t.BA.IT.SWS1-EN.15HS (Software and System Security 1) 
Modul: Software and System Security 1
Diese Information wurde generiert am: 29.03.2024
Nr.
t.BA.IT.SWS1-EN.15HS
Bezeichnung
Software and System Security 1
Veranstalter
T InIT
Credits
4

Beschreibung

Version: 5.0 gültig ab 01.08.2018
 

Modulverantwortung:

Rennhard, Marc (rema)

Modul- / Lernziele: (Kompetenzen)

Ziel Kompetenzen Taxonomiestufen
Sie verstehen den Secure Software Development Lifecycle und die Sicherheitsaktivitäten, die dabei während den verschiedenen Phasen eingesetzt werden müssen. Zudem können Sie diese Aktivitäten auf einen beliebigen Softwareentwicklungsprozess anwenden. F, M K2, K3
Sie kennen Methoden und Tools, um Sicherheitsschwachstellen in implementierten Systemen aufzudecken und Sie können diese Methoden und Tools einsetzen, um Schwachstellen selbst zu finden und auszunutzen. Dies wird Penetration Testing genannt. F, M K3, K4, K5
Sie kennen Methoden, um die Sicherheit eines Systemdesigns zu analysieren und Sie können diese Methoden anwenden, um konzeptionelle Sicherheitsfehler aufzudecken. Dies wird üblicherweise als Threat Modeling (Bedrohungsanalyse) bezeichnet. F, M K3, K4, K5
Sie können sichere Systeme konzipieren, indem Sie geeignete Sicherheitsanforderungen definieren und typische sichere Designprinzipien anwenden. F, M K3, K6
Sie können sichere Applikationen entwickeln. Dazu wird Java als Beispielssprache und -technologie eingesetzt, wobei das meiste, das Sie lernen, direkt auch auf andere Sprachen und Technologien übertragen werden kann. F, M K3, K6

Modul- / Lerninhalte:

Meldungen über grössere Datenlecks oder andere IT-Sicherheitsvorfälle erreichen uns fast täglich. Die Ursache sind meist Schwachstellen in Software und Systemen und der Hauptgrund, warum wir heute so viele Sicherheitsschwachstellen haben, liegt daran, dass viele Softwareingenieure weder wissen, wie man sichere IT Systeme entwickelt, noch haben sie nennenswerte Kenntnisse realer Bedrohungen und Attacken gegen solche Systeme. Viele Softwareingenieure sind zudem der Ansicht, dass es für das Entwickeln sicherer Software reicht, wenn man die Programmiersprachen und Frameworks kennt, wenn man gutes Softwaredesign versteht und wenn man agile Entwicklungsprozesse sinnvoll einsetzt. Diese Denkweise ist allerdings komplett falsch: Die Sicherheit von Software entsteht nicht einfach von selbst. Stattdessen muss man sich aktiv und während des ganzen Software-Entwicklungsprozesses darum kümmern. Dies bedingt zusätzliche Skills, die gelernt und beherrscht werden müssen.

In diesem Modul werden Sie lernen, wie man sichere Software und Systeme entwickelt, wobei sämtliche Phasen des Entwicklungsprozesses relevant sind. Wenn Sie z.B. Anforderungen definieren, dann werden Sie lernen sich zu fragen «was kann denn möglicherweise schieflaufen und wie schlimm könnte dies sein?». Basierend auf den dabei definierten Sicherheitsanforderungen werden Sie dann lernen, wie man sichere Software konkret konzipiert und implementiert, so dass diese resistent gegen Cyberattacken ist. Ebenfalls werden Sie einige Hacking Skills lernen, denn wenn Sie ein sicherheitsbewusster Softwareingenieur sein möchten, dann müssen Sie wissen, wie Angreifer vorgehen. Dazu gehört auch, dass Sie lernen, einen Penetration Test der eigenen Software oder der Software von Dritten durchzuführen.

Dieses Modul ist sehr empfehlenswert für alle, die sich im Berufsleben im Bereich Software Engineering betätigen möchten oder die sich ganz generell für Informationssicherheit interessieren. Das Nachfolgemodul, Sofware and System Security 2, vertieft einige Themen aus diesem Modul und führt zudem neue Themen ein. Wir empfehlen, dass Sie beide Module absolvieren, es ist aber auch möglich, nur das erste Modul für sich alleine zu absolvieren.

Modulinhalt:


Sicherer Softwareentwicklungsprozess (10 Lektionen)
  • Einführung in die Software-Sicherheit
  • Der Secure Development Lifecycle
  • Secure Design Principles
  • Security Requirements Engineering und Threat Modeling
  • Security Risk Analysis

Security Testing (6 Lektionen)
  • Security Testing von Web Applikationen
  • Security Testing Tools: Static Code Analysis und Schwachstellenscanner

Sichere Softwareentwicklung (12 Lektionen)
  • Typische, sicherheitsrelevante Programmierfehler und wie man diese ausnutzen kann (Buffer Overflows, Probleme mit Inputvalidierung, Race Conditions,...)
  • Java Security Libraries für kryptografische Operationen und sichere Kommunikation
  • Sichere Entwicklung von Webapplikationen und Web Services, mit Verwendung von Java EE als Beispielstechnologie (Authentisierung, Access Control, Verhindern von Schwachstellen,...)

In den Praktika werden praxisbezogene Problemstellungen zu allen wichtigen Hauptthemen der Vorlesung durchgeführt. Die Aufgaben sind ein Mix aus den Bereichen Security Analysis, Security Design, Security Testing und sichere Softwareentwicklung mit Java.

Lehrmittel /Materialien:

Vorlesungsfolien mit zusätzlichen Kommentaren.

Ergänzende Literatur:

Es gibt kein Buch, das die im Modul behandelten Themen komplett abdeckt. Zur Vertiefung einzelner Themen eignen sich folgende Werke:
  • Gary McGraw. Software Security: Building Security In. Addison-Wesley Longman, ISBN 978-0321356703 (Fokus auf dem sicheren Softwareentwicklungsprozess allgemein)
  • Neil Daswani, Christoph Kern and Anita Kesavan. Foundations of Security: What every Programmer needs to know. Apress, ISBN 978-1590597842 (Fokus auf Security Design und sichere Implementierung)
  • Dafydd Stuttard and Marcus Pinto: The Web Application Hacker's Handbook: Finding and Exploiting Security Flaws. Wiley, ISBN 978-1118026472 (Fokus auf Penetration Festing von Web Applikationen)
  • Brook S.E. Schoenfield. Securing Systems. CRC Press, ISBN 978-1482233971 (Fokus auf Security Analysis und Threat Modeling)

Zulassungs-voraussetzungen: 

Das Modul IT-Sicherheit (Grundstudium) muss absolviert worden sein.

Unterrichtssprache:

Englisch

Modulstruktur:  

Unterrichtsart Anzahl Lektionen / Woche
Vorlesung: 14*2
Übung / Praktikum: 14*2
Blockunterricht:  

Leistungsnachweise:

Von der Regelung der "Leistungsnachweise während der Unterrichtszeit" kann dann abgewichen werden, wenn der Dozierende dies in einer Modulbereinbarung während der ersten Woche des Studiensemesters schriftlich bekannt gibt.
Bezeichnung Art Form Umfang Bewertung Gewichtung
Leistungsnachweise während Unterrichtszeit Bewertete Praktika Schriftlich und mündlich Alle Praktika Punkte, die zur Punktzahl der Schlussprüfung addiert werden 20%
Semesterendprüfung Prüfung Schriftlich 90 Minuten Note 80%

Bemerkungen

 

Hinweis

Kurs: Software and System Security 1 - Praktikum
Nr.
t.BA.IT.SWS1-EN.15HS.P
Bezeichnung
Software and System Security 1 - Praktikum

Hinweis

  • Für das Stichdatum 29.03.2024 ist kein Modulbeschreibungstext im System verfügbar.
Kurs: Software and System Security 1 - Vorlesung
Nr.
t.BA.IT.SWS1-EN.15HS.V
Bezeichnung
Software and System Security 1 - Vorlesung

Hinweis

  • Für das Stichdatum 29.03.2024 ist kein Modulbeschreibungstext im System verfügbar.