IT-Sicherheit (ITS)

Belegbar Sommersemester, Wintersemester
ECTS-Punkte 10 (ca. 300 Stunden)
Fachgebiet Angewandte Informatik

Ziel des Moduls

Ziel des Moduls ist es, relevante Teilaspekte der IT-Sicherheit (Sicherheit in informationstechnischen Systemen) derart zu behandeln, dass sie praxisrelevant eingesetzt werden können. Zudem werden Grundkenntnisse vermittelt, die dazu dienen, IT-Sicherheit als interdisziplinäre Aufgabe im Kontext sicherheitsrelevanter Anwendungen zu identifizieren.

Dazu werden zunächst allgemeine Aspekte sicherheitsrelevanter Systeme betrachtet und deren Bezug zu konkreten Anwendungen aufgezeigt. Neben technischen Aspekten werden insbesondere Fragestellungen im Kontext des Managements informationstechnischer Systeme (Sicherheitsmanagement) betrachtet. Kryptographische Basismechanismen, Netzwerksicherheit sowie Chipkarten und relevante Anwendungen bilden den Kern des Moduls, indem sowohl die technischen Grundlagen als auch die anwendungsrelevanten Bezüge aufgezeigt werden. Abgeschlossen wird das Modul durch einen Einblick in relevante rechtliche Rahmenbedingungen, wobei Rechtsfragen im Kontext des Internets und des Datenschutzes eine zentrale Rolle einnehmen.

Inhalt des Moduls
  • Systemsicherheit
  • Sicherheitsmanagement
  • Angewandte Kryptologie
  • Netzsicherheit
  • Chipkarten und Anwendungen
  • Sicherheitsinfrastrukturen
Inhalt im Detail

ITS 1: Systemsicherheit

  • Warum IT-Sicherheit?: Auf dem Weg zur Informationsgesellschaft; Die Gelbe Post
  • Safety, Security und andere Begriffe: Was ist IT-Sicherheit?; Grundlegende Begriffe; Beispiele
  • Angriffe und Sicherheitsanforderungen: Typen von Angreifern und deren Motivation; Angriffe; Sicherheitsanforderungen
  • Alles und jeder ist angreifbar!: Diebstahl von geheimen Daten oder Hardware; Unberechtigtes Erlangen von Zertifikaten; Angriffe durch Insider; Ausnutzung von Programmierfehlern; Schadsoftware; Hacken von Webseiten; Denial-of-Service (DoS); SPAM und UCE; Bankbeziehungen und Internetbanking; Angriffe auf WLAN; eMail-Verkehr, Internet und (Rechts)Unsicherheit
  • IT-Sicherheit durch strukturiertes Vorgehen: IT-Sicherheit als kontinuierlicher Prozess; IT-Sicherheitsmanagement; Anwendung und Bausteine des IT-Grundschutzhandbuchs; Beispiel: Häuslicher Arbeitsplatz; Security Policy als Basis der Systemsicherheit

ITS 2: Sicherheitmanagement

  • IT-Sicherheitsmanagement: Überblick und Zielsetzung
  • IT-Sicherheitsmanagement nach IT-Grundschutzhandbuch: Erstellung einer IT-Sicherheitsleitlinie; Auswahl und Etablierung einer geeigneten Organisationsstruktur für IT-Sicherheit; Erstellung einer Übersicht über vorhandene IT-Systeme; Festlegen der Vorgehensweise für die Erstellung des IT-Sicherheitskonzepts; Umsetzung der IT-Sicherheitsmaßnahmen; IT-Sicherheit im laufenden Betrieb; Aufrechterhalten des sicheren Betriebs
  • Nationale Rahmenwerke zum IT-Sicherheitsmanagement: Das IT-Grundschutzhandbuch des BSI; Das Österreichische IT-Sicherheitshandbuch; Weisung Informatiksicherheit (Schweiz)
  • Internationale Rahmenwerke zum IT-Sicherheitsmanagement: Guidelines on the Management of IT Security (GMITS), ISO/IEC TR 13335; ISO 17799;
    BS 7799-2; CobiT; OECD Guidelines; ITIL
  • Evaluationskriterien: Background; ITSEC; Common Criteria

ITS 3: Angewandte Kryptologie

  • Einführung in die Kryptologie: Von der Skytale zur Enigma; Daten, Nachrichten und Informationen; Basismechanismen im Überblick
  • Symmetrische Kryptosysteme: Klassifikation von Verschlüsselungssystemen; Stromchiffre RC4; Elementare Betriebsarten; Prinzip einer Feistel-Chiffre; Data Encryption Standard - DES; Advanced Encryption Standard - AES; Erweiterte Betriebsarten
  • Einführung in die Kryptoanalyse: Attacken und deren Klassifikation; Exemplare unsicherer Verschlüsselungssysteme; Beweisbar sichere Systeme
  • Einwegfunktionen: Elementare Einwegfunktionen; Kryptographische Hashfunktionen; Schlüsselgesteuerte Hashfunktionen; Nutzung asymmetrischer Kryptosysteme
  • Asymmetrische Kryptosysteme: Schlüsselvereinbarung nach Diffie und Hellman; Verfahren von Rivest, Shamir und Adleman; Verfahren von ElGamal; Digital Sgnature Standard
  • Weitere Basismechanismen: Pseudozufallsgeneratoren; Benutzerauthentifikation; Vereinbaren authentischer Sitzungsschlüssel; Abhängigkeit zwischen Basismechanismen

ITS 4: Netzsicherheit

  • Rechnernetze - Grundlagen: Einteilung von Netzwerken; Protokolle
  • Rechnernetze und IT-Sicherheit: Sicherheitsziele; Bedrohungen, Schwachstellen und Risiken; Angriffstechniken auf vernetzte IT-Systeme; Root Kits; Sicherheitsmaßnahmen
  • Sicherheitskonzepte der Internet-Protokollarchitektur: Grundlegende Konzepte; Protokolle der Netzzugangsebene; Die IPSec-Sicherheitsarchitektur der Internetebene; Protokolle der Transportebene; Protokolle der Anwendungsebene; Virtuelle Private Netzwerke (VPN)
  • Firewalls: Grundprinzipien von Firewalls; Firewall-Komponenten; Firewall-Architekturen
  • Weitere Mechanismen und verwandte Themen: Intrusion Detection; DNSSec; Malware; Layer 8: Der Benutzer

ITS 5: Chipkarten und Anwendungen

  • Chipkarten und ihre Eigenschaften: Historische Entwicklung; Kartenformate und Kartentypen; Weitere Security Token
  • Technologie und Lebenszyklus: Physikalische und elektrische Kenngrößen; Komponenten einer Chipkarte; Kommunikation; Kontaktlose Chipkarten; Lebenszyklus
  • Betriebssysteme und Programmierung: Allgemeine Anforderungen und Eigenschaften; ISO/IEC 7816 File-System und Kommandos; JavaCard; CC-Interfaces; Anwendungsentwicklung
  • Chipkartensicherheit: Bedrohungen und Angriffe; Sicherheit von und durch Chipkarten
  • Anwendungen: GSM - Global System for Mobile Communication; Signaturkarte; Elektronische Geldbörsen; Elektronischer Ausweis
  • Weitere Security Token und Ausblick: Smartcards; Dongles; RFID

ITS 6: Sicherheitsinfrastrukturen

  • Einführung in Sicherheitsinfrastrukturen: Motivation; Begriffsdefinition und Abgrenzungen; Beteiligte Instanzen
  • Key-Management als Basis von Sicherheitsinfrastrukturen: Schutz der geheimen Schlüssel; Schutzanforderungen der öffentlichen Schlüssel; Schutz der öffentlichen Schlüssel
  • PKIs mit zentralen Vertrauensinstanzen: X.509-Zertifikate; Hierarchische Zertifizierungsstrukturen; Weitere Aspekte
  • Spezielle Sicherheitsinfrastrukturen: Pretty Good Privacy (PGP); Elektronische Bezahlsysteme; Langzeitarchivierung; Ticketing-Systeme (Kerberos); Anonymisierungsdienste; Secure Clouds; Quantenkryptographische Netzwerke

ITS 7: Präsenzpraktikum

  • Einführende Übungen mit PGP und CrypTool
  • Programmierung von Kryptoalgorithmen
  • Vertiefende Übüngen mit CrypTool und Netzwerk-Tools
  • Chipkarten, Zertifikate und Passwörter

Autorinnen und Autoren

Umfang des Moduls
  • 6 Lehrhefte mit Übungsaufgaben
  • Präsenzpraktikum (1 Woche)
Empfohlene Vorkenntnisse

Theoretische (auch elementare mathematische) und praktische Grundkenntnisse der Informatik. Fähigkeit, komplexe Strukturen zu erkennen (und zu analysieren), identische Sachverhalte in unterschiedlichen Kontexten zu identifizieren und gesamtheitlich zu betrachten. Kenntnisse in wenigstens einer höheren Programmiersprache sind hilfreich, Kenntnisse in Java sind wünschenswert (aber nicht Bedingung). Zudem werden grundlegende Kenntnisse im Bereich der Netzwerkarchitektur und der verwendeten Protokolle (etwa TCP/IP) vorausgesetzt.

Herausgeber

Assoc.Prof. Dr. Peter Schartner
Prof. Dr. Patrick Horster (emeritiert)
Universität Klagenfurt