t.BA.WV.SWS1-EN.19HS (Software and System Security 1) 
Modul: Software and System Security 1
Diese Information wurde generiert am: 27.09.2021
Nr.
t.BA.WV.SWS1-EN.19HS
Bezeichnung
Software and System Security 1
Veranstalter
T InIT
Credits
4

Beschreibung

Version: 2.0 gültig ab 01.08.2021
 

Kurzbeschrieb

In diesem Modul lernen Sie, wie man sichere Software und Systeme entwickelt. Dazu werden verschiedene Methoden und Tools wie z.B. Security Requirements Engineering, Threat Modeling, Security Design & Controls, Secure Coding und Penetration Testing eingesetzt, die im Modul alle umfassend behandelt werden.

Modulverantwortung

Rennhard, Marc (rema)

Lernziele (Kompetenzen)

Ziel Kompetenzen Taxonomiestufen
Sie verstehen den Secure Software Development Lifecycle und die Sicherheitsaktivitäten, die dabei während den verschiedenen Phasen eingesetzt werden müssen. Zudem können Sie diese Aktivitäten auf einen beliebigen Softwareentwicklungsprozess anwenden. F, M K2, K3
Sie kennen Methoden und Tools, um Sicherheitsschwachstellen in implementierten Systemen aufzudecken und Sie können diese Methoden und Tools einsetzen, um Schwachstellen selbst zu finden und auszunutzen. Dies wird Penetration Testing genannt. F, M K3, K4, K5  
Sie kennen Methoden, um die Sicherheit eines Systemdesigns zu analysieren und Sie können diese Methoden anwenden, um konzeptionelle Sicherheitsfehler aufzudecken. Dies wird üblicherweise als Threat Modeling (Bedrohungsanalyse) bezeichnet. F, M K3, K4, K5
Sie können sichere Systeme konzipieren, indem Sie geeignete Sicherheitsanforderungen definieren und passende Security Controls in ein Systemdesign integrieren. F, M K3, K6
Sie können sichere Applikationen entwickeln. Dazu wird Java als Beispielssprache und -technologie eingesetzt, wobei das meiste, das Sie lernen, direkt auch auf andere Sprachen und Technologien übertragen werden kann. F, M K3, K6

Modulinhalte

Meldungen über grössere Datenlecks oder andere IT-Sicherheitsvorfälle erreichen uns fast täglich. Die Ursache sind meist Schwachstellen in Software und Systemen und der Hauptgrund, warum wir heute so viele Sicherheitsschwachstellen haben, liegt daran, dass viele Softwareingenieure weder wissen, wie man sichere IT Systeme entwickelt, noch haben sie nennenswerte Kenntnisse realer Bedrohungen und Attacken gegen solche Systeme. Viele Softwareingenieure sind zudem der Ansicht, dass es für das Entwickeln sicherer Software reicht, wenn man die Programmiersprachen und Frameworks kennt, wenn man gutes Softwaredesign versteht und wenn man agile Entwicklungsprozesse sinnvoll einsetzt. Diese Denkweise ist allerdings komplett falsch: Die Sicherheit von Software entsteht nicht einfach von selbst. Stattdessen muss man sich aktiv und während des ganzen Software-Entwicklungsprozesses darum kümmern. Dies bedingt zusätzliche Skills, die gelernt und beherrscht werden müssen.

In diesem Modul werden Sie lernen, wie man sichere Software und Systeme entwickelt, wobei sämtliche Phasen des Entwicklungsprozesses relevant sind.Wenn Sie z.B. Anforderungen definieren, dann werden Sie lernen sich zu fragen «was kann denn möglicherweise schieflaufen und wie schlimm könnte dies sein?». Basierend auf den dabei definierten Sicherheitsanforderungen werden Sie dann lernen, wie man sichere Software konkret konzipiert und implementiert, so dass diese resistent gegen Cyberattacken ist. Ebenfalls werden Sie einige Hacking Skills lernen, denn wenn Sie ein sicherheitsbewusster Softwareingenieur sein möchten, dann müssen Sie wissen, wie Angreifer vorgehen. Dazu gehört auch, dass Sie lernen, einen Penetration Test der eigenen Software oder der Software von Dritten durchzuführen.

Dieses Modul ist sehr empfehlenswert für alle, die sich im Berufsleben im Bereich Software Engineering betätigen möchten oder die sich ganz generell für Informationssicherheit interessieren. Das Nachfolgemodul, Sofware and System Security 2, vertieft einige Themen aus diesem Modul und führt zudem neue Themen ein. Wir empfehlen, dass Sie beide Module absolvieren, es ist aber auch möglich, nur das erste Modul für sich alleine zu absolvieren.

Modulinhalt:

Sicherer Softwareentwicklungsprozess (10 Lektionen)
  • Einführung in die Software-Sicherheit
  • Der Secure Development Lifecycle
  • Fundamental Security Principles
  • Security Requirements Engineering und Threat Modeling
  • Security Risk Analysis

Security Testing (6 Lektionen)
  • Security Testing von Web Applikationen
  • Security Testing Tools: Static Code Analysis und Schwachstellenscanner

Sichere Softwareentwicklung (12 Lektionen)
  • Typische, sicherheitsrelevante Programmierfehler und wie man diese ausnutzen kann (Buffer Overflows, Probleme mit Inputvalidierung, Race Conditions,...)
  • Java Security Libraries für kryptografische Operationen und sichere Kommunikation
  • Secure development of traditional (run mostly server-side and serve full HTML pages) and modern (SPAs with REST APIs in the backend) web applications
  • Sichere Entwicklung von traditionellen (laufen primär server-seitig und liefern komplette HTML-Seiten) und modernen (Single Page Applikationen mit REST APIs im Backend) Webapplikationen, mit Verwendung von Jakarta EE (Java-basiert) als Beispielstechnologie (Authentisierung, Access Control, Sicherer Datenbankzugriff, Input-Validierung, Session-Handling, JSON Web Tokens, Verhindern von Schwachstellen wie XSS und CSRF,...)

In den Praktika werden praxisbezogene Problemstellungen zu allen wichtigen Hauptthemen der Vorlesung durchgeführt. Die Aufgaben sind ein Mix aus den Bereichen Security Analysis, Security Design, Security Testing und sichere Softwareentwicklung mit Java.

Lehrmittel/Materialien

Vorlesungsfolien mit zusätzlichen Kommentaren.

Ergänzende Literatur

Es gibt kein Buch, das die im Modul behandelten Themen komplett abdeckt. Zur Vertiefung einzelner Themen eignen sich folgende Werke:
  • Gary McGraw. Software Security: Building Security In. Addison-Wesley Longman, ISBN 978-0321356703 (Fokus auf dem sicheren Softwareentwicklungsprozess allgemein)
  • Neil Daswani, Christoph Kern and Anita Kesavan. Foundations of Security: What every Programmer needs to know. Apress, ISBN 978-1590597842 (Fokus auf Security Design und sichere Implementierung)
  • Dafydd Stuttard and Marcus Pinto: The Web Application Hacker's Handbook: Finding and Exploiting Security Flaws. Wiley, ISBN 978-1118026472 (Fokus auf Penetration Festing von Web Applikationen)
  • Brook S.E. Schoenfield. Securing Systems. CRC Press, ISBN 978-1482233971 (Fokus auf Security Analysis und Threat Modeling)

Zulassungs-voraussetzungen 

Das Modul IT-Sicherheit (Grundstudium) muss absolviert worden sein.

Unterrichtssprache

( ) Deutsch (X) Englisch

Teil des Internationalen Profils

(X) Ja ( ) Nein

Modulausprägung

Typ 3a
  Details siehe unter: T_RL_Richtlinie_Modulauspraegungen_Stundengutschriften

Leistungsnachweise

Bezeichnung Art Form Umfang Bewertung Gewichtung
Leistungsnachweise während Studiensemester Bewertete
Praktika
Schriftlich und mündlich Alle Praktika Punkte, die zur Punktzahl der Schlussprüfung addiert werden 20%
Semesterendprüfung Prüfung Schriftlich 90 Minuten Note 80%

Bemerkungen

 

Rechtsgrundlage

Die Modulbeschreibung ist neben Rahmenprüfungsordnung und Studienordnung Teil der Rechtsgrundlage. Sie ist verbindlich. Eine in der ersten Unterrichtswoche des Semesters schriftlich festgehaltene und kommunizierte Modulvereinbarung kann die Modulbeschreibung präzisieren. Die Modulvereinbarung ersetzt nicht die Modulbeschreibung.

Hinweis

Kurs: Software and System Security 1 - Praktikum
Nr.
t.BA.WV.SWS1-EN.19HS.P
Bezeichnung
Software and System Security 1 - Praktikum

Hinweis

  • Für das Stichdatum 27.09.2021 ist kein Modulbeschreibungstext im System verfügbar.
Kurs: Software and System Security 1 - Vorlesung
Nr.
t.BA.WV.SWS1-EN.19HS.V
Bezeichnung
Software and System Security 1 - Vorlesung

Hinweis

  • Für das Stichdatum 27.09.2021 ist kein Modulbeschreibungstext im System verfügbar.