Information Security
We Advance IT Security
Die Forschungsgruppe Information Security des InIT bearbeitet Fragestellungen im Zusammenhang mit der Entwicklung von sicheren Softwaresystemen (Software Security) sowie der Erforschung von Cyber-Angriffen und Verteidigungsmassnahmen (Cyber Attacks and Defense). Unter anderem adressieren wir Fragen wie:
- Wie kann Funktionalität auf sicher Art und Weise implementiert werden?
- Wie kann der Automatisierungsgrad beim Testen auf Sicherheitslücken erhöht werden?
- Wie lässt sich öffentlich verfügbare Information zur Erkennung von Bedrohungen nutzen?
- Welche Sicherheitsmechanismen braucht es für zukünftige Kommunikationsnetze?
- Welche Rolle spielt die Security Awareness und wie kann diese verbessert werden?
Die gewonnenen Erkenntnisse aus der angewandten Forschung und Entwicklung fliessen auch in die von uns entwickelten Weiterbildungsangebote CAS Angewandte IT Sicherheit und Bachelor- (Introduction to Computer and Communication Security, IT Sicherheit, Software and System Security 1, Software and System Security 2) und Master-Module (IT-Security) ein.
Die Forschungsgruppe Information Security ist Teil der Cybersecurity Community der ZHAW. Als solches ist sie auch Mitglied beim Swiss Support Center for Cybersecurity (sscc).
Forschungsthemen
Software Security
Das Thema Software Security umfasst die Modellierung, Realisierung und Analyse von Softwaresystemen, die eine Reihe von Sicherheitsanforderungen erfüllen.
Unser Forschungsschwerpunkt liegt dabei auf der Analyse mittels (automatisiertem) Security Testing und der Entwicklung neuartiger Sicherheitsmechanismen und -protokolle. Dabei steht die Qualität, Effizienz und Reproduzierbarkeit der Tests sowie die Absicherung domänenspezifischer Funktionalität im Zentrum.
Ein aktuelles Projekt zu diesem Thema:
In diesem F&E Projekt wird scanmeter - ein Service zur automatisierten Sicherheitsanalyse von IT-Systemen - um drei innovative Komponenten erweitert. Dadurch werden Automatisierungsgrad und Testabdeckung markant erhöht, der Kundennutzen deutlich verbessert und das Einsatzspektrum vergrössert. Konkret bedeutet dies: (1) scanmeter wird neu neu das automatisierte Security-Testing von APIs anbieten, wodurch das Einsatzspektrum deutlich vergrössert wird (z.B. auf moderne Webapplikationen, mobile Apps und Internet of Things (IoT) Devices); (2) scanmeter wird neu alle Typen von Access Control Schwachstellen in Webapplikationen aufspüren können und damit diese kritische Schwachstellenart umfassend unterstützen; und (3) scanmeter wird neu beliebige Authentisierungsvorgänge in Webapplikationen und APIs unterstützen, womit auch hier eine vollständige Testautomatisierung ermöglicht wird.
Das Projekt wird in Kooperation zwischen dem InIT und scanmeter GmbH durchgeführt.
Cyber Attacks and Defense
Das Thema Cyber Attack and Defense umfasst die Modellierung, Analyse und Realisierung von Cyber Angriffen und Verteidigungsmassnahmen.
Wir erforschen und entwickeln Lösungen zur wirksameren Bekämpfung aktueller Bedrohungen. Wir befassen uns insbesondere mit Bedrohungen im Zusammenhang mit der Einführung und Nutzung neuer Technologien (z.B. 5G/6G Netzwerke), der Verbesserung des Verteidigungsdispositivs (z.B. mittels OSINT), maschinellem Lernen und dem Faktor Mensch.
Ein aktuelles Projekt zu diesem Thema:
Dieses Projekt erweitert das Produkt ExeonTrace von Exeon Analytics mit HostDetective Next Generation (HD.ng), einem Tool zum Erkennen und Entschärfen von Einbrüchen aus dem Internet. HD.ng implementiert eine neuartige Methode zur Einschätzung des Typs und Zwecks der Kommunikationsendpunkte von HTTP(S) Verbindungen (Web Server) sowie des von diesen Endpunkten ausgehenden Risikos. Das Projekt baut auf den Ergebnissen des HostDetective Projekts auf.
Weiterbildung
Das CAS Angewandte IT-Sicherheit bietet Informatikern, Praktikern und Quereinsteigern die Chance, ihre Fähigkeiten im Bereich IT Security, einem der grössten Wachstumsmärkte in der IT, auf- und auszubauen. Die Teilnehmenden werden in die Bereiche Sicherheitsarchitektur und -management, Kryptologie und Netzwerksicherheit sowie Software- und Systemsicherheit eingeführt. Sie erhalten in ausführlichen und praxisnahen Übungen die Gelegenheit, ihr neu erworbenes Wissen anzuwenden.
Unsere Stellenangebote
Projekte
- Vorherige Seite
- Seite 01
- …
- Seite 10
- Seite 11
- Seite 12
-
IT-Security im Bereich Verkehrstelematik
Das Ziel dieses Projekts ist es, die in der Schweiz eingesetzten Systeme in der Verkehrstelematik einer IT-Sicherheitsanalyse zu unterziehen und - falls notwendig - korrigierende Massnahmen vorzuschlagen.
-
Automated Software Security Testing 2
Im Rahmen eines früheren KTI-Projekts wurde das Automated Security Testing Framework (ASTF) entwickelt. Es erlaubt das effiziente Testen von Online-Applikationen bezüglich Sicherheit. ASTF hat sich bewährt und steht heute im Rahmen einiger Pilotprojekte bei Drittfirmen im Einsatz. Die ersten Erfahrungen im ...
-
Online Datasafe (datainherit.com)
Im Rahmen dieses Projekts wurde eine hochsichere Web-Applikation entwickelt, welche digitale Werte von Kunden sicher und zuverlässig abspeichert. Das InIT war im Projekt primär für Design, Implementierung und Testen der sicherheitskritischen Komponenten zuständig. Die Applikation ist verfügbar unter ...
Publikationen
-
Kalla, Anshuman; de Alwis, Chamitha; Gochhayat, Sarada Prasad; Gür, Gürkan; Liyanage, Madhusanka; Porambage, Pawani,
2024.
Emerging directions for blockchainized 6G.
IEEE Consumer Electronics Magazine.
13(2), S. 42-51.
Verfügbar unter: https://doi.org/10.1109/MCE.2022.3164530
-
Rüedlinger, Andreas; Klauser, Rebecca; Lamprakis, Pavlos; Happe, Markus; Tellenbach, Bernhard; Veyisoglu, Onur; Trammell, Ariane,
2024.
FeedMeter : evaluating the quality of community-driven threat intelligence [Paper].
In:
Proceedings of the 10th International Conference on Information Systems Security and Privacy - ICISSP.
10th International Conference on Information Systems Security and Privacy (ICISSP), Rome, Italy, 26-28 February 2024.
SciTePress.
S. 54-66.
Verfügbar unter: https://doi.org/10.5220/0012357600003648
-
Trammell, Ariane; Gehring, Benjamin; Isele, Marco; Spielmann, Yvo; Zahnd, Valentin,
2024.
Towards automated information security governance [Paper].
In:
Proceedings of the 10th International Conference on Information Systems Security and Privacy - ICISSP.
10th International Conference on Information Systems Security and Privacy (ICISSP), Rome, Italy, 26-28 February 2024.
SciTePress.
S. 120-127.
Verfügbar unter: https://doi.org/10.5220/0012357500003648
-
Ochoa Ronderos, Martin; Vanegas, Hernán; Toro-Pozo, Jorge; Basin, David,
2023.
SealClub : computer-aided paper document authentication [Paper].
In:
ACSAC '23: Proceedings of the 39th Annual Computer Security Applications Conference.
39th Annual Computer Security Applications Conference (ACSAC ’23), Austin, TX, USA, 4–8 December 2023.
New York, NY:
ACM.
S. 163-177.
Verfügbar unter: https://doi.org/10.1145/3627106.3627176
-
Basin, David; Guarnizo Hernandez, Juan David; Krstic, Srđan; Nguyen, Hoang; Ochoa Ronderos, Martin,
2023.
Is modeling access control worth it? [Paper].
In:
CCS '23 : Proceedings of the 2023 ACM SIGSAC Conference on Computer and Communications Security.
30th ACM Conference on Computer and Communications Security (CCS), Copenhagen, Denmark, 26-30 November 2023.
ACM.
S. 2830-2844.
Verfügbar unter: https://doi.org/10.1145/3576915.3623196