arbeiten:vulnerability_assessment_systems_entwurf_einer_methodik_fuer_den_einsatzes_von_penetrationstests_in_kmus

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
arbeiten:vulnerability_assessment_systems_entwurf_einer_methodik_fuer_den_einsatzes_von_penetrationstests_in_kmus [04.09.2018 21:46] David Halbhuberarbeiten:vulnerability_assessment_systems_entwurf_einer_methodik_fuer_den_einsatzes_von_penetrationstests_in_kmus [01.10.2019 12:29] (aktuell) Alexander Bazo
Zeile 1: Zeile 1:
-====== Konzeption, Implementierung und Evaluation eines innerbetrieblichen Vulnerability Assessment Systems ======+====== Konzeptionelle Implementierung und Evaluation eines innerbetrieblichen Vulnerability Assessment Systems ======
  
 ---- dataentry StudentischeArbeit ---- ---- dataentry StudentischeArbeit ----
-Thema                     : Konzeption, Implementierung und Evaluation eines innerbetrieblichen Vulnerability Assessment Systems basierend of OpenVAS, zum Entwurf einer unterstützenden Methodik für den Einsatzes von Penetrationstests in KMUs +Thema                     : Konzeptionelle Implementierung und Evaluation eines innerbetrieblichen Vulnerability Assessment Systems  
-Art_thesistypes           : BA +Art_thesistypes           : BA  
-Betreuer_thesisadvisor    : Christian Wolff +BetreuerIn_thesisadvisor    : Christian Wolff  
-Student                   : David Halbhuber +BearbeiterIn                   : David Halbhuber  
-Professor_thesisprofessor : Christian Wolff +ErstgutachterIn_thesisprofessor : Christian Wolff #  
-Status_thesisstate        : Entwurf +ZweitgutachterIn_secondthesisprofessor : N.N. 
-Stichworte_thesiskeywords : OpenVAS, IT-Security, Penetration Testing, Nexis GmbH +Status_thesisstate        : abgeschlossen #  
-angelegt_dt               : 2018-08-20 +Stichworte_thesiskeywords : OpenVAS, IT-Security, Penetration Testing, Nexis GmbH  
-Beginn_dt                 :  +angelegt_dt               : 2018-08-20  
-Anmeldung_dt              :  +Beginn_dt                 :  #  
-Antrittsvortrag_dt        :  +Anmeldung_dt              :  #  
-Abschlussvortrag_dt       :  +Antrittsvortrag_dt        : 2018-10-29 #  
-Ende_dt                   : +Abschlussvortrag_dt       :  #  
 +Abgabe_dt                   :  #  
 +Textlizenz_textlicense : Unbekannt 
 +Codelizenz_codelicense : Unbekannt
 ---- ----
 +
 +
 +
 +
 +
 +
 +
  
  
Zeile 25: Zeile 35:
 === Hintergrund === === Hintergrund ===
  
-Informationstechnologie spielt heute in nahezu allen Bereichen eine zentrale Rolle. Unabhängig von Geschäftsfeld und Unternehmensgröße werden immer mehr Prozesse und Abläufe digitalisiert und in IT-Systeme eingebettet. Die Notwendigkeit diese Systeme vor unbefugten Zugriffen zu schützen wird durch die steigende Digitalisierung immer präsenter. Der Schutz der unternehmenseigenen Werte, zu diesen zählen etwa Know-How, Kundendaten und Personaldaten, ist dabei als oberste Prämisse zu verstehen. Der Kontrollverlust über diese Daten kann für Unternehmen jeder Größe einen erheblichen wirtschaftlichen Schaden verursachen. Neben herkömmlichen Schutzmaßnamen wie etwa Virenscanner, Firewall und moderierten Netzwerken, bieten Penetrationstest eine weitere Möglichkeit die IT-Infrastruktur eines Unternehmens auf Schwachstellen zu untersuchen. Dabei wird das Untersuchungsobjekt anhand von bekannten Angriffsmustern und -methoden penetriert. Die so exponierten Schwachstellen können anschließend in einer Riskobewertung kategorisiert und von den Verantwortlichen behoben werden, um so den Zugriffsschutz einens Netzwerkes zu gewährleisten oder wiederherzustellen. In dieser Arbeit sollanhand des Leitfadens zum Einsatz von Penetrationstests des Bundesamtes für Sicherheit in der Informationstechnik, auf Basis der OpenVAS-Technologie, eine Methodik zur Implementierung von Penetrationstests in der IT-Sicherheitsstruktur von KMUs entstehen +Informationstechnologie spielt heute in nahezu allen industriellen Bereichen eine zentrale Rolle und ist aus dem geschäftlichen Alltag nicht mehr weg zu denken. Unabhängig von Geschäftsfeld (Tätigkeitsfeld) und Unternehmensgröße werden immer mehr Prozesse und Abläufe digitalisiert und in IT-Systeme eingebettet. Die Notwendigkeit diese Systeme vor unbefugten Zugriffen abzuschirmen wird durch die steigende Digitalisierung immer präsenter. Der Schutz der unternehmenseigenen Werte, zu diesen zählen etwa Know-how, Kundendaten und Personaldaten, ist dabei als oberste Prämisse zu verstehen. Der Kontrollverlust über diese Daten kann für Unternehmen jeder Größe einen erheblichen wirtschaftlichen Schaden, sowie enorme Schäden am Image des Unternehmens, nach sich ziehen. Neben herkömmlichen Schutzmaßnahmen wie etwa Virenscanner, Firewall und moderierten Netzwerken, bieten Vulnerability Assessment Systeme eine aktive Möglichkeit die IT-Infrastruktur eines Unternehmens auf Schwachstellen zu untersuchen. Dabei wird das Untersuchungsobjekt anhand von bekannten Angriffsmustern und -methoden untersucht. Die so exponierten Schwachstellen können anschließend in einer Risikobewertung kategorisiert und von den Verantwortlichen behoben werden, um so den Zugriffsschutz eines Netzwerkes zu gewährleisten oder wiederherzustellen. Ziel dieser Arbeit ist esein Schwachstellen Analyse System auf Grundlage der Leitfäden des Bundesamts für Sicherheit zu implementieren. Das entwickelte Testszenario basiert auf der, vom BSI empfohlenen, OpenVAS-Technologie. Parallel soll der gesamte Prozess der konzeptionellen Implementierung entsprechend dokumentiert werden. Anschließend soll der gesamte Prozess evaluiert werden, dabei soll Augenmerk auf die Machbarkeit des Einsatzes von OpenVAS für kleine bis mittlere Unternehmen und Unternehmen ohne eigene IT-Abteilung gelegt werden. Abschließend soll, auf Grundlage des bisherigen Prozesses eine Empfehlung zum Einsatz von Vulnerability Assessment Systeme in KMUs erarbeitet werden
  
  
 === Zielsetzung der Arbeit === === Zielsetzung der Arbeit ===
  
-Ziel der Arbeit ist es, ein Whitebox-Penetationstest auf Grundlage des Leitfadens des Bundesamts für Sicherheit zu implementieren. Das entwickelte Testszenario basiert auf der, vom BSI empfohlenen, OpenVAS-Technologie. Dabei soll der gesamte Prozess der Konzeption und Implementierung entsprechend dokumentiert werden. Anschließend soll der gesamte Prozess evaluiert werden, dabei soll  Augenmerk auf die Machbarkeit eines solchen Sicherheitskonzepts für kleine bis mittlere Unternehmen und Unternehmen ohne eigene IT-Abteilung gelegt werden. Abschließend soll, auf Grundlage des bisherigen Prozesses, eine Methodik und Empfehlung zum Einsatz von Penetrationstests in KMUs erarbeitet werden. +Ziel der Arbeit ist es, ein Vulnerability Assessment Systeme auf Grundlage des Leitfadens des Bundesamts für Sicherheit zu implementieren. Das entwickelte Testszenario basiert auf der, vom BSI empfohlenen, OpenVAS-Technologie. Dabei soll der gesamte Prozess der Konzeption und Implementierung entsprechend dokumentiert werden. Anschließend soll der gesamte Prozess evaluiert werden, dabei soll  Augenmerk auf die Machbarkeit eines solchen Sicherheitskonzepts für kleine bis mittlere Unternehmen und Unternehmen ohne eigene IT-Abteilung gelegt werden. Abschließend soll, auf Grundlage des bisherigen Prozesses, eine Methodik und Empfehlung zum Einsatz von Vulnerability Assessment Systeme in KMUs erarbeitet werden. 
  
 === Konkrete Aufgaben === === Konkrete Aufgaben ===
  
 * Einarbeitung in Themen der IT-Sicherheit (Allgemein) * Einarbeitung in Themen der IT-Sicherheit (Allgemein)
-* Einarbeitung in Penetrationstest (Allgemein) +* Einarbeitung in VAS(Allgemein) 
-* Einarbeitung in Penetrationstest (OpenVas, detailiert) +* Einarbeitung in VAS (OpenVas, detailiert) 
-Konzeptionierung OpenVas Einsatz +Konzeptionelle Implementierung OpenVas 
-Implementierung OpenVas +Schwachstellen Analyse OpenVAS 
-Penetrationstest (Whitebox-Ansatz) OpenVas  +Evaluation der Schwachstellen Analyse 
-Evualation des Penetrationstests +Evaluation des gesamten Prozesses (Konzeptionelle Implementierung) 
-Evaualtion des gesamten Prozesses (Konzeption, Implementierung) +* Ausarbeitung einer Empfehlung zum Einsatz von Schwachstellen Analyse auf Basis der OpenVAS-Technologie für KMUs 
-* Ausarbeitung einer Empfehlung und Methodik zum Einsatz von Penetrationstests auf Basis der OpenVAS-Technologie für KMUs +
 * Schriftliche Ausarbeitung * Schriftliche Ausarbeitung