Die CYRENZH Cybersecurity Clinic startete im Herbst 2024 und bietet ausgewählten Organisationen wie KMUs, Start-ups, Gemeinden, Schulen, Non-Profit-Organisationen und Vereinen pro bono Cybersecurity-Services an. Die Projekte werden von Studierenden der ZHAW School of Engineering, der ZHAW School of Management and Law und der Universität Zürich bearbeitet und von Dozierenden und wissenschaftlichen Mitarbeitenden betreut.
In den vergangen Monaten wurden weitere Projekte durchgeführt und erfolgreich beendet. Dabei konnten insgesamt 10 Studierende wertvolle Praxiserfahrung sammeln und gleichzeitig die Partnerorganisationen bei deren Cybersecurity-Herausforderungen unterstützen.
Tobias Ospelt, Managing Director bei Pentagrid AG und Praxispartner eines der Projekte meint dazu: Zu sehen, dass lokale LLMs bei bestimmten Aufgaben sehr gut abschneiden, während sie bei anderen versagen, gab uns einen klaren Hinweis auf die Einsatzmöglichkeiten mit dem Burp Suite MCP-Server. Die im Clinic-Projekt vom Studenten durchgeführte Evaluation ebnet den Weg für zukünftige Forschung in diesem Bereich.
Wenn auch Sie Interesse an der Durchführung eines solchen Projekts haben, dann zögern Sie nicht, uns zu kontaktieren. Auf der Website der CYRENZH Cybersecurity Clinic finden Sie alle relevanten Informationen.
Die durchgeführten Projekte sind nachfolgend beschrieben.
Data Leakage Prevention für Bernina Schweiz AG
In diesem Projekt hat ein Studierender der ZHAW School of Engineering ein Konzept für eine Data Leakage Prevention Lösung für Bernina Schweiz AG entworfen. Das Projekt startete mit der Erhebung der Anforderungen und Rahmenbedingungen bei Bernina. Daraus wurden verschiedene Varianten für die Definition von Schutzklassen abgeleitet. Zum Abschluss wurde in einer Produktevaluation eruiert, welches Produkt am besten auf die Bedürfnisse von Bernina abgestimmt ist. So konnten mit dem Projekt die Grundlagen für eine erfolgreiche Einführung einer Data Leakage Prevention Lösung erarbeitet werden.
Security Consulting für die Universität Zürich
Die Universität Zürich hat eine sehr heterogene Umgebung. So ist es schwierig, geeignete Empfehlungen für Softwarekomponenten wie Passwortmanager oder Verschlüsselungstools abzugeben. Mit dieser Aufgabe konfrontiert, haben zwei Studententeams Prototypen entwickelt, die Produkte nach persönlichen Gewichtungen und Priorisierungen nach diversen Kategorien bewerten und empfehlen. Diese Prototypen lassen sich auf den persönlichen Kenntnisstand einstellen, um so differenzierte Aussagen zu treffen.
Security Consulting für ein Schweizer KMU
Ein KMU mit wenig Budget und fehlender IT-Abteilung, aber doch mit sensiblen Daten, hat seine Infrastruktur durch eine Studentengruppe screenen und härten lassen, so dass die Sicherheit stark erhöht werden konnte. Dabei wurden bespielsweise das NAS ersetzt und gehärtet, ein separater Router mit Kunden-VPN eingerichtet und die physische Sicherheit durch geeignete Massnahmen optimiert.
LLM-Penetration-Testing mit der Burp Suite für Pentagrid
In diesem Projekt analysierte ein Student der ZHAW School of Engineering, wie LLMs das Penetrationstest-Tool Burp Suite nutzen könnten, um Penetrationstests für den Projektpartner Pentagrid effizienter zu gestalten. Anhand der Umsetzung von drei spezifischen Anwendungsfällen – Scan-Management, Ergebnisüberprüfung und Berichterstellung – bewertete die Studie die Leistung verschiedener Modelle, von Llama 3.2 bis GPT-4. Durch die Einrichtung eines speziellen Benchmarks demonstrierte das Projekt die Machbarkeit lokaler LLM-gesteuerter Sicherheitstests und identifizierte die spezifischen Stärken und Grenzen aktueller Modelle, die die Burp Suite steuern können.