Dozent:
Prof. Dr. Günther Pernul

Tutor:
M.Sc. Mathis Müller

Universität Regensburg
Fakultät für Informatik und Data Science
Lehrstuhl für Wirtschaftsinformatik I - Informationssysteme
https://www.uni-regensburg.de/informatik-data-science/wi-pernul/startseite/index.html

Turnus & Dauer:
Wintersemester / 1 Semester

Einordnung:
Basistechnologien

Sprache:
Deutsch

Dieses Modul steht exklusiv den Studierenden des VAWi-Studiengangs zur Verfügung.

Lehr- & Medienformen

Für dieses Modul steht eine internetbasierte Lernumgebung für die Durchführung der Lehr-/Lernprozesse und der Lernunterstützungsprozesse zur Verfügung. Dabei erfolgt die Betreuung der Studierenden durch die Lehrenden über asynchrone (Foren, E-Mail) und synchrone (Chat, Telefon, Online-Konferenzen) Kommunikationswerkzeuge. Diese stehen auch für die Kommunikation der Studierenden untereinander zur Verfügung.

Die Studierenden werden beim Wissenserwerb durch folgende elektronische Selbstlernmedien unterstützt:
Skript, Foliensätze, Glossar, Video-Vorlesungsmitschnitt.

Zudem wird der Aufbau von Fertigkeiten und Kompetenzen insbesondere gefördert durch:
Fallstudien, tutoriell betreute Aufgabenbearbeitung und Toolunterstützung.

Es werden praxisbezogene Aufgaben gestellt, die mit Hilfe der erlernten Methoden und Theorien gelöst werden müssen. Zur Bearbeitung der Aufgaben wird Open-Source-Software eingesetzt.

Arbeitsaufwand:
150 h: Selbststudium, Aufgabenbearbeitung & Abschlussprüfung

ECTS-Credits:
5

Zuordnung:
0 % Wirtschaftswissenschaften
30 % Informatik
30 % Kerngebiete der Wirtschaftsinformatik
40 % Allg. Grundlagen & Schlüsselqualifikationen

Voraussetzungen

• Die Studierenden sollten über ein grundlegendes Verständnis für algorithmische Konzepte und den Aufbau von Rechnernetzen verfügen.

Angestrebte Lernergebnisse

Fachliche Kompetenzen:

Die Studierenden kennen die Basiskonzepte der Informationssicherheit. Sie haben tiefgreifende Kenntnisse in den Bereichen Funktionen vertrauenswürdiger IT-Systeme, technische und organisatorische Maßnahmen zur Verbesserung der IT-Sicherheit, wirtschaftliche und rechtliche Aspekte der IT-Sicherheit. Insbesondere auch aufgrund der beiden semesterbegleitenden Studienleistungen verfügen die Studierenden über die Fertigkeit, die Eignung unterschiedlicher Sicherheitskonzepte zur Authentisierung, Autorisierung und Zugriffskontrolle kritisch zu hinterfragen, gegeneinander abzuwägen und diese problem-/ umfeldbezogen in bestehende Systemlandschaften, insbesondere verteilte Umgebungen zu integrieren. Ebenso haben die Studierenden allgemeine Kompetenzen, die es ihnen ermöglichen, die sicherheitsrelevanten Aspekte informationstechnischer Systeme besser bewerten und beherrschen zu können.

Die Studierenden sind in der Lage, Gefahren durch Computerkriminalität bzw. beabsichtigte und unbeabsichtigte Ereignisse für Informationssysteme einzuschätzen und selbständig präventiv und reaktiv vorzugehen. Der präventive Entwurf sicherer Systeme auf den bereits bekannten Schichten des TCP/IP-Protokollstapels ist den Studierenden ebenso vertraut wie der neu erlernte Umgang mit Kriterienkatalogen zum Sicherheitsmanagement in Unternehmen. Darüber hinaus ist Ihnen das Spannungsfeld zwischen den datenverarbeitungsrelevanten rechtlichen Vorgaben einerseits und den Herausforderungen durch Computerkriminalität und –missbrauch andererseits bekannt.

Soziale Kompetenzen:

Gerade im Rahmen der semesterbegleitenden Studienleistung haben die Studierenden gelernt, ihr bisher erworbenes Wissen in die Praxis umzusetzen und können sich schnell und selbstständig in komplexe Aufgabenstellungen der IT-Sicherheit einarbeiten und dabei unterschiedliche, häufig widerstreitende Sichtweisen berücksichtigen.

Studienempfehlungen

• Für den erfolgreichen Abschluss des Moduls wird die Abgabe der Aufgabenbearbeitung im Rahmen der optionalen semesterbegleitenden Studienleistungen dringend empfohlen.

Inhalte & Gliederung

Behandelt werden unter anderem Grundfunktionen vertrauenswürdiger Systeme (z.B. Authentisierung, Autorisierung, Zugriffskontrolle) und Sicherheitstechnologien für das World Wide Web (WWW). Diese umfassen beispielsweise Sicherheitsprotokolle auf den verschiedenen Schichten des TCP/IP-Protokollstapels (z.B. Netzzugangs-, Internet- oder Anwendungsschicht). Zum weiteren Umfang zählen Digitale Signaturen, Proxy Server, Firewalls und Web 2.0-Sicherheit.

Aus dem Bereich der Kryptographie werden darüber hinaus eine Reihe von häufig verwendeten Verschlüsselungsverfahren (z.B. RSA, DES, AES) und Protokolle sowie deren Umsetzung zur Gewährleistung von Vertraulichkeit, Integrität und Authentizität behandelt. Ferner wird betrachtet, wie unter Zuhilfenahme von Verfahren der Kryptoanalyse Verschlüsselungen „geknackt“ werden können.

Im Bereich Management der IT-Sicherheit werden der Entwurf sicherer IT-Systeme, relevante Vorgehensmodelle sowie die Bereiche Risikoanalyse und Bedrohungsanalyse behandelt. Den Hauptteil bilden die wichtigsten Kriterienkataloge, darunter ISO-27000er Familie und die BSI IT-Grundschutz-Kataloge.

Bezüglich rechtlicher Aspekte werden die wichtigsten nationalen Gesetzesnormen und deren Implikationen für Unternehmen, darunter das Bundesdatenschutzgesetz, das Strafgesetzbuch, sowie weitere behandelt. Darüber hinaus werden Aspekte der Kriminalitätsbekämpfung wie Strafverfolgung und mögliche Überwachungsmaßnahmen betrachtet.

Neben konzeptionellen Inhalten soll der Kurs auch praktisches Wissen vermitteln. Den Teilnehmern werden grundlegende Konzepte im Bereich der E-Mail-Sicherheit (PGP, S-MIME) und der Datenbanksicherheit (SQL) vermittelt.

• Einführung und Überblick
  • Motivation
  • Gefahren und Risiken
  • Sicherheitsstudie
• Informatik Bestiarium
  • Computeranomalien
  • Schadensfunktionen
  • Gegenmaßnahmen
• Kryptographie
  • Grundlagen
  • Klassische Kryptographie
  • Moderne Kryptographie
  • Kryptoanalyse
• Grundfunktionen vertrauenswürdiger Systeme
  • Authentisierungstechniken
  • Rechteverwaltung/-prüfung
  • Beweissicherung
• Internetsicherheit
  • Grundlagen
  • Angriffsarten
  • HTTP Authentifizierung und Autorisierung
  • Firewalls
  • Sicherheitsprotokolle
  • Anonymität im World Wide Web
  • Schutz des Urheberrechts
• Digitale Signatur und Public Key Infrastruktur
  • Digitale Signatur
  • Zertifikate
  • Zertifizierungsstellen
  • PKI
  • Blockchain
• Praktische Anwendungen
  • PGP
  • S/MIME
  • Sicherheitsaspekte in Datenbanken
• Management der IT-Sicherheit
  • Begriffsdefinition
  • BSI IT-Grundschutz
  • ISO 27000er Familie
  • ISIS12
• Rechtliche Aspekte
  • Strafrecht
  • Datenschutz
  • IT-Sicherheitsgesetz

Studien- & Prüfungsleistungen

• Klausur [90 Punkte / 100 %]
• Ggf. Bonus durch zwei nachgewiesene optionale Studienleistungen [9 Punkte / 10 %]

Der Bonus kann nur angerechnet werden, wenn in der Klausur mindestens 45 Punkte erreicht sind und die optionalen semesterbegleitenden Studienleistungen durch Abgabe / Einreichen der Lösung zur Aufgabenbearbeitung nachgewiesen sind. Die Bestnote (1,0) kann ohne den Bonus erreicht werden.

Literatur

Basisliteratur

Als Basisliteratur ist das Skript der Vorlesung ausreichend. Als weiterführende Literatur wird empfohlen:

• Buchmann, Johannes: Einführung in die Kryptographie, 6. Auflage, 2016
• Eckert, Claudia: IT-Sicherheit – Konzepte - Verfahren - Protokolle, 10. Aufl., 2018
• Pfleeger, Charles, Pfleeger, Shari Lawrence, Margulies, Jonathan: Security in Computing, Prentice-Hall, 5. Aufl, 2015
• Geschonneck, Alexander: Computer-Forensik: Computerstraftaten erkennen, ermitteln, aufklären, 6. Aufl., 2014
• Pfleeger, Charles; Pfleeger, Shari Lawrence: Analyzing Computer Security: A Threat / Vulnerability / Countermeasure Approach, 1. Aufl., 2011

Hinweise

Die semesterbegleitenden Studienleistungen werden in Form von Einzelleistungen durchgeführt.