IT-Sicherheit in der Bachelorarbeit & Masterarbeit

Kryptographische Protokolle, Penetration Testing, Threat Modeling und Secure SDLC: So strukturieren Sie Sicherheitsanalysen in Ihrer Informatik-Thesis – mit STRIDE, OWASP Top 10, CVSS-Bewertung und Responsible Disclosure.

Kryptographie (TLS, AES, RSA)

Penetration Testing

STRIDE Threat Modeling

OWASP Top 10

Secure SDLC

Inhalt

1 IT-Sicherheit in der Thesis: Drei Saeulenanswer
2 Kryptographische Protokolle & Verfahren
3 Threat Modeling: STRIDE & DREAD
4 Penetration Testing in der Thesis
5 OWASP Top 10: Schwachstellen systematisch pruefen
6 Secure SDLC & DevSecOps
7 Haeufige Fehler
8 FAQ

IT-Sicherheit in der Thesis – Das Wichtigste

IT-Sicherheit in der Thesis bedeutet nicht „ich habe HTTPS aktiviert". Es bedeutet: systematische Analyse von Bedrohungen, Schwachstellen und Gegenmassnahmen – mit definierten Angreifermodellen, formalen Sicherheitszielen (Vertraulichkeit, Integritaet, Verfuegbarkeit) und nachvollziehbarer Evaluation. Die drei Kernbereiche: (1) Kryptographie – Protokolle und Algorithmen mathematisch begruenden. (2) Anwendungssicherheit – Schwachstellen finden und bewerten (Pentest, OWASP). (3) Sicherheitsarchitektur – Threat Modeling und Defense in Depth. Unsere Informatik-Ghostwriter unterstuetzen bei allen drei Bereichen.

1. IT-Sicherheit in der Thesis: Drei Saeulen

CIA-Triade

Confidentiality (Vertraulichkeit): Nur Berechtigte haben Zugriff. Integrity (Integritaet): Daten werden nicht unbemerkt veraendert. Availability (Verfuegbarkeit): System ist erreichbar, wenn benoetigt.

In der Thesis: Definieren Sie, welche CIA-Ziele fuer Ihr System relevant sind – und priorisieren Sie.

Angreifermodell

Wer greift an? Mit welchen Faehigkeiten, Ressourcen und Motivationen? Dolev-Yao-Modell (Netzwerkangreifer), Insider, Script Kiddie vs. Nation State Actor. Das Angreifermodell bestimmt die Schutzanforderungen.

In der Thesis: Angreifermodell im Methodenteil definieren – es begrenzt den Scope Ihrer Analyse.

Defense in Depth

Kein einzelner Mechanismus schuetzt allein – mehrere Sicherheitsschichten: Netzwerk (Firewall, IDS), Anwendung (Input Validation, AuthN/AuthZ), Daten (Verschluesselung, Backup), Prozess (Monitoring, Incident Response).

In der Thesis: Zeigen Sie, welche Schichten Ihr System schuetzen – und wo Luecken bleiben.

2. Kryptographische Protokolle & Verfahren

Verfahren	Typ	Schluessellaenge (2026)	Einsatz	Thesis-Relevanz
AES-256	Symmetrisch (Blockchiffre)	256 Bit	Datenverschluesselung (at rest, in transit)	Standard, begruenden warum AES und nicht ChaCha20
RSA	Asymmetrisch	≥ 3072 Bit (BSI-Empfehlung)	Schluesseltausch, Signaturen	Klassiker, aber Quantenanfaelligkeit diskutieren
ECDSA / Ed25519	Asymmetrisch (Elliptische Kurven)	256 Bit (≙ 3072 Bit RSA)	TLS-Zertifikate, SSH, Signaturen	Moderner Standard, kuerzere Schluessel
TLS 1.3	Protokoll	–	Transport-Verschluesselung (HTTPS)	Handshake analysieren, Cipher Suites begruenden
SHA-256 / SHA-3	Hash-Funktion	256 Bit Output	Integritaetspruefung, Passwort-Hashing (mit Salt)	Abgrenzung zu MD5/SHA-1 (unsicher)
Argon2 / bcrypt	Passwort-Hashing	–	Passwort-Speicherung	Memory-hard: Schutz gegen GPU-Angriffe

Post-Quantum Cryptography: Pflichtthema 2026

NIST hat 2024 die ersten Post-Quantum-Standards finalisiert: ML-KEM (Kyber) fuer Schluesseltausch, ML-DSA (Dilithium) und SLH-DSA (SPHINCS+) fuer Signaturen. Wenn Ihre Thesis Kryptographie behandelt: Diskutieren Sie die Quantenbedrohung (Shor-Algorithmus bricht RSA und ECDSA) und erwaehnen Sie die NIST-PQC-Standards. Mehr dazu im Quantum-Computing-Guide.

3. Threat Modeling: STRIDE & DREAD

Threat Modeling ist die systematische Identifikation von Bedrohungen fuer ein System – bevor (!) Schwachstellen ausgenutzt werden. In der Thesis zeigt Threat Modeling, dass Sie Sicherheit von Anfang an mitgedacht haben.

STRIDE-Kategorie	Bedrohung	Sicherheitsziel	Beispiel-Gegenmassnahme
Spoofing	Identitaetsvortaeuschung	Authentifizierung	Multi-Faktor-Authentifizierung, Zertifikate
Tampering	Datenmanipulation	Integritaet	Digitale Signaturen, HMAC, Checksummen
Repudiation	Abstreitbarkeit	Nicht-Abstreitbarkeit	Audit Logs, digitale Signaturen
Information Disclosure	Informationspreisgabe	Vertraulichkeit	Verschluesselung, Zugriffskontrollen
Denial of Service	Dienstverweigerung	Verfuegbarkeit	Rate Limiting, Auto-Scaling, WAF
Elevation of Privilege	Rechteausweitung	Autorisierung	Principle of Least Privilege, RBAC

Threat Modeling in der Thesis: Workflow

(1) DFD (Data Flow Diagram) des Systems erstellen – Prozesse, Datenflueesse, Datenspeicher, externe Entitaeten, Trust Boundaries. (2) Fuer jede Komponente und jeden Datenfluss: STRIDE-Analyse durchfuehren. (3) Bedrohungen nach DREAD bewerten (Damage, Reproducibility, Exploitability, Affected Users, Discoverability) oder nach CVSS. (4) Gegenmassnahmen fuer priorisierte Bedrohungen definieren. (5) Residualrisiken dokumentieren. Tools: Microsoft Threat Modeling Tool (kostenlos), OWASP Threat Dragon, draw.io fuer DFDs.

Sicherheitsanalyse fuer Ihre Thesis?

Promovierte Informatiker mit Security-Expertise unterstuetzen bei Threat Modeling und Pentest

Informatik-Ghostwriter →

4. Penetration Testing in der Thesis

Scope & Genehmigung

Definieren Sie den Scope (welche Systeme, welche Angriffsvektoren) und holen Sie eine schriftliche Genehmigung ein. Ohne Genehmigung ist Pentesting strafbar (§ 202a StGB). Fuer die Thesis: Eigene Systeme testen oder Genehmigung des Betreibers einholen.

Reconnaissance (Aufklaerung)

Passive (OSINT: Shodan, WHOIS, DNS) und aktive (Nmap-Scans, Service Enumeration) Informationssammlung. Dokumentieren Sie jeden Schritt – Reproduzierbarkeit ist Pflicht.

Vulnerability Assessment

Automatisierte Schwachstellenscans (Nessus, OpenVAS, Burp Suite Scanner) + manuelle Pruefung. Ergebnisse nach CVSS bewerten. False Positives identifizieren und dokumentieren.

Exploitation

Identifizierte Schwachstellen ausnutzen (Proof of Concept). Tools: Metasploit, Burp Suite (manuell), sqlmap, Custom Scripts. In der Thesis: Proof of Concept genuegt – Sie muessen keine vollstaendige Kompromittierung zeigen.

Reporting & Responsible Disclosure

Ergebnisse als strukturierten Bericht: Executive Summary, Schwachstellenliste (CVSS, Beschreibung, PoC, Empfehlung). Bei externen Systemen: Responsible Disclosure – Schwachstellen dem Betreiber melden, Frist setzen, erst dann veroeffentlichen.

5. OWASP Top 10: Schwachstellen systematisch pruefen

Die OWASP Top 10 sind die zehn kritischsten Sicherheitsrisiken fuer Webanwendungen – und der Standard-Referenzrahmen fuer Sicherheitsanalysen in der Thesis.

#	Kategorie (2021)	Beispiel	Gegenmassnahme
A01	Broken Access Control	IDOR, fehlende Autorisierungspruefung	RBAC, serverseitige Pruefung, Deny by Default
A02	Cryptographic Failures	Klartext-Passwoerter, schwache Algorithmen	TLS 1.3, AES-256, Argon2 fuer Passwoerter
A03	Injection	SQL Injection, XSS, Command Injection	Prepared Statements, Input Validation, CSP
A04	Insecure Design	Fehlende Threat Models, unsichere Architektur	Threat Modeling (STRIDE), Secure Design Patterns
A05	Security Misconfiguration	Default-Credentials, offene Debug-Endpoints	Hardening, Automated Configuration Checks
A06	Vulnerable Components	Veraltete Libraries mit bekannten CVEs	SCA (Dependabot, Snyk), regelmaessige Updates
A07	Auth. & Identification Failures	Schwache Passwoerter, Session Fixation	MFA, sichere Session-Verwaltung, Rate Limiting
A08	Software & Data Integrity Failures	Unsichere Deserialisierung, fehlende Signaturpruefung	Signierte Updates, Integrity Checks
A09	Security Logging & Monitoring Failures	Keine Audit Logs, kein Alerting	Zentrales Logging (ELK), SIEM, Alerting
A10	SSRF	Server-Side Request Forgery	Allowlists, Netzwerksegmentierung

6. Secure SDLC & DevSecOps

Wenn Ihre Thesis Software entwickelt, gehoert Sicherheit in den gesamten Entwicklungsprozess – nicht als nachtraeglicher Pentest.

Secure SDLC (Microsoft SDL)

Requirements: Sicherheitsanforderungen definieren (CIA-Ziele, Compliance)
Design: Threat Modeling, Secure Design Patterns
Implementation: Secure Coding Guidelines, Code Reviews, SAST
Verification: DAST, Pentest, Fuzzing
Release: Security Review, Incident Response Plan

DevSecOps in der CI/CD-Pipeline

SAST: Statische Analyse im Build (SonarQube, Semgrep, CodeQL)
SCA: Dependency Scanning (Snyk, Dependabot, OWASP Dependency-Check)
DAST: Dynamische Analyse gegen laufende Anwendung (ZAP, Burp Suite)
Container Scanning: Trivy, Grype fuer Docker-Images
IaC Scanning: Checkov, tfsec fuer Terraform/CloudFormation

7. Haeufige Fehler bei IT-Sicherheit in der Thesis

Kein Angreifermodell definiert

Schwachstellen werden gesucht, ohne zu definieren, gegen wen geschuetzt werden soll. Ohne Angreifermodell ist die Sicherheitsanalyse nicht abgrenzbar – alles und nichts ist relevant.

Pentest ohne Genehmigung

Produktivsysteme werden ohne schriftliche Genehmigung getestet. Das ist strafbar (§ 202a StGB). Immer: Schriftliche Genehmigung des Systembetreibers einholen und in der Thesis dokumentieren.

Kryptographie nicht begruendet

„AES-256 wird fuer die Verschluesselung verwendet." Aber warum AES-256 und nicht ChaCha20? Warum 256 Bit und nicht 128? Kryptographische Entscheidungen muessen an Sicherheitsanforderungen und Angreifermodell rueckgebunden werden.

OWASP Top 10 als Checkliste abgehakt

Alle 10 Kategorien werden in je 3 Saetzen abgehandelt – ohne Tiefe. Besser: 3–4 Kategorien fokussiert analysieren, mit konkreten Tests und Ergebnissen, als alle oberflaechlich abhaken.

Keine CVSS-Bewertung

Schwachstellen werden als „kritisch" oder „mittel" eingestuft, ohne formale Bewertung. Verwenden Sie CVSS v4.0 – der Score macht die Bewertung nachvollziehbar und vergleichbar.

Keine Gegenmassnahmen vorgeschlagen

Schwachstellen werden gefunden, aber keine Gegenmassnahmen empfohlen. Eine Sicherheitsanalyse ohne Empfehlungen ist unvollstaendig. Fuer jede Schwachstelle: Massnahme + Aufwandsschaetzung.

Haeufig gestellte Fragen zu IT-Sicherheit in der Thesis

Kann ich einen Pentest in der Bachelorarbeit machen?

Ja – aber mit Einschraenkungen. Fuer die BA: Testen Sie Ihr eigenes System (Prototyp, den Sie im Rahmen der Thesis entwickelt haben) oder eine Testumgebung (DVWA, OWASP WebGoat, HackTheBox). Ein Pentest gegen ein Produktivsystem eines Unternehmens erfordert eine schriftliche Genehmigung und ist in der BA oft zu aufwaendig. Scope begrenzen: Fokussieren Sie auf Web Application Security (OWASP Top 10) oder auf Netzwerksicherheit – nicht beides. Tools: Burp Suite Community (kostenlos), OWASP ZAP (kostenlos), Nmap, sqlmap.

Wie strukturiere ich eine Sicherheitsanalyse in der Thesis?

Empfohlene Struktur: (1) Sicherheitsziele definieren (CIA + spezifische Anforderungen). (2) Angreifermodell definieren (Faehigkeiten, Motivation, Zugang). (3) Threat Modeling (DFD + STRIDE). (4) Evaluation (Pentest, Code-Review, oder formale Analyse). (5) Ergebnisse (Schwachstellen mit CVSS, Gegenmassnahmen). (6) Diskussion (Residualrisiken, Threats to Validity, Grenzen des Pentests). Diese Struktur gilt fuer BA und MA – in der MA mit groesserem Scope und mehr Tiefe.

Muss ich Schwachstellen in meiner Thesis veroeffentlichen?

Wenn Sie Schwachstellen in eigener Software finden: Ja, dokumentieren Sie sie in der Thesis (mit Gegenmassnahmen). Wenn Sie Schwachstellen in fremder Software finden: Responsible Disclosure – informieren Sie den Betreiber/Hersteller, setzen Sie eine angemessene Frist (typisch 90 Tage), und veroeffentlichen Sie erst nach Behebung oder Fristablauf. In der Thesis: Beschreiben Sie den Disclosure-Prozess im Methodenteil. Gutachter bewerten verantwortungsvollen Umgang mit Schwachstellen positiv.

Welche Literatur brauche ich?

Kryptographie: Katz/Lindell „Introduction to Modern Cryptography" (3rd ed.) – das Standardwerk. Fuer die Thesis: Relevante Kapitel (Symmetric/Asymmetric Encryption, Hash Functions, Digital Signatures). Web Security: OWASP Testing Guide (kostenlos, online) – der praktische Leitfaden fuer Pentests. Threat Modeling: Shostack „Threat Modeling: Designing for Security" (2014). Allgemein: Stallings „Computer Security: Principles and Practice" (5th ed.). Standards: BSI IT-Grundschutz, NIST SP 800-53, ISO 27001 – als Referenz fuer Sicherheitsanforderungen.

Formale Verifikation oder Pentest?

Zwei komplementaere Ansaetze: Formale Verifikation (Model Checking, Theorembeweiser) beweist mathematisch, dass ein Protokoll oder Algorithmus bestimmte Sicherheitseigenschaften erfuellt (z.B. ProVerif, Tamarin fuer Protokollverifikation). Pentest prueft empirisch, ob eine Implementierung Schwachstellen hat. In der Thesis: Formale Verifikation fuer Protokollentwurf (MA/Diss), Pentest fuer Implementierungspruefung (BA/MA). Beide kombinieren ist ideal – aber in der BA reicht typischerweise einer der beiden Ansaetze. Mehr zur formalen Verifikation im Test-Automatisierung-Guide.

Darf ich Hacking-Tools in der Thesis verwenden?

Ja – solange Sie sie legal und ethisch einsetzen. Voraussetzungen: (1) Schriftliche Genehmigung des Systembetreibers (bei fremden Systemen). (2) Eigene Systeme oder Testumgebungen. (3) Keine Schaedigung Dritter. Tools wie Nmap, Burp Suite, Metasploit, sqlmap und OWASP ZAP sind in der IT-Sicherheitsforschung Standard – ihr Einsatz in der Thesis ist voellig legitim. Im Methodenteil: Dokumentieren Sie jedes verwendete Tool mit Version und Konfiguration. Gutachter bewerten den methodischen Einsatz, nicht die Toolauswahl.

IT-Sicherheit in Ihrer Thesis – professionell analysiert

Ueber 200 promovierte Ghostwriter – darunter Informatiker mit Security-Expertise. Von Threat Modeling ueber Penetration Testing bis zur kryptographischen Analyse.

Informatik-Ghostwriter Alle Informatik-Guides Jetzt anfragen

Weitere Informatik-Guides

Software-Architektur Machine Learning Cloud & DevOps Theoretische Informatik Datenbankdesign Cyber-Physical Systems HCI & Usability Quantum Computing Test-Automatisierung Ghostwriter Bachelorarbeit schreiben lassen Masterarbeit schreiben lassen Ghostwriter Hausarbeit Ghostwriter Seminararbeit Ghostwriter Doktorarbeit