t.BA.WV.SWS1-EN.19HS (Software and System Security 1) 
Modul: Software and System Security 1
Diese Information wurde generiert am: 02.12.2022
Nr.
t.BA.WV.SWS1-EN.19HS
Bezeichnung
Software and System Security 1
Veranstalter
T InIT
Credits
4

Beschreibung

Version: 5.0 gültig ab 01.08.2022
 

Kurzbeschrieb

In diesem Modul lernen Sie, wie man sichere Software und Systeme entwickelt. Dazu werden verschiedene Methoden und Tools wie z.B. Security Requirements Engineering, Threat Modeling, Security Design & Controls, Secure Coding und Penetration Testing eingesetzt, die im Modul alle umfassend behandelt werden.

Modulverantwortung

Rennhard, Marc (rema)

Lernziele (Kompetenzen)

Ziel Kompetenzen Taxonomiestufen
Sie verstehen den Secure Software Development Lifecycle und die Sicherheitsaktivitäten, die dabei während den verschiedenen Phasen eingesetzt werden müssen. Zudem können Sie diese Aktivitäten auf einen beliebigen Softwareentwicklungsprozess anwenden. F, M K2, K3
Sie kennen Methoden und Tools, um Sicherheitsschwachstellen in implementierten Systemen aufzudecken und Sie können diese Methoden und Tools einsetzen, um Schwachstellen selbst zu finden und auszunutzen. Dies wird Penetration Testing genannt. F, M K3, K4, K5  
Sie kennen Methoden, um die Sicherheit eines Systemdesigns zu analysieren und Sie können diese Methoden anwenden, um konzeptionelle Sicherheitsfehler aufzudecken. Dies wird als Threat Modeling (Bedrohungsanalyse) bezeichnet. F, M K3, K4, K5
Sie können sichere Systeme konzipieren, indem Sie geeignete Sicherheitsanforderungen definieren und passende Security Controls in ein Systemdesign integrieren. F, M K3, K6
Sie können sichere Applikationen entwickeln. Dazu wird Java als Beispielssprache und -technologie eingesetzt, wobei das meiste, das Sie lernen, direkt auch auf andere Sprachen und Technologien übertragen werden kann. F, M K3, K6

Modulinhalte

Meldungen über grössere Datenlecks oder andere IT-Sicherheitsvorfälle erreichen uns fast täglich. Die Ursache sind meist Schwachstellen in Software und Systemen und der Hauptgrund, warum wir heute so viele Sicherheitsschwachstellen haben, liegt daran, dass viele Softwareingenieure weder wissen, wie man sichere IT Systeme entwickelt, noch haben sie nennenswerte Kenntnisse realer Bedrohungen und Attacken gegen solche Systeme. Viele Softwareingenieure sind zudem der Ansicht, dass es für das Entwickeln sicherer Software reicht, wenn man die Programmiersprachen und Frameworks kennt, wenn man gutes Softwaredesign versteht und wenn man agile Entwicklungsprozesse sinnvoll einsetzt. Diese Denkweise ist allerdings komplett falsch: Die Sicherheit von Software entsteht nicht einfach von selbst. Stattdessen muss man sich aktiv und während des ganzen Software-Entwicklungsprozesses darum kümmern. Dies bedingt zusätzliche Skills, die gelernt und beherrscht werden müssen.

In diesem Modul werden Sie lernen, wie man sichere Software und Systeme entwickelt, wobei sämtliche Phasen des Entwicklungsprozesses relevant sind. Wenn Sie z.B. Anforderungen definieren, dann werden Sie lernen sich zu fragen «was kann denn möglicherweise schieflaufen und wie schlimm könnte dies sein?». Basierend auf den dabei definierten Sicherheitsanforderungen werden Sie dann lernen, wie man sichere Software konkret konzipiert und implementiert, so dass diese resistent gegen Cyberattacken ist. Ebenfalls werden Sie einige Hacking Skills lernen, denn wenn Sie ein sicherheitsbewusster Softwareingenieur sein möchten, müssen Sie wissen, wie Angreifer vorgehen. Dazu gehört auch, dass Sie lernen, einen Penetration Test der eigenen Software oder der Software von Dritten durchzuführen.

Dieses Modul ist sehr empfehlenswert für alle, die sich im Berufsleben im Bereich Software Engineering betätigen möchten oder die sich ganz generell für Informationssicherheit interessieren. Das Nachfolgemodul, Software and System Security 2, vertieft einige Themen aus diesem Modul und führt zudem neue Themen ein. Wir empfehlen, dass Sie beide Module absolvieren, es ist aber auch möglich, nur das erste Modul für sich alleine zu absolvieren.

Inhaltlich werden folgende Themen abgedeckt, in Theorie und Anwendung:

Sicherer Softwareentwicklungsprozess
  • Einführung in die Software-Sicherheit
  • Der Secure Development Lifecycle
  • Fundamental Security Principles
  • Security Requirements Engineering und Threat Modeling
  • Security Risk Analysis
Security Testing
  • Security Testing von Web Applikationen
  • Security Testing Tools: Static Code Analysis und Schwachstellenscanner
Sichere Softwareentwicklung
  • Typische, sicherheitsrelevante Programmierfehler und wie man diese ausnutzen kann (Buffer Overflows, Probleme mit Inputvalidierung, Race Conditions,...)
  • Java Security Libraries für kryptografische Operationen und sichere Kommunikation
  • Sichere Entwicklung von traditionellen (laufen primär server-seitig und liefern komplette HTML-Seiten) und modernen (Single Page Applikationen mit REST APIs im Backend) Webapplikationen (Authentisierung, Access Control, Sicherer Datenbankzugriff, Input-Validierung, Session-Handling, JSON Web Tokens, Verhindern von Schwachstellen wie XSS und CSRF,...)
Der Theorieteil (Vorlesungsteil) wird im Selbststudium mittels vorab produzierter Lernvideos (Screencasts) erarbeitet. Die Videos enthalten integrierte Lernkontrollfragen, so dass Sie unmittelbar Feedback erhalten. Das Praktikum findet vor Ort im Klassenzimmer statt. Im Praktikum werden praxisbezogene Problemstellungen zu den Hauptthemen der Vorlesung bearbeitet. Ebenfalls werden sie als Teil des Praktikums während des ganzen Semesters mehrere Hacking-Challenges aus Sicht eines Angreifers bearbeiten, um Ihre Penetration Testing Skills fortlaufend zu verbessern.

Lehrmittel/Materialien

  • Lernvideos (Screencasts) mit Lernkontrollfragen für den Theorieteil (Vorlesungsteil)
  • Folien, die in den Lernvideos verwendet werden, inkl. zusätzliche Kommentare
  • Praktika inkl. Anleitungen
  • Hacking-Challenges inkl. Anleitungen

Ergänzende Literatur

Es gibt kein Buch, das die im Modul behandelten Themen komplett abdeckt. Zur Vertiefung einzelner Themen eignen sich folgende Werke:
  • Gary McGraw. Software Security: Building Security In. Addison-Wesley Longman, ISBN 978-0321356703 (Fokus auf dem sicheren Softwareentwicklungsprozess allgemein)
  • Neil Daswani, Christoph Kern and Anita Kesavan. Foundations of Security: What every Programmer needs to know. Apress, ISBN 978-1590597842 (Fokus auf Security Design und sichere Implementierung)
  • Dafydd Stuttard and Marcus Pinto: The Web Application Hacker's Handbook: Finding and Exploiting Security Flaws. Wiley, ISBN 978-1118026472 (Fokus auf Penetration Festing von Web Applikationen)
  • Brook S.E. Schoenfield. Securing Systems. CRC Press, ISBN 978-1482233971 (Fokus auf Security Analysis und Threat Modeling)

Zulassungs-voraussetzungen 

Das Modul IT-Sicherheit (Grundstudium) muss absolviert worden sein.

Unterrichtssprache

( ) Deutsch (X) Englisch

Teil des Internationalen Profils

(X) Ja ( ) Nein

Modulausprägung

Typ 3a
  Details siehe unter: T_RL_Richtlinie_Modulauspraegungen_Stundengutschriften

Leistungsnachweise

Bezeichnung Art Form Umfang Bewertung Gewichtung
Leistungsnachweise unter dem Semnester Bewertete
Praktika und Hacking-Challenges
Schriftlich und mündlich   Punkte, die zur Punktzahl der Schlussprüfung addiert werden 20%
Semesterendprüfung Prüfung Schriftlich 90 Minuten Schlussnote 80%

Bemerkungen

 

Rechtsgrundlage

Die Modulbeschreibung ist neben Rahmenprüfungsordnung und Studienordnung Teil der Rechtsgrundlage. Sie ist verbindlich. Eine in der ersten Unterrichtswoche des Semesters schriftlich festgehaltene und kommunizierte Modulvereinbarung kann die Modulbeschreibung präzisieren. Die Modulvereinbarung ersetzt nicht die Modulbeschreibung.

Hinweis

Kurs: Software and System Security 1 - Praktikum
Nr.
t.BA.WV.SWS1-EN.19HS.P
Bezeichnung
Software and System Security 1 - Praktikum

Hinweis

  • Für das Stichdatum 02.12.2022 ist kein Modulbeschreibungstext im System verfügbar.
Kurs: Software and System Security 1 - Vorlesung
Nr.
t.BA.WV.SWS1-EN.19HS.V
Bezeichnung
Software and System Security 1 - Vorlesung

Hinweis

  • Für das Stichdatum 02.12.2022 ist kein Modulbeschreibungstext im System verfügbar.