EventoWeb
Zürcher Hochschule für Angewandte Wissenschaften
[
Deutsch (Schweiz)
Deutsch (Schweiz)
] [
Englisch
Englisch
]
Nicht angemeldet
[Home]
[Anmelden]
[Drucken]
Navigation
Kontakt zu Service Desk
Online-Dokumentation
Allgemeiner Zugriff
Module suchen
t.BA.WV.SWS2-EN.19HS (Software and System Security 2)
Modul: Software and System Security 2
Diese Information wurde generiert am: 07.10.2024
Nr.
t.BA.WV.SWS2-EN.19HS
Bezeichnung
Software and System Security 2
Veranstalter
T InIT
Credits
4
Beschreibung
Version: 2.0 gültig ab 01.02.2021
Kurzbeschrieb
In SWS2 erwerben Sie Wissen und Fähigkeiten, die für die Absicherung von Informationssystemen zentral sind. Die Themenbereiche Information Security Management Systeme, Penetration-Testing, Exploitation, Malware, Security Monitoring und die Sicherheit von mobilen Anwendungen stehen dabei im Zentrum.
Modulverantwortung
tebe
Lernziele (Kompetenzen)
Ziel
Kompetenzen
Taxonomiestufen
Sie verstehen die Funktionsweise, Effektivität und Beschränkungen moderner Mittel und Methoden zum Angreifen und Verteidigen von IT Systemen.
F
K2
Sie kennen den grundsätzlichen Ablauf eines Penetration Tests und können zentrale Elemente selbständig durchführen.
D, M
K2, K3
Sie können Methoden und Techniken der Netzwerk- und Systemüberwachung in Laborumgebung einsetzen und deren Eignung zur Erkennung einer Kompromittierung des überwachten Systems beurteilen.
D, M
K3, K4
Sie kennen zentrale Sicherheitskonzepte mobiler Platformen sowie typsiche Fehler, die bei der Entwicklung mobiler Anwendungen gemacht werden. Dieses Wissen können Sie nutzen, um die Sicherheit eigener mobiler Anwendungen zu verbessern.
D. M
K2, K3
Sie kennen Massnahmen, die helfen können, den Risikofaktor Mensch gezielt anzugehen und Sie können deren Wirksamkeit beurteilen.
F
K2, K6
Modulinhalte
"It’s not that you haven’t been breached, you just haven’t realized it yet".
Diese Aussage mag übertrieben sein. In Bezug auf Ziele, die für Hacker "interessant" sind, ist sie aber vermutlich korrekt.
Ein Grund, wieso Angreifer immer wieder Erfolg haben, sind Produkte mit Sicherheitsschwachstellen. Im Modul SWS1 haben Sie gelernt, wie man Software so entwickelt, dass Sicherheitsschwachstellen möglichst vermieden werden. Die Erfahrung zeigt jedoch, dass dies kaum in Perfektion erfolgen kann. Da die Sicherheit eines Systems zudem noch von weiteren Faktoren wie dessen Konfiguration oder von beabsichtigtem oder unbeabsichtigtem Fehlverhalten von Menschen abhängen kann, muss man grundsätzlich immer damit rechnen, dass eine erfolgreiche Attacke erfolgen kann. Aus diesem Grund braucht es weitere Massnahmen, um unsere Informationssysteme möglichst sicher zu machen. Dazu gehört insbesondere deren Absicherung mittels Security Controls und das Prüfen der Sicherheit dieser Systeme.
In diesem Modul erwerben Sie Wissen und Fähigkeiten, die für die Sicherung und Prüfung der Sicherheit von Informationssystemen zentral sind.
Das Modul startet mit der Betrachtung von Information Security Management Systemen (ISMS) und der Bedrohungslandschaft (Akteure, Motive, Trends, Informationsquellen, ...) um Ihnen eine ganzheitliche Sicht auf die Problematik der Aufgabe "Sicherung eines Informationssystems" zu vermitteln.
Anschliessend lernen Sie, (fast) alles über Penetration Test (Prozess, Techniken, Tools, ...). Wir starten beim ersten Kundenkontakt, gehen dann zum Sammeln von Informationen (OSINT) über bevor wir beim Findend und Ausnutzen von Schwachstellen und beim Abschluss des Auftrags landen. Da die Phase des Findens und Ausnutzens von Schwachstellen bei Webanwendungen bereits in SWS1 diskutiert wird, fokussieren wir uns hier auf Methoden und Tools für beliebige Anwendungen und Systeme. Dazu gehören insbesondere auch die fortgeschrittene Exploitation Technik des Return Oriented Programming (ROP).
Als nächstes erfahren Sie mehr über Malware und Anti-Malware Systeme sowie Systeme zur Überwachung der Sicherheit komplexer IT Infrastrukturen (SIEM Systeme). Sie können anschliessend deren Stärken und Schwächen beurteilen und die zentralen Herausforderungen für einen erfolgreichen Einsatz skizzieren. Weiter lernen Sie wie sich die Sicherheit von mobilen Plattformen (Android, iOS) von "normalen" Systemen unterscheidet und auf was man beim Entwickeln und Testen mobiler Anwendungen achten muss. Dies ist als Ergänzung zu Web-Apps und -Services von SWS1 gedacht.
Schliesslich werfen wir auch einen genaueren Blick auf den Faktor Mensch als absolut zentrales Element bei der Absicherung von Informationssystemen. Anhand aktueller Forschung im Bereich des Awareness-Trainings, zeigen wir Herausforderungen und wichtige Erkenntnisse aus Forschung und Praxis auf.
Dieses Modul ist sehr empfehlenswert für alle, die
- ICT Produckte entwickeln oder managen,
- ICT Infrastruktur bauen oder managen,
- einen Job als Security Consultant oder Penetration Tester anstreben,
- oder einfach generell Interesse am Thema IT Sicherheit haben.
Dieses Modul kann auch ohne den vorgängigen Besuch des Moduls Software and System Security 1 besucht werden. Im Hinblick auf ein andernfalls lückenhaftes Verständnis der Thematik der Sicherheit von Informationssystemen, empfehlen wir den Besuch jedoch sehr. Für Studierende, die beruflich in Richtung Software Entwicklung gehen möchten, erachten wir den Besuch als unerlässlich.
Modulinhalt:
Absicherung von Informationssystemen (16 Lektionen)
- Information Security Management Systeme
- Bedrohungslandschaft
- Malware technologie und Schutzsysteme
- Security Monitoring (SIEM Systeme)
- (Un)Sicherheitsfaktor Mensch
Penetration Testing (8 Lektionen)
- Testarten, Standards und Phasen
- Information-Gathering Strategien und Tools
- Schwachstellenscanner und Metasploit
- Exploitation: Return Oriented Programming (ROP)
Sicherheit auf mobilen Plattformen (4 Lektionen):
- Sicherheitskonzepte mobiler Platformen
- Sicherheitsanalyse und Entwicklung sicherer mobiler Anwendungen
In den Praktika werden Problemstellungen zu zentralen Themen der Vorlesung bearbeitet. Die Aufgaben sind ein Mix aus den Bereichen Bedrohungslandschaft, Penetration Testing und Exploitation, Security Monitoring und der Analyse und Entwicklung von sicheren mobilen Anwendungen.
Lehrmittel/Materialien
Slides mit z.T. zusätzlichen Kommentaren/Notizen
Ergänzende Literatur
Diverse Referenzen und Links in den Vorlesungsunterlagen.
Zulassungs-voraussetzungen
Das Modul IT-Sicherheit (Grundstudium) muss absolviert worden sein.
Der Inhalt des Moduls Software and System Security 1 (SWS1) wird als bekannt vorausgesetzt, SWS1 muss aber nicht zwingend besucht werden.
Unterrichtssprache
( ) Deutsch (X) Englisch
Teil des Internationalen Profils
(X) Ja ( ) Nein
Modulausprägung
Typ 3a
Details siehe unter:
T_RL_Richtlinie_Modulauspraegungen_Stundengutschriften
Leistungsnachweise
Bezeichnung
Art
Form
Umfang
Bewertung
Gewichtung
Leistungsnachweise während Studiensemester
Bewertete Praktika
Schriftlich und mündlich
Alle Praktika
Punkte, die zur Punktzahl der Schlussprüfung addiert werden
20%
Semesterendprüfung
Prüfung
Schriftlich
90 Minuten
Note
80%
Bemerkungen
Rechtsgrundlage
Die Modulbeschreibung ist neben Rahmenprüfungsordnung und Studienordnung Teil der Rechtsgrundlage. Sie ist verbindlich. Eine in der ersten Unterrichtswoche des Semesters schriftlich festgehaltene und kommunizierte Modulvereinbarung kann die Modulbeschreibung präzisieren. Die Modulvereinbarung ersetzt nicht die Modulbeschreibung.
Kurs: Software and System Security 2 - Praktikum
Nr.
t.BA.WV.SWS2-EN.19HS.P
Bezeichnung
Software and System Security 2 - Praktikum
Hinweis
Für das Stichdatum 07.10.2024 ist kein Modulbeschreibungstext im System verfügbar.
Kurs: Software and System Security 2 - Vorlesung
Nr.
t.BA.WV.SWS2-EN.19HS.V
Bezeichnung
Software and System Security 2 - Vorlesung
Hinweis
Für das Stichdatum 07.10.2024 ist kein Modulbeschreibungstext im System verfügbar.