Die grundlegende Einführung in die Informationssicherheit erfolgt in sechs Abgaben, sowie eines abschließenden Quizzes in der ersten Prüfungsphase. Die Themen umfassen, u.a
- Kryptographische Verfahren und Eigenschaften,
- Zertifikate, Signaturen und Public Key Infrastructure
- Authentifizierung,
- Authorisierung,
- Sichere Kommunikation,
- Netzarchitektur und Firewalls,
- Sicherheitsprozess und
- Informationssicherheitsmanagement.
Die Veranstaltung ist darauf ausgelegt, dass die Studierenden einen breiten Einblick in Techniken und Konzepte erhalten und in ausgewählten Bereichen praktische Erfahrungen sammeln können.
Die Abgaben umfassen praktische Aufgaben zu
- VPN-Konfiguration mit WireGuard
- Umgang mit asymmetrischen Schlüsseln, mit
gnupg - Erstellung einer einfachen CA,
opensslundhttp - Web-Login und Session Management
- Konfiguration von Zugriffsrechten
- Firewalls und Segmentierung,
nftables - ISMS und TOMs, ISO 27001 und 27002.
Das Quiz umfasst theoretische Fragen zu Themen der Vorlesung und wird unter Aufsicht geschrieben. Es wird eine elektronische Variante über Elli geben, vorbehaltlich der technischen Umsetzbarkeit.
Zur Lernunterstützung findet eine Vorlesung mit separater Übung in Präsenz statt. Die Anmeldung zu den Übungen erfolgt über Elli in der ersten Vorlesungswoche. Die Abgabe der Aufgaben erfolgt durch Konsultation in den Übungen. Die jeweilige Bewertung wird dabei direkt bekanntgegeben. Die Prüfungsform ist, offensichtlich, ein Portfolio.
Lernziele
(kleine Anpassungen sind bis zum Beginn der Vorlesungszeit möglich.)
Introduction
- “Security Mindset” vs. “Functional Mindset”
- Security as a Process
- Threats, Vulnerabilities and Controls
- Grundlegende Techniken
- Authentifizierung
- Zertifikate
- Sicherheitsprozess
- Software Security
- CIA-Triad kennen und
- Sicherheitsziele ausdifferenzieren können
- Zusammenhänge von Schutzzielen und Bedrohungen verstehen
- Grundsätzliche Terminologie der Bedrohungen
- Angriffsmodelle
- Basic Attack Model
- Cyber-Kill-Chain
- Basic Attack Model
- Sicherheitsgrundfunktionen
- NIST Cybersecurity Framework Core Functions (Govern, Identify, Protect, Detect, Respond, Recover)
Symmetric Cryptography
- Verständnis von Zufälligkeit?
- Ideal Block Cipher
- Symmetrische Verschlüsselung
- Message Authentication Codes
Asymmetric Cryptography
- Diffie-Hellman-Algorithmus
- Asymmetrischen Verschlüsselung
- Nutzung von privaten und öffentlichen Schlüsseln
- Signieren
- Verschlüsseln
Certificates
- Zertifikate
- eIDAS Verordnung EU 910/2014
- einfache/fortgeschrittene/qualifizierte Signatur
- Zertifikat/qualifiziertes Zertifikat
- x509 Zertifikate
- Anwendung von
openssl
- Anwendung von
- OpenPGP
Authentication
- Unterscheidung der Authentifizierungsarten
- Challenge-Response Verfahren
- Umgang und Prüfung von Passworten
- Nutzerseitig
- Serverseitig
- Hashfunktionen und Seeds
- Authentifizierungstoken
- TOTP
- Passkeys
- Biometrische Authentifizierung
Access Control
- Grundlegende Zugriffsrechtsmodelle
- Access Control Matrix
- Capability Lists
- Access Control Lists
- Rollenbasierter Zugriffsschutz
- Mandatory Access Control
- Diskretionary Access Controll
Communication Security
- Dolev-Yao Angreifermodell
- Konzept: Hybride Protokolle
- Perfect Forward Secrecy
- Attacks
- MitM
- Replay
- Session Hijacking/Pinning
- TLS
- Email Transportsicherheit
- DKIM
- DMARC
- SPF
Network Architecture
- Konzepte
- Perimeter Security
- Zones and Conduits
- Network Segmentation
- Netz- und Firewall-Architekturen
- Konfiguration einer einfachen Firewall
- Klassen und Funktionsweise von IDS-Systemen
Privacy
- Datenschutzrecht/DSGVO
- Grundsätze der
- Datenerhebung
- -speicherung und
- -verarbeitung
- Opt-In vs. Opt-Out
- Datenverarbeitung im Auftrag
- Grundsätze der
- Identität, Pseudonymität, Anonymität
- Quasi-Identifier
- Anonymisierungsdienste ### Security Law ### Information Security Management System #### Risiko- und Bedrohungsanalyse
- Risikoprozess nach ISO 31000
- Bedrohungs-/Schadenslevel
- Risikomatrix
- Schwachstellenbewertung
- CVSS
- Bedrohungs-/Angriffsbäume
- Misuse-Case Modellierung