Beste Masterarbeit in der IT-Security

Anna Neumann ist Absolventin des Masterstudiengangs Praktische Informatik an der FernUniversität in Hagen. Sie arbeitet in der Lebensmittelbranche im Bereich Cyber-Security und studierte neben ihrer Vollzeitbeschäftigung. „Nach meinem Bachelorabschluss wollte ich finanziell unabhängig sein und nicht direkt den Master anschließen. An der FernUni konnte ich neben dem Job studieren“, sagt Anna Neumann.

In ihrer vorherigen Stelle bei einem Finanzdienstleister war sie bereits für das Schwachstellenmanagement zuständig. „Dort habe ich festgestellt, wie schwierig es manchmal sein kann, überhaupt herauszufinden, ob ein System von einer hochaktuellen, kritischen oder einer Zero-Day-Schwachstelle betroffen ist.“ Zero-Day-Schwachstellen sind Schwachstellen, die Softwareherstellern noch nicht bekannt sind, und für die somit noch kein Patch (Aktualisierung/Update) zur Verfügung steht, aber bereits aktiv von Angreifer:innen ausgenutzt werden können.

Ihre Arbeit in der IT-Sicherheit inspirierte sie zu ihrer Masterarbeit mit dem Titel „Evaluierung des CRA und der NIS-2: Rolle und Relevanz der Software Bill of Materials in Open-Source-Projekten im Kontext Schwachstellenmanagement für KRITIS-Unternehmen“.

Job inspirierte das Thema für die Masterarbeit

In der wissenschaftlichen Arbeit geht um das Thema „Software Bill of Materials“, kurz SBOM. Das sind „Stücklisten“, die eine umfassende Auflistung aller Komponenten eines Systems oder einer Anwendung bereitstellen. Sie können auch dazu genutzt werden, um Schwachstellen zu entdecken.

IT-Beschäftigte können durch die Details unter anderem prüfen, welche Komponenten in der Software verbaut sind und ob sie auf einem sicheren Stand sind. SBOMs werden immer wichtiger für eine funktionierende und sichere IT-Landschaft.

EU-Richtlinie NIS-2

Anna Neumann behandelte in ihrer Arbeit speziell die Frage, wie SBOMs im Rahmen der NIS-2-Richtlinie und des Cyber-Resilience-Acts (CRA) nutzbar sind. Die NIS-2-Richtlinie ist die Fortsetzung der europäischen NIS-1-Richtlinie, die eine Neuauflage von sicheren Maßnahmen in Unternehmen der Kritischen Infrastruktur regelt – zum Beispiel in der Energieversorgung oder Telekommunikation. In der Richtlinie geht es darum, die Cybersicherheit kritischer Infrastrukturen und digitaler Dienste durch strengere Sicherheitsanforderungen und Meldepflichten zu stärken. Sie beschreibt auch technische und organisatorische Maßnahmen, die KRITIS-Unternehmen umsetzen sollen, um einen sicheren Betrieb gewährleisten zu können, dazu gehört zum Beispiel ein verpflichtendes Risikomanagement.

Der NIS-2-Congress, der vom 6. bis 7. Mai in Frankfurt stattfand, beschäftigt sich mit dieser EU-Richtlinie. Die NIS-2-Richtlinie hätte eigentlich im Oktober 2024 in Deutschland in nationales Recht, in Form des NIS-2-Umsetzungsgesetzes, umgesetzt werden sollen.

„Durch Unstimmigkeiten in der Politik ist es bis heute noch nicht dazugekommen. Die neue Bundesregierung möchte die Umsetzung nun beschleunigen.“ erklärt Neumann. Das bedeutet für Unternehmen in Deutschland, die in den KRITIS-Bereich fallen, dass sie die Maßnahmen umsetzen müssen. „Gerade für kleinere Unternehmen ist die Umsetzung der Anforderungen aus der NIS-2 schwierig, da oft qualifiziertes Personal und Ressourcen fehlen.“

Vorstellung der eigenen Arbeit

Prof. Tobias Eggendorfer machte die Absolventin auf den Wettbewerb aufmerksam und empfahl ihr ihre Masterarbeit beim „NIS-2-Congress“ einzureichen. Der Lehrbeauftragte der Fakultät für Mathematik und Informatik und Professor an der TH Ingolstadt betreute die Arbeit. „Es war für mich eine positive Überraschung, dass ich unter den Finalisten war“, so Neumann. Beim NIS-2-Congress in Frankfurt am Main erreichte sie dann den ersten Platz für ihre Leistung und erhielt ein Preisgeld von 1.500 Euro.

Bei der Veranstaltung konnte sie sich mit vielen Fachleuten aus verschiedenen Branchen und mit unterschiedlichen Themenschwerpunkten der Cybersicherheit austauschen und neue berufliche Kontakte knüpfen. Anna Neumann freute sich sehr, ihre Ergebnisse auf dem Kongress vorstellen zu dürfen: „Wann bekommt man so eine Gelegenheit? Das war für mich eine große Ehre.“