Assoz. FH-Prof. Dipl.-Ing. Dr. techn. Alexander Benz

Favoritenstraße 226, B.3.15
1100 Wien
+43 1 606 68 77-2471
alexander.benz@hcw.ac.at

Forschungsthemen

Unsere Arbeit adressiert die wachsenden Sicherheitsanforderungen im Internet der Dinge (IoT) und kombiniert Hardware-nahe Ansätze mit innovativen Open-Source-Lösungen. Wir fokussieren uns auf Themen, die für Industrie, Smart-City-Anwendungen und regulatorische Compliance (z. B. EU Cyber Resilience Act) entscheidend sind.

Edge‑AI Security / TinyML

  • Vertrauenswürdige Modell-Provenienz: Entwicklung von Open-Source-Frameworks für die Signierung und Attestation von KI-Modellen auf Mikrocontrollern.
  • Sichere OTA-Updates für Edge-KI: Aufbau von Update-Pipelines für Firmware und ML-Modelle mit Secure Boot und Remote Attestation.
  • SBOM für ML-Modelle („Model-BOM“): Erweiterung bestehender Standards (z.B. CycloneDX/SPDX) für transparente Modell-Supply-Chains.
  • Compliance-as-Code für den Cyber Resilience Act: Automatisierte Prüfungen und Dokumentationsvorlagen für CRA-konforme Edge-KI-Geräte.
  • Open-Source-Demonstratoren: Referenzimplementierungen auf STM32, nRF52 und RISC-V für Industrie- und Smart-City-Anwendungen.

Hardware‑Pentesting im IoT

  • Open IoT Pentest Lab: Aufbau eines vollständig offenen Lehr- und Forschungslabors mit reproduzierbaren Testumgebungen, Hardware-Designs und Firmware-Targets.
  • Sichere Debug-Interfaces: Entwicklung von Best-Practice-Guides und Open-Source-Implementierungen für UART/JTAG/SWD-Härtung auf Mikrocontrollern.
  • Automatisierte Pentest-Methodik: Skripte und Frameworks für reproduzierbare Hardware-Sicherheitsprüfungen im IoT-Kontext.
  • Open-Source-Demonstratoren: Bereitstellung von Tools, Dokumentation und Lehrmaterial für Ausbildung und Industrie-Showcases.

Seitenkanalattacken im IoT

  • Pre-Silicon-Leakage-Analyse: Entwicklung offener Tools zur Bewertung von Seitenkanalrisiken in IoT-SoCs und TinyML-Kernels bereits im Designstadium.
  • Runtime-Leakage-Monitoring: Hardware-Add-ons und Firmware für die Erkennung von Power- und EM-Leakage-Signaturen in Feldgeräten.
  • Open-Source-Testharness: Reproduzierbare Mess- und Analyseumgebungen für Power- und EM-Seitenkanäle, integriert in CI-Pipelines.
  • Leakage-Unit-Tests für Embedded-Frameworks: Integration von Sicherheitsprüfungen in Open-Source-Stacks wie Zephyr und Trusted Firmware-M.

Themen für Masterarbeiten (Stand 10/2025)

Attested TinyML – Vertrauenswürdige Modell-Provenienz & Secure Update auf MCUs

Mit der zunehmenden Verbreitung von TinyML auf ressourcenbeschränkten Mikrocontrollern (MCUs) entstehen neue Herausforderungen für die Sicherheit und Vertrauenswürdigkeit von Machine-Learning-Modellen. Manipulierte Modelle oder unsichere Update-Prozesse können nicht nur die Funktionalität, sondern auch die Integrität von IoT-Systemen gefährden. Ziel dieser Arbeit ist die Entwicklung eines Konzepts, das die Herkunft (Provenienz) von TinyML-Modellen nachweisbar macht und einen sicheren Update-Mechanismus für MCUs implementiert.

  • Inhalte der Arbeit:
    • Analyse aktueller TinyML-Frameworks und Sicherheitsmechanismen.
    • Untersuchung von Risiken bei Modell-Updates und Deployment auf Edge-Geräten.
    • Entwicklung eines Frameworks für Attestation und sichere Updates.
  • Praktischer Teil:
    • Implementierung eines Proof-of-Concept für vertrauenswürdige Modell-Provenienz.
    • Integration eines sicheren Update-Prozesses mit kryptografischen Signaturen.
    • Evaluation auf typischen Mikrocontroller-Plattformen (z. B. STM32, ESP32) hinsichtlich Sicherheit und Performance.

Open IoT Pentest Lab – Aufbau und Evaluierung einer offenen Testumgebung für IoT-Sicherheit

Die zunehmende Vernetzung von Geräten im Internet of Things (IoT) bringt erhebliche Sicherheitsrisiken mit sich. Für Forschung und Ausbildung im Bereich IoT-Security fehlt oft eine standardisierte, leicht zugängliche Testumgebung, um Schwachstellen praxisnah zu analysieren. Ziel dieser Masterarbeit ist die Konzeption und Umsetzung eines Open IoT Pentest Labs, das als offene Plattform für Sicherheitsanalysen und Penetrationstests dient.

  • Inhalte der Arbeit:
    • Analyse bestehender IoT-Testumgebungen und deren Einschränkungen.
    • Definition von Anforderungen an ein offenes, modular erweiterbares Pentest-Lab.
    • Auswahl geeigneter IoT-Geräte und Simulation von realistischen Angriffsszenarien.
  • Praktischer Teil:
    • Aufbau einer physischen oder virtuellen IoT-Testumgebung (z. B. mit Smart-Home-Geräten, Sensoren, Gateways).
    • Integration von gängigen Pentest-Tools (z. B. Nmap, MQTT-Exploit-Frameworks, Firmware-Analyse).
    • Dokumentation typischer Angriffsvektoren und Entwicklung von Sicherheitsrichtlinien.
    • Bereitstellung als Open-Source-Projekt für Lehre und Forschung.

Pre-Silicon-Leakage-Analyse – Entwicklung offener Tools zur Bewertung von Seitenkanalrisiken im IoT

Seitenkanalangriffe stellen eine erhebliche Bedrohung für die Sicherheit von IoT-System-on-Chips (SoCs) und TinyML-Anwendungen dar. Diese Angriffe nutzen physikalische Effekte wie Stromverbrauch oder elektromagnetische Abstrahlung, um vertrauliche Informationen zu extrahieren. Die Herausforderung: Solche Risiken werden oft erst nach der Chipfertigung erkannt, was kostspielige Nachbesserungen erfordert. Ziel dieser Arbeit ist die Entwicklung offener Tools, die bereits in der Entwurfsphase (Pre-Silicon) eine Bewertung von Seitenkanalrisiken ermöglichen.

  • Inhalte der Arbeit:
    • Analyse aktueller Methoden zur Leakage-Bewertung in der Pre-Silicon-Phase.
    • Untersuchung typischer Angriffsvektoren auf IoT-SoCs und TinyML-Kernels.
    • Definition von Metriken und Workflows für die Sicherheitsbewertung im Designstadium.
  • Praktischer Teil:
    • Entwicklung eines Open-Source-Frameworks zur Simulation und Analyse von Leakage-Indikatoren auf RTL- oder Gate-Level.
    • Implementierung von Testfällen für kryptografische Module und TinyML-Kernels.
    • Evaluation der Tools anhand realer Hardware-Designs (z. B. AES-Engine, neuronale Netze für MCUs).

Entwicklung eines Consumer IoT-Security Guides

Im Zeitalter vernetzter Geräte steigt die Bedeutung von IT-Sicherheit im privaten Umfeld rasant. Viele Konsumenten sind sich der Risiken jedoch nicht bewusst oder verfügen nicht über das nötige Wissen, um ihre IoT-Geräte sicher zu betreiben. Ziel dieser Masterarbeit ist die Entwicklung eines praxisorientierten Leitfadens, der Endverbrauchern verständlich erklärt, wie sie ihre IoT-Geräte und Heimnetzwerke effektiv absichern können.

  • Inhalte der Arbeit:
    • Analyse aktueller IoT-Sicherheitsprobleme und bestehender Standards (z. B. ETSI EN 303 645, OWASP IoT Top 10).
    • Ableitung von Anforderungen an einen benutzerfreundlichen Security-Guide.
    • Erstellung eines strukturierten Leitfadens mit klaren Handlungsempfehlungen.
  • Praktischer Teil:
    • Entwicklung einer interaktiven Web-App oder eines Tools zur Sicherheitsprüfung von IoT-Geräten (ARP‑Ping‑Sweep, mDNS, SSDP, einfache Portchecks, …).
    • Erstellung einer Checkliste für Verbraucher und Validierung durch Usability-Tests oder Expertenbefragungen.
    • Proof-of-Concept für ein sicheres IoT-Setup im Heimnetzwerk.

Gesellschaftliche Auswirkungen der steigenden Vernetzung und deren Gefahren

Die zunehmende Vernetzung durch IoT-Technologien verändert nicht nur unseren Alltag, sondern auch gesellschaftliche Strukturen. Mit der wachsenden Abhängigkeit von vernetzten Systemen entstehen neue Chancen, aber auch Risiken – von Datenschutzproblemen bis hin zu Angriffen auf kritische Infrastrukturen. Ziel dieser Arbeit ist es, die gesellschaftlichen Auswirkungen dieser Entwicklung zu analysieren und Handlungsempfehlungen für Politik, Wirtschaft und Verbraucher abzuleiten.

  • Inhalte der Arbeit:
    • Überblick über IoT und Vernetzungstrends.
    • Analyse gesellschaftlicher Chancen und Risiken.
    • Untersuchung regulatorischer und ethischer Aspekte.
  • Praktischer Teil:
    • Entwicklung eines Bewertungsmodells für gesellschaftliche Risiken.
    • Durchführung und Auswertung einer Online-Umfrage basierend auf dem Bewertungsmodell in einem sozialen Netzwerk (z.B. Campusnetzwerk).

Hochschule Campus Wien

Disclaimer
Die Inhalte der Webseiten unter der Subdomain personen.hcw.ac.at werden von MitarbeiterInnen der Hochschule Campus Wien eigenverantwortlich bereitgestellt. Alle UrheberInnen- und Nutzungsrechte liegen daher, soweit nicht ausdrücklich anderes angegeben ist, bei den jeweiligen AutorInnen der Webseiten. Im Übrigen gilt das Impressum der Hochschule Campus Wien Website