Refine
Document Type
- Bachelor Thesis (38)
- Diploma Thesis (9)
- Master's Thesis (9)
- Conference Proceeding (1)
Year of publication
Keywords
- Computersicherheit (57) (remove)
Die vorliegende Arbeit beschäftigt sich mit der Fragestellung ob und warum die Anzahl von IT-Sicherheitslücken exponentiell steigt. In Zuge dessen wird der Zusammenhang zwischen der Entwicklung von Sicherheitslücken und der Entwicklung der Code-Länge über die Zeit untersucht. Um die Forschungsfrage zu beantworten, wurden CVE-Daten ausgewertet. Dabei wird nicht nur die allgemeine CVE-Entwicklung, sondern auch ausgewählte Software-Systeme im Speziellen betrachtet. Um die Code-Länge zu untersuchen, wurden die LOC der einzelnen Software-Systeme analysiert. Die Untersuchung ergab, dass die Entwicklung der CVE gesamt einen exponentiellen Trend verfolgt. Die CVE-Entwicklung der einzelnen Software-Systeme verfolgt im Gegensatz dazu in der Mehrheit einen linearen Trend. Auch die LOC-Entwicklung der Software-Systeme passt sich diesem Trend an. Somit zeigt sich, dass die drastische Entwicklung der Sicherheitslücken nicht ausschließlich durch eine drastische LOC-Entwicklung beeinflusst wird, sondern von verschiedenen Faktoren abhängt, die sich untereinander verstärken.
Cybersicherheit wird für die Wasserwirtschaft mehr und mehr relevant. Durch gesetzliche Anforderungen wer-den Betreiber von kritischen Infrastrukturen zur Erfüllung des Stands der Technik bei der Informationssicherheit ihrer Anlagen verpflichtet. Neben Anforderungen an die IT-Sicherheit werden auch Anforderungen an die physische Absicherung von kritischen Infrastrukturen gestellt. In dem Beitrag werden Anforderungen aus dem IT-Sicherheitsgesetz 2.0 sowie zu erwartende Anforderungen aus dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz und dem KRITIS-Dachgesetz vorgestellt und eine Empfehlung zur Vorbereitung auf die Umsetzung gegeben.
Das Ziel dieser Arbeit ist es, einen Anforderungskatalog für Anbieter eines Cloudbackup- Servers unter Zero Trust Bedingungen zu erstellen. Dabei werden nicht nur die technischen Voraussetzungen beschrieben, sondern auch ein kur-zer Einblick in rechtlichen und organisatorischen Anforderungen gegeben, wobei das Hauptaugenmerk auf den Bestimmungen liegt, die in Deutschland und der EU gelten. Für die Erarbeitung werden dabei bereits existierende Anforderungs-kataloge und staatliche Veröffentlichungen verglichen und zusammengeführt. So wurde ein Anforderungskatalog erstellt, der alle Anforderungen enthält, die ein Cloudbackup- Server unter Zero Trust erfüllen muss. Der Katalog kann genutzt werden, um ein solches System umzusetzen.
Diese Arbeit beschäftigt sich mit der Erstellung eines Leitfadens für die Prüfung der Daten- und Cybersicherheitsrisiken für Medizinprodukte. Es werden die rechtlichen Grundlagen der Bewertung und die zugehörigen Empfehlungen dargestellt. Hierzu werden Empfehlungen aus Deutschland, der EU und der USA betrachtet und vergleichen. Die Umsetzung der Prüfung der Daten- und Cybersicherheitsrisiken wird mit Hilfe eines Beispiels erläutert und in der Folge daraus der zur Konformitätsprüfung wünschenswerte Umfang einer Dokumentation ermittelt. Für die Prüfung der technischen Angaben zur Risikobehandlung für Medizinprodukte, entsprechend der Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik, wurde zudem eine Einteilung in Schwierigkeitsgrade der Beurteilung vorgenommen.
Aufgrund der steigenden Anzahl an Angriffen durch neue Malware Varianten ist es wichtig eine effektive Methode zu nutzen, um sich gegen diese Flut zu schützen. Diese von den Angreifern genutzte Malware muss identifiziert und analysiert werden, um die Systeme vor aktuelle und kommenden Angriffen schützen zu können. Für die Informationsextraktion stehen zwei grundlegende Ansätze zur Verfügung. Statische Analyse und die dynamische Analyse. Das Hauptaugenmerk liegt in dieser Arbeit auf der dynamischen Analyse. Diese wird genutzt um das Verhalten einer potentiell bösartigen Datei zu beobachten und anschließend auszuwerten, ob es sich um Malware handelt. Eine dafür häufig eingesetzte Methode ist die Sandbox. Bei dieser handelt es sich um eine isolierte Umgebung, in der eine Malware ausgeführt werden kann, ohne ein Risiko für das eigene System darzustellen. Bei der Nutzung eines Sandbox Systems wird ebenfalls von dem Begriff der automatisierten Malware Analyse gesprochen. Damit ist es möglich auch große Mengen von Malware Samples zu analysieren. Nach der Analyse wird neben der Bösartigkeit einer zu untersuchenden Datei, ebenfalls die gesammelte Daten über diese ausgegeben. Diese Arbeit vergleicht drei verschiedene Sandbox Systeme, um anschließend festhalten zu können, welches dieser Systeme die meisten Vorteile mit sich bringt. Bei diesen ausgewählten Sandbox Systemen handelt es sich um Cuckoo, Any.Run und Hybrid Analysis. Um eine Gegenüberstellung der Sanbox Systeme zu ermöglichen, wurden diverse Metriken verwendet. Zu diesen Metriken zählen unter anderem genutzte Anti-Evasion Techniken und die Möglichkeit einer URL Analyse. Nach umfassender Nutzung aller drei Sandbox Systeme, wurde eine Vergleichmatrix mit den bereits erwähnten Metriken erstellt. Anhand dieser konnten die Vor- und Nachteile der Sandbox Systeme gegeneinander abgewogen werden.
In dieser Bachelorarbeit werden die Artefakte im Arbeitsspeicher der Webclients des Instant-Messenger-Dienstes Threema und des Social-Media-Dienstes Instagram aus forensischer Sicht betrachtet. Hierfür werden die Funktionsweisen der Anwendungen und die auf dem Gerät im RAM enthaltenen Artefakte forensisch analysiert und diskutiert. Anhand der aus dieser Arbeit gezogenen Erkenntnisse sollen zukünftige forensische Untersuchungen, die in Verbindung mit einer oder beiden dieser Anwendungen stehen, unterstützt werden, gefundene Artefakte zu identifizieren und interpretieren.
Die vorliegende Arbeit beschäftigt sich mit der Analyse von
Festplattenverschlüsselungssoftware. Dabei werden BitLocker von Microsoft, FileVault von Apple unter MacOS und LUKS unter Linux betrachtet. Des Weiteren wird die Verschlüsselung Data Protection der iPhones und Android Encryption von Googles Betriebssystem analysiert. Bei der Untersuchung werden die verwendeten kryptographischen Algorithmen, die Schlüsselhierarchie und hardwarebasierenden Technologien behandelt. Zudem werden Angriffsmöglichkeiten präsentiert, die bei einer forensischen Analyse verwendet werden können, um die Verschlüsselung zu umgehen.
In dieser Arbeit wurde ein aktueller Überblick über die im Dark Web verfügbaren Hidden Services erstellt. Dazu wurden Onion-Adressen mit Hilfe von Suchmaschinen und Verzeichnissen gewonnen.
Über diese Onion-Adressen wurden Hidden Services aufgerufen und untersucht. Die gefundenen Hidden Services wurden in Kategorien eingeteilt und anschließend näher betrachtet. Dabei wurde vor allem auf die Inhalte eingegangen. Diese wurden untereinander und mit Webseiten aus dem Clear Web verglichen.
Es konnten zahlreiche verschiedene angebotene Inhalte festgestellt werden. Sowohl legale als auch illegale Inhalte. Die Anzahl der Hidden Services mit illegalen Inhalten überwiegt. Die größte Kategorie stellen digitale Marktplätze dar. Auf diesen werden verschiedene, hauptsächlich illegale Produkte und Dienstleistungen verkauft.
In der vorliegenden Bachelorarbeit wurde ein Prototyp einer Software konzipiert und implementiert, die es ermöglicht, eine Active Directory Domain nach potenziellen Schwachstellen zu durchsuchen und deren Ausnutzbarkeit zu testen. Dabei simuliert die Software das Vorgehen eines Penetrationstesters, um zu erörtern, ob ein solches Tool diesen ersetzen kann. Die Arbeit beschreibt das Vorgehen des Autors während der Programmierung dieser Software sowie die Funktionsweise des Programms. Durch die Entwicklung und Reflektion dieses Tools konnte gezeigt werden, dass menschliche Penetrationstester deutliche Vorteile gegenüber automatisierten Programmen aufweisen und solche Tools aufgrund einiger Faktoren nur unterstützend, aber nicht ersetzend, verwendet werden können.
In der vorliegenden Arbeit wird ein Konzept für eine Test- und Evaluationsumgebung von Forschungsergebnissen im Bereich der Cybersicherheit gebildet. Das dabei entstehende Rahmenwerk ist modular aufgebaut und zeigt, im Vergleich zu bisherigen Test- und Evaluationsumgebungen, einige Besonderheiten auf. Als Basis für die entstehende Konzeptumgebung werden vier Module vorgestellt, mit denen zukünftige Technologien der Cybersicherheit getestet und bewertet werden können.
Ransomware-Angriffe konnten in den letzten Jahren einen starken Anstieg zu verzeichnen. Unternehmen müssen dieser Bedrohung gewappnet sein. Eine Möglichkeit, um Angriffe in einer IT-Infrastruktur frühzeitig zu erkennen, ist der Einsatz von SIEM-Tools. Diese sind mittlerweile ein wichtiger Bestandteil in einem SOC. In dieser Masterarbeit wird die Ransomware-Detektion mittels SIEM-Tools ausgetestet. Hierbei wurde mit dem kommerziellen SIEM-Tool Splunk und dem Open-Source-SIEM-Tool Wazuh gearbeitet. Es wurde ein Regelkatalog erstellt, der es ermöglichen soll, Ransomware zu erkennen. Insgesamt wurden 30 Ransomware-Proben auf einem überwachten Windows-System ausgeführt. Bei jeder Ransomware-Ausführung wurde die ungefähre Verschlüsselungsdauer erfasst. Anschließend wurde ein Vergleich zwischen den beiden SIEM-Tools anhand eines zuvor erstellten Kriterienkatalogs gezogen. Dabei wurde erkannt, dass es bezüglich der Ransomware-Erkennung keine großen Unterschiede zwischen den beiden Tools gab. Splunk weist zwar eine deutlich bessere Performance auf, doch Wazuh stellt eine gute kostenlose Alternative für den Einsatz in kleineren Unternehmen dar. Allerdings ist neuere Ransomware darauf ausgelegt, den Verschlüsselungsprozess zu beschleunigen und die Weiterleitung der Logdaten an das SIEM zu unterbinden, um eine Detektion zu umgehen. Dies zeigt, dass SIEM-Systeme alleinig nicht ausreichend sind, um Ransomware effektiv zu erkennen.
Die Aufgabe von Penetrationstestern ist es, Sicherheitslücken in IT-Systemen zu finden. Dieser Prozess kann innerhalb eines Pentest-Labors geübt werden. Das Ziel der Arbeit war es, ein Konzept zu erstellen, das ein solches Labor auf Basis von Cloud-Computing erstellt. Die Erstellung fand dabei nach einem fünfstufigen Vorgehen statt. Anforderungsanalyse, Evaluation eines Cloud-Providers und eines Automatisierungstools, Grundlagen der gewählten Lösungen, Konzeptionierung und Implementation. Ziel der Analyse war es, Anforderungen zu sammeln, das die Umgebung erfüllen soll. Hauptziel war es demnach einfach und mit minimalem Zeitaufwand verschiedene Infrastruktur-Szenarien zu erstellen. Ein solches Szenario war beispielsweise ein unsicheres Office Netzwerk. Auf diesen Forderungen aufbauend wurden verschiedene Cloud-Provider sowie Anbieter von Automatisierungstools verglichen und es wurde eine Entscheidung für je einen getroffen. Die Wahl fiel auf OpenStack als On-Premise Cloud-Lösung und Terraform als Tool, das automatisiert die Infrastrukturen erzeugen soll. Jene wurden in dem darauffolgenden Kapitel genauer vorgestellt und deren Funktion sowie Betrieb erläutert. Nachdem das Fundament für das Konzept gelegt war, erfolgte das Planen, was für verschiedenen Systeme für das Szenario des Office Netzwerk nötig waren. Dabei handelte es sich um Windows Server und Client, Linux Client und eine Metasploitable Maschine. Daraufhin folgte die Evaluation, wie diese Systeme bereitgestellt und bei Instanziierung konfiguriert werden sollen. Entschieden wurde sich für manuell erstellte Systemabbilder und zur Konfiguration das Tool Cloud-Init.
Abschließend wurde das Konzept an einem Prototyp, mit dem Ziel der Prüfung auf Fehlerfreiheit, umgesetzt. Die Implementation erfolgte ohne Probleme und das Labor stand mit dem geforderten Szenario, das innerhalb von 10 Minuten mit einem Befehl erstellt werden konnte, zur Verfügung. Zukünftige Arbeiten könnten das Konzept in einer Langzeitstudie auf eventuell auftretende Fehler hin prüfen. Zudem können weitere Szenarien und weitere Autmatisierungstools implementiert werden.
Einhaltung regulatorischer Anforderungen an Kreditinstitute durch den Einsatz eines SIEM-Systems
(2022)
Die vorliegende Arbeit thematisiert die Einhaltung neuer aufsichtsrechtlicher Anforderungen an die IT-Sicherheit von Kreditinstituten durch den Einsatz eines SIEM-Systems. In diesem Kontext werden zuerst die zum Zeitpunkt der Veröffentlichung dieser Thesis geltenden Anforderungen detailliert vorgestellt und erklärt. Anschließend wird der Aufbau und die Funktionsweise eines SIEM-Systems differenziert beleuchtet und die Eignung dessen zur Einhaltung der Rahmenbedingungen geprüft. Darüber hinaus wird ein Leitfaden zur anforderungskonformen Implementation eines SIEM-Systems am Beispiel der Softwarelösung Splunk Enterprise präsentiert.
Ransomware ist eine Schadsoftware, die als Erpressersoftware Daten verschlüsselt und eine Lösegeldforderung stellt. Um Ransomware-Sample vor der Detektion zu schützen, werden sogenannte Packer eingesetzt. Dabei wird die schädliche Routine einer Ransomware gepackt und bei Ausführung automatisch entpackt. Während Ransomware in den letzten Jahren stark weiterentwickelt wurde, sind einige der Methoden zum Entpacken teilweise bedeutend älter. Diese Arbeit untersucht, inwiefern, mithilfe vom Einsatz von Debuggern, aktuelle Ransomware-Samples mit solchen Methoden entpackt werden können. Dafür wird zuerst recherchiert, welche gängigen Methoden zum Entpacken gepackter Schadsoftware unter Verwendung eines Debuggers bestehen. Diese Methoden werden auf eine Auswahl von aktuellen Ransomware-Samples angewendet und die Ergebnisse analysiert. Dadurch entsteht am Ende der Arbeit eine Übersicht darüber bestehen, mit welchen Methoden aktuelle Ransomware-Samples noch entpackt werden und somit Analysen von Ransomware unterstützen können.
Die Digitalisierung überschreitet jedes Jahr neue Grenzen, besonders in Zeiten von Covid-19. Dadurch werden vermehrt Privatcomputer für die Arbeit genutzt und vice versa. Durch die Vermischung von Privat- und Unternehmensdaten gewinnen immer mehr Cyberkriminelle Zugang zu sensiblen Daten mit welchen sie Unternehmen und Privatpersonen angreifen könnten. Zusätzlich professionalisieren sich die Täter und verwenden sich stetig verbessernde Schadsoftwaren. Um mögliche Angriffsvektoren zu simulieren wird eine Testumgebung erstellt, zum Testen solcher Attacken. Diese Arbeit wird zur Erschaffung einer möglichst sicheren Arbeitsumgebung erstellt. Schlussendlich sollen mit dem Wissen von Angriffsvektoren Leser, Studierende und Fachpersonal weitergebildet werden.
Die einzelnen Phasen der Angriffe auf Computernetzwerke werden heute zunehmend mit speziell dafür konzipierter Software durchgeführt. Für die Aufrechterhaltung der Verbindung zum kompromittierten Netzwerk sind sogenannte Command & Control Frameworks ein gängiges Mittel. Ein Vertreter dieser Frameworks ist PowerShell Empire, welches hauptsächlich auf der Skriptsprache PowerShell von Microsoft basiert, die Angriffsziele jedoch nicht auf Windowssysteme beschränkt sind. In dieser Arbeit wird dieses Framework vorgestellt und Szenarien für den Einsatz aufgezeigt. Durch Untersuchung von Netzwerkmitschnitten, sollen zudem Erkennungsmerkmale zur Identifikation der Aktivität von Empire herausgearbeitet werden.
Korrelation von Zeitstempeln und Pfadangaben von Ausführungsartefakten eines Windows 1x Systems
(2022)
Die Sicherheitslage in Deutschland wird für das Berichtsjahr 2021 durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) als angespannt bis kritisch beschrieben. Ein Grund für diese Einschätzung ist, die Zunahme von Ransomware-Angriffen und die daraus resultierenden Schäden. Derartige Angriffe müssen im Rahmen eines Incident Response und Digital Forensic (kurz DFIR) Prozess aufgeklärt, eingedämmt und weitgehend rückgängig gemacht werden. Die immer größer werdenden Mengen an heterogenen Daten und die immer kürzeren Zeitabschnitte, die für eine Analyse zur Verfügung stehen, sind Herausforderungen, mit denen die Incident Responder und die Digitalen Forensiker konfrontiert sind.
Diese Arbeit verfolgt das Ziel, den Aufwand einer forensischen Untersuchung zu verringern, in dem Ausführungsartefakte von Windows 1x Systemen anhand der in ihnen enthaltenen Pfadangaben und Zeitstempel miteinander korreliert werden. Die praktische Anwendbarkeit der in dieser Arbeit gewonnen Erkenntnisse wurde in einem Proof-of-Concept demonstriert. Dessen Umsetzung erfolgte mithilfe von Angular, Flask und Neo4j.
In dieser Bachelorarbeit wird ein E-Learning Kurs zum Kompetenzerwerb auf dem Gebiet der IT-Sicherheit konzipiert, implementiert und evaluiert. Dazu werden zunächst für Endnutzende relevante Themen der IT-Sicherheit identifiziert und die theoretischen Fundierungen für die Umsetzung als ein Web-based Training gelegt. Die Umsetzung des Konzeptes in einen Moodle-Kurs wird beschrieben. Es wird eine Evaluation der Usability des Kurses und des Lernerfolges durchgeführt.