Anfangs Oktober 2024 haben wir den Start der CYRENZH Cybersecurity Clinic angekündigt. In dieser Clinic bieten Studierende der ZHAW School of Engineering, der ZHAW School of Management and Law und der Universität Zürich ausgewählten Organisationen wie KMUs, Start-ups, Gemeinden, Schulen, Non-Profit-Organisationen und Vereinen pro bono Cybersecurity-Services an. Die Services decken ein breites Spektrum der Cybersecurity ab, von technischen Sicherheitsaspekten bis hin zu Security Risk Assessments und Human Factors.
Mit der Clinic wollen wir die Cybersecurity-Situation, das Wissen und das Bewusstsein dieser Organisationen verbessern und gleichzeitig die Ausbildung der nächsten Generation von Cybersecurity-Experten vertiefen, indem die Studierenden das im Unterricht erworbene Wissen in der realen Welt anwenden.
Die ersten vier Clinic-Projekte wurden im Herbstsemester 2024 gestartet und konnten in der Zwischenzeit alle abgeschlossen werden. Insgesamt 10 Studierende bearbeiteten die Projekte und konnten wertvolle Praxiserfahrung sammeln. Im Folgenden werden wir auf all diese vier Projekte eingehen und über die erreichten Ergebnisse berichten.
Wenn auch Sie Interesse an der Durchführung eines solchen Projekts haben, dann zögern Sie nicht, uns zu kontaktieren. Auf der Website der CYRENZH Cybersecurity Clinic finden Sie alle relevanten Informationen.
Das erste Projekt: Penetration Test einer Webapplikation von TrueYouOmics
TrueYouOmics ist ein Start-up aus Winterthur, das Risikobewertungen der Gesundheit durch die Integration von DNA-, RNA- und Proteindaten aus Bluttests anbietet. Der verwendete Ansatz kombiniert biomedizinische knowledge-graphs und KI. Die Ergebnisse der Analyse werden den Kund:innen per Webapplikation angeboten, wobei auch ein KI-basierter Chatbot für Unterstützung und Beratung in Echtzeit integriert ist. Die nebenstehende Abbildung zeigt einen Screenshot der Webapplikation.
Durch die Integration von personenbezogen und damit sehr sicherheitskritischen Daten ist es für TrueYouOmics wichtig, dass die Webapplikation hohe Sicherheit aufweist. Deshalb wurde bereits während des Entwicklungsprozesses ein starker Fokus auf Sicherheit gesetzt. Zusätzlich sollte die Sicherheit nun auch von Dritten untersucht werden, im Rahmen eines Penetration Tests, woraus dieses Clinic-Projekt entstand.
Das Projekt wurde von Tobias Leu und James Leadbeater bearbeitet, als Teil einer Projektarbeit im Informatik Bachelorstudium an der ZHAW School of Engineering. Die Betreuung wurde von Prof. Dr. Marc Rennhard und Thomas Sutter sichergestellt. Die Arbeit stellte sich als sehr herausfordernd dar, da die Webapplikation auf mehreren modernen Technologien basiert und auch Services von Dritten integriert. Entsprechend mussten sich die Studierenden als Teil der Arbeit in diese Technologien und auch Angriffstechniken wie Prompt-Injection einarbeiten. Da die Studierenden aber bereits umfassende Grundkenntnisse aus dem Studium aufwiesen, unter anderem auch in Angriffstechniken auf Webapplikationen, konnten sich die beiden die noch fehlenden Kenntnisse effizient als Teil des Projekts erarbeiten.
Der Penetration Test hat aufgezeigt, dass die Webapplikation insgesamt ein gutes Sicherheitsniveau aufweist. Dennoch konnten mehrere relevante Schwachstellen aufgezeigt werden, sowohl bei den grundlegenden Webapplikations-Funktionen als auch bei der Chatbot-Integration. Für all diese Schwachstellen wurden effektive und effizient umsetzbare Lösungen vorgeschlagen und so beschrieben, dass diese von TrueYouOmics selbstständig umgesetzt werden können.
Statements
Kevin Yar, CEO TrueYouOmics:
«Das Clinic-Projekt hat uns wertvolle Einblicke in unsere Sicherheitslage gegeben und klar aufgezeigt, wo Optimierungspotenzial besteht. Die detaillierten Analysen und praxisnahen Korrekturmassnahmen der Studierenden sind für uns von grossem Nutzen und werden dazu beitragen, unsere Sicherheitsstandards weiter zu verbessern.»
Tobias Leu und James Leadbeater, Informatikstudenten ZHAW School of Engineering:
«Wir haben bereits im Informatikstudium einiges über Penetration Testing erfahren. Durch die Anwendung auf eine reale Webapplikation einer innovativen Firma konnten wir unser Know-How aber nochmals deutlich vertiefen und wir haben viel Neues gelernt. Der regelmässige Austausch mit TrueYouOmics und den ZHAW-Betreuern hat dabei ebenfalls entscheidend beigetragen, und wir sind mit den erreichten Ergebnissen sehr zufrieden.»
Das zweite Projekt: Cybersicherheit auf dem Bauernhof
Die Fachstelle Landtechnik des Landwirtschaftlichen Zentrums des Kanton St. Gallen (LZSG) beschäftigt sich mit den Themen der Digitalisierung in der Landwirtschaft und Smart Farming. In diesem Rahmen wurde im Frühling 2024 vom LZSG gemeinsam mit der Kantonspolizei eine Pilotveranstaltung zur Förderung der Security-Awareness auf Bauernhöfen angeboten. Dabei stellte sich heraus, dass allgemein gehaltene Informationen nicht die gewünschten Effekte erzielten. Auf der anderen Seite sind für spezifische Informationen weder die genauen Gefahren noch das potenziell risikoreiche Verhalten der Bäuerinnen und es fehlt auch das benötigte Wissen über geeignete technische und Verhaltensänderungsmassnahmen.
Das interdisziplinäre Clinic-Projekt wurde vom LZSG gemeinsam mit der ZHAW School of Management and Law und der ZHAW School of Engineering initiiert, mit dem Ziel technische und verhaltensspezifische Schwachstellen in Bezug auf Cybersicherheit auf den Bauernhöfen des Kantons St. Gallen zu identifizieren.
An der ZHAW School of Management and Law wurde das Forschungsvorhaben als Teil einer Projektarbeit im Bachelorstudium Wirtschaftsinformatik mit drei Studierenden umgesetzt. Die Studierenden wurde von Dr. Benjamin Ambühl betreut. Die systematische Erforschung der verschiedenen sicherheitsrelevanten Verhalten und deren Einflussfaktoren ergab folgende Resultate:
- Im Alltag ist in den untersuchten Bauernbetrieben risikoreiches Verhalten in Bezug auf die Cybersicherheit des Betriebs in allen Verhaltensdomänen zu finden, insbesondere aber beim Schutz der IT-Infrastruktur sowie bei der Autorisierung, Kontrolle und Handhabung von Zugriffsrechten. Da nur einer der Betriebe bisher von einem Cybersecurity-Vorfall betroffen war, konnte das Verhalten bei Zwischenfällen oder verdächtigen Vorkommnissen nicht umfassend beurteilt werden.
- In Bezug auf die untersuchten Einflussfaktoren auf das Verhalten gibt es deutliche Hinweise, wo allfällige Schulungen oder Awareness-Kampagnen ansetzen könnten, um das Verhalten der Bäuerinnen und Bauern konkret zu verändern. Insbesondere die Wahrnehmung der Vulnerabilität und die Konsequenzen von Cyberangriffen ist in den untersuchten Betrieben sehr tief ausgeprägt. Cybersicherheitsmassnahmen werden stets als schlechtes Kosten/Nutzen-Verhältnis wahrgenommen. Die Cybersicherheit wird zwar mit negativen Gefühlen beschrieben, aber das Handlungswissen und auch die empfundene Verbindlichkeit sind sehr klein.
Insgesamt legen diese Resultate die Grundlagen, um in einer folgenden repräsentativen Befragung die relevantesten Themen für spezifische zukünftige Cybersicherheitsschulungen für Bauernbetriebe herauszufinden.
An der ZHAW School of Engineering wurde das Forschungsvorhaben als Teil einer Projektarbeit eines Studenten im Bachelorstudiengang Informatik durchgeführt. Der Student besuchte verschiedene Bauernhöfe mit Viehhaltung und analysierte die dort vorhandene Infrastruktur in Bezug auf ihre Cybersecurity-Risiken. Dabei hat er viele Geräte und Maschinen mit Internetanbindung gefunden. Die Spanne ist gross und reicht vom modernen Melkroboter im Stall bis zum smarten Mixer in der Küche. Nach dieser Bestandesaufnahme hat er die einzelnen Geräte und die gesamte IT-Architektur auf die technischen Aspekte der Cybersicherheit überprüft und konnte mit dieser Analyse konkrete Gefährdungen identifizieren. Auf Basis dieser Erkenntnisse entwickelte er praxisnahe Handlungsempfehlungen für die Landwirt:innen.
Der Student wird die Arbeit im Rahmen seiner Bachelorarbeit weiterführen, in der er Security-Awareness Materialen zur Schulung von Landwirt:innen erstellen wird. Dazu gestaltet er unter anderem einen Flyer, welcher an landwirtschaftlichen Messen verteilt werden kann und eine Webseite mit weiterführenden Informationen. Damit sollen die Bäuerinnen und Bauern nicht nur für Cyberrisiken sensibilisiert werden, sondern auch konkrete und für sie praktikable Vorschläge erhalten, um ihre Betriebe besser zu schützen.
Statements
Benjamin Ambühl, Dozent ZHAW School of Management and Law und Betreuer des Projekts:
«Ein solch innovatives Forschungsprojekt, welches unbekanntes Terrain betritt, ist für alle Beteiligten eine Herausforderung. Umso schöner ist es, wenn die Resultate hilfreich für die Praxis sind und weitere Forschungsfragen anregen – wie bei diesem Projekt. Die Ergebnisse aus dieser Pionierarbeit schaffen direkten Nutzen für die Bauernhöfe, da sich das LZSG aktuell überlegt, ein neues Beratungsangebot für Cybersicherheit zu schaffen.»
Elias Csomor, Informatikstudent ZHAW School of Engineering: «Unsere Landwirtschaft gehört zur kritischen Infrastruktur, deshalb muss sie unbedingt geschützt werden: es braucht ein geschärftes Problembewusstsein, dann können schon einfache Massnahmen eine grosse Wirkung erzielen.»
Das dritte Projekt: Cybersecurity Hardening für ein KMU im Kanton Zürich
Viele Unternehmen stehen täglich vor der Herausforderung, sensible Informationen sowohl sicher als auch effizient zwischen ihren Mitarbeitenden – darunter Festangestellte sowie Freelancer – auszutauschen. Auch für den Firmenpartner dieses Clinic-Projekts, ein KMU aus dem Kanton Zürich, ist dies eine zentrale Aufgabe im Arbeitsalltag.
Da der Schutz personenbezogener Daten essenziell ist, um die Vertraulichkeit der Kunden-, Mitarbeitenden- und Unternehmensinformationen zu gewährleisten, sind regelmässige Cybersecurity Health-Checks mit entsprechendem Hardening unerlässlich. Zwischen September und Dezember 2024 führten Luca Bosin, Phil Frei und Luca Streiff dieses Clinic-Projekt im Rahmen einer Projektarbeit an der ZHAW School of Management and Law durch. Das Projekt wurde von Tibor Dudas (ZHAW SML) betreut, während Melanie Knieps (UZH Digital Society Initiative) den gesamten Prozess begleitete. Zu Beginn wurde eine umfassende Bestandsaufnahme der bestehenden IT-Systeme, verwendeten Tools und Cloud-Dienste durchgeführt. Ergänzend dazu erfolgte eine Bedrohungsanalyse, um spezifische Risiken und Angriffsvektoren zu identifizieren. Auf dieser Basis wurde der Fokus der weiterführenden Sicherheitsprüfung festgelegt. Besonderes Augenmerk lag auf dem Passwort- und Zugriffsmanagement, der Verschlüsselung und Datensicherung, sowie der Entwicklung eines Awareness-Konzepts für die Mitarbeitenden. Am Ende des Projekts hatten die Studenten konkrete Massnahmen zur Verbesserung der Sicherheit ausgearbeitet, so weit wie möglich umgesetzt und eine priorisierte Liste mit umsetzbaren Handlungsempfehlungen erstellt.
Durch das Clinic-Projekt gewann der Firmenpartner nicht nur ein tieferes Verständnis für seine Sicherheitsrisiken, sondern erhielt auch ein Hardening seiner Systeme sowie konkrete Empfehlungen zur weiteren Verbesserung der IT-Sicherheit. Diese solide Grundlage ermöglicht es dem KMU, die nächsten Schritte auf seiner Sicherheitsreise – bei Bedarf mit Unterstützung eines Dienstleisters – gezielt anzugehen.
Statements
Tibor Dudas, Wissenschaftlicher Mitarbeiter der ZHAW School of Management and Law und Leiter des Projekts:
«Jede Woche werden Schweizer KMUs Opfer von Cyber-Angriffen. Für einige bedeutet dies das Ende der Firma. Die Menge der gemeldeten Angriffe hat im Vergleich zu 2023 um ca. 20% zugenommen. KMUs mit einem schmalen Budget haben mit der CYRENZH Cybersecurity Clinic die Möglichkeit, eine Abschätzung ihrer Bedrohungslage, umgesetzte Massnahmen zur Härtung Ihrer Systeme sowie einen Katalog mit weiteren Handlungsempfehlungen zu erhalten. Für die Studierenden, die teilweise bereits neben ihrem Studium im Sicherheitsbereich arbeiten, ist es eine hervorragende Gelegenheit, sich auf diesem Gebiet weiter zu spezialisieren und weitere Praxiserfahrungen zu sammeln. In der Summe eine Win-Win-Situation für alle Beteiligten: Zur Stärkung der Schweizer Wirtschaft und zur Optimierung der Ausbildung unserer Studierenden.»
Dr. Melanie Knieps, Senior Researcher bei der Digital Society Initiative an der Universität Zürich und Leiterin des Projekt CYRENZH:
«Die Cybersecurity Clinic bringt Vorteile für alle Beteiligten: Studierende sammeln wertvolle Praxiserfahrung, KMUs stärken ihre Cybersicherheitskompetenz, und Hochschulangehörige tragen dazu bei, die nächste Generation von Fachkräften bestmöglich auszubilden. Zudem kann ein gesteigertes Risikobewusstsein zu einer höheren Nachfrage nach Sicherheitsdienstleistungen führen – ein Gewinn für die Schweizer Wirtschaft und Gesellschaft.»
Das vierte Projekt: Toolbox für das Penetration Testing von Webapplikationen
Zur Mission der Firma Secuteer gehört, Cybersecurity für viele zugänglich und einfach verständlich zu machen. Dies umfasst auch das Penetration Testing von Webapplikationen. Dabei wird eine lauffähige Webapplikation durch Interaktion von aussen bezüglich Sicherheit getestet. Meist ist es sinnvoll, eine Webapplikation von Zeit zu Zeit einem umfassenden Penetration Test zu unterziehen, insb. wenn grössere Erweiterungen oder Anpassungen (Major Releases) vorgenommen wurden. Für solche Tests werden dabei oft externe Expert:innen von spezialisierten Firmen beigezogen.
Bei Minor Releases oder für Re-Tests nach der Behebung zuvor gefundener Schwachstellen und auch generell zur Befähigung und Sensibilisierung im Bereich Cybersecurity, wäre es wünschenswert, dass die wichtigsten Tests auch von den internen Entwickler:innen selbst durchgeführt werden können, was bestens zu Mission von Secuteer passt. Um dies zu erreichen, wurden in diesem Clinic-Projekt die Grundlagen für eine Toolbox für das Penetration Testing von Webapplikationen gelegt.
Als Teil einer Projektarbeit im Informatik Bachelorstudium an der ZHAW School of Engineering wurde das Projekt von Jacobo Schwitter bearbeitet und von Prof. Dr. Marc Rennhard betreut. Die wichtigsten Ziele waren dabei das Festlegen der Anforderungen an die Toolbox, die Wahl von geeigneten unterliegenden Technologien und die Implementierung eines ersten Prototyps. Mit dem entwickelten Prototyp enthält ein:e Benutzer:in konkrete und einfach verständliche Handlungsanweisungen, wie einige der häufigsten Schwachstellentypen in Webapplikationen nachgewiesen werden können.
Mit dem Clinic-Projekt konnte eine sehr gute Basis für die Toolbox gelegt werden. In einem zukünftigen Clinic-Projekt soll diese weiter ausgebaut werden mit dem Ziel, die Toolbox als Open-Source Software der Allgemeinheit zur Verfügung zu stellen.
Valentin Zahnd, Founder Secuteer GmbH:
«Die Basis für die Penetration Testing Toolbox, welche im Clinic-Projekt geschaffen wurde, ist ideal, um zukünftig Entwickler:innen zu befähigen, eigenständig Web Applikationen zu testen und somit den Zugang zu Cybersecurity-Wissen zu vereinfachen.»
Prof. Dr. Marc Rennhard, Fachabteilungsleiter an der ZHAW School of Enginering und Betreuer des Projekts:
«Die Entwicklung einer Penetration Testing Toolbox ermöglichte es dem Studenten, seine Kenntnisse im Bereich Cybersecurity anhand einer praxisrelevanten Problemstellung substantiell zu vertiefen – genau dies ist eines der Hauptziele der CYRENZH Cybersecurity Clinic.»