UNITS
Refine
Year of publication
- 2019 (6) (remove)
Document Type
- Bachelor Thesis (6)
Has Fulltext
- yes (6)
Is part of the Bibliography
- no (6)
Keywords
- IT-Sicherheit (2)
- Event Tracing for Windows (1)
- Intel (1)
- Kritische Infrastrukturen (1)
- Logging (1)
- Risikoanalyse (1)
- SGX (1)
- Software Guard Extension (1)
- Telemetry (1)
- Windows (1)
Open Access
- Closed Access (6)
In dieser Arbeit wird die Funktionsweise, Standardisierung und Verwundbarkeit der Technologien RFID und NFC behandelt. Es wird gezeigt welche Angriffe existieren und wie man sich dagegen schützen kann. Es wird ein Überblick über einige in der Praxis verwendete Protokolle sowie deren Sicherheit gegeben. Außerdem werden grundlegende Fragen beantwortet, die man sich bei Auseinandersetzung mit dieser Technologie stellt (z.B. Reichweiten).
Intels Software Guard Extension (SGX) ist eine Technologie, die einen umfassenden Datenschutz verspricht. SGX wurde 2013 als Softwaremodell für die isolierte Ausführung von Anwendungen veröffentlicht.
Mit Intel SGX können Container in einem geschützten Speicherbereich erstellt werden. Diese Container werden Enclave genannt. Es ist nicht möglich den Speicher-
bereich der Enclave auszulesen oder in ihn zu schreiben. Die Enclave soll Integrität und Verfügbarkeit der Daten sicherstellen, auch wenn diese auf einem nicht vertrauenswürdigen Host ausgeführt werden.
In dieser Arbeit soll zunächst ein Überblick über die Funktionsweise und das Potenzial von Intel Software Guard Extension gegeben werden. Vor allem soll analysiert werden
wie Datenbanken mit Hilfe von SGX gesichert werden können und wie groß die Performance einbüßen mit SGX sind.
Aufbauend auf den Grundlagen von Intel SGX und EnclaveDB soll anschließend eine sichere Datenbank erstellt werden. Hierzu wird EnclaveDB von Microsoft analysiert und auf Basis dieser Datenbank eine neue Datenbank erschaffen, die Daten verschlüsselt in der Datenbank speichert ohne, dass diese in Klartext vom Host ausgelesen werden können. Zum Schluss wird die Performance von EnclaveDB und der erstellten Datenbank so gut es geht verglichen.
Im Rahmen der Arbeit wurde nach der Vorgehensweise des BSI-Standard 200-3 eine Risikoidentifikation und -bewertung des KRITIS-Sektors Transport und Verkehr durchgeführt. Darüber hinaus wurden die Bedeutung dieses Sektors für die deutsche Wirtschaft, die Digitalisierung in diesem Sektor sowie die Funktionsweise, Anwendung und Schwachstellen cyber-physischer Systeme aufgezeigt. Als Anwendungsfall diente dabei der Ausschnitt eines operativen Prozesses eines fiktiven Unternehmens des Sektors Transport und Verkehr.
Aufgrund der rasant fortschreitenden technischen Entwicklung und der damit einhergehenden Digitalisierung, werden immer mehr Daten, durch Geräte aller Art, aus den verschiedensten Quellen, zur Verarbeitung und Speicherung erhoben. Sei es durch die Vielzahl an verfügbaren Smart-Devices, Onlinediensten usw., der Fantasie sind hierbei keine Grenzen gesetzt. Um bei dieser Menge an Daten das Recht auf informationelle Selbstbestimmung des Verbrauchers innerhalb der EU, zu schützen sowie den Datenschutz in allen EU-Mitgliedsstaaten zu harmonisieren und zudem eine Anpassung des Datenschutzes an die technische Weiterentwicklungen des Internets sowie die fortschreitende wirtschaftliche Globalisierung vorzunehmen, wurde von der Europäischen Union der Datenschutz reformiert.
Mit dem Inkrafttreten der Datenschutz-Grundverordnung, wurden Unternehmen in die Pflichtgenommen ihre Datenerhebungen und Datenflüsse, generell die Prozesse welche im Unternehmen implementiert sind, auf personenbezogene Daten zu analysieren. Denn neue Betroffenenerechte sowie Informations-, Rechenschafts- und Meldepflichten müssen gewährleistet werden, andernfalls können Verstößen gegen die Verordnung zu massiven Bußgeldern führen.1 Diese risikobasierte Betrachtung wird von der DSGVO gefordert. Ziel des in dieser Arbeit durchgeführten Privacy Risk Assessment ist es, die Risiken von Datenverarbeitungspraktiken für die Rechte und Freiheiten der Betroffenen, möglichst umfassend zu erfassen und diese objektiv und nachvollziehbar zu bewerten, sodass typischen Angriffen durch Organisationen und Externe mit entsprechenden Gegenmaßnahmen begegnet werden kann.
Im Laufe dieser Arbeit wird ein Privacy Risk Assessment für die zwei Bereiche, Vertrieb und Personalwesen, durchgeführt. Die drei Prozesse werden in Bezug auf personenbezogene Datenanalysiert, mögliche Datenschutzrisiken herausgestellt und der Umgang mit den Risiken, mittels Maßnahmen und Kontrollen beschrieben. Notwendige Schritte werden vorgestellt und erläutert.
The core logging and tracing facility in Windows operating system is called Event Tracing for Windows (ETW).
Data sources providing events for ETW are instrumented all over the operating system.
That means most hard- and software assets in a Windows system are instrumented with ETW and so are able to contribute low-level information.
ETW can be used by developers and administrators to get low-level information about operating system's activity.
We describe existing tools to interact with the ETW faciltity and evaluate them based on defined criteria.
Based on relevant application scenarios, we show the richness of informational content for debugging or detecting security incidents with ETW.
The widely used instrumentation of ETW in the operating system and its application results also in security risks according to confidentiality.
Based on common ETW providers we show the impact to confidentiality what ETW offers an adversary.
At the end we evaluate solutions and approaches for a customizable telemetry infrastructure using ETW in large-scale environments.
Die Bachelorarbeit soll sich im Kern mit Möglichkeiten beschäftigen, wie der Faktor Mensch für die Bedrohung durch Social Engineering reduziert werden kann. Um diese Thematik aufzugreifen und zielführend zu bearbeiten, müssen zunächst einige Grundlagen geklärt werden. Deshalb wird im ersten Teil der Arbeit der Begriff Social Engineering definiert und es werden Unterschiede und Abstufungen erklärt. Weiterführend wird das Vorgehen bei Social Engineering Angriffen bzw. Penetrantionstests und Red Teaming Aufträgen in diesem Bereich erläutert. Dies findet in Zusammenarbeit mit der Firma cirosec statt. Hier findet auch direkt ein Vergleich mit dem Vorgehen „nach Lehrbuch“ vom wohl bekanntesten Social Engineer Kevin Mitnick statt und die bekanntesten Angriffs-Möglichkeiten werden genannt und beschrieben. Abschließend soll eine Abgrenzung zwischen gezielten und gestreuten Angriffen getroffen werden, da diese beiden Szenarien essenzielle Unterschiede in der Effektivität von Gegenmaßnahmen aufweisen.
Im folgenden Teil werden ehemalige Projekte der Firma cirosec GmbH nach einer Anonymisierung, mit dem Ziel analysiert, neben dem Vorgehen auch die Angriffsvektoren, das menschliche Fehlverhalten und, vor allem, die technischen Probleme in den vorliegenden Beispielen zu finden. Anschließend wird aufgezeigt, warum groß angelegte Awareness-Kampagnen eventuell auch zu Problemen für ein Unternehmen führen können.
Ein großer Teil der Arbeiten über das Thema Social Engineering stellen den Menschen als Risikofaktor in das Zentrum der Aufmerksamkeit. In dieser Thesis soll aber genau das nicht passieren. Betrüger gibt es seit es Menschen gibt, denn die Naivität und Gutgläubigkeit von
selbigen wurde schon immer ausgenutzt.
Doch anstatt diese Charaktereigenschaften, die sich über Jahrhunderte im Zusammenleben etabliert haben und auch dafür notwendig sind, mit Awareness Kampagnen oder Schulungen zu unterbinden, soll hier ein anderer Ansatz verfolgt werden. Das Augenmerk soll mehr auf technische Probleme gelegt werden. Eine IT Landschaft muss in der Zukunft nicht so gebaut sein, dass Menschen Schulungen brauchen, um sicher damit umzugehen.
Stattdessen soll eine Optimierung dahingehend passieren, dass der Mensch überhaupt keine schwerwiegenden und sicherheitskritischen Fehler begehen kann.
Es wird sich die Frage gestellt, wo man als Gegenmaßnahme ansetzen muss und dazu werden die vorher analysierten Projektbeispiele erneut aufgegriffen.
Auf Basis dieser Informationen, und den genannten Social Engineering Angriffsarten, werden Maßnahmen, die größtenteils technischer Natur sind, vorgestellt, erklärt und es wird beschrieben, gegen welche Arten von Angriffen sie effektiv helfen könnten. Dies soll im Idealfall, in einer sinnvollen Kombination, eine vernünftige Verteidigung gegen Social Engineering-Angriffe bieten.
Schlussendlich soll sich in einer perfekten IT-Landschaft jeder Mitarbeiter, ob mit fundiertem oder verschwindend geringem Sicherheitsverständnis, problemlos bewegen können und nicht vor jedem Klick oder dem offen halten einer Tür hinterfragen müssen, ob er damit das gesamte Unternehmen gefährden könnte.