In Kooperation mit der Firma automite GmbH eine Bachelorprojektarbeit zum Thema „Automatische Testplanerstellung im Bereich IT-Sicherheit“ angeboten.
Ausgangslage: Penetrationstests und Security Code Reviews sind zentrale Maßnahmen eines modernen IT-Sicherheitsmanagements, da sie dazu dienen, Schwachstellen systematisch zu identifizieren und Risiken frühzeitig zu adressieren. Die Erstellung geeigneter Testpläne erfolgt jedoch meist manuell auf Basis von Erfahrung, Checklisten und etablierten Standards wie OWASP, PTES oder NIST. Dieser Prozess ist zeitaufwändig, nur begrenzt standardisiert und stark von individueller Expertise abhängig, während zugleich der Bedarf an nachvollziehbaren, reproduzierbaren und teilautomatisierten Verfahren stetig wächst.
Ziel: Im Projekt soll ein Lösungsansatz entwickelt werden, der aus einer strukturierten Beschreibung eines Testobjekts (z. B. Webanwendung oder C-Software) automatisch einen vollständigen und standardkonformen Testplan generiert. Kernidee ist die Entwicklung eines generischen Modells zur Beschreibung von Systemen sowie einer Ableitungslogik, die geeignete Sicherheitstests systematisch bestimmt.
Aufgabenstellung: Die Aufgabenstellung umfasst in diesem Semester zunächst eine strukturierte Einarbeitung in die Grundlagen von Penetrationstests, Testplanung und einschlägigen Sicherheitsstandards. Darauf aufbauend erfolgt eine systematische Analyse und wissenschaftliche Aufarbeitung relevanter Frameworks und Leitlinien, um Anforderungen an ein geeignetes Modell zur Beschreibung von Testobjekten abzuleiten.
Im nächsten Schritt wird eine konzeptionelle Architektur für ein Framework zur automatischen Testplanerstellung entworfen. Dazu gehören die Entwicklung eines generischen Beschreibungsschemas für Testobjekte sowie die Definition einer nachvollziehbaren Ableitungslogik, mit der aus den erfassten Eigenschaften geeignete Sicherheitstests bestimmt werden können.
Anschließend wird das konzipierte Modell prototypisch umgesetzt, beispielsweise als Webanwendung oder Tool. Abschließend erfolgt eine Evaluation anhand ausgewählter Beispielsysteme, um Funktionalität, Nachvollziehbarkeit und Grenzen des Ansatzes zu analysieren und kritisch zu bewerten.
- Dozent/in: Gunnar Stevens