Prof. Dr. rer. nat. Lukas Iffländer

Forschung

• Network Security
• Web Security
• Software-defined Networking
• Network Function Virtualization
• Railway Security & Safety
• Automatische Bewertung von Programmieraufgaben

Lehrgebiet Informationssicherheit

Das Lehrgebiet Informationsicherheit beschäftigt sich mit klassicher Kryptographie, Schadsoftware, Angriffstechniken und -werkzeugen, Websicherheit, Security-Normung und Datenschutz.

Prof. Dr. rer. nat. Lukas Iffländer

• U 452
• +49 351 462 3516
• E-Mail

Sprechzeiten:
Nach Absprache

Abschlussarbeiten

Bachelorarbeiten sind mit [B], Masterarbeiten mit [M] markiert.

[B/M] Bahnhof as a Service - Security Testumgebung für digitale Bahnsysteme

Start sofort möglich

Hintergrund

Am Deutschen Zentrum für Schienenverkehrsforschung ist derzeit ein Cybersecurity-Labor im Aufbau.
Ziel dieses Labors ist es, die Möglichkeit zu schaffen, Systeme der digitalen Leit- und Sicherungstechnik nachzustellen bzw. Referenzimplementierungen für diese zu entwickeln und Security-Tests dafür durchzuführen.

Zuschnitt der Arbeit

Abhängig von den persönlichen Interessen und dem angestrebten Umfang (Bachelor oder Master) können aus den folgenden Aufgaben unterschiedliche Abschlussarbeiten zusammengesetzt werden. Die Schritte sind teilweise aufeinander aufbauend.

Arbeitspakete

Für dieses Ziel sind noch folgende Arbeitsschritte notwendig:
* Migration der bestehenden Evaluationsumgebung auf Cloudeinsatz unter OpenStack
* Entwicklung eines Werkzeugs, das aus einer Spezifikation einen virtuellen Bahnhof inklusive Netzwerkverbindungen in OpenStack realisiert
* Erweiterung dieses Werkzeugs um die korrekte Simulation von Netzwerklatenzen zwischen den Komponenten
* Entwicklung einer Lösung für die Integration von Angriffsstellen (sowohl nur Abhören als auch Manipulieren) an unterschiedlichen Stellen im Netzwerk des virtuellen Bahnhofs
* Entwicklung grafischer Bedienoberflächen für die oben genannten Werkzeuge
* Entwicklung der Möglichkeit, den virtuellen Bahnhof für Forscherinnen und Forscher als One-Stop-Shop zu realisieren, sodass dieser über ein einfaches Webinterface gebucht werden kann, anschließen erstellt und korrekt parametrisiert wird. Dabei soll eine gegenseitige Beeinflussung von virtuellen Bahnhöfen unterschiedlicher User ausgeschlossen sein.

[B/M] Entwicklung, Implementierung und kritische Evaluierung eines modernen Single Sign-On (SSO)-Systems unter Berücksichtigung aktueller Sicherheits-, Datenschutz- und Usability-Anforderungen

Start sofort möglich

Hintergrund und Motivation:

Die zunehmende Nutzung von webbasierten Anwendungen und cloudbasierten Services macht SSO-Lösungen zu einem zentralen Bestandteil moderner IT-Infrastrukturen. Allerdings zeigen sich dabei häufig gravierende Schwachstellen: Von unzureichender Authentifizierung über mangelnden Datenschutz bis hin zu Usability-Problemen, die den Anwender verunsichern oder zu Fehlkonfigurationen führen. Diese Abschlussarbeit soll – ohne die Probleme zu beschönigen – ein realistisches Konzept entwickeln, das sowohl die aktuellen Bedrohungsszenarien als auch konkrete Risiken adressiert.

Das System soll im Anschluss durch einen ehrenamtlichen Verein aktiv genutzt werden.

Ziele der Arbeit:

1. Analyse und Evaluation:
   • Detaillierte Erhebung des Status quo existierender SSO-Technologien und deren Sicherheitsarchitekturen.
   • Kritische Auseinandersetzung mit bekannten Schwachstellen, Angriffsvektoren und Datenschutzrisiken, inklusive realer Angriffsbeispiele und Lessons Learned.
2. Konzeptentwicklung:
   • Durchführung von Interviews mit den anschließenden Betreibern und Ableitung von Anforderungen.
   • Erarbeitung eines ganzheitlichen Sicherheitskonzepts für SSO, das pragmatisch umsetzbare Maßnahmen beinhaltet.
   • Integration von fortschrittlichen Sicherheitsmechanismen (z. B. Multi-Faktor-Authentifizierung, Zero-Knowledge-Proofs, kontinuierliche Überwachung) ohne unrealistische Annahmen an Perfektion oder Benutzercompliance.
3. Implementierung:
   • Aufbau eines funktionsfähigen Prototyps, der das erarbeitete Konzept abbildet – inklusive detaillierter Dokumentation der Systemarchitektur und verwendeten Technologien.
   • Berücksichtigung von Standardprotokollen (wie OAuth, SAML) und gegebenenfalls deren Erweiterungen, um Sicherheit und Nutzbarkeit in Einklang zu bringen.
4. Evaluation und kritische Reflexion:
   • Durchführung einer systematischen Sicherheitsanalyse (z. B. Penetrationstests, Risikoanalysen) und Bewertung hinsichtlich Performance und Benutzerfreundlichkeit.
   • Identifikation von Limitationen des entwickelten Ansatzes und Diskussion, inwiefern theoretisch gute Konzepte in der Praxis an Grenzen stoßen.

[B/M] Prototypische Umsetzung und Evaluierung einer Laufzeitüberwachung in QKD-Systemen

Beginn ab 1.6.2025 möglich.

Hintergrund

Im Forschungsprojekt SQuIRRL – Secure Quantum Infrastructure for Road, Rail and Flight wird eine sichere Kommunikationsinfrastruktur für die vernetzte Mobilität der Zukunft entwickelt. Ein zentrales Element ist die Nutzung von Quantum Key Distribution (QKD) zum abhörsicheren Austausch kryptografischer Schlüssel. Während QKD an sich beweisbar sicher ist, besteht weiter die Möglichkeit, dass Sicherheitslücken in der begleitenden Soft- oder Hardware gefunden werden.

Im Rahmen der Arbeit soll eine Umgebung entwickelt werden, die es ermöglicht, die Laufzeiten unterschiedlicher Kommunikationsvorgänge zu überwachen und Veränderungen oder Abhängigkeiten zu erkennen.

Zuschnitt der Arbeit

Nach persönlicher Präferenz und Zeitvolumen (Bachelor vs. Master) kann die Arbeit um Teilaspekte reduziert werden oder ein Schwerpunkt gesetzt werden.

Ziel der Arbeit

Ziel dieser Arbeit ist die Entwicklung, Umsetzung und Bewertung eines prototypischen Systems zur Laufzeitüberwachung in einem simulierten bzw. virtualisierten Kommunikationsnetz mit QKD-Komponenten. Dabei sollen zeitliche Abweichungen im Verhalten der Kommunikationspartner detektiert und hinsichtlich ihres Angriffspotenzials analysiert werden. Der Fokus liegt auf der prototypischen Umsetzbarkeit, der Definition geeigneter Überwachungsmetriken sowie der Entwicklung eines Proof-of-Concepts, das in einer virtualisierten Testumgebung lauffähig ist.

Aufgabenbeschreibung

Die Abschlussarbeit gliedert sich in mehrere aufeinander aufbauende Arbeitsschritte:

1. Anforderungsanalyse und Kontextdefinition

• Identifikation typischer Angriffsszenarien im Kontext von QKD-basierten Kommunikationsarchitekturen, bei denen die Kommunikationspartner selbst das Angriffsziel sind (z. B. Time-shifting, Replay, Delay-Angriffe).
• Erarbeitung technischer und organisatorischer Anforderungen an ein Überwachungssystem, das solche Angriffe erkennen kann.
• Abgrenzung des Scopes: Welche Komponenten des Systems sollen überwacht werden? Welche Einflussfaktoren (Netzwerk, Hardware, Software) sind realistisch abbildbar?

2. Konzeption der Laufzeitüberwachung

• Definition geeigneter Metriken zur Laufzeitbewertung (z. B. Round-Trip-Time, Zeitdifferenzen zwischen Nachrichten, Heartbeat-Verhalten).
• Entwicklung einer Architektur für das Überwachungssystem: Wo werden Zeitstempel gesetzt? Wo erfolgt die Analyse?
• Berücksichtigung von Unsicherheiten (Jitter, Verzögerung durch Scheduling) und deren Einflüsse auf die Bewertung.

3. Umsetzung eines Prototyps in einer virtualisierten Umgebung

• Aufbau einer Testumgebung mit simulierten QKD-Komponenten und Kommunikationspartnern (z. B. auf Basis von Containern oder virtuellen Maschinen).
• Implementierung eines Beobachtersystems, das Nachrichtenverkehr zeitlich erfasst, analysiert und protokolliert.
• Entwicklung erster Detektionslogik für einfache Anomalien (z. B. Schwellenwertüberschreitungen, Ausreißererkennung).

4. Bewertung und Experimentaldurchführung

• Durchführung gezielter Tests mit bekannten Anomalien (z. B. verzögerte Nachrichten, unregelmäßige Kommunikation) zur Validierung der Detektionsfähigkeit.
• Quantitative Analyse: Erkennungsrate, False Positives, Einfluss von Jitter und Netzwerkverzögerungen.
• Bewertung der Systemgrenzen: Welche Angriffe lassen sich nicht sicher erkennen? Welche Konfigurationen führen zu Unsicherheiten?

5. Reflexion, Dokumentation und Ausblick

• Kritische Einordnung der Detektionsfähigkeiten im Vergleich zu den Anforderungen.
• Diskussion möglicher Erweiterungen, z. B. durch maschinelles Lernen, tiefergehende Zustandsanalysen oder Hardware-Timestamps.
• Abgleich mit Anforderungen aus sicherheitskritischen Domänen (z. B. Bahntechnik) und Überlegungen zur möglichen Zertifizierbarkeit.

SHK/WHK-Stellen

Am Deutschen Zentrum für Schienenverkehrsforschung [Externer Partner]

• Aufgaben:
  • Wissenschaftliche Recherchen zu Datensätzen für die Unterstützung der Schienenverkehrsforschung im Rahmen der Möglichkeiten einer wissenschaftlichen Hilfstätigkeit
  • Unterstützung des Datenmanagements von vorhandenen und zu beschaffenden
    Forschungsdaten durch Ablage und Erstellung von Metadaten nach Vorlage
  • Vorbereitung von Forschungsdaten für die Veröffentlichung inkl. Datenbereinigung und -fusion sowie Überprüfung der Datenqualität
  • Mitarbeit an der Weiterentwicklung des Forschungsdatenmanagementsystems
• Umfang:
  • 6 - 16  Stunden pro Woche
• Bezahlung:
  • E5 TVÖD
• Weitere Infos und Bewerbung