Direkt zur zweiten Navigationsebene, fallls vorhanden.Direkt zum Seiteninhalt
Sie sind hier: FB 02 → ITSeC-Projekte

Projekt: Konzipierung und Durchführung eines Security-Checks an den IT-Systemen des Fachbereichs Wirtschaftswissenschaften

Kurzbeschreibung:

Im Rahmen des Sonderprojekts "Konzipierung und Durchführung eines Security-Checks an den IT-Systemen des Fachbereichs Wirtschaftswissenschaften" soll ein Konzept zur Durchführung von Penetrationstests an den Arbeitsplatz- und Server-Systemen des FB 02 erstellt und anschließend umgesetzt werden.

Beginn:
15.01.2004
Ende:
06.10.2004
Problemstellung:

In den letzten Jahren konnte ein stetiger Anstieg von Angriffen auf Computernetzwerke festgestellt werden. Die Wurmattacken durch Blaster und Sobig im August 2003 sowie durch Sasser im Mai 2004 waren der vorläufige Höhepunkt dieser weltweiten IT-Sicherheitsbedrohungen, die einen enormen wirtschaftlichen Schaden verursachten. Mit diesem Gefährdungspotential sieht sich auch der Fachbereich Wirtschaftswissenschaften der Justus-Liebig-Universität Gießen (FB 02), dessen Mitarbeiter bzw. die IT-Systeme des FB 02 konfrontiert. Das fehlende Know-How bei der sicherheitsrelevanten Konfiguration der IT-Systeme seitens der Nutzer der IT-Systeme kann dabei als wichtigster Faktor für die Höhe des IT-Sicherheitsrisikos angesehen werden. Damit einher geht, daß die verschiedenen IT-Systeme des FB 02 stark untereinander vernetzt sind, sowie über das das UNIGI-NET hinaus über eine universitätsexterne Netzanbindung verfügen (i. d. R. kann davon ausgegangen werden, daß sich Vernetzungsgrad und das korrespondierende IT-Sicherheitsrisiko proportional verhalten).

Ziel:

Ziel des Security-Checks ist die Analyse des aktuellen IT-Sicherheitsrisikos in den Organisationseinheiten des FB 02, woraus dann wiederum allgemeine und Organisationseinheitenspezifische Handlungsempfehlungen zur Behebung der schwerwiegendsten Sicherheitslücken abgeleitet werden sollen. Dabei wurden nur die Professuren im FB 02 untersucht. Das Prüfungsamt, das Dekanat, die Fachschaft und die Seminarbibliothek waren nicht Gegenstand des Checks.

Ablaufplan:

- Erstellung eines Konzepts zur Durchführung des Security-Checks (Identifikation möglicher Angriffspunkte, Auswahl der Angriffspunkte)
- Auswahl der Software-Werkzeuge zur Durchführung der Tests
- Durchführung des ersten Tests
- Dokumentation der Ergebnisse des ersten Tests
- Durchführung des zweiten Tests, um temporäre Sicherheitsprobleme herauszufiltern
- Dokumentation der Ergebnisse des zweiten Tests
- Ableitung von Handlungsempfehlungen zur Beseitigung der schwerwiegendsten Sicherheitslücken

Leiter:
Betreuer:
Team-Mitglieder: