Courses

Cyber Security - Strategien, Analysen und technische Unterstützungssysteme

Thema Nr. 1
Security Education, Training, and Awareness-Programme
betreut von Muriel Frank
Mitarbeiter, unabhängig, ob sie aus Unwissenheit, 
Fahrlässigkeit oder möglicherweise aus Böswilligkeit 
handeln, werden als die häufigste Quelle von IT-
Sicherheitsvorfällen angesehen. Aus diesem Grund haben 
Unternehmen damit begonnen, ihre Mitarbeiter mittels 
Security Education Training, and Awareness-Programmen, 
kurz SETA-Programmen, zu schulen.
(1) Diskutieren Sie vor 
diesem Hintergrund, welche Arten von Security Education 
Training, and Awareness-Programme es gibt.
(2) Untersuchen Sie mit Hilfe einer Fragebogenerhebung, 
inwieweit die aktuell angebotenen Schulungsmaßnahmen die 
Bedürfnisse der Mitarbeiter treffen (hinsichtlich Art 
der Schulung, Durchführung der Schulung, Schulender, 
etc.) und arbeiten Sie sowohl Gemeinsamkeiten als auch 
Unterschiede heraus.
(3) Vergleichen Sie Ihre Ergebnisse 
mit Erkenntnissen aus der wissenschaftlichen Forschung 
und leiten Sie Empfehlungen für künftige Security-
Schulungen ab.  
 
Unterthemen:
1) Arten von SETA-Programmen
2) Mitarbeiterbedürfnisse hinsichtlich SETA-Programmen
3) Neue Ansätze bei Informationssicherheitsschulungen

Thema Nr. 2
Information Security Influence Networks and Compliance Behavior
betreut von Muriel Frank
Immer mehr Unternehmen erkennen an, dass Mitarbeiter, 
die gern als schwächstes Glied in der 
Informationssicherheit gelten, bei der Reduzierung von 
Risiken im Zusammenhang mit Informationssicherheit 
helfen können. Und zwar dann, wenn sich Mitarbeiter an 
die Sicherheitsvorschriften und -regeln halten, die vom 
Unternehmen aufgestellt wurden.
(1) Untersuchen Sie vor diesem Hintergrund, was das 
Compliance-Verhalten von Mitarbeitern beeinflusst.
(2) Analysieren Sie den Einfluss des Compliances-
Verhaltens auf die Existenz eines Information Security 
Influence Networks.
(3) Erörtern Sie, welche praktischen Implikationen sich 
aus Ihren Ergebnissen ableiten lassen. 
 
Unterthemen:
1) Verständnis für Compliance-Verhalten von Mitarbeitern
2) Analyse des Information Security Influence Networks
3) Praktische Implikationen aus den Ergebnissen

Thema Nr. 3
Kollaboratives Pentesting von Webanwendungen
betreut von
Größere Penetrationtests erfordern die Zusammenarbeit 
von mehreren Pentestern. Während auf Systemebene eine 
Aufteilung der zu prüfenden Systeme in der Regel über 
IP-Adressen realisiert werden kann, ist die Aufteilung 
bei Webanwendungen komplizierter. Im Rahmen dieser 
Projektarbeit sollen systematisch mögliche Lösungen für 
dieses Problem miteinander verglichen und für eine 
Variante ein Konzept entwickelt und dessen 
Implementierung realisiert werden. Eine beispielhafter 
Ausgangspunkt können die Ergebnisse eines Scanners sein. 
Erfassen und werten Sie zur Lösung dieser Aufgaben in 
allen Phasen eigene Empirie, die insbesondere die 
zukünftige Nutzergruppe berücksichtigt.
(1) Erstellen Sie eine systematische Übersicht über die 
verschiedenen Lösungsansätze und -möglichkeiten für 
kollaborative Pentests von Webanwendungen
(2) Entwickeln Sie aus dem präferierten Lösungsansatz 
ein vollständiges Konzept, das als Grundlage für die 
Implementierung dient
(3) Implementieren Sie basierend auf dem Konzept einen 
teilweise oder vollständig funktionsfähigen Prototypen

Thema Nr. 4
Quantitative Methoden zum Informationssicherheitsrisikomanagement
betreut von
Das Managen von Informationssicherheitsrisiken stellt 
die Grundlage für die Erhöhung der 
Informationssicherheit in Unternehmen dar. Aktuelle 
Ansätze bewerten Risiken häufig qualitativ, was zu einer 
Verzerrung der Risikolage und einem nicht-optimalen 
Einsatz von Ressourcen führen kann. Qualitative Ansätze 
zum Informationssicherheitsrisikomanagement könnten 
diese Nachteile vermeiden, werden von Praktikern aber 
häufig als schwierig umsetzbar betrachtet.
(1) Vergleichen Sie existierende Literatur zum Thema 
quantitatives Informationssicherheitsrisikomanagement
(2) Erarbeiten Sie eine Quantitative Risikomanagement 
Methodik für Informationssicherheitsrisiken
(3) Implementieren Sie eine prototypische Anwendung zur 
Risiko- und Maßnahmenbewertung
(4) Erarbeiten Sie eine Methodik zur Verbesserung der 
Schadens- und Häufigkeitsschätzung

Thema Nr. 5
Systemtheoretische Ansätze im Informationssicherheitsmanagement
betreut von
Die Informationssicherheit eines Unternehmens wird nicht 
nur durch die eingesetzten technischen Schutzmaßnahmen, 
die implementierten Prozesse oder die Schulung der 
Mitarbeiter beeinflusst. Auch das Zusammenspiel dieser 
Komponenten sowie die unternehmensweiten und 
individuellen Zielvorstellungen haben einen Einfluss auf 
die Informationssicherheit.
In der Systemtheorie werden solche komplexen Systeme von 
verschiedenen Akteuren, Interaktionen und 
Zielvorstellungen untersucht und bewertet.
(1) Vergleichen Sie existierende Literatur zum Thema 
Systemtheorie in der Informationssicherheit
(2) Entwickeln Sie ein systemtheoretisches Modell eines 
Unternehmens zur Untersuchung der Informationssicherheit
(3) Untersuchen Sie den Einfluss verschiedener Parameter 
auf Ihr Modell

Thema Nr. 6
Services zur Erlangung und Aufrechterhaltung der PCI DSS Compliance
betreut von
Eine zunehmende Zahl an Regelwerken stellt 
Organisationen vor immer größere Herausforderungen, ihre 
Compliance aufrechtzuerhalten. Regelmäßige Überprüfungen 
wie beispielsweise Audits vor Ort zeigen immer wieder, 
dass selbst relativ einfach und klar formulierte 
Anforderungen nicht eingehalten werden. Ein Beispiel aus 
der Kreditkartenindustrie sind die nach dem PCI DSS 
(Payment Card Industry Data Security Standard) 
erforderlichen regelmäßigen Tätigkeiten innerhalb einer 
Organisation, um die Sicherheit von Kreditkartendaten zu 
gewährleisten.
(1) Untersuchen Sie, gegen welche konkreten 
Anforderungen des PCI DSS und die sich daraus 
ableitenden erforderlichen regelmäßigen Tätigkeiten 
besonders häufig verstoßen wird. Erfassen Sie dabei auch 
mögliche Gründe für diese Verstöße und Erklärungen 
seitens der Mitarbeiter der betroffenen Organisation.
(2) Erstellen Sie eine systematische Zusammenstellung, 
welche einerseits theoretischen Möglichkeiten es zur 
Behebung dieser wiederkehrenden Verstöße gibt und 
andererseits wie die Organisationen in der Praxis dieses 
Problem gelöst haben. Berücksichtigen Sie hierbei auch 
Varianten, welche die Nutzung externer Dienstleistungen 
beinhaltet.
(3) Eine Möglichkeit der Unterstützung könnte ein 
Service in Form eines "PCI-Kalenders", welcher 
Organisation beim Management und der Durchführung 
regelmäßiger Tätigkeiten unterstützt. Erstellen Sie eine 
Marktanalyse zu bereits vorhandenen ähnlichen Services 
und entwickeln Sie ein Konzept für einen derartigen 
Service.
(4) Implementieren Sie eine prototypische Anwendung 
basierend auf dem entwickelten Konzept und testen sie 
diese mit ausgewählten Samples der möglichen 
Nutzergruppe. Legen Sie bei der Implementierung 
besonders Wert auf Benutzbarkeit durch die Nutzergruppe 
und die Übertragbarkeit der in der Implementierung 
umgesetzten Konzepte.