KostenschÀtzung von Angriffen auf Systeme in der GebÀudeautomation - Demonstration der Unsicherheit

Art der Arbeit: Bachelorarbeit

 

Fachlicher Hintergrund:

GebĂ€udeautomationssysteme werden unter anderem zur Steigerung des Komforts, zum Sparen von Energie, Wasser, FernwĂ€rme und anderen Versorgungsleistungen und zur Erhöhung der Ausfallsicherheit eingesetzt. Sie sind mittlerweile Teil einer sicherheitskritischen Infrastruktur geworden.

Aufgabenbeschreibung:

In dieser Arbeit soll eine Risikoanalyse fĂŒr Angriffe auf Systeme der GebĂ€udeautomation durchgefĂŒhrt werden. Dazu sollen vor allem die Kosten fĂŒr einen Angriff bestimmt werden. Zu den Kosten zĂ€hlen neben den reinen GeldbetrĂ€gen auch Kosten, die sich z.B. aus einer möglichen Strafverfolgung oder zivilrechtlichen Forderungen ergeben. DafĂŒr spielt das Entdeckungsrisiko eine erhebliche Rolle.

Weiter soll zur Demonstration der latenten Unsicherheit ein Gateway zwischen GebĂ€udeautomationssystem und Internet entwickelt werden. Das GerĂ€t soll Daten aus einem Feldbus ĂŒber Funk (WLAN, Mobilfunk) weiterleiten. Die Weiterleitung kann entweder live oder sporadisch und gefiltert erfolgen. Der Aufwand soll dokumentiert werden.

Als Demonstrationsobjekt kommt ein Experimental-Netzwerk im Labor zum Einsatz.

Wichtige Fragestellungen sind dabei:

  • Welcher Aufwand (Zeit, Geld, Wissen, Risikokosten) ist fĂŒr das Abhören notwendig?
  • Wie können Filter gebaut werden, die die Datenmenge und den Stromverbrauch reduzieren?
  • Welche Informationen können an verschiedenen Stellen mitgelesen werden?
  • Welcher mögliche Schaden ist zu befĂŒrchten?

Mögliche Arbeitsschritte:

  • Einarbeitung in GrundsĂ€tze GebĂ€udeautomatisierung und der vorhandenen Sensoren und Schnittstellen dazu. Betrachtung der relevanten GerĂ€te und Netzwerke.
  • Rechtliche Betrachtung des Vorhabens (aus Sicht eines Informatikers, nicht aus Sicht eines Juristen).
  • Einarbeitung in Verfahren der Sicherheitsanalyse.
  • Konzipierung eines GerĂ€tes mit (selbstlernender) Filterfunktion zum Weiterleiten relevanter Informationen.
  • Testweise Implementierung, beispielsweise auf einem Smartphone.

Die genaue Festlegung des Themas erfolgt in Abstimmung mit den Betreuern unter BerĂŒcksichtigung eventuell schon an andere Studenten vergebener Themengebiete. Eine gemeinsame Bearbeitung verschiedener Teilthemen durch mehrere Studenten ist unter UmstĂ€nden möglich. 

Literatur und Ressourcen:

  • Aschendorf, Bernd. "Funktionen der GebĂ€udeautomation." Energiemanagement durch GebĂ€udeautomation. Springer Fachmedien Wiesbaden, 2014. 25-39.
  • Merz, Hermann, Thomas Hansemann, and Christof HĂŒbner. "GebĂ€udeautomation." MĂŒnchen: Carl-Hanser-Verlag (2010).
  • Allen, Lee. Advanced Penetration Testing for Highly-Secured Environments: The Ultimate Security Guide. Packt Publishing Ltd, 2012.
  • Neugebauer, Frank. Penetration Testing mit Metasploit. dpunkt, 2012.
  • Hardy, Brian, and Bill Phillips. Android Programming: The Big Nerd Ranch Guide. Addison-Wesley Professional, 2013.

Betreuer: Dr. Thomas Mundt (thomas.mundt@uni-rostock.de)

Voraussetzungen: Keine besonderen, aber Programmierkenntnisse.