Bachelorthesis | UCS

Integration von PQC in bewährte Netzwerkkommunikationsprotokolle

Thu, 18 Dec 2025 00:00:00 +0000

Motivation

Sobald ein leistungsstarker Quantencomputer verfügbar ist, können aktuell verwendete asymmetrische Verfahren wie Diffie Hellman und RSA gebrochen werden. Der Mathematiker Peter Shor entwickelte bereits 1994 einen entsprechenden Algorithmus. Asymmetrische Kryptografie wird in unzähligen digitalen Systemen für einen vertraulichen Schlüsselaustausch und eine Authentifizierung genutzt. Daher wurde in den vergangenen Jahren intensiv bezüglich quantensicherer Verfahren geforscht. Alternative Verfahren der Post-Quanten-Kryptographie (PQC) weisen jedoch sehr individuelle Charakteristiken auf, sodass in der Regel kein Eins-zu-Eins-Austausch möglich ist.

Ziel

Ziel der Arbeit ist die Ausarbeitung von Möglichkeiten zur Integration von PQC Algorithmen in ein oder mehrere Kommunikationsprotokolle, welche aktuell auf klassische kryptographische Primitive zurückgreifen. Denkbar wären Protokolle wie IPSec und IKEv2 oder DTLS. Sofern bereits mehrere Implementierungen und Evaluationen dieser beschrieben wurden, sollten diese aufgeführt und verglichen werden. Es können auch Änderungen an in der Literatur beschriebenen Konzepten vorgeschlagen oder gänzich neue Versionen designt werden. Verfügbare Implementierungen sollen abschließend mit Hilfe des von UCS entwickelten Frameworks evaluiert werden.

Aufgaben

Literaturrecherche zu Optionen bezüglich Integration in bekannte Protokolle wie IPSec und IKEv2 oder DTLS
Einschätzung zur Anwendbarkeit der Optionen und Ausarbeitung signifikanter Unterschiede zwischen Implementierungen
Vorschläge zur Optimierung der Optionen oder Ausarbeitung von Alternativen
Integration von Implementierungen in das Framework aus der Masterarbeit von Henrich zur Evalueirung der neuen Protkollversionen

Voraussetzungen

Kenntnisse in IT-Sicherheit, insbesondere asymmetrische Kryptographie
Kenntnisse in Computernetze & Protokolle
Grundkenntnisse in Linux
Spaß an Literaturrecherche und konzeptioneller Arbeit

Referenzen und Literatur (Auswahl)

Beginn

Ab April 2026

Bei Interesse melden Sie sich bitte bei Johanna Henrich.

Einbettung von automatisiertem Threat Modelling ins Risikomanagement

Tue, 23 Jan 2024 00:00:00 +0000

Motivation

Im Unternehmenskontext des Teams Application Security Specialists der DB Systel soll im Rahmen des dort implementierten Software Development Lifecycle (SDLC) sowie des zugehörigen Information Security Management System (ISMS) ein Thread Modelling weitgehend automatisiert und eingebettet werden.

Hierbei soll die Lösung sowohl das agile Vorgehen im SDLC berücksichtigen sowie einen Mehrwert und eine Arbeitserleichterung für die verschiedenen Stakeholder (Development-Team, Product Owner, Security Architect, CISO) bieten.

Ziel

Das Ziel der Arbeit ist die Erarbeitung eines Vorgehensmodells zur Aufbereitung von technischen Risiken aus einem Thread Modelling Prozess für das Risikomanagement gemäß eines Information Security Management System (ISMS). Hierbei soll aus technischer Sicht eine Export- und Report-Schnittstelle aus Basis von IriusRisk als Web Service implementiert werden.

Aufgaben

Recherche:
- Wie kann kontinuierliches Threat Modeling in einem agilen Entwicklungsprozess realisiert werden?
- Wie kann Risiko Management gemäß ISMS realisiert werden?
Erarbeitung eines Vorgehensmodells zur Aggregation von technischen Risiken aus dem Thread Modeling für ein Risiko Management gemäß ISMS
Basis von IriusRisk: Design, Implementierung und Test einer Export- und Report-Schnittstelle
Evaluation des Tool-gestützten Vorgehensmodells hinsichtlich Usability, Effizienz, Effektivität und Wirkungsgrad

Voraussetzungen

Grundkenntnisse in IT-Sicherheit und sicherer Software-Entwicklung
Programmierkenntnisse
Docker-Kenntnisse sind von Vorteil
Spaß an Literaturarbeit und theoretischen Konzepten

Literatur (Einstieg)

Izar Tarandach and Matthew J. Coles: “Threat Modeling: A Practical Guide for Development Teams”. O’Reilly Media, Inc. (November 2020), ISBN: 9781492056553
Continuous Threat Modeling Handbook, via GitHub
Scott, F. “Introduction to the Open Threat Model standard”, 2022, IrusRisk Blog
Open Threat Modeling Format (OTM), via GitHub

Start

nach Absprache

Diese Arbeit wird in Kooperation mit dem Team Application Security Specialists der DB Systel in Frankfurt/M durchgeführt.

Weitere Informationen und Kontakt

Andreas Heinemann

Nutzerzentrierte Qualitätssteigerung im Berichtswesen von Penetrationtests

Tue, 23 Jan 2024 00:00:00 +0000

Motivation

Im Unternehmenskontext des Teams Application Security Specialists der DB Systel muss für jeden Penetrationtest ein Abschlussbericht erstellt werden. Hierzu wird eine Vorlage eines Reporting-Tools verwendet. Der Nutzen und die Qualität eines Berichts bleiben jedoch hinter den Erwartungen zurück. So fehlen klare Vorgaben und Guidelines an das Design und die Struktur. Darüber hinaus ist unklar, welche Nutzergruppen einen Bericht in welcher Form verwenden und ob die Ergebnisse eines Pentests hierbei optimal kommuniziert werden und die gewünschten Handlungen nach sich ziehen.

Ziel

Das Ziel der Arbeit ist den unternehmensweiten Wirkungsgrad von Abschlussberichten von Penetrationstests zu erhöhen.

Hierzu könnte die Verbesserung der Verständlichkeit, die Vereinheitlichung von Vorgaben und die Reduzierung des eigentlichen Schreibaufwands durch technische Unterstützung gehören.

Aufgaben

Literaturrecherche zu Berichtswesen im Pentesting
Recherche von Test- und Bewertungsmethoden zur Verständlichkeit von Berichten
Einarbeitung in Usability/UX von technischen Dokumentationssystemen
Recherche von alternativen Aufbereitungsformen von Berichten. Schlagworte: information dashboards, visual analytics, etc.

Voraussetzungen

Grundlegende Kenntnisse im Pentesting
Kenntnisse des OWASP Projects
Kenntnisse des Common Vulnerability Scoring System (CVSS)
Kenntisse der Common Vulnerabilities and Exposures (CVE) Systematik
Erfahrungen im Schreiben von technischen Berichten

Literatur (Einstieg)

M. N. Zakaria et al., “A Review of Standardization for Penetration Testing Reports and Documents,” 2019 6th International Conference on Research and Innovation in Information Systems (ICRIIS)
Professional and Technical Writing/Design/Usability, WIKIBOOKS
Parker, Kesi, “Usability in Technical Documentation” 2018, Medium

Start

nach Absprache

Diese Arbeit wird in Kooperation mit dem Team Application Security Specialists der DB Systel in Frankfurt/M durchgeführt.

Weitere Informationen und Kontakt

Andreas Heinemann