig, und dies gilt aktuell mehr als je zuvor. Jeder, der ein Smartphone oder einen Computer hat, kommuniziert mit hoher Wahrscheinlichkeit regelmäßig. Doch ist das Gegenüber wirklich derjenige, für den er sich ausgibt, oder wird die Verbindung von einem Hacker oder Staat überwacht und manipuliert? Die Angst vor Spionage und manipulierten Systemen ist allgegenwärtig und fast jeder hat schon einmal Horror Geschichten von Hacker Angriffen gehört. Die Frage wem man wirklich vertrauen kann, ist somit nicht einfach zu beantworten. Wäre es nicht praktisch, wenn es ein Gerät geben würde, dessen Schlüssel nicht entwendet und in falsche Hände geraten könnte? Genau hierfür wurden „Trusted Platform Modules“ (TPM) entwickelt, das sind Hardware Chips, welche Schlüssel beherbergen, die nicht gestohlen werden können. Diese könnten dann etwa verwendet werden, um sich eindeutig zu identifizieren, eine Festplatte mit vertraulichen Informationen zu verschlüsseln oder den Zustand eines Systems zu überprüfen. Ziel Ziel dieser Arbeit ist es, aufzuzeigen, welche Optionen es bezüglich Software Stacks für das TPM 2.0 gibt, also inwiefern es verfügbare und funktionierende Programm Bibliotheken gibt. Außerdem soll evaluiert werden, inwieweit

diese für Security Aufgaben einsetzbar und die Features der 2. Generation wirklich verwendbar sind. Um dies zu untersuchen, werden verschiedene Systeme analysiert und auf unterschiedliche Eigenschaften getestet und evaluiert. Ergebnis Die Literaturrecherche und praktischen Versuche haben ergeben, dass es einige vielversprechende Optionen für vertrauenswürdige Software Stacks gibt und diese für Sicherheitsaufgaben einsetzbar sind. Dennoch sind diese Software Versionen noch nicht frei von Fehlern und wichtige Funktionen funktionieren nicht oder sind nicht vorhanden. Nichtsdestotrotz sind die Software Stacks öffentlich verfügbar und vielfach bereits für sicherheitsrelevante Aufgaben verwendbar. Ausblick In der Zukunft wird in diesem Bereich sicherlich noch einiges passieren, da bereits sehr viele neue Geräte wie etwa Laptops diese Chips eingebaut haben. Diese Chips könnten aber nicht nur im Privaten-, sondern auch im Unternehmens-, sowie Industrie Umfeld eingesetzt werden. Eine Aufgabe könnte unter anderem sein, Sicherheitsaufgaben durchzuführen und etwa die Integrität und das Vertrauen in Industrieanlagen zu gewährleisten.

Anomaly detection regarding the network traffic of ICS Detect and Respond rather than Prevent

Oliver Mann, BSc Betreuer: FH-Prof. Prof. (h.c.) Dipl.-Ing. (FH) Thomas Brandstetter, MBA

Ausgangslage Aktuell haben die meisten Umgebungen, die auf Industrial Control Systems (ICS) basieren, nur sehr begrenzte oder gar keine Überwachungslösungen für ihren Netzwerkverkehr. Daher gibt es meist keinen Überblick darüber, was im Netzwerk übertragen wird oder welche Geräte vorhanden sind. Darüber hinaus gibt es meist keine ausreichenden Möglichkeiten, unerwünschte oder ungesicherte Verbindungen mit externen Netzwerken zu erkennen und die einzige Möglichkeit zur Validierung, ob der programmierte Zyklus korrekt ausgeführt wird, sind die Ausgaben und Handlungen von Komponenten, die tatsächlich messbare Aufgaben ausführen. Um festzustellen, ob das System kompromittiert wurde oder nicht, reichen diese Informationen allein nicht aus, da viele Angriffe nicht sofort die Arbeitsweise des Systems beeinflussen oder gänzlich andere Ziele verfolgen. Ein Beispiel dafür wäre der Diebstahl von Informationen über einen Produktionsprozess. Die Erkennung von Anomalien im Hinblick auf den Netzwerkverkehr von ICS- Umgebungen bietet eine ausgezeichnete Lösung zur Bewältigung der oben genannten Probleme. Ziel Ziel dieser Arbeit ist es, verschiedene Methoden zur Erkennung von Anomalien im Hinblick auf den Netzwerkverkehr von ICS-Umgebungen vorzustellen. Einerseits um einen 82

Überblick darüber zu geben, was derzeit verfügbar ist und andererseits, um zu zeigen, dass die Methoden für ICSUmgebungen einen ganz eigenen Ansatz erfordern und sehr spezifische Anforderungen haben. Ergebnis Im Zuge dieser Arbeit werden viele Lösungen mit zum Teil unterschiedlichen Ansätzen vorgestellt und es wird gezeigt, worauf bei der Planung der Implementierung solcher Systeme zu achten ist. Manche wissenschaftlichen Ansätze stoßen noch immer auf einige Einschränkungen und viele davon müssen erst noch unter realen Bedingungen getestet werden. Aktuell gibt es nicht viele kommerzielle Lösungen, die in der Lage sind, Anomalien im Netzwerkverkehr von ICS-Umgebungen aufzuspüren, jedoch ermöglichen sie einen tiefen Einblick in die ICS-Umgebungen und bringen einen echten Mehrwert, welcher über den Aspekt der ITSicherheit hinausgeht.

Software-Defined Access - ein Einblick

Roman Miant, BSc Betreuer: Dipl.-Ing. Dipl.-Ing. Christoph Lang-Muhr, BSc

Ausgangslage „Bring Your Own Device“ (BYOD) und das „Internet of Things” (IOT) haben neuen Schwung in die Netzwerktechnik Branche gebracht. Diese beiden Trends sind insbesondere für den Bereich der Netzwerkzutrittskontrolle sehr fordernd und verlangen nach zielgerichteten, schnellen Schutz- und Segmentierungsmaßnahmen. Um diese Anforderungen zu stemmen, braucht es moderne Lösungsansätze. Insbesondere der Trend zu Software-Defined Networking (SDN) hat mittlerweile Wellen geschlagen. Sehr viele namhafte Firmen im Netzwerktechnikgewerbe versuchen, auf den Zug aufzuspringen. Auch Cisco hat mit dem ‚‘Digital Network Architecture Center‘‘ (DNAC) und der darauf aufbauenden ‚‘Software-Defined Access‘‘ (SDA) Architektur Produkte entwickelt, die möglicherweise den Weg in die Zukunft des Netzwerkmanagements bestimmen könnten. Deshalb vergleicht diese Arbeit klassische Accessnetzwerksysteme mit dem modernen Ansatz von Software-Defined Access.

arbeitet. Der zweite Teil präsentiert mit praktischen Tests die Handhabung von Software-Defined Access. Zusätzlich dienen Konfigurationsbeispiele dazu, die durch SDA gewonnene Flexibilität im Vergleich zu herkömmlichen Systemen zu beweisen. Ergebnis Im Zuge der Arbeit wurden Anforderungen und Problemstellungen für Accessnetzwerke ausgearbeitet. Diese wurden sowohl den Möglichkeiten der klassischen Netzwerkarchitektur als auch der modernen Software-Defined Variante gegenübergestellt. Die Ergebnisse der Arbeit dokumentieren, wie Software-Defined Access Netzwerkadministrator*innen dabei unterstützt, ein Netzwerk mit insgesamt weniger Aufwand aufzubauen, abzusichern und zu steuern.

Ziel Das Ziel dieser Arbeit ist es, einen Einblick in die neuartige Software-Defined Access Architektur zu geben und die technischen Zusammenhänge zu erklären. Im ersten Teil wird mittels Literaturanalyse der technische Hintergrund erklärt und Charakteristiken für Accessnetzwerke ausge-

Anonymität beim Browsen - Analyse des Nutzungsverhaltens und Verständnisses von verschiedenen Altersgruppen in Bezug auf das private Browsen Cem Oeztuerk, BSc Betreuer: Dipl.-Ing. Peter Kieseberg

Ausgangslage Die Abgabe eines wichtigen Dokuments steht bevor. In der Nähe gibt es nur fremde Geräte, die zur Benutzung bereitstehen. Doch die Privatsphäre ist wichtig und eigene Daten in ein fremdes Gerät einzutippen kommt nicht in Frage. Die Lösung ist der private Browsermodus. Durch dieses Werkzeug, welches von den meisten Webbrowsern mittlerweile angeboten wird, werden Browserdaten nach Schließung der Browserfenster gelöscht und bieten somit mehr Privatsphäre. Man loggt sich ein, gibt das Dokument ab und besucht noch einige Webseiten, bevor das Gerät wieder zurückgegeben wird. Zuhause angekommen, wird das eigene Gerät wieder eingeschalten und bei der ersten Webseite erscheinen Werbungen der im privaten Browsermodus besuchten Webseiten. Trotz der Möglichkeiten die Privatsphäre dadurch besser schützen zu können, bringen diese Funktionen auch Gefahren mit sich. Es werden in diesem Modus private Daten eingegeben, ohne sich bewusst zu sein, dass man trotzdem nicht komplett anonym surfen kann und somit den angebotenen Schutz der Privatsphäre oft überschätzt. Diese Arbeit betrachtet daher den aktuellen Stand des privaten Browsermodus bei verschiedenen Anbietern und analysiert das Verständnis sowie das Nutzungsverhalten von Testpersonen in Bezug auf das private Browsen.

Ziel Diese Arbeit hat sich zum Ziel gesetzt herauszufinden, inwieweit aktuelle Anbieter mit dem privaten Browsermodus Privatsphäre und Datenschutz anbieten können, sowie das Verständnis und das Nutzungsverhalten einer Gruppe von Personen detailliert zu analysieren und dadurch wertvolle Ergebnisse zu liefern. Ergebnis Im Rahmen dieser Arbeit konnten eine ausführliche Übersicht der aktuellen Anbieter des privaten Browsermodus erstellt und hilfreiche Ergebnisse bei der Umfrage erzielt werden. Aufbauend auf diesen Analysen wurden Missverständnisse und Bedrohungen bei der Benutzung des privaten Browsermodus betrachtet und anschließend für die Aufklärung des Themas verwendet. Schlussendlich kam es zum Ergebnis, dass der Großteil der Testpersonen nach der Aufklärung trotzdem weiterhin diesen Modus verwendet, da es derzeit keine bessere Lösungen existieren. Aufgrund dessen ist der größte Wunsch der Befragten ein Browser mit mehr Funktionen zum Schutz der Privatsphäre.

Accelerated Learning for Security Information and Event Management

Stefan Pfeiffer, BSc Betreuer: FH-Prof. Mag. Dr. Simon Tjoa

Ausgangslage Databreaches, Hacker Attacken und Dataleaks, sind in den letzten Jahren verantwortlich für unzählige Schlagzeilen. Jede Firma, Größen unabhängig, muss sich in der heutigen Zeit mit dem Thema Cybersecurity und IT Security befassen, damit entsteht der Bedarf an Experten in diesem Gebiet. Firmen suchen einen gesamten Überblick über ihre Infrastruktur und damit auch ihrer IT Sicherheit, hierbei können Security Information and Event Management (SIEM) Systeme helfen, welche einen hohen Aufwand darstellen diese in einem Unternehmen aufzustellen. Ein SIEM sammelt Informationen von den IT-Systemen einer Firma und kombiniert diese, um mögliche Sicherheitsrisiken zu erkennen. Nachdem ein SIEM kein Out-of-the-Box Programm ist, benötigt es Experten, welche gemeinsam mit der Firma den benötigten Prozess aufstellen und dann das System in die IT-Infrastruktur integrieren. Um Fachpersonal zu bekommen, entstehen immer mehr Kurse, Studiengänge und Weiterbildungen, welche sich an die herkömmlichen Lernmethoden klammern. Die Technik im Allgemeinen fordert den Bedarf von schneller Anpassungsfähigkeit, diese wird in den normalen Klassenzimmern nicht gefördert. Hierbei soll Accelerated Learning (AL) helfen, durch den Einsatz von Blockunterricht und besonderen Methoden, sollen Schüler und Schülerinnen schneller durch den Lehrplan kommen.

Ziel Das Ziel dieser Arbeit ist ein Konzept für einen Kursplan, der auf AL basiert, für das Schulen von Mitarbeitern, um ein SIEM in einem Unternehmen aufzustellen. Dieses Konzept soll alle nötigen Lehreinheiten beinhalten sowie Beispiele für Lehrmethoden und Lehrmittel umfassen. Das Konzept soll von Experten evaluiert werden. Ergebnis Im Zuge dieser Arbeit konnte ein Konzept erstellt werden, welches vom Vorwissen für den Kurs bis hin zum Zeitplan alles Nötige für die Ausarbeitung des Kurses beinhaltet. Der Lehrkörper, welcher diesen Kurs unterrichten wird, findet eine umfassende Anzahl von Methoden sowie dazu gehörigen Beispielen, um das Kursprogramm nach seinem Belieben zu formen. Das Konzept wurde Experten aus dem Bildung- sowie SIEM-Bereich vorgelegt und von jenen evaluiert. Das Feedback der Experten war positiv und lehrreich.

Static Malware Feature Analysis for Generative Adversarial Networks

Johannes Pinger, BSc Betreuer: Dipl.-Ing. Dr. Robert Luh, BSc

Ausgangslage Lange Zeit waren signaturbasierte Antiviren - Lösungen Vorherrscher am Markt. Für diese wurden mit viel technischem Know-How Signaturen von neuen Viren erstellt, um diese zukünftig erkennen zu können. Mit der großflächigen Verbreitung von Machine Learning und Deep Learning wurden Methoden entwickelt, um selbst neue Viren anhand verschiedener Muster zu erkennen. Dadurch versprechen sich Antivirenhersteller mehr Erfolge bei der Erkennung von Viren und erhoffen sich, Virenentwicklern nicht erst nachträglich das Handwerk legen zu können. Andererseits nutzen Zweitere die gleichen Tools, um die Erkennungsmechanismen der Antivirensoftware zu entkommen. Ziel In dieser Arbeit sollen verschiedene Virenerkennungsalgorithmen (auf Basis von Machine Learning) mithilfe einer Neuronalen Netzwerk Architektur (Generative Adversarial Network) getäuscht werden. Die verwendeten Daten bestehen aus einer Zusammensetzung aus bekannten Computerviren sowie normalen Windows-Programmen. Aus den Daten sollen verschiedene Informationen (Features) extrahiert werden, sogenannte Features, welche in unterschiedliche Gruppen eingeteilt werden. Die Ergebnisse der einzelnen Gruppen sollen nach Trainieren des Neuronalen Netzwerks mittels statistischer Hilfsmittel gegenübergestellt und analysiert 86

werden. Dadurch soll gezeigt werden, ob gewisse Features besser geeignet sind als andere. Ergebnis Es wurde gezeigt, dass klare Unterschiede zwischen einzelnen Gruppen bestehen. Daraus kann man schließen, dass manche Features besser geeignet sind, um Antivirensoftware mittels eines Neuronalen Netzwerks zu täuschen. Weiters wurde gezeigt, dass verschiedene Machine Learning Algorithmen mit den einzelnen Gruppen unterschiedliche Ergebnisse liefern. Dadurch kann man schließen, dass Algorithmen wie Linear Regression oder Support Vector Machine anfälliger auf Angriffe mit einem Neuronalen Netzwerk sind. Ausblick Die gewonnenen Informationen können verwendet werden, um das Neuronale Netzwerk gegen eine in der Industrie verfügbare Antivirensoftware zu trainieren. Diese Ergebnisse könnten zeigen, dass derartige Angriffe wirkliche Relevanz und Folgen für die IT Sicherheit in Unternehmen haben kann.

Developing a framework to detect threats to mobile operators and subscribers through roaming interconnections Patrick Pirker, BSc Betreuer: Dipl.-Ing. Dipl.-Ing. Christoph Lang-Muhr, BSc

Ausgangslage Wir setzen immer mehr Vertrauen in die Sicherheit von Mobilfunknetzen, indem wir beispielsweise Sicherheitscodes per SMS versenden, über geheime Informationen am Telefon sprechen oder unseren Standort über unser Mobiltelefon preisgeben. Gleichzeitig gibt es aber immer wieder Berichte über erfolgreiche Angriffe gegen die Mobilfunkanbieter und Nutzer. Da der Grundstein heutiger Mobilfunknetze auf rund 50 Jahre alter Technologie basiert, gibt es für einige Sicherheitslücken keinerlei Möglichkeit, diese zu beheben. Ziel Diese Arbeit versucht, die Sicherheit dieser angreifbaren Technologie zu erhöhen, indem ein modulares System zur Erkennung solcher Angriffe implementiert wurde. Dazu wurde pseudonymisierter Datenverkehr aus dem Netzwerk der A1 Telekom Austria AG untersucht. Das Ziel ist, ein funktionierendes Konzept zu entwickeln, welches einen besonders kritischen Teil von Angriffen erkennt, das mit Datenmengen, die dem Gesamtnetz der A1 Telekom Austria AG entsprechen umgehen kann und modular für neue Angriffe erweiterbar ist.

Die eingebauten Angriffe setzen sich aus verschiedenen Typen zusammen: von dem Abhören von Telefongesprächen, dem Umleiten von SMS bis hin zu dem genauen Lokalisieren von Mobilfunkgeräten über eine für Notfälle entwickelte Funktion. Eine der größten Schwierigkeiten zeigt sich bei der Implementierung eines zuverlässigen Interpreters für die verschiedenen Datenpakete, da die allgemein verfügbaren Dokumentationen stark fragmentiert und teilweise veraltet sind. Gleichzeitig muss dieser Interpreter in der Lage sein, mit dekomprimierten Datenmengen von rund zehn Gigabyte pro Minute umzugehen. Ergebnis Tests im tatsächlichen Netzwerk der A1 Telekom Austria AG haben ergeben, dass die entwickelte Software den Erwartungen entsprechend funktioniert, also sowohl die definierten Angriffe erkennt als auch mit der hohen Datenmenge umgehen kann. Des Weiteren zeigte sich, dass die Anzahl an Angriffen deutlich höher ist als erwartet und der Ursprung über verschiedene Länder verteilt ist.

Vigilant Employees

Pascal Pizzini, BSc Betreuer: FH-Prof. Mag. Dr. Simon Tjoa

Ausgangslage Veränderungen in Gesellschaft, Umwelt und Technologie führen zu unbekannten Bedrohungen sowie neuen Varianten bekannter Bedrohungen. Durch IT-Sicherheitsmaßnahmen passt sich die Informationssicherheit an technische Schwächen und Gefahren an. Technische Systeme sind leicht zu überwachen und zu warten, aber Unternehmen bestehen immer noch hauptsächlich aus Menschen, die Computer und Systeme bedienen. Dieser Umstand und die daraus resultierende Gefährdung durch den Menschen als Schwachpunkt der Unternehmenssicherheit wird seit Beginn des neuen Jahrtausends in wissenschaftlichen Arbeiten und Rahmenwerken behandelt. Die Schaffung eines Bewusstseins für Informationssicherheit wird in guten Praktiken und auch in Standards angesprochen. Aus eigener praktischer Erfahrung und aus der Forschung zu diesem Thema ging hervor, dass im Allgemeinen die Entwicklung und Etablierung von Information Security Awareness als wichtig erachtet wird. Das Sicherheitsbewusstsein muss jedoch mit den aufkommenden Gefahren wachsen, welches durch Erkennung der Bedrohungslage und Behandlung der daraus resultierenden Risiken erreicht werden kann.

Ziel Diese Bachelorarbeit zielt darauf ab, mehrere Arbeiten und Ansätze in den Bereichen des Risikomanagements, der Threat Intelligence, sowie der Informationssicherheit zu untersuchen, um herauszufinden, ob sich Threat Intelligence als wesentlicher Richtungsgeber für Enterprise Security Risk Management eignet, indem ein Risk Assessment eines Unternehmens durchgeführt, sowie dessen Threat Landscape berücksichtigt wird und die Resultate innerhalb der Information Security behandelt werden, mit dem Ziel das Awareness-Level aller Mitarbeiter zu erhöhen und Risiken für das Unternehmen minimieren zu können. Ergebnis Als Vorbereitung zum Verständnis des Hauptziels dieser Arbeit, werden die Leser*innen durch themenrelevantes Wissen geführt. Da die Grundidee erfolgversprechend wirkt, hat sich aus den intensiven Recherchen eine Umsetzung des zu behandelten Konzepts gebildet. Das Drei-Phasen-Model in welchem in Phase Eins die Unternehmensanalyse, in Phase 2 die Gefahrenanalyse und in Phase 3 die Ausarbeitung und Aufbereitung der Ergebnisse zur weiteren Verarbeitung in der Information Security im Fokus stehen.

Depending on ...whom? Assessing the sovereignty and security of the Austrian internet

Florian Plainer, BSc Betreuer: Dipl.-Ing. Peter Kieseberg

Webanwendungen können schon längst nicht mehr vollständig autonom funktionieren. Durch eine Vielzahl verschiedener Technologien, die laufend weiterentwickelt werden, ist es für Website-Betreiber oft nicht mehr wirtschaftlich alle notwendigen Komponenten einer Webanwendung selbst zu betreiben. Durch die Nutzung von Diensten wie beispielsweise „cdnjs“ können wartungsintensive JavaScript Programmbibliotheken einfach extern nachgeladen werden. So weit, so gut – doch was passiert, wenn ein solcher Dienst kompromittiert wird und die zur Verfügung gestellten Bibliotheken mit Schadcode überschrieben werden? Sämtliche Seiten, welche externe Ressourcen von dieser Quelle beziehen könnten dann ebenfalls manipuliert werden. Ob der wegfallende Mehraufwand für die Wartung einer Webanwendung einen Souveränitätsverlust dieser rechtfertigt, muss wohl jeder für sich entscheiden. Für mich stellte sich nun jedoch die Frage: Wie sieht es eigentlich mit der Souveränität und der generellen Sicherheit im österreichischen Internet aus? Um das zu untersuchen, wurde eine leistungsstarke Web-Crawling Software erstellt, mit der mehr als 40.000 österreichische Websites (.at-Domains) untersucht wurden. Als Bezugsquelle für Domains diente die deutschsprachige Wikipedia. Die gesammelten Daten sollten Aufschluss darüber geben, aus welchen Ländern externe Ressourcen nachgeladen werden, wie viele Seiten

verschlüsselte Übertragung (HTTPS) unterstützen und wie weit verbreitet HTTP Security Header zum Einsatz kommen. Ein besonderer Fokus wurde Websites der Regierung (.gv. at) gelegt, da ein Souveränitätsverlust dieser besonders kritisch wäre. Ein Großteil der Seiten, ca. 78 %, ist direkt von Ressourcen außerhalb Österreichs abhängig. Etwa zwei Drittel dieser Ressourcen kommt aus den USA. Auch von den Websites der Regierung werden in fast 76 % der Fälle externe Ressourcen nachgeladen. HTTP Security Header werden kaum verwendet – der meist verwendete (HSTS) lässt sich nur auf ca. 18 % der Seiten finden. Positiv ist, dass mehr als die Hälfte der untersuchten Websites automatisch verschlüsselt (via HTTPS) kommunizieren. Eine Wiederholung der durchgeführten Untersuchungen in einigen Jahren könnte sich als spannend erweisen, da sich so feststellen ließe, ob das österreichische Internet in der Zwischenzeit souveräner bzw. sicherer geworden ist.

Einführung eines ISMS in einem mittelständischen Unternehmen

Sascha Prock, BSc Betreuer: FH-Prof. Dipl.-Ing. Herfried Geyer

Ausgangslage Die Internetkriminalität steigt weiterhin weltweit an. Betroffen sind nicht nur Privatpersonen, sondern auch verstärkt Unternehmen und Behörden. Auch in lokalen Zeitungen wird vermehrt über Fälle von Hackerangriffen berichtet, die gezielt Unternehmen in der Region angreifen, entweder um Geld zu erpressen, oder einfach um Schaden zu verursachen. Zum Einsatz gelangt dabei vorwiegend Schadsoftware, die Unternehmensdaten verschlüsselt und die schlussendlich das Opfer dazu auffordert, Lösegeld zu bezahlen, um die Daten wieder zu entschlüsseln. Unter anderem wird auch “Phishing” sehr häufig eingesetzt, um so an Benutzerdaten und Unternehmensdaten zu gelangen. Dadurch stehen immer mehr kleine und mittelständische Unternehmen vor der Herausforderung, sich mit dem Thema Informationssicherheit beschäftigten zu müssen. Prozesse werden komplexer und die Datenmengen steigen an. Um als Management noch einen Überblick darüber zu behalten, ist es notwendig, eine sinnvolle Strategie in Sachen Informationssicherheit aufzubauen und zu pflegen, um so das wirtschaftliche Überleben des Unternehmens auch bei Angriffen oder Notfällen gewährleisten zu können. Diese Arbeit betrachtet die unterschiedlichen Möglichkeiten, ein ISMS zu implementieren und untersucht, welche Sicherheitsfaktoren zusätzlich bei der Auslagerung in die „Cloud“ zu beachten sind. 90

Ziel Das Ziel dieser Arbeit ist die Implementation eines nachhaltigen und effektiven ISMS in einem mittelständischen Unternehmen aus Niederösterreich. Durch diese Implementation sollen die Vorteile und Nachteile eines ISMS eruiert werden und die besonderen Herausforderungen für das Sicherheitsmanagement in Bezug auf die Auslagerung in die Cloud betrachtet werden. Ergebnis Durch die Implementation des ISMS bei dem Unternehmen wurde klar festgestellt, dass Informationssicherheit nicht etwas ist, das in einer Organisation einfach von heute auf morgen eingeführt und angewandt werden kann. Es handelt sich bei der Einführung eines Solchen ISMS um einen sehr langfristigen Prozess, welcher speziell in der Einführungsphase eine Menge Ressourcen benötigt. Schlussendlich überwiegen aber die Vorteile gegenüber den Nachteilen und die investierten Ressourcen zahlen sich aus. Die Auslagerung von Daten in die Cloud sollte nicht überstürzt erfolgen. Die vielen unterschiedlichen Cloud-Anbieter, Modelle und Dienste müssen zuerst evaluiert und für das Unternehmen spezifisch ausgewählt werden.

Änderungsverhalten von Zeitstempeln und deren Manipulation unter NTFS

Stefan Rödl, BSc Betreuer: Dipl.-Ing. Dr. Robert Luh, BSc

Ausgangslage Neben der Verhinderung von Cyberangriffen stellt die nachträgliche, IT-forensische Untersuchung von Vorfällen einen immer wichtiger werdenden Aspekt der IT-Security dar. Angreifer hinterlassen bei ihren Aktivitäten Spuren, die oft in der Form von Metadaten vorliegen: Besonders Zeitstempel, die sich im Zuge von Dateioperationen verändern, sind für forensische Untersuchungen interessant. Gleichzeitig kann die Manipulation von Zeitstempeln das Erkennen von Angriffen massiv erschweren. Die Gefahr, welche von einer solchen Verschleierung ausgeht, wird in dieser Arbeit untersucht und experimentell belegt. Ziel Ziel der Arbeit ist die Untersuchung von ZeitstempelVeränderungen durch verschiedene Dateioperationen unter Windows 10. Dies impliziert als Untersuchungsgegenstand das Dateisystem NTFS und dessen Mechaniken zur Speicherung von Metadaten. Ebenfalls sollen Tests durchgeführt werden, mit denen festgestellt werden kann, ob Zeitstempelmanipulationen möglich sind, ohne Spuren in den NTFSMetadaten zu hinterlassen. Zugleich soll aufgezeigt werden, ob das Standardverhalten des Dateisystems beim Setzen von Zeitstempeln von älteren, in der Literatur behandelten Versionen abweicht.

Eine der größten Schwierigkeiten zeigt sich bei der Implementierung eines zuverlässigen Interpreters für die verschiedenen Datenpakete, da die allgemein verfügbaren Dokumentationen stark fragmentiert und teilweise veraltet sind. Gleichzeitig muss dieser Interpreter in der Lage sein, mit dekomprimierten Datenmengen von rund zehn Gigabyte pro Minute umzugehen. Ergebnis Aus der erstellten Übersicht konnten zahlreiche Verhaltensänderungen abgelesen werden, die bei zukünftigen Untersuchungen berücksichtigt werden sollten. Zusätzlich wurden verschiedene Angriffsszenarios mit unterschiedlichen Tools getestet, um aufzuzeigen, wie Zeitstempelmanipulation praktisch durchgeführt werden kann. Außerdem wurden die Auswirkungen solcher Manipulationen auf die Metadaten des Dateisystems im Hinblick auf Aufdeckung von Verschleierungsversuchen untersucht. Abhängig vom verwendeten Werkzeug konnten Manipulationen unterschiedlicher Tiefe erreicht werden. Diese reichten von oberflächlichen Manipulationen bis hin zu Änderungen, die mit den verwendeten Analysewerkzeugen nicht aufgedeckt werden konnten.

Der Umgang mit einem Passwort-Manager bei Digital Immigrants

Michael Sailer, BSc Betreuer: Dipl.-Ing. Peter Kieseberg

Ausgangslage Die moderne Informatik verlangt nach einem Passwort, welches aus einer möglichst komplexen Kombination von Groß- und Kleinbuchstaben, Sonderzeichen und Ziffern besteht. Zusätzlich wird pro Service ein eigenes Kennwort empfohlen, wodurch der Überblick über alle Passwörter sehr kompliziert werden kann. Viele Publikationen zeigen jedoch auf, dass diese Empfehlungen oft keine Auswirkung auf das tatsächliche Verhalten von Nutzer*innen haben. Hier knüpfen Passwort-Manager an, welche eine Liste von allen Passwörtern an einem sicheren Ort verwahren. Ziel Diese Arbeit soll im ersten Schritt die Passwortgewohnheiten von Digital Immigrants aufzeigen. Als Zielgruppe wird bewusst eine Bevölkerungsgruppe mit einem Alter über 45 Jahren ausgewählt, da diese laut Statistik Austria tendenziell die geringste Erfahrung bei der Benutzung des Internets besitzt und somit das Sicherheitsrisiko am größten ist. In weitere Folge soll die Frage beantwortet werden, ob der allgemeine Umgang mit sicheren Passwörtern mithilfe eines Passwort-Managers verbessert werden kann.

Ergebnis Die Ergebnisse der ersten Umfrage zeigen, dass die Komplexität der von den Teilnehmer*innen gewählten Passwörter als gut bewertet werden kann, das Dienst-zu-Passwort-Verhältnis allerdings von Person zu Person stark schwankt und im Durchschnitt schlechter ist. Ebenso fällt auf, dass Teile von persönlichen Daten wie Name, Geburtsdatum, etc. von allen Proband*innen als Passwort verwendet werden. Um für die Proband*innen den möglichst optimalen PasswortManager in Bezug auf die Benutzerfreundlichkeit zu eruieren, wurden acht Passwort-Manager getestet. Die Palette reichte hier von den bekannten PM Dashlane und Keeper bis zu weniger bekannten wie RoboForm. Testsieger ist hier Keeper vom Hersteller Keeper Security, Inc., welcher mit der besten Qualität und Funktionsweise überzeugt. Keiner der Testkandidat*innen hat den Testlauf abgebrochen, stattdessen geben diese an, den PM darüber hinaus benutzen zu wollen. Nach Aussagen der Proband*innen wurde der Passwort-Manager im Alltag integriert, die Nutzung in der Praxis verlief allerdings gemischt. Es konnte eine Verbesserung der Verwaltung der Datensätze erzielt werden, die Notierung der Kennwörter auf Papier hat sich ebenfalls reduziert. Den Passwort-Manager Keeper bewerteten die Teilnehmer*innen mit einem SUS-Score von 81, welcher mit der Bestnote „‘Hervorragend“‘ gleichzusetzen ist.

Analyse aktueller Cyber Security Vorfälle (< 5 Jahre) zum Aufbau einer Szenario Datenbank

Katharina Schmid, BSc Betreuer: FH-Prof. Mag. Dr. Simon Tjoa

Ausgangslage Cyber Angriffe stellen eine immer größer werdende Bedrohung dar. Studien zu Folge findet rund alle 39 Sekunden eine Cyber Attacke auf ein mit dem Internet verbundenes Gerät statt. Die Angriffe werden gezielter und die Auswirkungen weitreichender. Kaum eine Organisation oder Unternehmen, egal ob Regierungsbehörde, Krankenhaus, Bank oder Versicherung, bleibt verschont. Schätzungen zu Folge wird der weltweite Schaden, der durch Cyberkriminalität entsteht, 2021 bereits 6 Billionen US-Dollar pro Jahr betragen. Es wird daher für Unternehmen immer wichtiger, sich auf möglichst viele unterschiedliche Angriffswege vorzubereiten und unterschiedliche Notfallübungen durchzuführen. Für die Recherche und Analyse von aktuellen Cyber-Attacken fehlt es den Unternehmen jedoch oft an Kapazitäten. Diese Arbeit soll Unternehmen bei der Lösung dieses Problems unterstützen, indem aktuelle Cyber Angriffe analysiert und die gesammelten Informationen aufbereitet und zur Verfügung gestellt werden.

werden bedeutende Attacken aus unterschiedlichen Sektoren, z.B. Finanzsektor oder staatliche Einrichtungen ausgewählt, die eine hohe Reichweite haben oder viel Schaden verursacht haben. Ziel ist es nicht, möglichst viele Attacken zu analysieren, sondern jene herauszuheben, die sich möglichst gut unterscheiden, um verschiedene Angriffsvektoren darstellen zu können. Ergebnis Im Rahmen dieser Arbeit fand die Analyse ausgewählter Cyber Angriffe statt. Besonderes Augenmerk lag dabei auf den durchgeführten Phasen der Cyber Kill Chain, dem entstandenen Schaden und den Angreifer*innen. Diese wurden zusätzlich nach geografischer Herkunft, möglichen Regierungsverbindungen, weiteren Opfern und nach Fähigkeiten analysiert. All diese Ergebnisse wurden verglichen, um Gemeinsamkeiten und Unterschiede hervorzuheben. Anschließend wurden die gesammelten Informationen in einem Excel-Dokument dargestellt.

Ziel Das Ziel dieser Arbeit ist es, eine Informationsbasis für Unternehmen zu erstellen, in der Informationen zu unterschiedlichen Cyber Angriffen, die zwischen 2014 und 2019 stattgefunden haben, übersichtlich dargestellt werden. Es

Alexa: a privacy crisis?

Kathrin Schneller, BSc Betreuer: FH-Prof. Dipl.-Ing. Mag. Marlies Temper, Bakk.

Ausgangslage Die zunehmende Digitalisierung in der heutigen vernetzten Gesellschaft bringt einige echte Herausforderungen sowohl für Technologien als auch für den Menschen mit sich. Insbesondere die Systeme mit denen Benutzer interagieren, haben in den letzten Jahren einen großen Entwicklungsfortschritt erfahren. Smartphones, Tablets und Computer verfügen heutzutage auch über so genannte Sprachassistenten, die in ihrer Software integriert sind. Der aufkommende Trend der Smart Home Systeme fördert die Entwicklung der automatischen Sprach- und Sprechererkennung und führt somit in eine neue Ära. Das Zeitalter der Sprachassistenten. Solche Assistenten können gestellte Fragen beantworten, im Internet nach bestimmten Inhalten suchen oder im Haushalt helfen, z.B. den morgendlichen Kaffee zubereiten, die Waschmaschine einschalten oder das Licht dimmen. Sprachassistenten eignen sich auch für Interaktionen, bei denen es zu gefährlich oder ungewöhnlich ist, durch Berührung zu interagieren, wie beispielsweise beim Autofahren oder beim Sport. Aber auch Online-Bestellungen stellen heutzutage kein Problem mehr dar. Ziel Dadurch, dass alle diese Systeme mittlerweile stets mit dem Internet verbunden sind, bringen sie auch einige Risiken und Gefahren mit sich, die nicht nur einige Folgen auf das 94

System selbst, sondern auch auf Leben des Konsumenten haben können. Daher ist das Ziel dieser Arbeit, festzustellen, welche Sicherheitsrisiken Amazon Alexa für den Nutzer darstellt und welche Auswirkungen diese auf das Leben heute und die Gesellschaft von Morgen haben. Ergebnis Das Ergebnis der Arbeit ist eine explorative Szenarioanalyse mit einigen möglichen Zukunftsausblicken und -szenarien, welche im Hinblick auf die Sicherheit und den Einfluss von Alexa auf das Leben des Nutzers erstellt wurden. Dabei wurden nicht nur Gegenwärtige, sondern auch vergangene Schlüsselfaktoren ausgewählt, die die Basis für die Analyse bildeten. Diese Schlüsselfaktoren und je nach Auswahl der Szenariomethodik, wurden einige Szenarien und deren zukünftigen Auswirkungen erörtert und sogenannte „Mental Maps“ erstellt. Diese stellen dann verschiedene Sichtweisen und Perspektiven der Vergangenheit, Gegenwart und Zukunft der jeweiligen Sicherheitsaspekte zu Alexa dar und in welcher Hinsicht sie das Leben des Nutzers beeinflussen.

Open Source Intelligence für Risikoidentifikation in Unternehmen

Edin Spahic, BSc Betreuer: FH-Prof. Mag. Dr. Simon Tjoa

Ausgangslage Für Robert ist es ein normaler Arbeitstag. Er sitzt im Büro in seiner Firma und langweilt sich. Deshalb beschließt Robert, Fotos von der neuen Orchidee zu machen, die das Team bekommen und im Büro platziert hat, und sie dann stolz mit seinen Freunden auf seiner Facebook-Seite zu teilen. Was Robert nicht bemerkt, ist, dass sein Facebook-Profil öffentlich ist und er mit der Orchidee auch seinen Arbeitsplatz mitfotografiert hat, auf dem seine Anmeldeinformationen für das Firmennetzwerk zu sehen sind. Da Roberts Profil öffentlich ist, kann jeder auf seine Informationen und Bilder zugreifen, auch ohne einen Account. Heutzutage können Websites und soziale Netzwerke eine umfangreiche Quelle für persönliche Informationen und persönliche Merkmale von Mitarbeiter*innen darstellen und sogar dazu verwendet werden, die IT-Infrastruktur eines Unternehmens zu identifizieren, die wiederum später dazu verwendet werden kann, potenzielle Schwachstellen im System zu erkennen. Open-Source-Intelligence (oder OSINT) ist die Methode, mit der frei verfügbare Informationen aus verschiedenen Medien (Internet, Zeitung, Fernsehen, ... etc.) bezogen werden können. Diese Arbeit befasst sich mit der Extraktion von Informationen aus verschiedenen OSINT-Tools, um potenzielle Risiken für Unternehmen zu identifizieren.

Ziel Das Ziel dieser Bachelorarbeit ist es, zu untersuchen, wie mithilfe von Open-Source-Intelligence und den Einsatz ausgewählter OSINT-Tools Risiken für ein Unternehmen identifiziert werden, die sich als potenzielle Sicherheitsschwachstellen herausstellen könnten. Zusätzlich wird noch untersucht, worin sich kommerzielle OSINT-Lösungen von der herkömmlichen Methode der Informationsgewinnung unterscheiden. Ergebnis Die im Rahmen dieser Arbeit durchgeführte Analyse wurde als eine demonstrative Auswertung durchgeführt, bei der der Einsatz und die Ergebnisse ausgewählter OSINT-Tools aufgezeichnet und potenzielle Risiken anschließend veranschaulicht wurden. Im Zuge dieser Bachelorarbeit wurde ein bestimmtes Unternehmen, welches in Österreich tätig ist, profiliert und anschließend mithilfe von OSINT-Tools auf Schwachstellen und Risiken analysiert. Der auf OSINT basierender Ansatz nutzte eine Kombination aus geschäftlichen und sozialen Netzwerken und einer Analyse von Netzwerkdomänen.

Whitepaper für die sichere Integration von cronetwork in Industrie-unternehmen

Markus Steinbauer, BSc Betreuer: FH-Prof. Prof. (h.c.) Dipl.-Ing. (FH) Thomas Brandstetter, MBA

Ausgangslage In der Industrie hat die digitale Vernetzung mit dem Trend Industrie 4.0 endgültig Einzug gehalten und es werden immer mehr Systeme miteinander vernetzt und tauschen Daten aus. Cronetwork als MES (Manufacturing Execution System) spielt hierbei eine tragende Rolle, da es das zentrale System in der Fertigung ist, das nun die Datendrehscheibe für viele Fremdsysteme ist.

den können, und welche Konfigurations-möglichkeiten im System und der zugrundeliegenden Basistechnologie zur Verfügung stehen.

Wie bei den meisten Systemen ist aber auch bei cronetwork die erhöhte Sicherheit von Daten meist mit Konfigurationsaufwand verbunden. Daher und weil in vielen Fertigungsbetrieben nicht die IT die Schnittstellen zwischen Systemen implementiert, kommt teilweise die Sicherheit bei der Anbindung von Systemen an cronetwork ins Hintertreffen.

Ergebnis Das Resultat der Arbeit ist, dass in cronetwork alle Daten sicher übertragen werden können. Ein Großteil der Maßnahmen kann direkt in cronetwork oder der Basistechnologie auf die cronetwork auf-baut, gesetzt werden. Bei Schnittstellen, die nicht über die Anwendung zu sichern sind, gibt es die Möglichkeit, diese über Funktionalitäten des Betriebssystems zu sichern. Oder über Maßnahmen, wie eine zielgerichtete Netzwerksegmentierung und eine stärkere physische Sicherheit durchzusetzen.

Ziel Um dies zu unterbinden, soll diese Arbeit dazu dienen, KeyUser*innen und Administrator*innen einen Überblick über gängige und in der Praxis verbreitete Schnittstellen zwischen cronetwork und Fremdsystemen sowie den Datenfluss innerhalb von cronetwork aufzuzeigen. Des Weiteren werden in der Arbeit auch die Maßnahmen aufgezeigt, mit denen die Schnittstellen von cro-network in Bezug auf die Netzwerkkommunikation gehärtet wer96

Um den Leser*innen die Möglichkeit zu geben die Wirkung der Maßnahmen bereits im Vorfeld abschätzen zu können, wird auch in der Arbeit immer wieder Bezug auf die Art der über eine Schnittstelle übertragenen Daten genommen.

Täuschung von Angreifern in Active Directory

Patrick Steiner, BSc Betreuer: Dipl.-Ing Dr. Pirker Martin, Bakk.

Ausgangslage Hacking-Angriffe sind eine fortlaufende Bedrohung für Unternehmen, Organisationen und Behörden. Klassische Sicherheitskomponenten zum Schutz gegen HackingAngriffe sind unter anderem Antiviren Softwares oder Firewalls. Diese Sicherheitskomponenten verhindern nicht alle Angriffe. Dadurch ist es Angreifer*innen möglich, in ein Unternehmensnetzwerk einzudringen. Einmal in ein Unternehmensnetzwerk eingedrungen, können Angreifer detaillierte Informationen über die Computer- und Netzwerkumgebung sammeln. Anschließend ist es möglich, mit diesen gewonnenen Informationen weitere Attacken auszuführen. Ein mögliches Ziel für Angriffe ist Active Directory - der Verzeichnisdienst von Microsoft. Eine Software – die Angreifer zum Finden von Angriffspfaden in Active Directory verwenden – ist Bloodhound. Bloodhound visualisiert eine Active Directory Domäne und zeigt Angreifer*innen verschiedenste Angriffspfade. Ziel Diese Arbeit untersucht eine Möglichkeit Angreifer*innen, die Bloodhound verwenden, zu täuschen. Dabei werden Angreifer*innen Schwachstellen in der Active Directory Domäne vorgetäuscht. Diese Schwachstellen existieren in Wirklichkeit nicht, sondern stellen Köder (Honeypots) dar.

Dadurch werden Angreifer*innen auf eine falsche Fährte geführt. Versucht eine Angreifer*in die Schwachstellen auszunutzen, wird diese erkannt. Ziel ist, dass eine Angreifer*in keine wichtigen Ziele in der Organisation angreift, sondern sich stattdessen auf die vorgetäuschten Schwachstellen fokussiert. Dafür ist es notwendig, dass die vorgetäuschten Schwachstellen möglichst lukrativ erscheinen. Ergebnis Diese Arbeit zeigt das Täuschen von Angreifer*innen die Bloodhound verwenden. Die gefälschten Angriffspfade täuschen einer Angreifer*in vor, dass diese mit wenig Aufwand den Account eines Domänenadministrators übernehmen kann. Dies ist für Angreifer*innen sehr lukrativ, da Angreifer*innen bei der Übernahme von Accounts von Domänenadministratoren weitgehende Berechtigungen über die Active Directory Domäne erwerben. Diese lukrative, gefälschte Schwachstelle führt eine Angreifer*in auf eine falsche Fährte und hält diese so davon ab, wichtige Ziele im Unternehmen anzugreifen.

IT-Security and Privacy concerns in Smart Home Automation Platforms

Michael Swoboda, BSc Betreuer: Dipl.-Ing. Oliver Eigner, BSc

Ausgangslage Einige Home Automation-Plattformen, sowohl kommerziell als auch Open-Source, sind derzeit verfügbar und werden weiterentwickelt. Dadurch hat jede*r mit der Neugierde und dem Willen die Gelegenheit, daran teilzuhaben und sich das Eigenheim zu automatisieren. Neben der entwickelten Software wird auch Hardware, wie beispielsweise spezifische Sensoren, netzwerkfähige Lampen oder Eingangstüren, die bisher größtenteils von Unternehmen, Kraftwerken und Fabriken verwendet wurden, im Heimbereich immer beliebter. Die Folge ist eine weiter anwachsende Anzahl an Geräten verschiedenster Hersteller, meist verbunden mit proprietärer Software. Diese Geräte ermöglichen unter anderem das Überwachen von Gesundheitsmerkmalen der Bewohner*innen durch z.B. Smart Watches und speichern dementsprechend sensible und schützenswerte Informationen über deren Besitzer*innen. Während die Idee, den Haushalt näher an begehrte Zukunftsfiktionen zu bringen, attraktiv scheint, darf der ebenfalls immer wichtiger werdende Aspekt der Sicherheit und Privatsphäre nicht vernachlässigt werden. Der Nachfrage entsprechend liefern gewinnorientierte Anbieter oft Software, die nicht zwingend auf nötige Anforderungen der IT-Sicherheit geprüft werden und somit oft von Angreifer*innen ausnutzbare Schwachstellen beinhalten.

Ziel Das Ziel dieser Arbeit ist die Evaluierung der IT-SicherheitAspekte der verbreiteten Open-Source Home Automation Plattform „OpenHAB“ und der Vergleich verwendeter Technologien mit dem aktuellen State-of-the-Art. Weiter werden mögliche Design-Fehler besprochen, die in der Vergangenheit bereits zu Problemen geführt haben. Im Fokus steht die Untersuchung der Standardkonfiguration, möglicher Härtungsmöglichkeiten sowie Web-basierter Schwachstellen. Ergebnis Die Analyse der Arbeit gibt darüber Aufschluss, wie sicher eine beispielhafte Plattform aktuell ist und welche Ergebnisse die gewählte Methodik zur Untersuchung einer Webbasierten Home-Automation Plattform liefern kann. Die damit gewonnene Information soll helfen, zukünftige Plattformen kritischer zu betrachten und einige konzeptuelle Fehler während der Planung und Entwicklung verhindern oder beheben zu können.

Cyber Resilience durch Künstliche Intelligenz

Michael Tuchny, BSc Betreuer: FH-Prof. Mag. Dr. Simon Tjoa

Ausgangslage Betriebsunterbrechung, Krisenbewältigungskosten, Wiederherstellungskosten, Rechtsberatungskosten, Vertragsstrafen und Reputationsschaden. Ein Cyber-Angriff auf Unternehmen ist heutzutage eine ernsthafte Bedrohung. Die Anzahl an Cyber-Angriffen wächst stetig. Zu dieser Menge an Angriffen kommen noch die unzähligen Angriffsvektoren und die steigende Professionalität, mit welcher diese Attacken ausgeführt werden. Oft sind Angreifer*innen bereits mehrere Wochen oder Monate im System, bevor sie entdeckt werden. Wie sollte ein Unternehmen reagieren, wenn es einem Cyber-Angriff zum Opfer fällt? Frühe Erkennung eines Cyber-Angriffs sowie sofortige Reaktion und darauffolgender Wiederherstellung des Betriebs ist es, was Cyber Resilience ausmacht und für ein Unternehmen in der heutigen Zeit so gut wie unerlässlich ist. Künstliche Intelligenz oder kurz „KI“, ist ein Begriff, der aus dem Jahr 2020 nicht mehr wegzudenken ist. Ob selbstfahrende Autos oder autonome Roboter, welche die Logistik in Lagerhallen managen, technische Geräte werden immer häufiger mit KI ausgestattet, um gezielte Arbeiten schnellstmöglich und auch zuverlässig zu erledigen. Mit dem Smartphone in der Hosentasche haben wir KI auch ständig mit dabei. Siri, Alexa und Co. lernen anhand der Daten, die wir ihnen zur Verfügung stellen und entwickeln sich stetig weiter, um genauere Ergebnisse

zu liefern. Diese Technologie soll das menschliche Denken mechanisieren und es Maschinen erlauben, sich intelligent zu verhalten. Ziel Das Ziel dieser Arbeit ist es, Cyber Resilience und die verwendeten Methoden sowie Techniken zur erfolgreichen Anwendung zu verstehen und zu analysieren. Zusätzlich ist es notwendig, die Funktionsweisen von Künstlicher Intelligenz zu verstehen und herauszufinden, wo diese bereits erfolgreich eingesetzt wird und ob es bei den Einsatzgebieten eventuell bereits parallelen zu Cyber Resilience Szenarien gibt. Zuletzt soll entschieden werden, ob und wenn ja, wo es Sinn macht, Teile der Cyber Resilience mithilfe von KI zu verbessern. Ergebnis Das durch diese Bachelorarbeit erzielte Ergebnis zeigt, dass es bereits Forschung in diese Richtung gibt und es für einige der in der Cyber Resilience verwendeten Techniken durchaus Sinn macht, diese durch KI zu unterstützen, um schnellere Reaktionszeiten zu erzielen oder defensive Entscheidungen zu stützen.

Denial-of-Service Angriffe im LoRaWAN

Wolfgang Woehrer, BSc Betreuer: Dipl.-Ing. Dr. Henri Ruotsalainen

Ausgangslage Das Internet der Dinge (Internet of Things, IoT) wird in den kommenden Jahrzehnten weiterhin stark wachsen. Die Sicherheit bei der Kommunikation der Endgeräte und beim Datenaustausch gewinnt somit immer mehr an Bedeutung. Wenn zwei oder mehr Geräte vernetzt werden sollen, stellt sich für Entwickler die Frage, welches Protokoll verwendet werden soll. SigFox, Symphony Link und NWAVE sind nur einige der möglichen Protokolle. Zu der Protokoll Familie des Internets der Dinge zählt auch das LoRaWAN welches vor allem bei einer drahtlosen Kommunikation und bei Batteriebetrieb bevorzugt ausgewählt wird. Aufgrund des niedrigen Stromverbrauchs und der hohen Reichweite ist es daher aus der Welt der vernetzten Geräte nicht mehr wegzudenken. Weltweit wird es bereits in über 150 Ländern sowohl von Privatpersonen als auch von der Industrie eingesetzt. Typische Anwendungsbeispiele sind zum Beispiel das Auslesen von Messdaten (Temperatur, Luftfeuchtigkeit, Drehzahl, Druck usw.). Ziel Diese Arbeit gibt einen Einblick in die Funktionsweise von LoRaWAN und in die Sicherheitsprobleme und Schwachstellen, die IoT-Geräte mit sich bringen. Das Ziel der Arbeit ist die Analyse von Denial of Service (DoS) Attacken in LoRa Netzwerken. Außerdem werden eine Reihe von Angriffen 100

und Methoden beschrieben, die es möglich machen das LoRaWAN zu manipulieren bzw. zu stören. Mit einem Experimentaufbau mittels handelsüblicher Hardware werden die Auswirkungen, die eine Denial of Service Attacke auf die LoRaWAN Verbindung zwischen zwei Endgeräten hat, aufgezeigt und welche Sicherheitsmaßnahmen zur Verhinderung gesetzt werden können. Ergebnis Die Arbeit verschafft einen Einblick über die Funktionsweise und die technischen Daten von LoRa Netzwerken. Analysiert wurde, welche Denial of Service Attacken es bereits gibt und welche sich auch mit einfachen Mitteln nachstellen lassen. Mithilfe eines Versuchsaufbaus konnte bewiesen werden, dass die Verbindung zwischen zwei LoRa Geräten mittels kostengünstiger handelsüblicher Hardware gestört und somit der Austausch der Messdaten blockiert werden kann. Darüber hinaus werden auch Maßnahmen zum Erkennen und zur Verhinderung solcher Attacken beschrieben.

Schwachstellen von webbasierten Android-Apps

Alexander Zhanial, BSc Betreuer: FH-Prof. Dipl.-Ing. Dr. Sebastian Schrittwieser, Bakk.

Ausgangslage In der modernen Welt wird fast alles über das Smartphone erledigt - es werden Bestellungen bei Online-Shops getätigt, mit Freunden kommuniziert, Banküberweisungen durchgeführt, sogar die Amtswege bleiben einem teilweise erspart. Für all diese Tätigkeiten stehen passende Apps zum Download bereit, die mit einer einzigen Touch-Geste auf dem Smartphone installiert werden können. Insgesamt sind es mittlerweile nahezu 3 Millionen Apps, die im Google Play Store heruntergeladen werden können und es werden Tag für Tag mehr. Die Gründe dafür sind die geringen Hürden, die Entwickler*innen in Kauf nehmen müssen, um Apps zu veröffentlichen und die verschiedensten Technologien, die verfügbar sind, um Apps in Rekordzeit zu entwickeln. Allerdings wird bei der Entwicklung allzu oft auf die Sicherheit vergessen oder Entwickler*innen fehlt es an nötigem Know-how, um diese zu vermeiden. Deshalb gewinnen vor allem technische Sicherheitsanalysen - sogenannte Penetration Tests - zunehmend an Bedeutung, bei der eine App umfassend auf Schwachstellen überprüft wird, um diese anschließend bestmöglich abzusichern.

eine bestimmte Art von App gerichtet – der Hybrid-App. Hybrid-Apps sind eigentlich Webseiten, welche mittels einer bestimmten Technologie (sogenannten Hybrid-Frameworks) in vollwertige Apps “umgewandelt” werden. Dadurch können diese aus dem Google Play Store heruntergeladen und auf dem Gerät installiert werden. Zudem soll dabei evaluiert werden, wie sich diverse Schwachstellen explizit auf Hybrid-Apps auswirken und es sollen Angriffe präsentiert sowie deren theoretischen Ablauf modelliert und mögliche Einfallstore aufgezeigt werden. Ergebnis Das Ergebnis stellt einen umfassenden Überblick über Schwachstellen und mögliche Sicherheitsrisiken von Android-Apps dar. Zudem werden diese dahingehend analysiert, wie sie sich differenziert auf Hybrid-Apps auswirken und es werden mögliche Angriffsszenarien dafür modelliert. Zur Nachvollziehbarkeit der technischen Hintergründe der Schwachstellen beinhaltet das Ergebnis der Arbeit auch eine Erläuterung des Aufbaus, der Funktionen und der Sicherheitsaspekte des Android Betriebssystems und von Hybrid-Apps.

Ziel Das Ziel der Arbeit ist, festzustellen, welche Schwachstellen Android-Apps betreffen können. Dabei wird der Fokus auf

101

Characterization of Attacks on Linux

Patrick Zivkovic, BSc Betreuer: Dipl.-Ing Dr. Pirker Martin, Bakk.

Ausgangslage Moderne IT und EDV Systeme müssen heutzutage stets erreichbar sein. Dies hat für eine Großzahl an Benutzer*innen viele Vorteile, birgt aber auch eine weite Angriffsfläche für bösartige Zwecke. Das Schützen solcher Systeme gelangt immer mehr in den Fokus und das Angebot für Sicherheitslösungen steigt stetig. Ein immer größer werdendes Thema ist dabei die Wahl des Betriebssystems für die Bereitstellung der Dienste. Das Betriebssystem Linux bzw. dessen Derivate werden aufgrund der großen Flexibilität und der weitverbreiteten Einsatzmöglichkeiten immer attraktiver für Unternehmen. Die große Software Diversität von Linux und dessen Distributionen können für Angreifer mehrere Einstiegspunkte und Schwachstellen bieten. Trotz steigendem Interesse an dem Betriebssystem Linux und vermehrtem Einsatz in produktiven Umgebungen, besteht ein Mangel an Sicherheitsprodukten, welche auf Linux Betriebssysteme zugeschnitten sind. Ziel Das Ziel der Arbeit ist es herauszufinden, inwiefern die Open-Source Philosophie von Linux Einfluss auf die Ausnützbarkeit der Schwachstellen hat. Dazu werden moderne Serverdistributionen analysiert und Angriffe systematisch charakterisiert. Die Angriffe werden nach der Mitre ATT&CK Matrix in verschiedene Phasen unterteilt und innerhalb jeder 102

Phase miteinander verglichen. Ein weiteres Ziel ist es, Unterschiede zwischen den verschiedenen Serverdiensten zu erkennen und dadurch potentielle Schwachstellen frühzeitig zu erkennen. Ergebnis Durch eine detaillierte Analyse des Serverbetriebssystems Ubuntu, welches auf dem Linux Kernel basiert, konnte durch Untersuchung der Serveraktivitäten festgestellt werden, dass viele Sicherheitslücken durch veraltete Software oder Schwachstellen in den Diensten selbst zu einer Kompromittierung der Systeme führen. Verschiedene Linux Distributionen dienen oft verschiedenen Zwecken. Daher werden einige Funktionen oder bereitgestellte Software bereits vom Hersteller dem geplanten Nutzen angepasst. Dies hat Einfluss auf die Verfügbarkeit von Software auf dem jeweiligen System. Die Erfolgsrate von Angriffen variiert stark je nach verwendeter Software.

mein allesfürmichplus mehr fernsehen, internet, telefonie & mobile, mehr ich

Jetzt noch mehr Speed:

500 Mbit/s

Alles aus einer Hand vom Komplettanbieter: + unlimitiert surfen, streamen und gamen

+ SIM Karten-Tarife fürs Smartphone mit kabelplusMOBILE

+ im Glasfasernetz mit bis zu 500 Mbit/s

+ mehr als 130 digitale Sender inkl. HD-TV ohne Aufpreis

+ Festnetz-Telefonie ohne Telekom-Grundgebühr

+ jetzt neu: zeitversetztes Fernsehen mit kabelplusMAGIC TV

Gleich informieren und anmelden: 0800 800 514 / kabelplus.at

Impressum Herausgeberin, Medieninhaberin und Verlegerin: Fachhochschule St. Pölten GmbH, Matthias Corvinus-Straße 15, 3100 St. Pölten | www.fhstp.ac.at Gestaltung und Satz: DI Florian Stix Fotos: Florian Kibler (S. 4) Martin Lifka Photography (Cover, 2, 104) | Visualisierung Expressiv / NMPB Architekten (S. 105) Druck: Bösmüller Print Management GesmbH & CO KG Vorbehaltlich Druck- und Satzfehler

103

FH St. Pölten My best place to study

3.421 Studierende Mehr als 3.400 Studierende absolvierten 2019 ein Bachelor-, Masterstudium oder einen Weiterbildungslehrgang an der FH St. Pölten.

8.047 Alumni Die mehr als 8.000 Absolvent*innen der FH St. Pölten sind am Arbeitsmarkt sehr gefragt und in Unternehmen und Einrichtungen im In- und Ausland tätig.

972 Lehrende 2019 lehrten 130 Dozent*innen sowie 842 nebenberufliche Lektor*innen an der FH St. Pölten. Ein Großteil der Lehrenden kommt direkt aus der Praxis.

Durch die enge Vernetzung mit Hochschulen auf der ganzen Welt bietet die FH St. Pölten Studierenden sowie Mitarbeiter*innen zahlreiche Möglichkeiten, Auslandserfahrung zu sammeln.

Stand 2019

150 Partnerhochschulen

6 Departments

In den Departments Digital Business und Innovation, Medien und Digitale Technologien, Informatik und Security, Bahntechnolgie und Mobilität, Gesundheit sowie Soziales bietet die FH St. Pölten praxisorientierte Lehre und Forschung am Puls der Zeit.

26 Studiengänge An der FH St. Pölten werden aktuell 26 Bachelor und Master Studiengänge sowie zahlreiche Weiterbildungslehrgänge in den Themenbereichen Medien, Wirtschaft, Digitale Technologien, Informatik, Security, Mobilität, Gesundheit und Soziales angeboten.

9 Forschungsinstitute und -zentren

Die FH St. Pölten zählt zu den forschungsstärksten Fachhochschulen in Österreich und arbeitet mit nationalen und internationalen Partner*innen an anwendungsbezogenen Projekten.

Hoher Praxisbezug Bereits während der Ausbildung haben die Studierenden die Möglichkeit, Praxiserfahrung zu sammeln – sei es in Projekten in Kooperation mit Unternehmen oder im Rahmen eines Berufspraktikums. Modernste Ausstattung und zahlreiche Labore – vom Audiolabor bis hin zum Digital Health Lab – stehen den Studierenden rund um die Uhr zur Verfügung und ermöglichen die Realisierung praxisnaher Projekte.

106

107

Fachhochschule St. Pölten GmbH, Matthias Corvinus-Straße 15, 3100 St. Pölten T: +43 2742 313 228, F: +43 2742 313 228-339, E: csc@fhstp.ac.at, I: www.fhstp.ac.at 108

Diplom- und Bachelorarbeiten 2020 | IT Security & Information Security

Articles inside

Absolventinnen und Absolventen Bachelor-Studiengang IT Security

Absolventinnen und Absolventen Master-Studiengang Information Security

n Vorwort Studiengangsleiter FH-Prof. Dipl.-Ing. Johann Haag

n Vorwort Geschäftsführung & Rektorat