35 minute read
Absolventinnen und Absolventen Bachelor-Studiengang IT Security
AbsolventInnen Bachelorstudium
IT Security
Edin Alic, BSc Andreas Bauer, BSc Martin Fränzl, BSc Daniel Frühwirth, BSc Michael Fuchssteiner, BSc Marion Haller, BSc Ulrich Koinig, BSc Stefan Langeder, BSc Thomas Leitner, BSc Anton Moser, BSc Christoph Murth, BSc Gabor Österreicher, BSc Florian-Sebastian Prack, BSc Kerstin Ramer, BSc Lukas Rath, BSc Patrick Riedl, BSc Richard Rohan, BSc Manfred Ruzicka, BSc Martin Schagerl, BSc Matthias Schrattenholzer, BSc Christian Stoiber, BSc Michael Taurer, BSc
A literature survey of Input Level Attacks on Vein Recognition Systems
Absolvent: Edin Alic, BSc
Dozentin: Mag. Dipl.-Ing. Marlies Rybnicek
Ausgangslage
Sicherheit spielt in der heutigen Zeit eine wichtige Rolle. Zutrittskontrollen sind meist die erste Hürde für einen Angreifer/eine Angreiferin, welche es zu passieren gilt. Viele verschiedene Arten von Zutrittskontrollen sind zurzeit am Markt. Manche haben sich als sicher und andere als weniger sicher erwiesen. Biometrische Identifikationsverfahren gelten als innovative und sichere Möglichkeit zur Zutrittskontrolle. Der besondere Vorteil bei biometrischen Systemen besteht darin, dass der Schlüssel zur Identifikation im Organismus des Menschen selbst liegt – „being the key yourself“. Bei den biometrischen Verfahren gibt es wiederum schwächere und stärke Verfahren, was die Sicherheit betrifft. Beispielsweise gibt es für Fingerabdrucksensoren bereits einfache Methoden, mit Hilfe welchen dem Sensor eine falsche Identität vorgetäuscht werden kann, um Zutritt zum System zu erlangen. Im Gegensatz dazu stehen Venenerkennungssensoren, die bisher als unüberlistbar gelten.
Ziel
Das Ziel der Bachelorarbeit ist es, einen Einblick in die Welt der biometrischen Systeme zu geben und insbesondere Venenerkennungssysteme im Detail zu betrachten. Dabei liegt der Schwerpunkt auf der Analyse von Schwachstellen, die eine Überlistung von Venenerkennungssensoren (Handinnenvenen- und Handrückenvenensensoren) erlauben. Mögliche Angriffe wurden dargestellt und bewertet. Im Weiteren wurde ein Überblick von Lebenderkennungsmethoden bei biometrischen Systemen basierend auf dem Venenmuster gegeben und auf ihre Erkennungsraten analysiert.
Ergebnis
Die meisten Angriffe auf Venenerkennungssysteme basieren auf sogenannten „Input-Level Attacken“, welche auf den Einsatz von Artefakten zurückgreifen. Als Hilfsmittel dienen dabei unter anderem Kohletinte, Papier oder Latexhandschuhe. Obwohl es sich bei der Vene um ein biometrisches Merkmal handelt, dass sich innerhalb des Körpers befindet und somit nicht hinterlassen werden kann, sowie eine Lebenderkennung durch den Blutfluss automatisch gegeben ist, ist der zusätzliche Einsatz von robuster Lebenderkennung wichtig. Durch den Einsatz von zusätzlicher Lebenderkennung ist eine Überlistung ohne überdimensionalen Aufwand nicht möglich.
Threat modelling for Critical Infrastructure/Ontologies and Taxonomies for Resilience
Absolvent: Andreas Bauer, BSc
Dozent: Mag. Simon Tjoa
Ausgangslage
Da die heutige Gesellschaft immer komplexer und vernetzter ist, werden auch kritische Infrastrukturen und Systeme immer vielseitiger und komplizierter. Damit verbunden sind auch immer weiter steigende Gefahren und Bedrohungen mit welchen ein solches komplexes System zu tun hat. Darum liegen die Anforderungen an diese Strukturen vor allem auch auf Beständigkeit und Widerstandskraft. Um diese Beständigkeit zu verwirklichen gibt es verschiedene Ansätze und Methoden. Sowohl Risikomanagement als auch der Aufbau von Resilienz und Resilienz-Strategien gehören zu diesen. Es gibt aber kein allgemein gültiges „Rezept“ um widerstandsfähige Systeme zu schaffen, weshalb eine ausgiebige Untersuchung und Modellierung von Bedrohungen notwendig ist. Allerdings spielen in der Modellierung von solchen Strukturen und deren Resilienz meist mehrere Gebiete eine Rolle.
Um dieser Problematik entgegen zu wirken, muss das notwendige Verständnis geschaffen werden. Zu diesem Zweck können Ontologien und Taxonomien herangezogen werden. Diese nehmen in der Regel allerdings nur wenig Bezug auf Bereiche die nur in Teilen mit dem eigentlichem Thema zu tun haben. Aus diesem Grund ist es vor allem im Bereich der kritischen Infrastrukturen notwendig, mit Hilfe von Ontologien, das Verständnis über alle Bereiche eines solchen Systems zusammen zu führen, um so die Beständigkeit, welche die heutige Gesellschaft verlangt, zu gewährleisten.
Ziel
Das Ziel der Arbeit ist die Untersuchung von Ontologien und Taxonomien in Bezug auf Resilienz kritischer Infrastrukturen. Darauf aufbauend soll ein Bedrohungsmodell bzw. eine Ontologie/Taxonomie für kritische Infrastrukturen erstellt werden. Um den Stellenwert von Resilienz zu beleuchten, soll diese auch mit anderen Metriken, wie Maintainability, verglichen und ihr Einfluss auf den Bereich Risikomanagement untersucht werden.
Ergebnis
In der Bachelorarbeit wurden Ontologien und Taxonomien aus den Bereichen Threats, Security und Resilience untersucht und auf diesen aufbauend eine neue Ontologie in Bezug auf Bedrohungen und Resilienz kritischer Infrastrukturen erstellt. Metriken, welche die Resilienz beeinflussen, wurden ebenso dargelegt wie das Zusammenspiel von Resilienz und Risikomanagement. Des Weiteren wurden theoretische Ansätze vorgestellt, welche es den Betreibern kritischer Infrastruktur ermöglichen Resilienz zu erzeugen um auch wirtschaftlich einen Vorteil gegenüber der Konkurrenz erlangen zu können.
Bild Quelle:??????
Single Sign-On in Unternehmen
Absolvent: Ing. Martin Fränzl, BSc
Dozent: FH-Prof. Dipl.-Ing. Bernhard Fischer
Ausgangslage
Wenn man die Berichte über Datenlecks in staatlichen Unternehmen oder Hacking-Attacken auf diversen Parteiseiten verfolgt, stellt sich die Frage: „Sind die Daten in meinem Unternehmen ausreichend geschützt?“. Eine falsch konfigurierte Firewall oder ein fehlerhaftes Programm machen es dem Angreifer leicht in ein Firmennetz einzudringen. Eine der größten Schwachstellen, vor allem bei Unternehmen mit Internet Portalen oder Web-Shops, sind schwache Passwörter. Sind die Passphrasen schlecht gewählt, können sie vom Angreifer leicht erraten oder mittels „Brute Force Attacke“ ermittelt werden. Um dies zu verhindern, fordern Sicherheitsbeauftragte stärkere und dadurch sicherere Passwörter oder eine zweiteilige Authentifizierung mittels Smartcard und PIN. Vom Benutzer wird verlangt, sich lange, aus verschiedenen Zeichen bestehende Passwörter zu merken. Eine Lösung für dieses Problem ist Single Sign-On.
Single-Sign On (SSO) nutzt zentrale Identitätsspeicher, um einen sicheren und benutzerfreundlichen Zugang zu den Zielsystemen zur Verfügung zu stellen. Da sich der Benutzer nur ein einziges Mal im Netzwerk anmelden muss, kann ihm dadurch ein komplexeres und sichereres Passwort oder eine Smartcard Anmeldung zugemutet werden. Daraus resultiert, dass sich User besser auf ihre Arbeit konzentrieren können und nicht ständig mit Kennwortproblemen konfrontiert sind. Zusätzlich sinken die Kosten des Helpdesks, da weniger Anfragen wegen vergessener Kennwörter bearbeitet werden müssen.
Ziel
Das Ziel der Arbeit ist die Implementierung einer Single Sign-On Lösung in einem Unternehmen, im Speziellen mit dem Kerberos Protokoll und mit der Security Assertion Markup Language (SAML). Dabei wird der für das Unternehmen auftretende Aufwand, die dadurch entstehenden Kosten und die zu beachtenden Risiken untersucht.
Ergebnis
Die Bachelorarbeit „Single-Sign On in Unternehmen“ umfasst eine Beschreibung der SSO, Kerberos und SAML Grundlagen sowie Gründe, warum Single SignOn in einem Unternehmen und unternehmensübergreifend eingesetzt werden sollte. Weiterführend wurde auf die praktische Umsetzung von Kerberos und SAML eingegangen. Im Zuge eines Testaufbaus wurde mittels MIT Kerberos und Shibboleth der Einsatz der Protokolle im Unternehmensumfeld getestet, und aufgezeigt welche Punkte bei einer etwaigen Installation unbedingt zu beachten sind. Des Weiteren befasste sich die Arbeit mit den Risiken, den Kosten und dem zeitlichen Aufwand einer etwaigen Implementierung sowie den Auswirkungen auf das Change Management.
Content Inspection in Data Loss Prevention – Systemen
Absolvent: Daniel Frühwirth, BSc
Dozent: Mag. Simon Tjoa
Ausgangslage
„Vertrauen ist gut, Kontrolle ist besser.“ Dieses Sprichwort sollten sich sicherheitsbewusste Unternehmen zu Herzen nehmen, wenn es um den Schutz ihrer vertraulichen Daten geht. Dabei ist aber nicht der Schutz gegen Gefahren, die von außen drohen, gemeint. Korrupte MitarbeiterInnen oder der schiere Leichtsinn der Angestellten mit dem Umgang vertraulicher Informationen stellt ein ebenso großes Risiko des Datenverlustes dar, wie es von Hackern und anderen Cyberkriminellen ausgeht. Deshalb ist es von großer Bedeutung, den ungewollten Datenabfluss von innen zu stoppen. Dieser Prozess ist jedoch nur möglich, wenn vertrauliche Daten auch als solche erkannt werden und der Umgang mit diesen geregelt und überwacht wird. Die größte Hürde dieses Vorgangs stellt die Klassifizierung der Daten dar. Bei großen Datenmengen ist es wichtig, dass dieser Prozess automatisiert abläuft, da der Vorgang ansonsten sehr zeitintensiv und folglich nicht zu bewältigen wäre.
Eine adäquate Lösung, dem Risiko des Datenverlustes entgegen zu wirken, bieten diverse „Data Loss Prevention Systeme (DLP)“. Mit einer detaillierten Inhaltsanalyse, der sogenannten „Content Inspection“, einem zentralem Regelmanagement und einer flächendeckenden Überwachung der firmeninternen Tätigkeiten mit vertraulichen Daten, bilden diese Systeme ein angemessenes Sicherheitslevel. Die „Content Inspection“ leistet dabei eine wichtige Arbeit, indem sie alle Daten analysiert und klassifiziert, bevor diese das Firmennetzwerk verlassen. Doch nicht jedes Verfahren der Inhaltsanalyse bietet eine einwandfreie und fehlerlose Funktionalität. Die „Content Inspection“ - Systeme basieren auf unterschiedlichen Analysetechniken und liefern somit auch ungleiche, qualitative Ergebnisse.
Ziel
Das Ziel der Arbeit ist die Untersuchung, der in DLPSystemen eingesetzten „Content Inspection“ – Verfahren. Dabei soll aufgezeigt werden welche dieser Verfahren dem Stand der Technik entsprechen. Zusätzlich werden einige Sicherheitstests mit einem DLP-System durchgeführt in denen versucht wird, dieses zu überlisten und die Schwächen aufzuzeigen.
Ergebnis
In der Bachelorarbeit wurden diverse „Content Inspection“ – Techniken analysiert und deren Arbeitsweise, sowie Stärken und Schwächen beschrieben. Dadurch konnte festgelegt werden welches Verfahren dem Stand der Technik entspricht. Des Weiteren wurden einige Sicherheitstests mit einem DLP-System durchgeführt. Dieses konnte mit unterschiedlichen Methoden überlistet werden. Die Ergebnisse zu den Tests werden ebenfalls in der Arbeit präsentiert.
Bild Quelle:??????
Hypervisor Forensics – Xen
Absolvent: Michael Fuchssteiner, BSc
Dozent: Dipl.-Ing. (FH) Mag. Rainer Poisel
Ausgangslage
Eine, momentan stark aufkeimende, Technologie am Markt ist Cloud-Computing. Darunter versteht man diverse IT-Dienstleistungen, wie zum Beispiel einzelne Services, Speicherlösungen oder virtuelle Server, die einem Kunden, auf Anforderung, zur Verfügung gestellt werden. Für Konsumenten ist dies insofern attraktiv, da nur für tatsächlich benötigte Leistungen bezahlt werden muss (Model- bzw. Anbieter abhängig). Im Gegensatz zu selbst betriebenen Services resultiert daraus eine Kosteneffizienz, welche immer mehr Unternehmen dazu bewegt ihre IT in die Cloud zu verlagern. Die technische Realisierung von Cloud-Computing und dessen Flexibilität wird durch Virtualisierung ermöglicht. Dabei nimmt vor allem die Servervirtualisierung mittels Virtual Machine Monitor, der auch als Hypervisor bezeichnet wird, eine führende Rolle ein. Die Aufgabe des Hypervisors besteht darin, die Hardwarezugriffe der jeweiligen virtualisierten Betriebssysteme zu steuern. Die Disposition der Zugriffe kann mittels Hardware-Emulation, Hardware-Virtualisierung und Paravirtualisierung gelöst werden. Aus der allgemeinen Funktionsweise eines Hypervisors lässt sich folgende Erkenntnis ableiten; sämtliche Hardwaresteuerungen von virtualisierten Maschinen werden über den Hypervisor, zentral, verwaltet.
Ziel
In der Arbeit wird primär der Hypervisor Xen im forensischen Kontext analysiert. Dies impliziert die Fragestellung welche Informationen, aus Sicht des Hypervisors, über die virtualisierten Maschinen und deren Programme ermittelt werden können. Da laufende VMs in der Praxis häufiger anzutreffen sind als außer Betrieb genommene VMs, wird diesen auch in der Arbeit mehr Relevanz zugesprochen.
Ergebnis
Zunächst wird ein Überblick über das behandelte Thema geschaffen. Dies betrifft die Darstellung der essentiellen Grundlagen betreffend der Analyse, wie Virtualisierung, Cloud-Computing und die generelle Funktionsweise des Xen Hypervisors. Es folgt eine thematische Auseinandersetzung mit allgemeinen forensischen Vorgangsweisen und deren Zusammenhänge bzw. Problematiken in virtualisierten Umgebungen. Dabei liegt der Fokus der Analyse in Methoden, die auf „laufende“ VMs angewandt werden können.
Data Lost Prevention – Analyse der DLP Implementierung von Check Point
Absolventin: Marion Haller, BSc
Dozent: FH-Prof. Dipl.-Ing. Johann Haag
Ausgangslage
Datenverlust stellt nicht nur für größere Unternehmen eine Bedrohung dar, auch klein- und mittelständische Betriebe sind immer mehr auf der Suche nach Data Loss Prevention-Lösungen, um ihre Assets zu schützen. Die angebotenen Produkte verfolgen nicht nur verschiedene technische Ansätze, sie verursachen auch unterschiedlich hohe Kosten bei der Implementierung. Für kleinere Unternehmen sind dies ausschlaggebende Gründe, um sich für oder gegen die Einführung eines DLP-Systems zu entscheiden. Die Problematik liegt nicht nur im Sicherheitsmanagement sondern ebenso im Kosten-/Nutzenfaktor.
Ziel
Diese Arbeit soll dem Leser/der Leserin die Grundlagen für den erfolgreichen Einsatz eines DLP-Systems im Unternehmen vermitteln. Da neben technischen Aspekten der organisatorische Aufwand nicht zu unterschätzen ist, soll diese Arbeit auch hier einen detaillierten Einblick geben und über die Risiken und Fallstricke bei der Implementierung einer DLP-Lösung aufklären. Weiters soll der rechtliche Aspekt bei der Integration eines DLP-Systems ins Unternehmen eingehend beleuchtet werden, um daraus resultierende Probleme bereits im Vorfeld erkennen und umgehen zu können. Da es in der breiten Landschaft der DLP-Produkte große Unterschiede in Umfang und Funktion gibt, beschäftigt sich diese Arbeit beispielhaft mit einem namhaften Vertreter der Branche: Check Point.
Ergebnis
Das analysierte DLP-System bietet einen akzeptablen Schutz gegen unabsichtlichen Datenverlust mit vertretbarem Installations- und Implementierungsaufwand und ist daher auch für kleinere Unternehmen denkbar. Der Erfolg der Implementierung liegt aber in der Planungs- und Klassifizierungsphase inklusive einer entsprechenden Einschulung der MitarbeiterInnen.
Das DLP-Blade bietet eine Vielzahl von vorgefertigten Datentypen, die dennoch den Bedarf nicht zu 100% decken können. Die limitierte Interoperabilität mit MS Exchange Server 2010 wird durch das ganzheitliche Netzwerksicherheitskonzept und die zentrale unternehmensweite Konfigurationsschnittstelle wettgemacht. Zwar gibt es eine beliebig erweiterbare Erkennungsengine, dennoch werden PDF-Dateien bisher mangelhaft und Grafiken gar nicht unterstützt.
Business Value of Attack and Penetration
Absolvent: Ulrich Koinig, BSc
Dozent: Mag. Simon Tjoa
Ausgangslage
Im Jahr 1970 waren nur das Militär, die Regierung und Telefonkonzerne an Penetrationstests interessiert, um ihre Sicherheitslücken zu schließen. Damals hatten Computer noch nicht die ausreichenden Kapazitäten, um überhaupt eine große Menge an sensitiven Daten zu speichern. Nur wenige Menschen beschäftigten sich damals mit Sicherheitstests einzelner Rechner oder Netzwerke.
Heutzutage hat jede Art von Unternehmen, egal ob Autowerkstatt, Versicherungsgesellschaft oder Bank eine große IT mit vielen Rechnern und Platz für sensible Daten. Unser gesamtes Leben hängt immer mehr von der korrekten Funktionsweise der Netzwerk- und Softwaresysteme ab. Aus diesem Grund testen viele Unternehmen ihre eigene Sicherheit regelmäßig durch sogenannte Penetrationstests.
Die Absicherung von modernen IT-Systemen ist anspruchsvoll und schwierig. Durch Gruppierungen wie Anonymus ist ein erhöhtes Bewusstsein für Informationssicherheit entstanden. Der österreichische Teil von Anonymus, kurz Anon Austria hat durch mehrere Attacken auf diverse Homepages und Server die oft mangelnde Sicherheit von Informations- und Kommunikationstechnologien aufgezeigt. Um gegen solche Angriffe aus dem Web gewappnet zu sein, sollten sich IT-Security-Spezialisten in die Rolle des Angreifers versetzen und anhand von Attack and Penetration Tests Schwachstellen analysieren und ausnutzen. Das ist oft der einzige Weg, um Sicherheitslücken zu entdecken, sie zu schließen und sensible Daten vor unrechtmäßiger Verwendung zu schützen.
Ziel
Ziel dieser Bachelorarbeit ist es, verschiedene Modelle und Frameworks zur Durchführung von Penetrationstests zu untersuchen. Anhand der gewonnenen Informationen wird ein eigenes Modell entworfen, das dabei helfen soll, den Business-Value eines Attack and Penetration-Tests zu maximieren. Außerdem werden unterschiedliche IT-Investmentmodelle berücksichtigt, um eine ausgewogene und wirtschaftliche Sichtweise auf Penetrationstesting zu erhalten.
Ergebnis
In der Arbeit wird die genaue Vorgehensweise eines Penetrationstests beschrieben und der Wert derartiger Tests untersucht. Außerdem widmet sich die Arbeit dem generellen Nutzen von Informationstechnologien, die in Unternehmen eingesetzt werden. Es werden auch IT-Investmentmodelle vorgestellt, anhand derer der Kosten/Nutzen-Faktor von IT-Systemen dargestellt werden kann. Das Ergebnis der Arbeit ist ein Modell, das dazu beitragen soll, den Business Value eines Penetrationstests zu erhöhen.
Anonymes DNS – Analyse und Implementierung des aeon-Protokolls
Absolvent: Stefan Langeder, BSc
Dozent: FH-Prof. Dipl.-Ing. Bernhard Fischer
Ausgangslage
Das Internet in seiner jetzigen Form dient neben dem Verbreiten und Austauschen von Informationen und Daten jeglicher Art auch der zwischenmenschlichen Kommunikation.
Die Relevanz, diese Kommunikation gegebenenfalls anonym durchzuführen betrifft die Menschen dabei in zweierlei Hinsicht. Zum einen wird in vielen Ländern das Recht auf freie Meinungsäußerung stark beschnitten oder gar grundsätzlich unterbunden. Dies berührt meist autokratisch geführte Staaten und ist nicht zuletzt der Versuch, mögliche Aufstände im Keim zu ersticken. Die Nutzung anonymer Kommunikationswege ist in solchen Fällen ein Ausweg einer Strafverfolgung aufgrund der Ausübung eines Menschenrechts zu entgehen.
Zum anderen nimmt auch die Kontrolle des Einzelnen in Ländern, die als die westliche Welt bezeichnet werden, immer mehr zu. Dies zeigen Gesetze wie das der Vorratsdatenspeicherung. Eine Überwachung wird aber nicht zwangsläufig nur von staatlicher Seite betrieben. Auch Unternehmen zeichnen im Rahmen der gegebenen technischen Möglichkeiten die Onlineaktivitäten einer Person auf. Aus den gesammelten Daten kann anschließend ein Personenprofil erstellt werden.
Im Zuge dieser Arbeit wird eine Möglichkeit vorgestellt, eine weitere Quelle für die Sammlung personenbezogener Daten zu anonymisieren – das Domain Name System. Mit dem Konzept, welches durch „aeonAnonymity Encapsulation Over Nameservice“ umgesetzt wird, ist es möglich, den Inhalt einer Namensauflösung innerhalb des bestehenden Domain Name Systems zu verschlüsseln. Des Weiteren wird die Identität hinter einer DNS-Abfrage vor dem DNS-Server verborgen.
Ziel
Das Konzept hinter aeon wurde 2011 von Daniel Haslinger und Bernhard Fischer an der FH St. Pölten erdacht und ausgearbeitet. Mit dieser Arbeit soll ein Beitrag zur Umsetzung des Konzeptes in ein reales Netzwerkprotokoll geleistet werden.
Ergebnis
In dieser Arbeit wurde das aeon-Protokoll analysiert und eine Möglichkeit der programmtechnischen Umsetzung entworfen. Es wurden für die jeweiligen Schwerpunkte des Konzeptes die notwendigen technischen Grundlagen erläutert. Auf Basis dieser Grundlagen wurde ein theoretisches Modell der Software entworfen. Durch eine Analyse der Angriffsmöglichkeiten auf ähnliche Systeme wurden weitere Punkte hervorgehoben, die es für die Umsetzung und den Betrieb von aeon zu beachten gilt.
Serverless Branches – mit modernen Technologien der WAN-Optimierung
Absolvent: Thomas Leitner, BSc
Dozent: FH-Prof. Dipl.-Ing. Johann Haag
Ausgangslage
Im Zuge der aktuellen Sicherheitsoptimierungen wird es besonders für „Global Players“, die weltweit mit Niederlassungen agieren, zwingenderweise notwendig, trotz einer oft geforderten Kostenreduktion, die Performance in den betroffenen Filialen nicht zu reduzieren. Um den Verwaltungsaufwand zu minimieren und die Sicherheit zu steigern, installieren viele Unternehmen ihre Services und Dienste an einem zentralen Standort. Dadurch entstehen für die Mitarbeiter in den Außenstellen unangenehme und vor allem für das Unternehmen unproduktive Wartezeiten. Des Weiteren kommt die Schwierigkeit hinzu, dass sämtliche Daten, egal wie sensibel oder geheim diese auch sind, über meist nur gemietete Internetleitungen zwischen Zentrale und Außenstellen übertragen werden. Diese sehr speziellen Anforderungen können durch WAN-Optimierungssysteme erzielt werden.
Ziel
Das Ziel dieser Arbeit ist die Beschreibung und der Vergleich der bei der WAN-Optimierung eingesetzten Techniken. Ein Hauptaugenmerk wurde dabei auf die oft eingesetzte CIFS-Beschleunigung gelegt. Die Performance dieses Protokolls kann mit sehr einfachen und verständlichen Techniken merklich verbessert werden. Im Anschluss daran, wurden in einer praktischen Testumgebung diverse Techniken unter realitätsnahen Umgebungen getestet.
Ergebnis
Das Ergebnis dieser Bachelorarbeit zeigt, dass durch die WAN-Optimierung monetäre Einsparungen für ein Unternehmen erzielt und gleichzeitig die Performance der bereits existenten WAN-Leitungen gesteigert werden können. In einer symmetrischen WAN-Optimierungs-Teststellung wurden diverse Tests ohne Optimierung und im Anschluss mit Optimierung durchgeführt. Beim Vergleich dieser Tests wurden Optimierungswerte von bis zu 98% erzielt. Bei der CIFS-Beschleunigung zum Beispiel wurde eine Trafficeinsparung von über 98% erzielt. Die durch den Versuchsaufbau unter Laborbedingungen erlangten Testwerte zeigen demonstrativ, wie sinnvoll der Einsatz einer WAN-Optimierungslösung für Unternehmen sein kann.
Digitale SAP-Massendatenanalyse
Absolvent: Anton Moser, BSc
Dozent: Mag. Simon Tjoa
Ausgangslage
Angesichts der ständig wachsenden Größe und Verfügbarkeit der Datenspeicher nimmt auch die Menge der digitalen Daten laufend zu. Eine Analyse dieser Daten ist mit herkömmlichen Mitteln nicht mehr möglich. Auch im wirtschaftlichen Umfeld wird die papiergebundene Abwicklung von Geschäftsfällen immer mehr von digitalen Lösungen ersetzt. Diese Digitalisierung führt dazu, dass ERP-Systeme wie SAP unüberschaubare Größen erreichen. Speziell für Wirtschaftsprüfungsunternehmen und die interne Revision entstehen dadurch Probleme. Betrügerische Handlungen werden durch den Überfluss an Daten leicht übersehen. Eine Analyse von Datenteilen führt hingegen zu Schwankungen und ungenauen Ergebnissen. Die Anforderungen an eine Massendatenanalyse-Software sind klar: der Abzug, die Handhabung und die Durchführung von Analysen sollen möglich sein. Allerdings steht das Gebiet der Massendatenanalyse noch am Anfang seiner Entwicklung.
Ziel
Das Ziel der Arbeit ist, neben der Bereitstellung von allgemeinen Informationen zur Massendatenanalyse, die Entwicklung und das Testen von Möglichkeiten zur Integration der SAP Daten auf einen MS-SQL Server. Zur Durchführung dieser Aufgabenstellung wird die PHP-Erweiterung SAPRFC verwendet. Anhand der entwickelten Methoden soll es am Ende möglich sein, die Arbeit als Grundlage, bzw. als Guideline, zu verwenden, um eine SAP-Massendatenanalyse im Unternehmen zu implementieren.
Ergebnis
In der Bachelorarbeit wurden verschiedene Methoden und Skripte entwickelt, um Daten aus dem laufenden SAP-System zu exportieren. Die jeweiligen Vor- und Nachteile wurden entsprechend analysiert. Des Weiteren erfolgte eine Definition der Anforderungen des MSSQL Severs. Entsprechend dieser Anforderungen wurden wiederum Skripte entwickelt, die schlussendlich einen reibungslosen Upload der Daten auf den Server ermöglichen. Die in der Arbeit präsentierten Skripte und Methoden können als Anleitung verwendet werden, um eine SAPMassendatenanalyse im Unternehmen zu implementieren.
Ausblick
Aufbauend auf die Arbeit und die enthaltenen Skripten ist es möglich, eine Art „Continuous Monitoring“ zu entwickeln und zu implementieren. Außerdem besteht die Möglichkeit, den Datenabzug für Audits und Prüfungen zu automatisieren.
Sichere Integration mobiler Geräte im Unternehmen
Absolvent: Christoph Murth, BSc
Dozent: FH-Prof. Dipl.-Ing. Johann Haag
Ausgangslage
Die Nutzung von mobilen Geräten in Unternehmen stellt die IT-Abteilungen vor große Herausforderungen. Neben den schon üblichen Notebooks drängen nun auch verstärkt Smartphones und Tablets in den Enterprise-Bereich. Der Einsatz solcher mobiler Geräte bringt für Unternehmen und ihre MitarbeiterInnen durch die handlichere und komfortablere Nutzungsweise gewisse Vorteile: Etwa die ständige Erreichbarkeit und Verfügbarkeit von Daten und E-Mails und die damit einhergehende Beschleunigung von Businessprozessen. Andererseits stellen sie aber auch ein nicht zu unterschätzendes Sicherheitsrisiko dar: Bei Diebstahl oder Verlust der Geräte sind Daten un- wiederbringbar verloren oder können zum Nachteil des Unternehmens verwendet werden.
Um diese Gefahren und Risiken einzudämmen, müssen entsprechende Sicherheitsmaßnahmen getroffen werden. Diese reichen von Richtlinien über Betriebsvereinbarungen bis hin zu technischen Umsetzungen, wie das Mobile Device Management. Daher soll ein Überblick über die Möglichkeiten sowie ein Leitfaden für die Integration von mobilen Geräten in ein Unternehmensnetzwerk mit technischer und organisatorischer Unterstützung erstellt werden.
Ziel
Das Ziel der Arbeit ist die Analyse der Möglichkeiten, wie mobile Geräte (Mobile Devices) sicher in einem Unternehmen eingesetzt werden können. Dazu werden organisatorische und technische Umsetzungen für die Integration in das Unternehmensnetzwerk durchleuchtet. Das heißt, welche Richtlinien und Vorgaben müssen erarbeitet und an die Mitarbeiter ausgegeben werden, um die organisatorischen Beschränkungen und Verpflichtungen abzudecken und welche technischen Mittel (Software/Hardware) müssen eingesetzt werden, um ein optimales Gesamtpaket für ein Unternehmen zu erhalten.
Ergebnis
In dieser Bachelorarbeit wurden Risiken und Gefahren bei dem Einsatz von mobilen Geräten in einem Unternehmen identifiziert und untersucht. Dabei wurde die Verwendung mit und ohne Mobile Device Management gegenübergestellt. Auch wurden die verschiedensten Einsatzkonzepte (z.B. BYOD) hinsichtlich Wirtschaftlichkeit und Sicherheit analysiert. Des Weiteren wurde auch die technische Funktionsweise von Mobile Device Managementsystemen durchleuchtet. Zusammenfassend dient diese Bachelorarbeit als Kompendium für die sichere Integration mobiler Geräte in ein Unternehmen.
Dynamic Endpoint Detection, Classification and Access Control in Local Area Networks – Using the Example of Cisco’s Identity Services Engine v1.1
Absolvent: Gabor Österreicher, BSc
Dozent: FH-Prof. Dipl.-Ing. Johann Haag
Ausgangslage
Firmen und Organisationen nutzen Authentifizierungs- und Autorisierungsmethoden wie 802.1X in Local Area Networks (LANs), um vertrauliche Daten vor unautorisiertem Zugriff zu schützen. Manche Endgeräte, wie z.B. Drucker oder Access Points, unterstützen diesen Standard allerdings nicht, benötigen aber dennoch eine Verbindung zum Netzwerk. Dadurch können manche Zugangspunkte zum LAN nicht so restriktiv abgesichert werden, wie es aus Security-Sicht eigentlich notwendig wäre. Des Weiteren besitzen mehr und mehr Menschen mobile Endgeräte wie Smartphones oder Tablets, wodurch Unternehmen immer öfter damit konfrontiert werden, dass Angestellte diese Geräte auch im Büro nutzen bzw. mit dem Firmennetzwerk verbinden wollen. Sowohl im drahtgebundenen LAN als auch im wireless LAN (WLAN) kann es daher von Nutzen sein, die Art des Geräts selbst als Autorisierungskriterium miteinzubeziehen. Dazu müssen Endgeräte automatisch erkannt werden, wodurch z.B. Benutzer auf firmeneigenen Notebooks uneingeschränkten Zugriff auf Ressourcen erhalten, während sie auf privaten Smartphones oder Tablets lediglich Internetzugriff zugesprochen bekommen.
Cisco’s Identity Services Engine (ISE) ist eine auf Identitäten basierende Policy-Platform, die eine „Profiler“Komponente enthält, um Endgeräte zu erkennen und zu klassifizieren. Der Profiler analysiert dabei den Datenverkehr im Netzwerk und steht außerdem in ständigem Kontakt mit Netzwerkzugangsgeräten, wie z. B. Switches oder WLAN-Controllern.
Ziel
Das Ziel der Bachelorarbeit ist die Untersuchung dieser Profiler-Komponente, um deren Funktionalität und Zuverlässigkeit durch theoretische Analyse und empirische Verfahren zu überprüfen. Die Experimente wurden dabei in einer realitätsnahen Laborumgebung durchgeführt.
Ergebnis
Der Profiler analysiert DHCP- und HTTP-Anfragen, um Auskunft über MAC- und IP-Adressen sowie Gerätenamen und Betriebssysteme der Endgeräte zu erhalten. Zusätzlich werden RADIUS- und SNMP-Informationen herangezogen, um möglichst viele Attribute eines Clients zu erfassen. Im drahtgebunden Bereich wurde mit Access Points, Druckern und Workstations experimentiert, während die WLAN-Versuchsreihen BlackBerry-, Apple-, Android- und Nokia-Geräte umfassten. Der Profiler überzeugte dabei durch akkurate Ergebnisse und erkannte alle getesteten Geräte. Allerdings wurde auch die Annahme bestätigt, dass die Authentizität der erfassten Endgerätattribute nicht überprüft werden kann. Als gefälschte Informationen ins Netzwerk eingespeist wurden, war es möglich, ein anderes Gerät als das tatsächlich angeschlossene vorzutäuschen.
Notwendigkeit eines Availability Managements mit Einbeziehung des Continuity Managements für bereits implementierte Services
Absolvent: Florian-Sebastian Prack, BSc
Dozent: Mag. Simon Tjoa
Ausgangslage
Viele Unternehmen besitzen immer komplexere Geschäftsprozesse und entwickeln eine immer größere Dynamik am Markt. Durch die rasante Entwicklung der Informationstechnologie und der dadurch steigenden Erwartungen wird es immer wichtiger angebotene Services zu klassifizieren, um diese vergleichen und verkaufen zu können. Auch durch die Aufteilung vieler großer Unternehmen in verschiedene Gesellschaften sind Unternehmen gezwungen nicht nur Services an andere Firmen zu verkaufen sondern auch an die eigenen Firmen anzubieten. Die Implementierung einer Information Technology Infrastructure Library (ITIL) wird mehr und mehr von Bedeutung.
Ziel
Das Ziel des Verfügbarkeitsmanagements ist es, einen einheitlichen Standard und Regelungen für alle IT-Services zu schaffen, um so bestehende IT-Services und neue Implementierungen einheitlich zu gestalten. Dies wird realisiert durch proaktive und reaktive Aktivitäten und Methoden, um Ausfälle zu vermeiden und einen kontinuierlichen Verbesserungsprozess zu schaffen. In dieser Arbeit wird gezeigt, welche Methoden (z. B. Fault Tree Analysis oder Single Point of Failure) verwendet werden können. Weiters werden auch Maßnahmen für Fehlerszenarien definiert. Somit wird das Risiko minimiert, um die Verfügbarkeit, welche dem Kunden angeboten wird, gewährleisten zu können.
Durchführung
Durch die Beschreibung der eingesetzten Komponenten und Configuration-Items (CIs) für das Service Internet wurde ein Verfügbarkeitsplan erstellt. Dabei wurden mehrere proaktive Methoden verwendet, wie zum Beispiel die Fault Tree Analysis. Auch der Einsatz des Microsoft System Center Operation Managers (MS SCOM) wird dargestellt und listet die eingesetzten Komponenten mit ihrer Verfügbarkeit auf. Diese Werte, welche vom MS SCOM evaluiert werden, sind ausschlaggebend für die Gewährleistung der Serviceverfügbarkeit. Auch die Notwendigkeit eines Continuity Managements wird erläutert und die Möglichkeiten dieses zu implementieren.
Ergebnis
Das Ergebnis dieser Arbeit war ein Verfügbarkeitsplan und die Beschreibung des Mehrwerts für das Unternehmen bei der Implementierung von ITIL Prozessen, sowie eine Auflistung der Kennzahlen welche für das Verfügbarkeitsmanagement relevant sind. Dadurch konnte auch eine Auflistung der verwendeten Komponenten für ein Service gewonnen werden und es konnten Schwachstellen erkannt werden.
Hypervisor Forensics – VMWare ESX / ESXi
Absolventin: Kerstin Ramer, BSc
Dozent: Dipl.-Ing. (FH) Mag. Rainer Poisel
Ausgangslage
In den letzten Jahren spielen die Themen Virtualisierung und Cloud Computing eine immer größere Rolle. Da gerade beim Cloud Computing der Sicherheit die eigentlich erforderliche Aufmerksamkeit geschenkt wird, gewinnt die digitale Forensik immer mehr Relevanz bei der Aufklärung von bereits erfolgreich durchgeführten Angriffen. Bei der Forensik geht es hauptsächlich um das Erkennen, Sammeln, Auswerten und Analysieren von digitalen Beweismitteln, um Vorfälle aufzuklären und zu rekonstruieren. Da das Cloud Computing meist mit Hilfe der Virtualisierung umgesetzt wird, spielt der Hypervisor hierbei eine zentrale Rolle. Die digitale Forensik dient aber nicht nur zur Aufklärung von Vorfällen, da sie genauso zur Prävention, beispielsweise mit Hilfe von Monitoring, eingesetzt werden kann.
Ziel
Ziel dieser Arbeit soll ein breiter Überblick über die Thematik „Hypervisor Forensics“ sein. Um dieses Ziel zu erreichen, wurde nach Vermittlung der Grundlagen das theoretische Wissen praktisch, mittels Testumgebung, umgesetzt. Bei dem verwendeten Hypervisor handelt es sich um den VMware ESXi, ein Produkt des Unternehmens VMware. Es wird evaluiert, welche Informationen von dem Hypervisor extrahiert werden können und wie diese zu verarbeiten sind. Bei den verwendeten Programmen handelt es sich ausschließlich um Programme, die frei verfügbar sind.
Ergebnis
Zum einen sollen durch diese Arbeit Grundlagen im Bereich Virtualisierung und Cloud Computing vermittelt werden. Im Speziellen wurde der Hypervisor „VMware ESXi“ näher betrachtet. Da standardisierte Frameworks in der digitalen Forensik eine Hilfestellung bieten, um keine Beweismittel zu verändern oder gar zu zerstören, wurden vorhandene organisatorische Modelle behandelt und auf ihre Eignung zum Einsatz in diesem Kontext evaluiert. Zum anderen wurden vorhandene Möglichkeiten, einen Hypervisor zu untersuchen, erläutert und evaluiert. Mit Hilfe von bereits verfügbaren Werkzeugen wurde das theoretische Wissen praktisch dargestellt und erläutert. Abschließend wurde auf den aktuellen Stand der Technik eingegangen.
Prüfungsgenerator
Absolvent: Lukas Rath, BSc
Dozent: FH-Prof. Dipl.-Ing. Bernhard Fischer
Ausgangslage
Die Erstellung einer Prüfung durch einen Lehrbeauftragten gestaltet sich auch nach langjähriger Erfahrung als mühsam und zeitaufwendig. Prüfungsfragen werden aus den seit Jahren zusammengetragenen Fragen so kombiniert, dass eine den Lehrstoff abdeckende, faire Prüfung zustande kommt. Das Korrigieren der von den Prüfungskandidaten ausgefüllten Prüfungsbögen benötigt oft mehr Zeit als die Erstellung der Prüfung.
Es gibt bereits Softwarelösungen und Lernplattformen, die nicht nur Kursinhalte verwalten können, sondern auch die Abwicklung von Prüfungen, direkt am Computer oder schriftlich mittels Papierausdruck, anbieten. Bei Online-Prüfungen ist das Ergebnis dem Prüfer sofort bekannt. Die Beurteilung der Papierprüfung wird entweder zeitaufwändig manuell durchgeführt oder mittels automatisierter Auswertung von gescannten, ausgefüllten Prüfungsbögen.
Diese „Printing & Scanning“-Methode ist eine Mischform aus Online-Prüfung und der klassischen Papierprüfung. Sie bietet der Lehrperson Unterstützung in der Verwaltung seiner Fragen und der Erstellung und Auswertung der Prüfungsbögen. Im Hinblick auf die Möglichkeit einer automatisierten Korrektur erfordert der Umstieg auf diese Methode jedoch eine Veränderung der Fragestellungen, meist auf den Fragetypus Multiple Choice.
Ziel
DIm Rahmen dieser Arbeit werden die Möglichkeiten eines für den Benutzer einfach zu handhabenden Prüfungsgenerators und einer softwaretechnischen Realisierung der „Printing & Scanning“-Methode mittels Open Source Programmen untersucht. Basierend auf den Erkenntnissen soll ein dokumentiertes Softwarepaket erstellt werden.
Ergebnis
In der Bachelorarbeit wurden nach Analyse von Prüfungssoftware, welche an österreichischen Universitäten im Einsatz sind, die grundlegenden Eigenschaften und Voraussetzungen für eine automatisierte Prüfungsunterstützung erhoben. Aufbauend auf diesen Erkenntnissen wurde die Fragen- und Prüfungsdatenbank erstellt. Die für eine einfache Verwaltung von Prüfungsfragen und für eine automatisierte Prüfungserstellung benötigten Funktionen wurden ermittelt und in eine webbasierte Softwarelösung integriert. Die automatisierte Korrektur von Prüfungsbögen wurde mit Hilfe einer Template Matching-Routine der Open Source Programmierbibliothek OpenCV realisiert.
Cloud Computing & Green IT: Friends or Foes
Absolvent: Patrick Riedl, BSc
Dozent: Dr. Alexander Wöhrer
Ausgangslage
Cloud Computing, ein Bezugsmodell von verschiedenen Ressourcen in flexibler Form auf Bedarfsbasis, hatte große Auswirkungen auf die IT in den letzten Jahren. Anbieter wie Amazon, Microsoft und Google haben eine auf Virtualisierung und Diensten basierende Infrastruktur ausgebaut um Cloud Computing weltweit anbieten zu können. Durch den Konsolidierungseffekt bei der Virtualisierung von Serverinstanzen kann die Auslastung eines physikalischen Gerätes erhöht werden, wodurch Cloud Computing laut Anbietern einen Schritt in Richtung Green IT darstellt.
Damit Cloud Anbieter diese Aussage wissenschaftlich vertreten können, wurden verschiedene Messwerte und Metriken eingeführt, die beweisen sollen, dass durch den Einsatz von Cloud Computing der CO2 Ausstoß gemindert wird. Beispielsweise soll der PUE-Wert (Power Usage Effectiveness eines Rechenzentrums) Aufschluss darüber geben wieviel zusätzliche Energie für die eigentliche Leistungserbringung tatsächlich benötigt wird. Ein PUE-Wert von unter 1,2 sollte nach dieser Metrik ein sehr umweltschonendes Rechenzentrum definieren.
Am 18.04.2012 veröffentlichte Greenpeace eine Statistik, dass nur rund 56% der Energiequellen für Cloud Computing aus erneuerbaren Ressourcen stammen. Der restliche Anteil der Leistung für Rechenzentren wird nach wie vor aus Kohle- und Atomkraftwerken angekauft. Um diese Problematik zu verdeutlichen wurden in dieser Arbeit Rechenzentren verglichen und auch Pilotprojekte sowie Berechnungsmodelle für die erfolgreiche Nutzung von Green IT vorgestellt und diskutiert.
Ziel
Ziel dieser Arbeit war es herauszufinden, welche Schritte unternommen werden müssen und welche Maßnahmen und Projekte schon umgesetzt wurden, damit ein Rechenzentrum einer umfangreichen Green IT Definition entspricht. Diese besagt, dass der Green IT Gedanke nicht nur auf die Phase der Leistungserbringung beschränkt werden soll, sondern von dem Hardwaredesign über die Produktion bis hin zur Verwendung und der Entsorgung berücksichtigt werden muss.
Ergebnis
Diese Arbeit verdeutlicht, dass Cloud Computing und Green IT noch keine echten Freunde geworden sind, jedoch der Drang nach Nachhaltigkeit vor allem bei europäischen Providern schon Einzug gehalten hat. Des Weiteren konnte man erkennen, dass hinsichtlich Datenschutz und Sicherheit beim Europäischen Cloud Computing erste Differenzierungs- und Spezialisierungsbemühungen zu erkennen sind, welche durch Standards und Zertifizierungen umgesetzt werden.
Distributed Password Cracking
Absolvent: Richard Rohan, BSc
Dozent: Dipl.-Ing. (FH) Mag. Rainer Poisel
Ausgangslage
In der heutigen Zeit geschehen viele Abläufe über das Internet, für die man früher persönlich erscheinen musste. Auch steht in den meisten Unternehmen ohne Computer und Vernetzung alles still. Durch dieses „Online Everything“ benötigt man fast immer eine Möglichkeit der Authentifizierung und Identifikation, da der Nutzer auch am anderen Ende der Welt sitzen kann um von dort aus seine Arbeit zu erledigen oder einen betreffenden Dienst zu nutzen. Üblicherweise wird heutzutage eine Kombination aus Benutzername und Passwort gewählt, um den eigenen Zugang zu schützen.
Andere Verfahren, wie zum Beispiel die Anmeldung per Chipkarte, benötigen häufig zusätzlich Hardware. Weiters zeichnen sich diese sicheren Verfahren durch eine geringere Akzeptanz beim Anwender aus. Technologien wie Gesichtserkennung, Iris- oder Venenscan stecken für den Masseneinsatz noch in den Kinderschuhen oder haben eine zu hohe Falscherkennungsrate. Manche Verfahren zur Identifikation und Authentifikation sind auch in bestimmten Kulturen nicht möglich. In Japan beispielsweise würde ein Sensor, den man Berühren muss, sicher nicht akzeptiert werden.
Ziel
Durch die rasant wachsende Rechenleistung sind heutige Rechner durchaus in der Lage in geringeren Zeitspannen Passwörter zu knacken. Je nach verwendetem Algorithmus und Hardware sind derzeit bis zu 7 Mrd. Brute Force Versuche pro Sekunde (GPGPU auf einer AMD HD6990 Grafikkarte) möglich. Ein verteiltes System welches mehrere – auch unterschiedliche – Rechner verwaltet, sollte nochmal ein Vielfaches davon umsetzen können und brachliegende Rechenleistung dafür nutzen. Nach einer Recherche soll eine Umsetzung in der Programmiersprache Python erstellt werden, welche die benötigten Funktionen bereitstellt und im Hintergrund der Laborinfrastruktur der FH St. Pölten läuft.
Ergebnis
Durch die Zweiteilung der Aufgaben – Verteilung durch Python und Ausführen eines schnellen Programms konnte eine zufriedenstellende Performance mit wenig Verlust an Rechenleistung erreicht werden. Der Aufbau ermöglicht es zudem verschiedene „Cracking“-Programme auszuführen und deren Ergebnisse zentral zu sammeln. Es hat sich auch gezeigt, dass Python für derartige Aufgaben gut einsetzbar und auch dementsprechend schnell ist, um die ca. 60 Rechner mit Aufgaben zu versorgen.
Simulation kritischer Infrastrukturen
Absolvent: Manfred Ruzicka, BSc
Dozent: Mag. Simon Tjoa
Ausgangslage
Kritische Infrastrukturen sind mit einer Vielzahl von Bedrohungen konfrontiert, deren Auswirkungen oft nur schwer abschätzbar sind. So führte zum Beispiel 2003 ein Stromausfall in Nordamerika dazu, dass über 15 Millionen Haushalte ohne Strom waren. Dieser Stromausfall hatte jedoch auch Auswirkungen auf andere kritische Infrastrukturen, die von dem Stromnetz abhängig waren.
Durch die fortschreitende Vernetzung sind immer mehr Systeme von Schadsoftware oder Hackerangriffen bedroht. Die Auswirkung eines Angriffs auf kritische Systeme ist jedoch meist nur schwer abschätzbar. Aus diesem Grund haben bereits mehrere Staaten und Staatenbunde den Bedarf von Simulationen für kritische Infrastrukturen erkannt, mit denen es möglich ist, emergente Effekte zwischen den einzelnen Infrastrukturbereichen zu erkennen und sie besser zu schützen. Systeme wie zum Beispiel CIP/DSS des Los Alamos National Laboratory oder CIPMA der australischen Regierung sind Beispiele für eine erfolgreiche Umsetzung von kritischen Infrastruktursimulationen.
Bei der Erstellung einer Simulation von kritischen Infrastrukturen ist es notwendig, die zu simulierenden Bereiche und deren Abhängigkeiten detailliert zu analysieren, um ein Modell für die Simulation zu erstellen. Ein wesentlicher Punkt für die Erstellung einer Simulation ist die Wahl des Simulationsverfahrens. Neben dem Simulationsverfahren ist es darüber hinaus erforderlich, ein Regelwerk zu erstellen, dass die Abhängigkeiten und die Auswirkungen berechnet.
Ziel
Das Ziel dieser Arbeit ist die Untersuchung von Simulationsmodellen und die Erstellung eines Prototypen zur Simulation ausgewählter Infrastrukturbereiche. Ebenso sollen Möglichkeiten vorgestellt werden, mit denen es möglich ist, ein Regelwerk zu definieren, wie die Simulation auf bestimmte Ereignisse reagieren soll.
Ergebnis
In der Bachelorarbeit wurde ein generisches Modell vorgestellt, mit dem es möglich ist eine Simulation für kritische Infrastrukturen zu erstellen. Dabei wurde ein Schwerpunkt auf das regelbasierte Programmieren gelegt, das dem Anwender auf einfache Weise ermöglicht, die Reaktionen des Systems zu erstellen. Ein einfaches Beispiel verdeutlicht die Funktionsweise des Simulationsmodells.
Automatisierung von Vulnerability Scans
Absolvent: Martin Schagerl, BSc
Dozent: Dipl.-Ing. (FH) Mag. Rainer Poisel
Ausgangslage
Heutzutage werden beinahe alle Arten von Daten in digitaler Form abgespeichert – von privaten Bildern bis hin zu hochsensiblen Entwicklungsdaten. Durch den Einsatz von modernen Computersystemen, sowie von Kommunikationsmedien wie dem Internet, ergeben sich eine Menge von Vorteilen. Zu den wichtigsten zählen die automatisierte Verarbeitung, sowie die effiziente und kostengünstige Speicherung von Daten.
Da Unternehmen, Institute, Organisationen und öffentliche Einrichtungen ihre Geschäftsprozesse kaum ohne Internet abwickeln können, entsteht durch diese globale Vernetzung ein hohes Risiko für deren Daten und IT Infrastrukturen. Es kann ein enormer finanzieller, wirtschaftlicher und auch indirekter Art Schaden betreffend dem Image eines Unternehmens entstehen. Anonymous und andere ähnlich organisierte Gruppen haben in der letzten Zeit eindrucksvoll bewiesen, dass seitens der Hersteller und Anbieter von Informationssystemen großer Handlungsbedarf gegeben ist.
Ziel
Ziel der Arbeit ist es, dass sowohl aktive als auch proaktive Überprüfungen automatisiert durchgeführt werden können um Schwachstellen zu identifizieren. Es werden zwei völlig unabhängige, modular aufgebaute Skripts erstellt. Durch den modularen Aufbau besteht die Möglichkeit, dass einzelne Module für andere Aufgaben wiederverwendet werden können. Die Ergebnisse werden in einer Datenbank abgespeichert. Durch die strukturierte Datenablage ergibt sich der Vorteil, dass ein Export in unterschiedliche Formate vereinfacht wird.
Ergebnis
Es wurden aktive, als auch proaktive Scans gegenübergestellt. Bei der proaktiven Überprüfung handelt es sich um das Sammeln von digitalen Informationen über ein ausgewähltes Ziel in öffentlich zugängigen Informationsquellen. Bei den aktiven Überprüfungen werden ausgewählte Systeme bzw. Dienste direkt geprüft, d.h. es sind keine externen Quellen notwendig. In dieser Bachelorarbeit wurden mehrere Dienste für die proaktiven Scans untersucht und die geeignetsten mit einen Python Script automatisiert. Für die aktiven Überprüfungen wurden „Nmap“ und „Nessus“ als Basiswerkzeug verwendet. Auch hier wurden die Scans konzertiert gestartet und deren Ergebnis automatisiert verarbeitet.
Zum Speichern aller gewonnenen Ergebnisse wurde eine SQLite Datenbank verwendet. Dadurch wurde eine strukturierte Datenablage geschaffen, um eine zukünftige Weiterverarbeitung zu ermöglichen.
Cloud Sourcing – Bewertung von Cloud Services im Hinblick auf IT Outsourcing und ihre Auswirkungen auf die Informationssicherheit
Absolvent: Matthias Schrattenholzer, BSc
Dozent: Mag. Simon Tjoa
Ausgangslage
Der finanzielle Druck der Märkte spiegelt sich sowohl in der internen IT als auch bei IT-Dienstleistern wider. Die Reduzierung der Kosten und Minimierung der Risiken in Bezug auf Datensicherheit sind bedeutende Bestandteile einer nachhaltigen IT-Strategie. Um diesen Anforderungen gerecht zu werden, werden oft Dienste und damit verbundene Daten an externe Anbieter abgegeben. Dabei wird jedoch die Hoheit über die Daten und nicht die Verantwortlichkeit abgeschoben. Cloud Computing kann mit verschiedenen Organisationsformen, bei denen Daten auch intern gespeichert werden, auf verschiedenste Bedürfnisse reagieren. Aber ist Cloud Computing ein neues Paradigma oder einfach nur ein Hype, der herkömmliche Technologien neu vermarkten soll? Auf der Suche nach der Antwort dieser Frage wird auf die genaue Definition und Trends, die sich damit ergeben, eingegangen.
Ziel
Das Ziel der Arbeit ist es, verschiedenste Aspekte von Cloud Computing aufzuzeigen, die im Zusammenhang mit den Auswirkungen auf die Informationssicherheit stehen. Dabei werden die Chancen aufgezeigt, die sich damit ergeben und Risiken und Gefahren, die ein Outsourcing der Daten mit sich bringen.
Ergebnis
Das Ergebnis ist die Anwendbarkeit der Daten und Systeme auf ein Schema, das als Entscheidungsgrundlage für oder gegen Outsourcing der Daten in die Cloud dient. Dabei spielen Klassifizierung von Daten und Systemkritikalität eine entscheidende Rolle. Behandelt werden allerdings nur Aspekte der Informationssicherheit, auf Kostenfaktoren wird bei der Entscheidungshilfe nicht eingegangen. Als Folge bilden sich die Anforderungen und Vorbereitungen ab, die vor einem Outsourcing der Daten zu beachten sind. Hierbei wird auf den Lebenszyklus der Daten und strategische Aspekte eingegangen. Bei den Vorarbeiten, die zu leisten sind, zeigt sich, dass bewährte Methoden wie Risikomanagement und Notfallmanagement auf Cloud Computing anwendbar sind.
Ausblick
Einen großen Einfluss könnte Cloud Computing mit den Charakteristika von Virtualisierung und Skalierbarkeit auf das Konzept von „Bring your own Device“ haben. Auch der Vorteil der Kostentransparenz ist ein entscheidender Faktor, der betriebsinterne IT-Dienstleistungen in die Richtung von „private-Cloud“ lenken kann.
Distributed Web-Based Password Recovery – Ein auf Webtechnologien basierendes, verteiltes System zur Wiederherstellung von Passwörtern
Absolvent: Christian Stoiber, BSc
Dozent: Dipl.-Ing. (FH) Mag. Rainer Poisel
Ausgangslage
Das Internet ist heutzutage ein dicht vermischtes, weltumspannendes Netzwerk, auf das beinahe jeder Mensch Zugriff haben kann. Statistische Aufzeichnungen belegen einen Anstieg der registrierten Internetanschlüsse um 528.1% vom Jahr 2000 bis zum Jahr 2011. Kombiniert man diese Fakten mit dem Wissen, dass ein Großteil der Ressourcen von privaten Computersystemen nicht genutzt werden, ergibt sich die Möglichkeit, diese Rechenleistung über das Internet zu bündeln und für rechenaufwendige Anwendungen, wie z.B. Passwort-Wiederherstellungsverfahren, zur Verfügung zu stellen.
Ziel
Im Verlauf dieser Arbeit wurden die notwendigen Überlegungen zu Design und Implementierung herausgearbeitet, um ein verteiltes Passwort-WiederherstellungsSystem, nur unter Zuhilfenahme der vorinstallierten Software eines modernen Betriebssystems, aufzubauen. Der zu entwickelnde Prototyp soll die BruteForce-Methode auf Basis moderner Webtechnologien implementieren.
Ergebnis
Es wurde auf bisherige Projekte hingewiesen, die sich mit ähnlichen Themen auseinandersetzen und ein Überblick geschaffen, welche vier Aspekte – aufgrund der Ergebnisse der wissenschaftlichen Recherche – besonderer Aufmerksamkeit bedürfen. Dabei wurden Vor- und Nachteile der Systemarchitekturen „Client/ Server“ und „Peer-2-Peer“ aufgelistet, die Wichtigkeit von Kommunikation und Arbeitsverteilung erwähnt und ein Einblick in die bestehenden Passwort-Wiederherstellungs-Techniken gewährt. Des Weiteren wurde ein Prototyp, eines auf Webtechnologien basierenden, verteilten Systems zur Wiederherstellung von Passwörtern erstellt und auf seine Leistungsfähigkeit getestet.
Ausblick
HTML5 und die rasante Weiterentwicklung der Browser in Richtung Multifunktions-Plattform lassen die daraus resultierenden Möglichkeiten oft nur erahnen. Zeitnahe Technologien, wie z. B. WebCL und WebGL ermöglichen Internet-Anwendungen den Zugriff auf Multi-Core-CPUs und Grafikkarten direkt aus dem Web-Browser. Grafikaufwendige Spiel und Hochleistungsberechnungen können somit direkt in Firefox, Internet Explorer und Co. ausgeführt werden. Die Umsetzung des Prototyps selbst, beschränkt sich auf eine Single-Server-Anwendung. Durch den Einsatz mehrerer Server und einer zentralen Datenbank könnten diverse Engpässe in Zukunft vermieden und das System somit unter anderem für exzessive Benutzung ausgelegt werden.
Absolvent: Michael Taurer, BSc
Dozent: Mag. Simon Tjoa
Ausgangslage
In heutigen Zeiten zieren Hacker-Angriffe beinahe täglich die Schlagzeilen der Medien. So tragisch solche Angriffe für Unternehmen auch sein können, sie haben zumindest auch einen Vorteil, nämlich jenen der Bewusstseinssteigerung in Bezug auf die Sicherheit. Dadurch, dass immer mehr sicherheitskritische Anwendungen wie zum Beispiel Banking-Systeme direkt über das Web zugänglich gemacht werden, hat die Bedeutung der Sicherheits- und Verteidigungspolitik in Web-Anwendungen eine entscheidende Rolle eingenommen. Da der Gebrauch von Web-Anwendungen in Unternehmen nicht mehr wegzudenken ist, könnte ein Verschlafen von Sicherheitsüberprüfungen, beziehungsweise ein nicht sicherheitstechnisches Erstellen solcher Anwendungen, möglicherweise einen erheblichen Schaden bedeuten, wenn nicht sogar in weiterer Folge den Untergang des Betriebs. Um Schwachstellen identifizieren zu können bedarf es oft der Hilfe von einigen speziellen Techniken, beziehungsweise den Einsatz von geeigneten Tools. Web Application Vulnerabiity Scanner gehören zu der Klasse jener Werkzeuge die verwendet werden können, um etwaige Schwachstellen in Web-Anwendungen zu finden. Doch welchen Scanner soll man verwenden und muss man für eine gute Software zwangsweise Geld ausgeben?
Ziel
Die Arbeit folgt dem Ziel einem Leser die kritischsten Sicherheitsrisiken und deren Auswirkungen näher zu bringen. Des Weiteren soll durch eine Teststellung ein möglicher Weg aufgezeigt werden, wie man Schwachstellen durch die Hilfe von Web Application Vulnerability Scanner, in Web-Anwendungen aufdecken und identifizieren kann.
Ergebnis
Die Bachelorarbeit State-of-the-Art of Web Application Vulnerability Scanning Tools beinhaltet, angelehnt an die OWASP Top Ten, eine Liste der 10 häufigsten und kritischsten Sicherheitsrisiken, die in Web-Anwendungen ihr Unwesen treiben können. Diese wurden erklärt und ein Bezug zur Praxis, durch die Verwendung von Beispielen, hergestellt. Des Weiteren wurde eine Teststellung erstellt, um die Web Application Vulnerability Scanner zu testen und gegenüberzustellen.
LOAD “JOB OPPORTUNITY”,20.12 LIST
10 PRINT “++THE ULTIMATE IT-JOB-SELECTOR++”,
COLOR = BLUE 20 IF “YOU” = “IT INFRASTRUCTURE ENGINEER” OR RELATED
THEN GOTO 100 30 IF “YOU” = “ENTWICKLER JAVA/.NET” THEN GOTO 100 40 IF “YOU = “APPLICATION/SYSTEM/NETWORK-ENGINEER
WINDOWS/UNIX” THEN GOTO 100 50 GOTO 500 60 REM ************************************************ 100 IF „YOUR FIRMA“ = OR > FAD*1000 THEN GOTO 400 110 IF “YOUR MONATLICH”-€ < “FRUST” THEN GOTO 400 120 IF “YOUR ARBEITSPLATZ” = DARK, ENG & SCHWITZIG THEN GOTO 300 300 START PROGRAM “SHOWER”, WAIT TILL T=1000, RELAX AND GOTO 400 310 REM ************************************************ 400 IF MOTIVATION = 100 THEN GOTO 500 410 IF QUALIFIKATION = BACHELOR MASTER AND/OR PRAXIS THEN GOTO 500 500 REM ************************************************ 510 MAILTO: bwinparty.com/careers 600 GOTO NEXT ZEITUNGSSEITE
RUN
