Courses

Cyber Security - Strategien, Analysen und technische Unterstützungssysteme

Thema Nr. 1
Learning from Failures in Information Security
betreut von Muriel Frank
Unbedachtes oder unvorsichtiges Verhalten von 
Mitarbeitern ist die häufigste Ursache von IT-
Sicherheitsvorfällen in Unternehmen. Anstatt über ihre 
Fehler zu sprechen, behalten Mitarbeiter diese jedoch 
meist lieber für sich. Dabei ist erwiesen, dass ein  
Austausch hilft, solche Fehler in Zukunft zu vermeiden. 

1. Diskutieren Sie vor diesem Hintergrund, die 
Bedeutung und Strategien, um aus den Fehlern anderer zu 
lernen und erarbeiten Sie mit Experten jeweils drei 
Szenarien, die den Erfolg oder Misserfolg von Personen 
mit Bezug zur Informationssicherheit abbilden.

2. Untersuchen Sie mit Hilfe eines Fragebogens, 
inwieweit Geschichten des Misserfolgs auch in der 
Informationssicherheit zu einer höheren Bereitschaft 
führen, aus dem Verhalten anderer zu lernen (Forschungen 
haben bereits gezeigt, dass Erzählungen über den Erfolg 
oder Misserfolg unterschiedliche Auswirkungen auf die 
Motivation von Mitarbeitern haben, sich Wissen 
anzueignen). Erörtern Sie außerdem, welche praktischen 
Implikationen sich aus Ihren Ergebnissen ableiten lassen.

3. Diskutieren Sie das Konzept der Fear of Failure, 
seinen Bezug zur Informationssicherheit und die 
Auswirkungen, die sich aus dessen Existenz ergeben. 
Nehmen Sie auch Bezug darauf, wie die Fear of Failure 
möglicherweise reduziert werden kann. Erarbeiten Sie 
überdies einen kurzen Fragebogen zur Erhebung der Fear of 
Failure.

4. Untersuchen Sie mit Hilfe einer quantitativen 
Befragung, welche Konsequenzen die Angst, Fehler zu 
machen, für den Einzelnen mit sich bringt. Erörtern Sie, 
welche praktischen Implikationen sich aus Ihren 
Ergebnissen ableiten lassen.

Unterthemen
1. Strategien, um aus den Fehlern anderer zu lernen. 
Erarbeitung von Stories über erfolgreiches und nicht 
erfolgreiches Handeln in der Informationssicherheit 
2. Die Effektivität von Failure-Stories in der 
Informationssicherheit (Umfrage)
3. Konzept der Fear of Failures sowie Entwicklung 
einer Umfrage
4. Umfrage zur Fair of Failure sowie Implikationen 
aus den Ergebnissen und Ausblick auf weiteren 
Forschungsbedarf

Thema Nr. 2
Who Shares What? Insights from Information Security Experience Sharing
betreut von Muriel Frank
Immer mehr Unternehmen erkennen an, dass Mitarbeiter bei 
der Reduzierung von Risiken im Zusammenhang mit 
Informationssicherheit helfen können. Und zwar nicht nur 
dann, wenn sie sich an die unternehmensweiten 
Sicherheitsvorschriften und -regeln halten, sondern auch 
wenn sie ihre Erfahrungen bezüglich Sicherheitsvorfällen 
teilen. Bislang gibt es noch wenig Erkenntnis darüber, 
welche Erfahrungen die Mitarbeiter teilen und welche 
nicht.  

1. Untersuchen Sie mit Hilfe einer Umfrage, welche 
Mitarbeiter eines Unternehmens (z. B. extrovertiert vs. 
introvertiert, risikoavers vs. risikofreudig) Erfahrungen 
bzgl. erlebter IT-Sicherheitsvorfälle teilen und um 
welche Erfahrungen es sich dabei handelt. Berücksichtigen 
Sie auch den Kontext, in dem die IT-Sicherheitsvorfälle 
aufgetreten sind. 

2. Untersuchen Sie mit Hilfe einer Umfrage, welche 
Studierende (z. B. extrovertiert vs. introvertiert, 
risikoavers vs. risikofreudig) Erfahrungen bzgl. erlebter 
IT-Sicherheitsvorfälle teilen und um welche Erfahrungen 
es sich dabei handelt. Berücksichtigen Sie auch den 
Kontext, in dem die IT-Sicherheitsvorfälle aufgetreten 
sind.

3. Vergleichen Sie die Ergebnisse der ersten beiden 
Aufgaben und erörtern Sie, welche praktischen 
Implikationen sich aus diesen Ergebnissen ableiten 
lassen. 

Unterthemen
1. Welche Mitarbeiter Informationssicherheitserfahrungen 
teilen
2. Welche Studierende Informationssicherheitserfahrungen 
teilen
3. Praktische Implikationen aus den Ergebnissen 

Thema Nr. 3
KPIs zur Messung von Informationssicherheit
betreut von Muriel Frank
Informationssicherheit ist in den vergangenen Jahren zu 
einem Hauptanliegen moderner Organisationen geworden. 
Allerdings haben viele – vor allem kleinere – Unternehmen 
kein Risikomanagementsystem für ihre IT-Sicherheit.  
Einer der Hauptgründe: Sie wissen nicht, wie sie 
Sicherheit messen sollen. 

1. Diskutieren Sie vor diesem Hintergrund, welche 
Kennzahlen, die Sie aus der Risikomanagementliteratur 
kennen, auf die Informationssicherheit übertragen werden 
können. Gehen Sie insbesondere auf mögliche Defizite der 
Kennzahlen ein. 
2. Tragen Sie Best Practices aus der Wirtschaft 
zusammen und bewerten Sie diese in Bezug auf 
Effektivität, Anwendbarkeit und (Erhebungs-)kosten. 
3. Entwickeln Sie ein eigenes Kennzahlensystem, auf 
dessen Grundlage Unternehmen Risikomanagement in der 
Informationssicherheit beurteilen können.  

Unterthemen 
1. Welche Kennzahlen aus dem Risikomanagement für die 
Informationssicherheit geeignet sind
2. Best Practices und ihre Evaluation
3. Entwicklung eines Kennzahlensystems

Thema Nr. 4
Quantitatives Management von Informationssicherheitsrisiken
betreut von
Um sich vor Cyberangriffen zu schützen, können 
Unternehmen zwischen zahlreichen Maßnahmen wählen. Die 
Grundlage für die Auswahl und Priorisierung dieser 
Maßnahmen ist eine Risikobewertung.
Häufig werden qualitative Methoden zur Risikobewertung 
verwendet, deren Erfolg nicht objektiv bewertet werden 
kann. Somit können keine effektiven Maßnahmen zur 
Verbesserung des Risikomanagements abgeleitet werden.
 
1. Erarbeiten Sie eine quantitative Methode zum 
Management von Informationsrisiken und erstellen Sie 
einen Risikokatalog mit fünf geeigneten, beispielhaften 
Risiken.

2. Definieren und implementieren Sie quantitative 
Modelle, mit denen Sie Eintrittswahrscheinlichkeiten und 
Schäden für die einzelnen Risiken und das gesamte 
Risikoportfolio auf Basis von Expertenschätzungen erheben 
können.

3. Führen Sie Workshops zur Erhebung von 
Expertenschätzungen durch, um Rohdaten für die 
Risikomodelle zu erheben. Evaluieren Sie die Modelle und 
vergleichen Sie die Ergebnisse mit Daten aus offenen 
Quellen.
 
Unterthemen
1. Literaturrecherche zu quantitativen Methoden, Auswahl 
und Dokumentation von Methode und Risikokatalog
2. Definition und Implementation von quantitativen 
Modellen
3. Durchführung von Workshops, Erhebung von Rohdaten, 
Evaluation der Modelle anhand der definierten Methode

Thema Nr. 5
Shifting Left: Integration von Sicherheitskontrollen im Softwareentwicklungsprozess
betreut von
Aufwände für die Erhöhung des Sicherheitsniveaus lassen 
sich am einfachsten reduzieren, indem 
Sicherheitsanforderungen möglichst früh im 
Softwareentwicklungsprozess integriert werden. Um dies zu 
erreichen, werden im Kontext kulturelle Anreize 
geschaffen, geeignete Prozesse geschaffen und diese durch 
Tools automatisiert und unterstützt.
 
1.Beschreiben Sie einen sicheren 
Softwareentwicklungsprozess. Erarbeiten Sie die 
kulturellen Voraussetzungen für den Erfolg des Prozesses 
und definieren Sie Schnittstellen für Toolunterstützung.

2.Implementieren Sie auf Basis von Open-Source Tools 
einen Proof-of-Concept für einen sicheren 
Softwareentwicklungsprozess, der die Phasen 
Anforderungserhebung, Design, Entwicklung, Erzeugung von 
Artefakten, Betrieb und (Compliance-)Prüfung enthält.

3.Führen Sie eine (beispielhafte) Softwareentwicklung in 
dem von Ihnen definierten, toolgetriebenen Prozess durch. 
Dokumentieren Sie Erfolge und Schwächen.
 
Unterthemen
1.Prozessmodellierung eines sicheren 
Softwareentwicklungsprozesses
2.Entwicklung eines Proof-of-Concepts für einen Open-
Source getriebenen sicheren Entwicklungsprozess
3.Ableitung von Lessons Learned aus der beispielhaften 
Nutzung des Proof-of-Concepts

Thema Nr. 6
Cloud Security
betreut von
Mit der zunehmenden Nutzung von Cloud Services steigen 
auch Bedarf und Ansprüche an das Thema Sicherheit. Cloud 
Security umfasst dabei viele technische und 
organisatorische Themen. 

1.Erarbeiten Sie auf Basis bestehender Standards und Best 
Practices einen Anforderungskatalog für die Absicherung 
einer cloud-basierten Umgebung. Dieser soll konkrete 
Requirements, Testing Procedures und Guidances enthalten, 
um eine unabhängige Überprüfung durch einen externen 
Auditor zu ermöglichen. Für die Bearbeitung der 
Aufgabenstellung werden vom Betreuer konkrete Beispiele 
für Standards und Best Practices zur Verfügung gestellt 
und zusammen der Geltungsbereich, Prüfumfang und -tiefe 
genauer definiert.
 
2.Implementieren Sie für eine gegebene cloud-basierte 
Referenzarchitektur (nach Absprache bei AWS, Azure oder 
einem anderen Cloud Service; bereitgestellt durch den 
Betreuer) Maßnahmen, um alle Requirements des in der 
ersten Teilaufgabe erarbeiteten Anforderungskatalogs zu 
erfüllen. Vergleichen Sie dabei insbesondere die 
Möglichkeiten, die der jeweilige Cloud Service Providers 
mit Hilfe eigener Services anbietet mit externen Services 
bzw. Tools oder selbst entwickelten Lösungen. Diskutieren 
Sie die Vor- und Nachteile der jeweiligen Lösungen sowohl 
theoretisch wie auch anhand praktischer Beispiele.
     
3.Recherchieren und vergleichen Sie die verschiedenen 
Ansätze tool-gestützter Dokumentation cloud-basierter 
Umgebungen. Die Herausforderungen, Dokumentation aktuell 
und verständlich zu halten, wächst aufgrund der 
zunehmenden Komplexität insbesondere bei der Nutzung von 
Cloud Services. Vergleichen Sie aktuelle Konzepte und 
Ansätze zur Lösung dieses Problems und diskutieren Sie 
deren Vor- und Nachteile. Entwickeln und implementieren 
Sie mit Hilfe eines bestehenden Services bzw. Tools oder 
einer selbst entwickelten Lösung ein Konzept zur 
Dokumentation der Implementierung der zweiten Teilaufgabe 
und berücksichtigen Sie hierbei insbesondere die 
sicherheitsrelevanten Aspekte.

Thema Nr. 7
Red Teaming - Vergleich Deutschland und USA
betreut von
Red Teaming ist eine besondere Form des Pentestings, bei 
der im Gegensatz zu klassischen Pentests ein unbemerktes 
Vorgehen von entscheidender Bedeutung ist. Zu diesem 
Zweck kommen u. a. Techniken wie Social Engineering und 
Spear Phishing zum Einsatz. Red Teaming bezieht oftmals 
auch den Versuch mit ein, sich physikalischen Zugang zu 
den Räumlichkeiten des Kunden zu verschaffen.

Ziel der Arbeit ist die Untersuchung der These, dass Red 
Teaming in den USA wesentlich weiterverbreitet ist als in 
Deutschland. Diese These begründet sich auf die 
Darstellung in einschlägigen Fachmedien sowie auf 
persönliche Erfahrung. Für die Untersuchung der These 
können sowohl öffentlich zugängliche Informationen (z. B. 
Unternehmenswebsites, Fachforen, Blogs, Fachliteratur) 
sowie die gezielten Befragungen von Unternehmen zum 
Einsatz kommen.

Falls sich die These bestätigt sollten insbesondere die 
Ursachen untersucht werden.
• Welche Unterschiede und Gemeinsamkeiten bestehen 
zwischen klassischem Pentesting und Red Teaming?
• Welche Kundenanforderungen führen zu einem klassischen 
Pentest / Red Teaming?
• Gibt es objektive Kriterien, welche die These, dass Red 
Teaming in den USA weiterverbreitet ist unterstützen oder 
widerlegen?
• Zeichnet sich auf Grundlage dieser Kriterien eine 
Entwicklung in Deutschland / USA ab? 

Thema Nr. 8
Browser as a VPN
betreut von
Um automatische Schwachstellen-Scans eines Systems 
durchzuführen, auf das nicht über das Internet 
zugegriffen werden kann, muss ein VPN eingerichtet 
werden. Das Herstellen einer VPN-Verbindung ist jedoch 
zeitaufwändig und erfordert an beiden Standorten 
technisches Personal.

Die Idee dieses Projekts ist es, Benutzern in einem 
internen Netzwerk die Durchführung von Schwachstellen-
Scans auf Systemebene über eine HTTP-Verbindung zu 
ermöglichen. Zu diesem Zweck besucht der Kunde eine 
Webanwendung, die den Schwachstellen-Scan vom Browser auf 
das interne System ausführt, sodass keine VPN-Verbindung 
erforderlich ist. Im Rahmen des Projekts wird nach 
Möglichkeiten gesucht, die Scans über den Browser des 
Kunden zu tunneln. Eine Idee ist, eine vorhandene HTTP-
Sitzung zu verwenden, die Pakete über einen Browser 
umleitet, der die internen Systeme und das Internet 
erreichen kann. Alternativ können bestimmte Aufgaben in 
einer clientseitigen Sprache wie Javascript implementiert 
und im Kontext des Benutzers ausgeführt werden.

Aufgaben:
• Definieren Sie Konnektivitätsanforderungen für 
Schwachstellen-Scans auf Systemebene, indem Sie gängige 
Tools wie nmap, openssl, nessus und OpenVAS evaluieren.
• Untersuchen Sie vorhandene Technologien / Methoden zum 
Tunneln des Netzwerkverkehrs über eine HTTP-Verbindung, 
damit diese auf Scans auf Systemebene angewendet werden 
können.
• Implementieren Sie einen Proof-of-Concept auf der 
Grundlage vorhandener oder neu entwickelter Technologien, 
mit dem Tests auf Systemebene über eine HTTP-Verbindung 
durchgeführt werden können.

Thema Nr. 9
Cyber Cloning Scam Prevention and Detection
betreut von
Um Geld zu stehlen, fälschen oder klonen Betrüger immer 
häufiger Webseiten. Diese Webseiten sehen genauso aus wie 
die ursprüngliche Webseite und haben möglicherweise sogar 
eine sehr ähnliche Webadresse. Zahlungsdienste, Banken, 
Finanzberater sowie Reiseunternehmen, Einzelhändler und 
andere Online-Unternehmen sind von dieser Art von Betrug 
betroffen.

Im Rahmen dieser Arbeit sollen technische Lösungen zur 
Verhinderung von Klonangriffen erforscht und entwickelt 
werden. Darüber hinaus sollten Nachweismechanismen zur 
Entdeckung von Klonen untersucht werden.

• Untersuchen Sie Open-Source-Tools, mit denen Sie 
Websites klonen können. Ein Beispiel ist der Site Cloner, 
der in das Social Engineering Toolkit (SET) integriert 
ist.
• Untersuchen Sie vorhandene Gegenmaßnahmen gegen das 
Klonen von Standorten. Wie arbeiten Sie? Wo werden sie 
angewendet? Wie effektiv sind sie? Anhand welcher 
Kriterien können sie verglichen werden?
• Entwickeln Sie einen eigenen Mechanismus, der das 
Klonen von Websites verhindert. Bewerten Sie ihn anhand 
der zuvor definierten Kriterien.