t.BA.WV.SWS2-EN.19HS (Software and System Security 2) 
Modul: Software and System Security 2
Diese Information wurde generiert am: 27.09.2021
Nr.
t.BA.WV.SWS2-EN.19HS
Bezeichnung
Software and System Security 2
Veranstalter
T InIT
Credits
4

Beschreibung

Version: 2.0 gültig ab 01.02.2021
 

Kurzbeschrieb

In SWS2 erwerben Sie Wissen und Fähigkeiten, die für die Absicherung von Informationssystemen zentral sind. Die Themenbereiche Information Security Management Systeme, Penetration-Testing, Exploitation, Malware, Security Monitoring und die Sicherheit von mobilen Anwendungen stehen dabei im Zentrum.

Modulverantwortung

tebe

Lernziele (Kompetenzen)

Ziel Kompetenzen Taxonomiestufen
Sie verstehen die Funktionsweise, Effektivität und Beschränkungen moderner Mittel und Methoden zum Angreifen und Verteidigen von IT Systemen. F K2
Sie kennen den grundsätzlichen Ablauf eines Penetration Tests und können zentrale Elemente selbständig durchführen. D, M K2, K3
Sie können Methoden und Techniken der Netzwerk- und Systemüberwachung in Laborumgebung einsetzen und deren Eignung zur Erkennung einer Kompromittierung des überwachten Systems beurteilen. D, M K3, K4
Sie kennen zentrale Sicherheitskonzepte mobiler Platformen sowie typsiche Fehler, die bei der Entwicklung mobiler Anwendungen gemacht werden. Dieses Wissen können Sie nutzen, um die Sicherheit eigener mobiler Anwendungen zu verbessern. D. M
K2, K3
Sie kennen Massnahmen, die helfen können, den Risikofaktor Mensch gezielt anzugehen und Sie können deren Wirksamkeit beurteilen. F K2, K6

Modulinhalte

"It’s not that you haven’t been breached, you just haven’t realized it yet". Diese Aussage mag übertrieben sein. In Bezug auf Ziele, die für Hacker "interessant" sind, ist sie aber vermutlich korrekt.
 
Ein Grund, wieso Angreifer immer wieder Erfolg haben, sind Produkte mit Sicherheitsschwachstellen. Im Modul SWS1 haben Sie gelernt, wie man Software so entwickelt, dass Sicherheitsschwachstellen möglichst vermieden werden. Die Erfahrung zeigt jedoch, dass dies kaum in Perfektion erfolgen kann. Da die Sicherheit eines Systems zudem noch von weiteren Faktoren wie dessen Konfiguration oder von beabsichtigtem oder unbeabsichtigtem Fehlverhalten von Menschen abhängen kann, muss man grundsätzlich immer damit rechnen, dass eine erfolgreiche Attacke erfolgen kann. Aus diesem Grund braucht es weitere Massnahmen, um unsere Informationssysteme möglichst sicher zu machen. Dazu gehört insbesondere deren Absicherung mittels Security Controls und das Prüfen der Sicherheit dieser Systeme.
 
In diesem Modul erwerben Sie Wissen und Fähigkeiten, die für die Sicherung und Prüfung der Sicherheit von Informationssystemen zentral sind.
Das Modul startet mit der Betrachtung von Information Security Management Systemen (ISMS) und der Bedrohungslandschaft (Akteure, Motive, Trends, Informationsquellen, ...) um Ihnen eine ganzheitliche Sicht auf die Problematik der Aufgabe "Sicherung eines Informationssystems" zu vermitteln.
Anschliessend lernen Sie, (fast) alles über Penetration Test (Prozess, Techniken, Tools, ...). Wir starten beim ersten Kundenkontakt, gehen dann zum Sammeln von Informationen (OSINT) über bevor wir beim Findend und Ausnutzen von Schwachstellen und beim Abschluss des Auftrags landen. Da die Phase des Findens und Ausnutzens von Schwachstellen bei Webanwendungen bereits in SWS1 diskutiert wird, fokussieren wir uns hier auf Methoden und Tools für beliebige Anwendungen und Systeme. Dazu gehören insbesondere auch die fortgeschrittene Exploitation Technik des Return Oriented Programming (ROP).
Als nächstes erfahren Sie mehr über Malware und Anti-Malware Systeme sowie Systeme zur Überwachung der Sicherheit komplexer IT Infrastrukturen (SIEM Systeme). Sie können anschliessend deren Stärken und Schwächen beurteilen und die zentralen Herausforderungen für einen erfolgreichen Einsatz skizzieren. Weiter lernen Sie wie sich die Sicherheit von mobilen Plattformen (Android, iOS) von "normalen" Systemen unterscheidet und auf was man beim Entwickeln und Testen mobiler Anwendungen achten muss. Dies ist als Ergänzung zu Web-Apps und -Services von SWS1 gedacht.
Schliesslich werfen wir auch einen genaueren Blick auf den Faktor Mensch als absolut zentrales Element bei der Absicherung von Informationssystemen. Anhand aktueller Forschung im Bereich des Awareness-Trainings, zeigen wir  Herausforderungen und wichtige Erkenntnisse aus Forschung und Praxis auf.

Dieses Modul ist sehr empfehlenswert für alle, die
- ICT Produckte entwickeln oder managen,
- ICT Infrastruktur bauen oder managen,
- einen Job als Security Consultant oder Penetration Tester anstreben,
- oder einfach generell Interesse am Thema IT Sicherheit haben.

Dieses Modul kann auch ohne den vorgängigen Besuch des Moduls Software and System Security 1 besucht werden. Im Hinblick auf ein andernfalls lückenhaftes Verständnis der Thematik der Sicherheit von Informationssystemen, empfehlen wir den Besuch jedoch sehr. Für Studierende, die beruflich in Richtung Software Entwicklung gehen möchten, erachten wir den Besuch als unerlässlich.


Modulinhalt:

Absicherung von Informationssystemen (16 Lektionen)
- Information Security Management Systeme
- Bedrohungslandschaft
- Malware technologie und Schutzsysteme
- Security Monitoring (SIEM Systeme)
- (Un)Sicherheitsfaktor Mensch

Penetration Testing (8 Lektionen)
- Testarten, Standards und Phasen
- Information-Gathering Strategien und Tools
- Schwachstellenscanner und Metasploit
- Exploitation: Return Oriented Programming (ROP)

Sicherheit auf mobilen Plattformen (4 Lektionen):
- Sicherheitskonzepte mobiler Platformen
- Sicherheitsanalyse und Entwicklung sicherer mobiler Anwendungen

In den Praktika werden Problemstellungen zu zentralen Themen der Vorlesung bearbeitet. Die Aufgaben sind ein Mix aus den Bereichen Bedrohungslandschaft, Penetration Testing und Exploitation, Security Monitoring und der Analyse und Entwicklung von sicheren mobilen Anwendungen.

Lehrmittel/Materialien

Slides mit z.T. zusätzlichen Kommentaren/Notizen

Ergänzende Literatur

Diverse Referenzen und Links in den Vorlesungsunterlagen.

Zulassungs-voraussetzungen 

Das Modul IT-Sicherheit (Grundstudium) muss absolviert worden sein.
Der Inhalt des Moduls Software and System Security 1 (SWS1) wird als bekannt vorausgesetzt, SWS1 muss aber nicht zwingend besucht werden.

Unterrichtssprache

( ) Deutsch (X) Englisch

Teil des Internationalen Profils

(X) Ja ( ) Nein

Modulausprägung

Typ 3a
  Details siehe unter: T_RL_Richtlinie_Modulauspraegungen_Stundengutschriften

Leistungsnachweise

Bezeichnung Art Form Umfang Bewertung Gewichtung
Leistungsnachweise während Studiensemester Bewertete Praktika Schriftlich und mündlich Alle Praktika Punkte, die zur Punktzahl der Schlussprüfung addiert werden 20%
Semesterendprüfung Prüfung Schriftlich 90 Minuten Note 80%

Bemerkungen

 

Rechtsgrundlage

Die Modulbeschreibung ist neben Rahmenprüfungsordnung und Studienordnung Teil der Rechtsgrundlage. Sie ist verbindlich. Eine in der ersten Unterrichtswoche des Semesters schriftlich festgehaltene und kommunizierte Modulvereinbarung kann die Modulbeschreibung präzisieren. Die Modulvereinbarung ersetzt nicht die Modulbeschreibung.
Kurs: Software and System Security 2 - Praktikum
Nr.
t.BA.WV.SWS2-EN.19HS.P
Bezeichnung
Software and System Security 2 - Praktikum

Hinweis

  • Für das Stichdatum 27.09.2021 ist kein Modulbeschreibungstext im System verfügbar.
Kurs: Software and System Security 2 - Vorlesung
Nr.
t.BA.WV.SWS2-EN.19HS.V
Bezeichnung
Software and System Security 2 - Vorlesung

Hinweis

  • Für das Stichdatum 27.09.2021 ist kein Modulbeschreibungstext im System verfügbar.