Refine
Document Type
- Bachelor Thesis (37)
- Master's Thesis (7)
- Diploma Thesis (4)
Keywords
- Computersicherheit (48) (remove)
Institute
- Angewandte Computer‐ und Biowissenschaften (48) (remove)
In dieser Bachelorarbeit werden die Artefakte im Arbeitsspeicher der Webclients des Instant-Messenger-Dienstes Threema und des Social-Media-Dienstes Instagram aus forensischer Sicht betrachtet. Hierfür werden die Funktionsweisen der Anwendungen und die auf dem Gerät im RAM enthaltenen Artefakte forensisch analysiert und diskutiert. Anhand der aus dieser Arbeit gezogenen Erkenntnisse sollen zukünftige forensische Untersuchungen, die in Verbindung mit einer oder beiden dieser Anwendungen stehen, unterstützt werden, gefundene Artefakte zu identifizieren und interpretieren.
Die vorliegende Arbeit beschäftigt sich mit der Analyse von
Festplattenverschlüsselungssoftware. Dabei werden BitLocker von Microsoft, FileVault von Apple unter MacOS und LUKS unter Linux betrachtet. Des Weiteren wird die Verschlüsselung Data Protection der iPhones und Android Encryption von Googles Betriebssystem analysiert. Bei der Untersuchung werden die verwendeten kryptographischen Algorithmen, die Schlüsselhierarchie und hardwarebasierenden Technologien behandelt. Zudem werden Angriffsmöglichkeiten präsentiert, die bei einer forensischen Analyse verwendet werden können, um die Verschlüsselung zu umgehen.
Die Einführung eines IT-Notfallmanagement kann auf freiwilligen Basis oder durch rechtliche Verpflichtungen erfolgen. Hierbei ist die Verwendung von etablierten Standards und Normen gerade für kleine und mittelständische Unternehmen (KMU) empfehlenswert, aber herausfordernd. In der vorliegenden Bachelorarbeit werden einschlägige gesetzliche Verpflichtungen für KMU betrachtet. Es wird sodann auf bekannte Normen und Standards des IT-Notfallmanagements eingegangen. Mit einer selbstentwickelten Methode werden diese auf ihre KMU-Tauglichkeit geprüft. Das Ziel besteht darin, den verpflichteten KMU den für sie geeignetsten der betrachten Standards und Normen aufzuzeigen.
Die vorliegende Arbeit befasst sich und formuliert funktionale Anforderungen an die neu zu beschaffende Stationsleittechnik, Fernwirktechnik und Netzleittechnik für den Einsatz im Umspannwerk, Trafostationen und Leitwarten. Des Weiteren
werden Forderungen an die einzusetzenden Komponenten bzw. Systeme hinsichtlich der „IT-Security“ dargelegt.
Diese Arbeit beschreibt eine Anwendung zur Extraktion und Verarbeitung von Ereignisprotokollen unter Microsoft Windows. Sie erfasst hierfür die Konzeption, den Aufbau sowie deren Funktionsweise und geht dabei auch auf die entwickelten Werkzeuge der Anwendung ein. Zielsetzung war die Bereitstellung wenig verbreiteter Werkzeuge für die Ereignisprotokollanalyse, wobei besonderes Augenmerk auf eine Nutzung im Kontext von Incident-Response-Fällen gelegt wurde.
Ziel dieser Arbeit ist die Entwicklung eines Modells, das über einen mehrstufigen Angriffsprozess das Passwort eines spezifischen Benutzers unabhängig von der Stärke des Passworts rekonstruiert. Der Fokus des Modells liegt auf dem benutzerspezifischen Angriff und dessen Präprozessor. Dieser soll unter Berücksichtigung der bisherigen Design- und Konstruktionsprinzipien des Benutzers sowie unter Einbeziehung seiner persönlichen Informationen die wahrscheinlichsten Passwort-Kandidaten generieren.
Ransomware ist eine Schadsoftware, die als Erpressersoftware Daten verschlüsselt und eine Lösegeldforderung stellt. Um Ransomware-Sample vor der Detektion zu schützen, werden sogenannte Packer eingesetzt. Dabei wird die schädliche Routine einer Ransomware gepackt und bei Ausführung automatisch entpackt. Während Ransomware in den letzten Jahren stark weiterentwickelt wurde, sind einige der Methoden zum Entpacken teilweise bedeutend älter. Diese Arbeit untersucht, inwiefern, mithilfe vom Einsatz von Debuggern, aktuelle Ransomware-Samples mit solchen Methoden entpackt werden können. Dafür wird zuerst recherchiert, welche gängigen Methoden zum Entpacken gepackter Schadsoftware unter Verwendung eines Debuggers bestehen. Diese Methoden werden auf eine Auswahl von aktuellen Ransomware-Samples angewendet und die Ergebnisse analysiert. Dadurch entsteht am Ende der Arbeit eine Übersicht darüber bestehen, mit welchen Methoden aktuelle Ransomware-Samples noch entpackt werden und somit Analysen von Ransomware unterstützen können.
Das Ziel dieser Arbeit ist es, einen Anforderungskatalog für Anbieter eines Cloudbackup- Servers unter Zero Trust Bedingungen zu erstellen. Dabei werden nicht nur die technischen Voraussetzungen beschrieben, sondern auch ein kur-zer Einblick in rechtlichen und organisatorischen Anforderungen gegeben, wobei das Hauptaugenmerk auf den Bestimmungen liegt, die in Deutschland und der EU gelten. Für die Erarbeitung werden dabei bereits existierende Anforderungs-kataloge und staatliche Veröffentlichungen verglichen und zusammengeführt. So wurde ein Anforderungskatalog erstellt, der alle Anforderungen enthält, die ein Cloudbackup- Server unter Zero Trust erfüllen muss. Der Katalog kann genutzt werden, um ein solches System umzusetzen.
This thesis deals with the development of a methodology / concept to analyse targeted attacks against IIoT / IoT devices. Building on the established background knowledge about honeypots, fileless malware and injection techniques a methodology is created that leads to a concept of a honeypot analyzation system. The system is created to analyse and detect novel threats like fileless attacks which are often utilized by Advanced Persistent Threats. That system is partially implemented and later evaluated by performing a simulated attack utilizing fileless attacks. The effectiveness is discussed and rated based on the results.
In meiner vorherigen Arbeit wurden mit Hilfe von Ansätzen in der Deterministik und Probabilistik nach den Regelwerken [DIN12010] und [DIN22010] Gegenmaßnamen aufgezeigt, was beim heutigen Komponentenausfall in Kraftwerken dazu führt, diese schnellstmöglich zu beheben. Wie dort beschrieben, hat seit den siebziger Jahren die exponierte Computertechnologie sowie der anzuwendenden Wechselwirkung mit der Prozessleittechnik und deren Simulation wie in meiner Projektarbeit diskutiert wird, eingesetzt. In dieser Arbeit wird das Regelwerk [DIN32010] erörtert. Es wird eine partielle Softwareentwicklung im eingebetteten System in den Programmiersprachen ‘C‘ bzw. ‘C++‘ gestellt, welche anhand der ‘Funktionalen Sicherheit‘ über die Bussysteme in der Sicherheitstechnik darstellt werden. Die einzelnen Kapitel werden in Anforderungen von Werkzeugen, Anforderung an die Softwaresicherheit, Anforderung aus der Hardware, Planung der Validation, Planung der Softwarearchitektur, Planung der Softwarekapselung, Planung von Systemdesign, Planung von Moduldesign, Planung von Hardware zu Software, Softwareintegration, Softwarevalidation und Softwaremodifikation diskutiert.
Aufgrund der Vielzahl an angebotenen Dienste die auf unterschiedliche Systemen betrieben und miteinander verbunden sind, sowie sensible Informationen enthalten, ist die IT-Sicherheit enorm wichtig geworden. Heterogene IT-Infrastrukturen und interagierende Softwaresysteme verkomplizieren die Administration solcher Umgebungen. In diesem Zusammenhang wird „Automatisierung“ häufig als ein Lösungsansatz propagiert. In dieser Arbeit wird ein Automatisierungs-Referenzrahmen in Verbindung mit einer Konfigurationsverwaltungslösung eingeführt um eine abstrakte Sichtweise auf das Thema zu geben. Der BISS Automatisierungs-Referenzrahmen teilt einzelne Bestandteile, wie Entwicklung, Erweiterungsdienste,
Konfigurationsverwaltungslösung und IT-Infrastruktur in verschiedene Domänen ein. Die Kommunikation zwischen den Domänen ist reguliert und begrenzt um die Sicherheit der Umgebung zu gewährleisten. Eine praktische Anwendung des entworfenen Referenzrahmens und seinen Domänen wird mit Ansible als Konfigurationsverwaltungslösung in einer Software-Defined Netzwerkinfrastruktur von Cisco aufgezeigt. Mit der Einbindung von Sicherheitskomponenten, wie Check Point Firewalls und F5 Big-Ips, werden exemplarische Fallbeispiele einer Automatisierung heterogener Umgebungen demonstriert.
Einhaltung regulatorischer Anforderungen an Kreditinstitute durch den Einsatz eines SIEM-Systems
(2022)
Die vorliegende Arbeit thematisiert die Einhaltung neuer aufsichtsrechtlicher Anforderungen an die IT-Sicherheit von Kreditinstituten durch den Einsatz eines SIEM-Systems. In diesem Kontext werden zuerst die zum Zeitpunkt der Veröffentlichung dieser Thesis geltenden Anforderungen detailliert vorgestellt und erklärt. Anschließend wird der Aufbau und die Funktionsweise eines SIEM-Systems differenziert beleuchtet und die Eignung dessen zur Einhaltung der Rahmenbedingungen geprüft. Darüber hinaus wird ein Leitfaden zur anforderungskonformen Implementation eines SIEM-Systems am Beispiel der Softwarelösung Splunk Enterprise präsentiert.
Das Thema IT-Sicherheit wird durch zunehmende Vernetzung, neue Anforderungen an Systeme und Industrie 4.0 auch für industrielle Netzwerke wie SCADA und ICS immer wichtiger.
Finanzielle Schäden durch Angriffe steigen von Jahr zu Jahr. Deswegen ist es wichtig, diese Netzwerke zu schützen und Angriffe frühzeitig zu erkennen, um zeitnah auf diese reagieren zu können und größere Schäden zu vermeiden. Da klassische Methoden ICS Systeme zum Teil behindern können und um einen zusätzlichen Schutz zu den normalen Intrusion Detection Systemen und Firewalls zu bieten, ist das Ziel dieser Arbeit, die Entwicklung einer Plattform, zur
verhaltensbasierten Detektion von Angriffen in solchen Netzwerken. Dafür werden Honeypots im Netzwerk verteilt, welche dazu dienen, Angriffe, die das normale IDS oder Firewalls umgangen haben, oder gar von Internen durchgeführt werden, zu erkennen. Die Honeypots sind in der Lage, Zugriffe auf die von ihnen verwendeten Protokolle zu erkennen und senden in diesem Fall Meldungen an einen zentralen Server, welcher diese in einer Datenbank speichert und in einem Dashboard visualisiert. Das in dieser Arbeit beschriebene Konzept und seine detailliert beschriebene Umsetzung sollen den Einstieg für Unternehmen in dieses Thema erleichtern und zu weiterer Forschung auf diesem Gebiet anregen.
In der vorliegenden Bachelorarbeit wird anhand von den Vorgaben und veröffentlichen Dokumentationen des BSI eine Schablone für universitäre Einrichtungen erarbeitet, die als Musterlösung für die Implementierung des IT-Grundschutzes an einer Universität dienen soll. Als Beispiel wird dabei die Hochschule Mittweida und ihre infrastrukturellen und organisatorischen Gegebenheiten herangezogen. Diese konkreten Gegebenheiten sollen und müssen bei der Umsetzung des IT-Grundschutz-Profils an die Rahmenbedingungen der jeweiligen umsetzenden Institution angepasst werden. Es werden die einzelnen Schritte der Standard-Absicherung nach IT-Grundschutz durchgeführt und erläutert. Damit soll ein Schutzniveau gewährleistet werden, das dem normalen Schutzbedarf entspricht. Für Zielobjekte mit erhöhtem Schutzbedarf wird zusätzlich eine Risikoanalyse benötigt, die in der vorliegenden Arbeit ebenfalls beispielhaft dargestellt wird.
Diese Arbeit befasst sich mit der Erstellung einer Schutzbedarfsanalyse am Universitäts Klinikum Carl Gustav Carus Dresden. Dabei wird die Vorgehensweise für die Standard Absicherung nach dem BSI-Standard 200-2 IT-Grundschutz Methodik, welche vom BSI empfohlen wird, der neu entwickelten Methode gegenüber gestellt.
Diese Arbeit beschäftigt sich mit der Erstellung eines Leitfadens für die Prüfung der Daten- und Cybersicherheitsrisiken für Medizinprodukte. Es werden die rechtlichen Grundlagen der Bewertung und die zugehörigen Empfehlungen dargestellt. Hierzu werden Empfehlungen aus Deutschland, der EU und der USA betrachtet und vergleichen. Die Umsetzung der Prüfung der Daten- und Cybersicherheitsrisiken wird mit Hilfe eines Beispiels erläutert und in der Folge daraus der zur Konformitätsprüfung wünschenswerte Umfang einer Dokumentation ermittelt. Für die Prüfung der technischen Angaben zur Risikobehandlung für Medizinprodukte, entsprechend der Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik, wurde zudem eine Einteilung in Schwierigkeitsgrade der Beurteilung vorgenommen.
In dieser Arbeit wurde ein aktueller Überblick über die im Dark Web verfügbaren Hidden Services erstellt. Dazu wurden Onion-Adressen mit Hilfe von Suchmaschinen und Verzeichnissen gewonnen.
Über diese Onion-Adressen wurden Hidden Services aufgerufen und untersucht. Die gefundenen Hidden Services wurden in Kategorien eingeteilt und anschließend näher betrachtet. Dabei wurde vor allem auf die Inhalte eingegangen. Diese wurden untereinander und mit Webseiten aus dem Clear Web verglichen.
Es konnten zahlreiche verschiedene angebotene Inhalte festgestellt werden. Sowohl legale als auch illegale Inhalte. Die Anzahl der Hidden Services mit illegalen Inhalten überwiegt. Die größte Kategorie stellen digitale Marktplätze dar. Auf diesen werden verschiedene, hauptsächlich illegale Produkte und Dienstleistungen verkauft.
Vor der Etablierung neuer Versionen in D-LIMS, müssen diese erst auf ihre Funktionstüchtigkeit geprüft werden. In der Arbeit wird das D-LIMS im Sachbereich DNA-Analyse des Kriminaltechnischen Instituts des Landeskriminalamts Brandenburg und eine Versionskontrolle für die Software D-LIMS vorgestellt.
Diese Arbeit beinhaltet eine erste Strukturanalyse des neuen Apple File System. Es wurden die Datenträgerstrukturen eines APFS-Containers anhand mehrerer unter macOS "Sierra“ erstellten Images analysiert. Dabei wurde festgestellt, dassGrundzüge des Vorgänger-Dateisystems HFS+ auch bei APFS Anwendung finden, das neue System jedoch um einige Funktionalitäten verändert respektive erweitert wurde. Dazu zählen im Wesentlichen Snapshots, Copy-on-Write-Verfahren, Verschlüsselung und eine flexiblere Art der Partitionierung. Bezogen auf computerforensische Untersuchungen ist die Verschlüsselung der Nutzerdaten auf Apple-Computern eher als hinderlich zu betrachten. Die anderen Features werden dabei nach aktuellem Kenntnisstand keine oder leicht positive Auswirkungen haben.
Die vorliegende Bachelorarbeit vergleicht die zwei Honeypotsysteme T-Pot und Modern Honey Network miteinander. Hierfür zeigen Angriffsszenarien gegen die Honeypotsysteme, wie Angreifer diese wahrnehmen würden und wie die Honeypots die Angriffe protokollieren. Die ersten Kapitel dienen als Einführung in die Thematik der Honeypots und erläutern die Problemstellung und Vorgehensweise. Kapitel 4 und 5 beleuchten den Entwurf und die Durchführung der Angriffsszenarien. In Kapitel 7 wird der Vergleich anhand selbst aufgestellter Kriterien durchgeführt. Das Honeypotsystem T-Pot hat in diesem Vergleich knapp besser abgeschnitten. Jedoch lässt sich Schlussfolgern, das je nach individuellen Zielen und Einsatzzwecken beide Honeypotsysteme mit ihren Stärken überzeugen können.
Die vorliegende Arbeit beschäftigt sich mit den Fragen, welche Indikatoren für einer Kompromittierung (IoC) in Active Directory gefunden werden können, wo sich diese befinden und mit welchen Werkzeugen sie offline erfasst werden können. Das Ziel ist, diese Fragen mittels einer Übersicht über die Indikatoren einer Kompromittierung und einer Übersicht über relevante Dateien für eine forensische Untersuchung zu beantworten.
Für die Erstellung der Übersichten wurden Angriffsmethoden auf Active Directory nach relevanten Ereignissen analysiert. Diese Ereignisse wurden in einer Testumgebung nachgestellt und anschließend offline mit den recherchierten Werkzeugen analysiert.
Durch die Ergebnisse der Arbeit konnte gezeigt werden, welche IoCs in Active Directory grundsätzlich existieren können, wo sich diese befinden und mit welchen Werkzeugen die Indikatoren offline erhoben werden. Es wird ebenfalls ersichtlich, welche Indikatoren nicht erhoben werden können und warum dies so ist.
Der Grund für die eingeschränkte Offline-Erhebung von gewissen IoCs ist das Fehlen von Werkzeugen, die bestimmte Informationen aus der Datenbank offline extrahieren können.
Käufer haben häufig das Problem die Sicherheit von Produkte einzuschätzen. In der Bachelorarbeit möchte ich darauf eingehen, welche Zertifizierungsmöglichkeiten existieren und in welche Branchen sie sich einordnen. Daraufhin wird eine Klassifizierung und Einordnung der Zertifikate zur IT-Sicherheit durchgeführt. Im Schwerpunkt liegen hierbei die Produktzertifizierungen. Die Transparenz wird für den Verbraucher übergreifend betrachtet. Die Ergebnisse zeigen auf, ob sich Zertifikate gut oder weniger gut für die unterschiedlichen Branchen eigenen und ob gegebenenfalls Risiken damit verbunden sind.
In der vorliegenden Arbeit wird ein Konzept für eine Test- und Evaluationsumgebung von Forschungsergebnissen im Bereich der Cybersicherheit gebildet. Das dabei entstehende Rahmenwerk ist modular aufgebaut und zeigt, im Vergleich zu bisherigen Test- und Evaluationsumgebungen, einige Besonderheiten auf. Als Basis für die entstehende Konzeptumgebung werden vier Module vorgestellt, mit denen zukünftige Technologien der Cybersicherheit getestet und bewertet werden können.
Die vorliegende Arbeit hat die Erstellung eines Konzeptes und die prototypische Umsetzung von Maßnahmen zur Verbesserung der Client-Sicherheit mit EOL-Betriebssystemen zum Ziel. Die Erstellung des Konzeptes basiert auf dem Beispiel der Tirol Kliniken GmbH. Im theoretischen Teil werden die Grundlagen zur IT-Sicherheit und das Gefahrenpotential betrachtet. Im praktischen Teil wird ein allgemeines Konzept ausgearbeitet, mit Hilfe dessen analysiert werden kann, inwiefern die EOL-Clients im Unternehmen geschützt sind und ob es weiterer Maßnahmen bedarf. Dies wird am Beispiel der Tirol Kliniken, mit besonderem Fokus auf McAfee Application Control, dargestellt.
Die Digitalisierung überschreitet jedes Jahr neue Grenzen, besonders in Zeiten von Covid-19. Dadurch werden vermehrt Privatcomputer für die Arbeit genutzt und vice versa. Durch die Vermischung von Privat- und Unternehmensdaten gewinnen immer mehr Cyberkriminelle Zugang zu sensiblen Daten mit welchen sie Unternehmen und Privatpersonen angreifen könnten. Zusätzlich professionalisieren sich die Täter und verwenden sich stetig verbessernde Schadsoftwaren. Um mögliche Angriffsvektoren zu simulieren wird eine Testumgebung erstellt, zum Testen solcher Attacken. Diese Arbeit wird zur Erschaffung einer möglichst sicheren Arbeitsumgebung erstellt. Schlussendlich sollen mit dem Wissen von Angriffsvektoren Leser, Studierende und Fachpersonal weitergebildet werden.
In dieser Bachelorarbeit wird ein E-Learning Kurs zum Kompetenzerwerb auf dem Gebiet der IT-Sicherheit konzipiert, implementiert und evaluiert. Dazu werden zunächst für Endnutzende relevante Themen der IT-Sicherheit identifiziert und die theoretischen Fundierungen für die Umsetzung als ein Web-based Training gelegt. Die Umsetzung des Konzeptes in einen Moodle-Kurs wird beschrieben. Es wird eine Evaluation der Usability des Kurses und des Lernerfolges durchgeführt.
In der vorliegenden Bachelorarbeit wurde ein Prototyp einer Software konzipiert und implementiert, die es ermöglicht, eine Active Directory Domain nach potenziellen Schwachstellen zu durchsuchen und deren Ausnutzbarkeit zu testen. Dabei simuliert die Software das Vorgehen eines Penetrationstesters, um zu erörtern, ob ein solches Tool diesen ersetzen kann. Die Arbeit beschreibt das Vorgehen des Autors während der Programmierung dieser Software sowie die Funktionsweise des Programms. Durch die Entwicklung und Reflektion dieses Tools konnte gezeigt werden, dass menschliche Penetrationstester deutliche Vorteile gegenüber automatisierten Programmen aufweisen und solche Tools aufgrund einiger Faktoren nur unterstützend, aber nicht ersetzend, verwendet werden können.
Die Aufgabe von Penetrationstestern ist es, Sicherheitslücken in IT-Systemen zu finden. Dieser Prozess kann innerhalb eines Pentest-Labors geübt werden. Das Ziel der Arbeit war es, ein Konzept zu erstellen, das ein solches Labor auf Basis von Cloud-Computing erstellt. Die Erstellung fand dabei nach einem fünfstufigen Vorgehen statt. Anforderungsanalyse, Evaluation eines Cloud-Providers und eines Automatisierungstools, Grundlagen der gewählten Lösungen, Konzeptionierung und Implementation. Ziel der Analyse war es, Anforderungen zu sammeln, das die Umgebung erfüllen soll. Hauptziel war es demnach einfach und mit minimalem Zeitaufwand verschiedene Infrastruktur-Szenarien zu erstellen. Ein solches Szenario war beispielsweise ein unsicheres Office Netzwerk. Auf diesen Forderungen aufbauend wurden verschiedene Cloud-Provider sowie Anbieter von Automatisierungstools verglichen und es wurde eine Entscheidung für je einen getroffen. Die Wahl fiel auf OpenStack als On-Premise Cloud-Lösung und Terraform als Tool, das automatisiert die Infrastrukturen erzeugen soll. Jene wurden in dem darauffolgenden Kapitel genauer vorgestellt und deren Funktion sowie Betrieb erläutert. Nachdem das Fundament für das Konzept gelegt war, erfolgte das Planen, was für verschiedenen Systeme für das Szenario des Office Netzwerk nötig waren. Dabei handelte es sich um Windows Server und Client, Linux Client und eine Metasploitable Maschine. Daraufhin folgte die Evaluation, wie diese Systeme bereitgestellt und bei Instanziierung konfiguriert werden sollen. Entschieden wurde sich für manuell erstellte Systemabbilder und zur Konfiguration das Tool Cloud-Init.
Abschließend wurde das Konzept an einem Prototyp, mit dem Ziel der Prüfung auf Fehlerfreiheit, umgesetzt. Die Implementation erfolgte ohne Probleme und das Labor stand mit dem geforderten Szenario, das innerhalb von 10 Minuten mit einem Befehl erstellt werden konnte, zur Verfügung. Zukünftige Arbeiten könnten das Konzept in einer Langzeitstudie auf eventuell auftretende Fehler hin prüfen. Zudem können weitere Szenarien und weitere Autmatisierungstools implementiert werden.
Korrelation von Zeitstempeln und Pfadangaben von Ausführungsartefakten eines Windows 1x Systems
(2022)
Die Sicherheitslage in Deutschland wird für das Berichtsjahr 2021 durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) als angespannt bis kritisch beschrieben. Ein Grund für diese Einschätzung ist, die Zunahme von Ransomware-Angriffen und die daraus resultierenden Schäden. Derartige Angriffe müssen im Rahmen eines Incident Response und Digital Forensic (kurz DFIR) Prozess aufgeklärt, eingedämmt und weitgehend rückgängig gemacht werden. Die immer größer werdenden Mengen an heterogenen Daten und die immer kürzeren Zeitabschnitte, die für eine Analyse zur Verfügung stehen, sind Herausforderungen, mit denen die Incident Responder und die Digitalen Forensiker konfrontiert sind.
Diese Arbeit verfolgt das Ziel, den Aufwand einer forensischen Untersuchung zu verringern, in dem Ausführungsartefakte von Windows 1x Systemen anhand der in ihnen enthaltenen Pfadangaben und Zeitstempel miteinander korreliert werden. Die praktische Anwendbarkeit der in dieser Arbeit gewonnen Erkenntnisse wurde in einem Proof-of-Concept demonstriert. Dessen Umsetzung erfolgte mithilfe von Angular, Flask und Neo4j.
In der vorliegenden Bachelorarbeit geht es um den Einfluss personenbezogener Informationen auf die Wahl bei Passwörtern. Viele Nutzer verwenden oft persönliche Angaben in ihren Passwörtern, um sich diese leichter merken zu können. Im Rahmen dieser Arbeit soll analysiert werden, um welche Daten es sich dabei konkret handelt und in welchem Umfang diese vorkommen. Weiterhin soll untersucht werden mit welchen Verfahren, basierend auf grundlegenden Informationen zu einer Person, weiterer Kontext zu eben dieser Person ermittelt werden kann. Das entwickelte Programm zur Umsetzung der Verfahren soll Sicherheitsbehörden dabei unterstützen die richtigen Passwörter von Beweismitteln, die von hoher Relevanz für Ermittlungen sind, zeitnah zu bestimmen. Der zielgerichtete Angriff wird unter Verwendung eines personenbezogenen Wörterbuchs durchgeführt, das durch das in dieser Arbeit entwickelte Tool generiert wird.
In der letzten Dekade hat sich die Verwendung von Cloud-Computing für das verlässliche und kostengünstige Betreiben von IT-Ressourcen und Applikationen weitgehend etabliert. Für Anwendungsszenarien mit hochsensitiven Daten können jedoch inakzeptable Restrisiken in Bezug auf deren Vertraulichkeit und Integrität – insbesondere während der eigentlichen Datenverarbeitung – verbleiben. Mit Hilfe von Intel SGX ist die Entwicklung dahingehend abgesicherter Anwendungen möglich, eine Nutzung dessen Funktionalität durch bereits bestehende Applikationen dagegen nicht ohne Weiteres. Um diese vor Angriffen auf die Vertraulichkeit oder Integrität mittels SGX zu schützen, wurden in der Forschung verschiedene Ansätze zur Migration entwickelt. Insbesondere serviceorientierte, aus mehreren Einzeldiensten bestehende, Anwendungen bedürfen dafür jedoch einer ausführlichen Planung und strukturierten Vorgehens. Die vorliegende Masterarbeit hat das Ziel, ein grundlegendes Verständnis für SGX zu vermitteln und die Migration solcher Anwendungen zu vereinfachen. Dafür wird eine generische Methodik vorgestellt sowie anhand des Beispiels einer populären Webanwendung hinsichtlich ihrer Funktionalität, Sicherheit und Performanz evaluiert. Zusätzlich erfolgt die Diskussion der Migration von Container-Anwendungen sowie deren Besonderheiten und Möglichkeiten zur Orchestrierung.
Diese Diplomarbeit zeigt zu Beginn die Risiken, die moderne Angriffe auf ein Produktionsnetzwerk darstellen, in mehreren Facetten auf. Um diesen möglichen Schaden für Unternehmen abzuwenden, wird eine mögliche Lösung vorgestellt, die diese Angriffe, die trotz bereits vorhandener Sicherheitsmaßnahmen erfolgreich sein können, erkennen kann. Diese Lösung wird planmäßig durch die Einbindung in die Infrastruktur eines Produktionsnetzwerkes umgesetzt. Um die volle Funktionalität sicherstellen zu können, wird die Lösung auch in einem separatem Testnetzwerk durch Powershell-Scripte und Pentesting-Tools, die in Kali Linux gebündelt sind, überprüft. Dies soll dem Schutz der vorhandenen, teils überholten Infrastruktur in der Produktion dienen, die durch ihr teilweise hohes Alter durch dieses Pentesting ausfallen könnten. Abschließend werden die ermittelten Ergebnisse bewertet. Ein Fazit über die Möglichkeiten der Optimierung sowie ein Ausblick in eine mögliche Zukunft runden diese Diplomarbeit ab.
Die vorliegende Arbeit befasst sich umfangreich mit der Thematik der »Security Incident and Event Management« (SIEM) Systeme und ihrer Installation, Organisation und Anwendung in kleinen und mittleren Unternehmen (KMU). Am Anfang wird dem Leser die Funktionsweise eines solchen SIEM Systems erklärt, um im Anschluss am Beispiel der miteinander interagierenden Softwares Elasticsearch, Logstash, Beats und Kibana schrittweise in einer IT-Infrastruktur zu implementieren. Außerdem wird die Eignung eines solchen Systems für kleine und mittlere Unternehmen in gesetzlicher und organisatorischer Hinsicht auf Basis zweier Studien untersucht, welche den aktuellen Zustand der Thematik IT-Sicherheit in KMU widerspiegeln. Das Ziel der Arbeit ist es festzustellen, in welchem Rahmen ein SIEM System in KMU nötig ist und helfen kann, um die IT-Sicherheit des Unternehmens zu fördern. Dabei wird sowohl auf die Installation, als auch auf die Nutzung eins SIEM Systems unter den in KMU vorherrschenden Bedingungen betrachtet.
Die einzelnen Phasen der Angriffe auf Computernetzwerke werden heute zunehmend mit speziell dafür konzipierter Software durchgeführt. Für die Aufrechterhaltung der Verbindung zum kompromittierten Netzwerk sind sogenannte Command & Control Frameworks ein gängiges Mittel. Ein Vertreter dieser Frameworks ist PowerShell Empire, welches hauptsächlich auf der Skriptsprache PowerShell von Microsoft basiert, die Angriffsziele jedoch nicht auf Windowssysteme beschränkt sind. In dieser Arbeit wird dieses Framework vorgestellt und Szenarien für den Einsatz aufgezeigt. Durch Untersuchung von Netzwerkmitschnitten, sollen zudem Erkennungsmerkmale zur Identifikation der Aktivität von Empire herausgearbeitet werden.
Prototypischer Aufbau einer sicheren ICS Umgebung für klein- und mittelständische Unternehmen
(2018)
Die vorliegende Arbeit befasst sich mit einem Prototypischen Aufbau einer ICS Umgebung für klein und mittelständische Unternehmen. Ziel ist es, einen Server einzurichten, von dem aus die Clients Zentral konfiguriert und überwacht werden können. Soweit es möglich ist, soll für das Projekt nur Open Source Software eingesetzt werden, um für die Unternehmen keine hohen Kosten zu verursachen.
Ziel der vorliegenden Arbeit ist es, Nutzer aus dem Heimbereich zur kritischen Beurteilung der Sicherheit von Netzwerkgeräten anzuregen.
Dazu wird zunächst aufgezeigt, warum Netzwerkgeräte ein lohnenswertes Ziel darstellen können. Zusätzlich werden bekannte Beispiele für gehackte beziehungsweise veränderte Netzwerkgeräte vorgestellt. Außerdem werden dem Leser Methoden zur Untersuchung dargestellt, welche an den konkreten Beispielen exemplarisch durchgeführt werden. Um eine sinnvolle Reihenfolge der Untersuchungen zu gewährleisten wird ein allgemeines Vorgehensmodell vorgestellt, welches entsprechend an die konkreten Untersuchungsanforderungen angepasst werden kann. Insbesondere werden die Recherche von Informationen, die optische Untersuchung, die Einstellungsüberprüfung und die Verifikation der Firmware besprochen und am konkreten Beispiel gezeigt. Auch die Übertragbarkeit auf andere Geräte wird überprüft und es wird versucht einen Ausblick auf eventuelle zukünftige Entwicklungen im Bereich der Sicherheit von Netzwerkgeräten zu geben. Limitierende Faktoren werden im Diskussionsteil der Arbeit ebenfalls betrachtet und näher erläutert.
Ziel der Arbeit ist es, ein smartes IoT-Gerät mit Cloud-Anbindung auf Sicherheit und Datenschutz zu untersuchen. Als Untersuchungsobjekt wurde eine \smarte" Alarmananlage für den privaten Haushalt ausgewählt. Im Unterschied zu anderen \smarten" IoT-Geräten im täglichen Leben geht hier das Sicherheitsrisiko über den Ausfall ohne Konsequenzen bzw. den Verlust von Daten hinaus. Entsprechend hoch sind die Erwartungen an die Sicherheit. Ein solches Gerät soll schützen und nicht eine zusätzliche Gefährdung bzw. Schwachstelle darstellen. Als Produkt wurde die Einbruchmeldeanlage (EMA) der Firma Egardia gewählt. Hierbei handelt es sich um ein System im mittleren Preissegment für Alarmanlagen zum Selbsteinbau. Die Norm für die Zertifizierung von EMAs ist die DIN EN 50131.
Es gibt vier Sicherheitsgrade, nach denen EMAs und ihre Komponenten eingeteilt werden können. Besonders hochwertige Produkte besitzen den Grad 2. Das System von Egardia hat wie die meisten EMAs keine Zertifizierung, ist in dieser Hinsicht ebenfalls ein durchschnittliches EMA. Grund hierfür ist, dass auf den Webseiten von Onlinehändlern Produkte hauptsächlich mit Funktionen und Preis beworben werden. Zerttifizierungen, die niemand kennt oder einfordert, spielen für Kunden keine Rolle. Neben der konkreten Untersuchung dieses Geräts auf seine Sicherheit soll als Ergebnis der Arbeit geprüft werden, ob für mögliche, gefundene Schwachstellen Lösungen existieren.
Gleichzeitig soll gezeigt werden, wie die Entwicklung eines sicheren Produkts umgesetzt werden kann und welche Rahmenbedingungen in Gesellschaft, Wirtschaft und Politik eventuell die Sicherheit und Nachhaltigkeit von IoT-Geräten gefährden.
Die vorliegende Arbeit beschäftigt sich mit der Fragestellung ob und warum die Anzahl von IT-Sicherheitslücken exponentiell steigt. In Zuge dessen wird der Zusammenhang zwischen der Entwicklung von Sicherheitslücken und der Entwicklung der Code-Länge über die Zeit untersucht. Um die Forschungsfrage zu beantworten, wurden CVE-Daten ausgewertet. Dabei wird nicht nur die allgemeine CVE-Entwicklung, sondern auch ausgewählte Software-Systeme im Speziellen betrachtet. Um die Code-Länge zu untersuchen, wurden die LOC der einzelnen Software-Systeme analysiert. Die Untersuchung ergab, dass die Entwicklung der CVE gesamt einen exponentiellen Trend verfolgt. Die CVE-Entwicklung der einzelnen Software-Systeme verfolgt im Gegensatz dazu in der Mehrheit einen linearen Trend. Auch die LOC-Entwicklung der Software-Systeme passt sich diesem Trend an. Somit zeigt sich, dass die drastische Entwicklung der Sicherheitslücken nicht ausschließlich durch eine drastische LOC-Entwicklung beeinflusst wird, sondern von verschiedenen Faktoren abhängt, die sich untereinander verstärken.
Untersuchung potenzieller Angriffsvektoren auf Container-Infrastrukturen unter Nutzung von Docker
(2021)
Die Digitalisierung ist eine der größten Herausforderungen der Wirtschaft. Eine Containervirtualisierung kann dabei vielversprechende Lösungen bieten, unterliegt jedoch ebenso Angriffen. Diese Arbeit zeigt am Beispiel von Docker auf, mit welchen Angriffsvektoren auf eine Container-Infrastruktur gewirkt und mit welchen Schutzmaßnahmen diese gehärtet werden kann. Die Untersuchungen stellen dar, wie schützenswerte Daten erbeutet, exogen Einfluss auf die in Containern verarbeiteten Daten genommen und mit
Schadsoftware auf gesamte Infrastruktur gewirkt werden kann. Dabei werden Host, Container und weitere Komponenten gleichermaßen berücksichtigt. Die Abhängigkeiten innerhalb von Containern werden zwar voneinander isoliert, jedoch teilen sich Host und Container einen gemeinsamen Kernel. Aus diesem Grund rücken Containerausbrüche und Kernelangriffe in den Fokus. Für den sicheren Einsatz von Containern können korrekte Konfigurationen bezüglich der Systemaufrufe, Capabilities, Kontrollgruppen, Namensräume
oder des Rootless Mode von entscheidender Bedeutung sein.
Ziel dieser Masterarbeit ist eine Analyse des Voice-over-LTE-Netzwerkes auf Sicherheitsschwachstellen. Zuerst findet dafür eine theoretische Untersuchung des VoLTE-Protokolls mit einer Fokussierung auf seine sicherheitsrelevanten Merkmale statt. Anschließend wird das Session-Initiation-Protokoll (SIP) als Element für die praktische Untersuchung ausgewählt. Praktisch wird zuerst gezeigt, dass VoLTE-SIP-Pakete sensitive Daten enthalten, die auf den Endgeräten mitgelesen werden können. Anschließend werden manipulierte SIP-Pakete in das Netzwerk gesendet, die das Abfragen von Informationen und den Datenaustausch mit anderen VoLTE-Nutzern ermöglichen. Durch einen Vergleich der Arbeit mit anderen Veröffentlichungen wird gezeigt, dass es bereits ähnliche Ansätze gibt, die in dieser Arbeit verwendeten SIP-Pakete aber noch nicht für ein Auslösen unautorisierter Prozesse verwendet wurden. Zum Schluss wird dargestellt, in welchen Bereichen auf Basis dieser Arbeit weiter geforscht werden kann und welche Konsequenzen die gefundenen Ergebnisse für die VoLTE-Nutzer haben.
Die vorliegende Arbeit beschäftigt sich mit der Analyse und dem Nachweis von unberechtigten RDP Zugriffen in Windows Netzwerkumgebungen. Dafür werden alle technischen Grundlagen zum Verständnis des RDP geklärt und mögliche
Angriffsszenarien sowie das Vorgehen von Angreifern aufgezeigt. Anschließend werden Indikatoren für unberechtigte Zugriffe erläutert und präventive Maßnahmen zum Schutz dargelegt.
Aufgrund der steigenden Anzahl an Angriffen durch neue Malware Varianten ist es wichtig eine effektive Methode zu nutzen, um sich gegen diese Flut zu schützen. Diese von den Angreifern genutzte Malware muss identifiziert und analysiert werden, um die Systeme vor aktuelle und kommenden Angriffen schützen zu können. Für die Informationsextraktion stehen zwei grundlegende Ansätze zur Verfügung. Statische Analyse und die dynamische Analyse. Das Hauptaugenmerk liegt in dieser Arbeit auf der dynamischen Analyse. Diese wird genutzt um das Verhalten einer potentiell bösartigen Datei zu beobachten und anschließend auszuwerten, ob es sich um Malware handelt. Eine dafür häufig eingesetzte Methode ist die Sandbox. Bei dieser handelt es sich um eine isolierte Umgebung, in der eine Malware ausgeführt werden kann, ohne ein Risiko für das eigene System darzustellen. Bei der Nutzung eines Sandbox Systems wird ebenfalls von dem Begriff der automatisierten Malware Analyse gesprochen. Damit ist es möglich auch große Mengen von Malware Samples zu analysieren. Nach der Analyse wird neben der Bösartigkeit einer zu untersuchenden Datei, ebenfalls die gesammelte Daten über diese ausgegeben. Diese Arbeit vergleicht drei verschiedene Sandbox Systeme, um anschließend festhalten zu können, welches dieser Systeme die meisten Vorteile mit sich bringt. Bei diesen ausgewählten Sandbox Systemen handelt es sich um Cuckoo, Any.Run und Hybrid Analysis. Um eine Gegenüberstellung der Sanbox Systeme zu ermöglichen, wurden diverse Metriken verwendet. Zu diesen Metriken zählen unter anderem genutzte Anti-Evasion Techniken und die Möglichkeit einer URL Analyse. Nach umfassender Nutzung aller drei Sandbox Systeme, wurde eine Vergleichmatrix mit den bereits erwähnten Metriken erstellt. Anhand dieser konnten die Vor- und Nachteile der Sandbox Systeme gegeneinander abgewogen werden.
Ziel der vorliegenden Bachelorarbeit ist es, über das Thema Verschlüsselungstrojaner aufzuklären und dabei auf eine mögliche Prävention durch die Produkte Sandstorm und Intercept X der Firma Sophos einzugehen. Dabei wird besonders auf die Gefahren und Präventionsmöglichkeiten im Allgemeinen eingegangen sowie eine Sicherheitsanalyse im Themenspezifischen Kontext durchgeführt. Weiterhin wird der Anbieter Sophos mit anderen Anbietern verglichen und anhand von verschiedenen Parametern bewertet.
Wirksame Sicherheitsmaßnahmen zu entwickeln und auch zu implementieren, bedeutet im Umkehrschluss, dass zuerst einmal die zugrundeliegenden Gefahren, Schwachstellen und Sicherheitslücken bekannt sein und verstanden werden müssen. Das beste System hat wenig Nutzen, wenn der Mensch, der es bedient, es nicht zu nutzen weiß. Aus diesem Grund soll mit der vorliegenden Arbeit ein grundlegendes Verständnis zu möglichen Angriffen auf das Session Management beziehungsweise in diesem Fall auch die Verschlüsselung gelegt werden. Im Anschluss daran werden mögliche Schutzmaßnahmen dargelegt, welche als eine Art Leitfaden dienen sollen.