Bachelorthemen in der IT-Security

[Natriumchlorid]

Hallo zusammen,

demnächst werde ich mein letztes Semester antreten und somit auch meine Bachelor-Thesis schreiben (müssen).
Vor meinem Studium habe ich eine Ausbildung als FISI absolviert.
Privat befasse ich mich derzeit sehr gerne mit Hosting von Webdiensten, der Migration von Windows auf Linux als primäres und einziges Betriebssystem für Freizeit und Arbeit und dem Management von Heimnetzwerken.


Ich bin sehr frei in der Auswahl meiner Thesis und ich merke gerade, dass mir das nicht so recht zuspielt. Ich bin unschlüssig darüber, welcher wissenschaftlichen Frage ich in meiner Thesis nachgehen soll.

Könnt ihr mir einen kleinen Denkanstoß geben, welchen interessanten Themen ein Bachlorand im Bereich der IT-Security nachgehen könnte?

Meine ersten Gedanken dazu waren, dass ich SASE (Secure Access Service Edge) und VPN gegenüber stelle. Aber der Themenbereich ist so groß und komplex, ich bin mir nicht sicher ob das ein guter Ansatz ist. Zumal ich das nicht so interessant finde, dass ich darüber eine Arbeit schreiben könnte. Persönlich würde ich gerne etwas im Bereich Linux bzw. OpenSource nachgehen. Ein richtig gutes Thema dazu ist mir aber noch nicht eingefallen.

Wie seht ihr das?

 

[VoAlgdH]

Hast du schon einen potenziellen Betreuer? Mir viel das Thema auch schwer. Den Gedankenanstoß gab es dann vom Betreuer.

 

[Piktogramm]

Normalerweise ist doch ein Praktikum fällig, da fällt meist sowieso ein Thema ab und wenn du nicht in einer Firma schreibst bist du ja sowieso mehr oder weniger drauf angewiesen, dass ein Prof ein Thema stellt (das Profs sich ohne Externe Firma sich auf Themenvorschläge einlassen würde ich als selten bezeichnen).

Was deine Themenauswahl angeht, ich musste gerade erstmal schauen was SASE sein soll und lese als Erstes, dass das ein Begriff ist, der 2019 von Gartner Analysten geprägt wurde. Dazu nur der Ratschlag: Wenn es dir um inhaltlich um Informatik geht, lass die Finger von allem, wo die Begrifflichkeiten (Buzzwords) von Businessanalysten geprägt werden, da ist aus IT-fachlicher Sicht einfach VIEL zu wenig Substanz dahinter. Ein positiver Indikator zur Themenwahl ist, wenn du mit vertretbar viel Aufwand an Whitepaper und technische Spezifikationen einer Technologie kommst. Da ist dann auch Substanz dahinter, worauf man fachlich aufbauen kann.

 

[Natriumchlorid]

Hast du schon einen potenziellen Betreuer?

Ja, sowohl in der Hochschule als auch im Unternehmen. Beide lassen mich frei entscheiden, was ich als wissenschaftliche Frage untersuchen möchte.

Normalerweise ist doch ein Praktikum fällig, da fällt meist sowieso ein Thema ab

Dadurch, dass ich eben schon eine Ausbildung hinter mir habe, konnte ich dies als Praxissemester anrechnen lassen. Ich trete mit dem kommenden Semester direkt meine Bachelor-Thesis an, ohne ein Praktikum davor.

Wenn es dir um inhaltlich um Informatik geht, lass die Finger von allem, wo die Begrifflichkeiten (Buzzwords) von Businessanalysten geprägt werden, da ist aus IT-fachlicher Sicht einfach VIEL zu wenig Substanz dahinter.

Danke für den Hinweis. Das ist mir bei der anfänglichen Recherche auch aufgefallen und hatte deshalb ein ungutes Gefühl bei der Sache.

 

[Piktogramm]

Dann bleibt dir die Wahl die Angebote der Profs mit denen du gut klarkommst zu sichten und/oder du versuchst ein freiwilliges Praktikum einzuschieben, um bei der Firma ein Thema "abzustauben". Letzteres halte ich sowieso für sinnvoll, IT-Security im professionellem Bereich und was Unis/Hochschulen daraus machen liegen teils erschreckend weit auseinander[1].

Wenn du eine Firma für ein Praktikum suchst hat das auch den großen Vorteil, dass du "irgendwas mit IT-Security" präzisieren musst. IT-Sec kann Vieles sein, IT-Sec sollte bei der Prozessentwicklung und Arbeitskultur in Firmen genauso berücksichtigt werden wie auch bei Beschaffung, Betrieb, Entwicklung oder aber auch Penntesting, Forensic und Incident Response.


[1] Das gilt für alle Bereiche, je nach Prof. liegt Lehre und produktive Realität einfach absurd weit auseinander.

 

[Ramschbude]

Wie wärs denn mit einer Risiko-Analyse von OpenSource Software vllt. basierend auf der Log4j Lücke. Oder andere Angriffe nachstellen. Seiteneffekte sind dann Compliance-Fragen (wer ist haftbar bei OpenSource vs Closed-Source), wie kann man sich schützen und wie kann die Zukunft aussehen?

 

[Piktogramm]

@fishraven
Imho ist das wenig gewinnbringend. Was Risikoanalysen von konkreten Schwachstellen angeht, da gibt es die Klassifizierung mittels CVSS und da hat Log4J eine glatte 10 bekommen. Irgend einen neuen Beitrag zu CVSS wird eine Ba-Arbeit nicht leisten können und die Risikoanalyse zu Log4J war/ist mit dieser Einstufung mittels CVSS auch komplett erledigt.
Auch Supply Chain bzw. Dependency Management ist ein gut abgehangenes Thema, ob nun (F)OSS oder propritäre Softwarekomponenten zum Einsatz kommen. Neues im Rahmen einer Abschlussarbeit wird man da kaum beitragen können, wenn es nicht darum geht Lösungen für z.B. eine Firma zu erarbeiten. Das Problem beim Bachelor ist ja, dass man für die Abschlussarbeit 8-12Wochen hat, da sollten Themen eng gefasst werden. Wenn man da Aufgaben derart verfasst, dass sie Probleme umfassen die >30Jahre alt sind und seitdem global bearbeitet werden, sprengt man diesen Rahmen und/oder kratzt allenfalls an der Oberfläche und schreibt am Schluss nur belangloses Zeug zusammen.

Und Fragen nach Compliance und vor allem Haftbarkeit, das ist Imho ein Thema für Juristen und gegebenenfalls BWLer. Geht es um IT-Sicherheit sind diese Themen erschreckend nichtig. Wer sich die Frage stellt "wer haftet?" anstatt "wie sichere ich $Produkt während Entwicklung und über die Lebensdauer ab?" steckt Aufwand in den falschen Fachbereich. Genauso wie Compliance oft mehr Papierkrieg ist, anstatt ein echter Nachweis von Sicherheit (oder vielmehr der Nachweis von offensichtlichen Mängeln).

 

[Ramschbude]

Eine BT hat IMHO keinen hohen wissenschaftlichen Anspruch. Ein aktuelles Geschehen auf ein bekanntes Problem zu beziehen und das neu zu verpacken ist da eine gute Möglichkeit. Und die Aussage CVSS ist 10 und damit abgehandelt, ist als würde eine Karte aus dem Auto-Quartett irgendwas übers Auto enthalten außer paar Fakten.

Anders als eine Root-Kernel Lücke oder ein Windows Bug mit 10 ist Log4j ja sehr interessant entstanden.

Dazu noch links und rechts prüfen, wie aktuell die Möglichkeiten hinsichtlich SE QA sind und welche Möglichkeiten da ggfs in den Kinderschuhen stecken reichen für ne BA Arbeit aus.

Hinsichtlich Compliance hängt es sehr stark davon ab, wie man drauf ist & was einen interessiert. Um ein vernünftiges Risk-Management zu betreiben braucht es zwingend die Einschätzung der IT-Security auf die entsprechende Situation. Die Juristen betrachten die reine Haftung. Die BWLer können aus den Informationen der IT aber abschätzen, wie groß das Risiko ist.

Letztendlich muss man gucken, was einen interessiert. Man kann ja auch Programme disassemblern .. wem Spaß macht ...

Meine Erfahrung: Aufgrund eines H******* Profs durfte ich 2 BAs schreiben. Eine hochwissenschaftliche am Fraunhofer Institut, die ich hier rumliegen habe und nicht mehr verstehe (und dann abgelehnt wurde aus formalen Gründen) und eine Programmieraufgabe, die dagegen lächerlich einfach war, aber auch ne 1,3 gab. Kommilitonen haben unsere Hochschul-Seite auf behinderten-gerechte Technologie untersucht, gab ne tolle Note. Ich dachte ich fall aus allen Wolken.

 

[KitKat::new()]

Persönlich würde ich gerne etwas im Bereich Linux bzw. OpenSource nachgehen.

Eventuell bei entsprechenden Linux/Open Source Projekten, die dich interessieren schauen, ob du da etwas findest.
Einige Projekte Projekte bieten z.B. explizite Projekte im Rahmen von GSOC an (z.B. 1,2,3), die sich einerseits als Inspiration anbieten oder gar als Teil der Arbeit, sh. z.B.:

We are trying to be fair; expect easy projects to require less knowledge and skill, but quite a bit of work.

Medium and hard projects are hard enough to qualify as practical part of a master's thesis (it'll qualify as thesis topic if you can add sufficient quality theoretical parts). We had the honor to mentor several in past GSoCs. Talk to your adviser(s) if and how you can claim academic credit for the project you do with us.

https://wiki.netbsd.org/projects/gsoc/
(Die 175h Variante wäre dazu wohl bei einer BA am ehesten geeignet)

 

[Natriumchlorid]

@KitKat::new()
Danke für den Hinweis!
Das sieht sehr interessant aus, genau sowas in der Art habe ich gesucht.
Ich schaue mir die Links in einer ruhigen Minute noch mal genauer an. Eventuell findet sich dort ein Thema, welches als BA durchgeht.

 

[Dasun]

In welchem Bereich ist das Unternehmen tätig, bei der du deine BA schreibst? Eventuell ergeben sich aus diesem Kontext Fragestellungen, die in eine BA münden können.

 

[Skysnake]

Naja, ein Bachelor Arbeit soll ja kein neues Wissen schaffen, genau wie eine Master/Diplom Arbeit sondern bestehendes Wissen bündeln bzw auf ein Problem anwenden. Erst wenn man den Dr. Macht muss man neues Wissen schaffen und eben auch publizieren.

Die Anforderungen sind also nicht sehr hoch. Insbesondere nicht für den Bachelor. Typischerweise hat man ja nur 3 Monate Zeit. Da kann man dann natürlich auch nicht so viel mache. Wie bei ner Diplomarbeit über 12 Monate oder nem Dr über 3-6 Jahre.

Ich empfinde sehr neue Themembereiche eigentlich ganz gut geeignet für eine Bachelorarbeit, da man allein schon durch Gegenüberstellungen und Übersichten eine ganz gute, also wertvolle, Arbeit machen kann. Da kann es auch gern sein, dass der Betreuer selbst keine Ahnung davon hat. Die Arbeit soll/kann ja eh kein neues Wissen schaffen, also geht es im Wesentlichen darum zu zeigen das man wissenschaftlich arbeiten kann. Und das kann man auch ohne Domänenkenntnisse prüfen

Da dich sowohl Linux als auch Windows und Netzwerke interessieren, würden mir folgende Themen spontan einfallen

1. Full Memory Encryption
1.1 Windows vs Linux
1.2 Intel vs AMD
1.3 hypervisor vs Container??? Geht das überhaupt?
2. Nerzwerksecurity bei Infiniband
3. TPMs unter Linux und Windows
4. Secure Boot
4.1 Linux vs Windows
4.2 Clients vs Server
4.3 disk vs PXE also Netzwerk

Die Themen würden mir zumindest mal spontan einfallen für ne Bachelor aber auch Master Thesis einfallen. Kann man je nach dem kombinieren und mehr oder weniger im Detail machen. Die Gegenüberstellung ist immer eher Master.

 

[LochinSocke]

Vi oder Emacs...

 

[Dasun]

@Skysnake
Es kommt hier auch auf die Situation an. Schreibt der TE seine BA in einer FH oder Uni, in welchem Fach, wie sind die generellen Anforderungen an die BA und wie sind die Anforderungen des Betreuers an die BA.

Ich habe schon Bachelorarbeiten gesehen, die keine 20 Seiten hatten und nur ein paar Bücher zusammengefasst haben, Paper waren da ein Fremdwort. Uns trotzdem gab es darauf eine 1,7. Böse Zungen würden behaupten, dass es dem Studiengang geschunden ist. Der Ersteller der BA wusste nicht mal, was ein Paper ist. Ich kenne auch BA's mit 130 Seiten, die auch in meinen Augen einen wissenschaftlichen Beitrag geliefert haben.

Ich hatte meine Masterthesis damals an einem Forschungsinstitut (Fraunhofer) geschrieben gehabt, dass mit der Uni sehr eng zusammen gearbeitet hat und auch Lehrstühle besitzt. Da waren die Anforderungen entsprechend hoch und nach 14 Monaten hatte ich 130 Seiten zusammen ohne das Beiwerk (Ehrenwörtliche Erklärung, Abstrakt, Verzeichnisse, Anhang, ...). Und heute würde ich behaupten, dass sich die erhöhte Schwierigkeit und der Mehraufwand für mich gelohnt haben.

Leider hat der TE nichts zu seiner Situation geschrieben.

Ich habe im letzten Jahr u.A. eine BA aus dem Bereich IT-Sec betreut, bei dem der Student sich mit dem Thema sichere Datenkommunikation befasst hat. Je nach Umfeld des Unternehmens, bei dem der TE seine Arbeit schreibt, gibt es regulatorische Kriterien, die zu beachten sind. Ich habe meinem Studenten eine relative neue Verordnung gegeben und er sollte mir ein Framework erstellen, wie man diese technisch umsetzen kann, inkl Prototyp.

 

[Natriumchlorid]

In welchem Bereich ist das Unternehmen tätig, bei der du deine BA schreibst? Eventuell ergeben sich aus diesem Kontext Fragestellungen, die in eine BA münden können.

Das Unternehmen, in dem ich meine Thesis verfassen werde, ist in der operativen IT-Security tätig. Wir bieten unseren Kunden einen Full-Managed-Service an und decken Schwerpunkte wie Mail Security, (Cloud-) Webproxy, DNS Security und Perimeter-Firewall Security ab.

Ich hab mir die Themenvorschläge beim GSoC angesehen. Ich fand die ganz klasse, aber das wäre vom Aufwand nicht realisierbar gewesen in der kurzen Zeit.

Deshalb hab ich mich jetzt dazu entschieden den Themenschwerpunkt Zero Trust Network Access zu beleuchten. Da gibt es ein gutes Paper vom NIST, ein paar wissenschaftliche Ausarbeitungen dazu, die vor allem auch den Wechsel von klassischen Netzwerkzugriffen über VPN mit den neuen Methoden des least priviledged access vergleichen. Ausserdem wird noch erwähnt wie die Pandemie die Umstrukturierung der Netzwerksicherheitsarchitektur beeinflusst hat.

Ich finde das ist ein grundsolides und auch aktuelles Thema für die Bachelor-Thesis im Bereich der IT-Security.

 

[Schlumpfbert]

Ja, das klingt gut, ist ein schönes Thema.

 

[Skysnake]

Kann ich mich nur anschließen