Im WS 2006/2007 haben wir die Lehrveranstaltung Security VU angeboten.
Inhalt
13.10.2006Vorbesprechung/Einführung in Security Engineering
[Die Erstellung von kleinen Programmen ist ein geradliniger Vorgang: ein Problem wird solange bearbeitet bis ein Computersystem das macht was von ihm verlangt wird. Große Systeme werden methodischer entwickelt - aber nach dem selben Prinzip. Die Erstellung sicherer Programme, sowie deren sicherer Betrieb sind eine gänzlich andere Aufgabenkategorie - dem Security Engineering. In dieser Vorlesung erfolgt eine Einführung in IT-Sicherheit allgemein und der Disziplin des Security Engineering im speziellen.]{style="font-size:small;"}
20.10.2006Einführung in Linux
[Um ein System sicher zu gestalten aber auch um dessen Sicherheitslücken ausnützen zu können bedarf es eines angemessenen Wissens über das Zielsystem. In dieser Vorlesung erfolgt eine Einführung in das in der Übung eingesetzte Betriebssystem sowie zur Lösung von Übungsbeispielen benötigter Werkzeuge.
]{style="font-size:small;"}
03.11.2006Technische Sicherheitsaspekte: Über SUID-Scripts, SQL-Injection und Buffer-Overflows
[Implementierungsfehler stellen nicht die einzige, aber aktuell eine wesentliche Quelle für Sicherheitslücken dar. In dieser Vorlesung erfolgt eine Einführung in Sicherheitslücken, die auf Programmen mit zu vielen Rechten, einer fehlenden semantischen oder syntaktischen Überprüfung von Paramtern basieren.]{style="font-size:small;"}
10.11.20061. Test ACHTUNG: Der erste Test findet am 10.11.2006 von 12:00 - 13:00 im EI10 statt.
17.11.2006Organisatorische Sicherheitsaspekte: Sicherheitsstandards für Service Support und Service Delivery in großen Unternehmen
[Sowohl während der Einführung als auch im Betrieb von IT-Services sind bereits Rahmenwerke zur Berücksichtung von Sicherheitsthemen verfügbar. In dieser Vorlesung erfolgt eine Einführung in gängige Rahmenwerke und deren hauptsächliches Einsatzgebiet. Erläuterte Rahmenwerke sind IT-Grundschutz, ITIL, ISO Normen und COBIT.]{style="font-size:small;"}
24.11.2006Identitätsmanagement: Identitätsdiebstahl, Social Engineering und Phishing
[Wesentlich für eine effektive Autorisierung ist die zuverlässige Identifikation und Authentifikation von AnwenderInnen. Ein wesentliches Zielobjekt für Angriffe sind die elektronischen Identitäten von NutzerInnen. In dieser Vorlesung werden ausgewählte Angriffe und Strategien zu Abwehr vorgestellt.]{style="font-size:small;"}
01.12.2006Angriffe über das Netzwerk: Firewalls, Intrusion Detection, Honeypots, -nets und -tokens
[Mangelnde Ende-zu-Ende Sicherheit zwischen KommunikationspartnerInnen in IPv4 basierten Netzen fordert netzwerktechnische Maßnahmen zu Absicherung vor Angriffen. In dieser Vorlesung werden ausgewählte Angriffe sowie aktive und passive Abwehrmaßnahmen präsentiert.]{style="font-size:small;"}
15.12.2006Zugriffskontrolle: DAC, MAC, RBAC, ACK
[Die Zugriffskontrolle ist ein wesentlicher technischer Mechanismus zur Realisierung einer Sicherheitsstrategie in einem IT-System. Ausgehend von einer kurzen Darstellung verschiedener Sicherheitsmodelle (LaPadula, Chinese Wall etc.) werden Grundbegriffe der Theorie der Zugriffskontrolle (DAC, MAC, RBAC) und deren praktische Umsetzung erläutert.]{style="font-size:small;"}
12.01.2007Gastvortrag
[Theoretisch gibt es keinen Unterschied zwischen Theorie und Praxis - praktisch schon. Dies gilt besonders für das weite Feld der Informationstechnologie Sicherheit. Mit diesem Gastvortrag wird dieser Unterschied zwischen Theorie und Praxis mit einem Blick in die industrielle Praxis veranschaulicht.]{style="font-size:small;"}
19.01.20072. Test Der zweite Test findet am 19.01.2007 von 13:00 - 14:00 im Informatik Hörsaal statt.