Home

 Arbeitsgebiet

 Lehre

 Forschung

 Chancen

 Publikationen

 Vita
 Home Fakultät

 Home Hochschule
 Rechtliche Hinweise

Prof. Dr. Christoph Pleier

Sicherheit, Verteilte Systeme, Rechnernetze

Lehre:

Vorlesung Informatik-Sicherheit

Inhalt:

Informationssicherheit ist das Themengebiet in der Informationstechnologie bzw. Informatik, das sich mit dem Schutz von Informationen in all ihren Erscheinungsformen befaßt unter Betrachtung aller Aspekte (gesetzlich, rechtlich, organisatorisch, personell, technisch), jedoch mit Schwerpunkt auf dem Bereich der IT-unterstützten Informationsverarbeitung. Neben und durch den Schutz werden weitere Effekte wie Rechtssicherheit, Kostenreduktion und funktionaler Mehrwert behandelt und erzielt. Bei den Firmen gewinnt die Informationssicherheit zunehmend an Bedeutung und entwickelt sich zu einem entscheidenden Kosten- und Wettbewerbsfaktor.

Diese Vorlesung vermittelt Problemstellungen, Mechanismen und Konzepte zur Realisierung von Informationssicherheit. Behandelte Themen sind Grundlagen (z.B. Motivation, Ziele, Vision), Gefahren und typische Angriffsszenarien (z.B. Passwort-Angriffe, Buffer-Overflow- und Port-Scanning- Attacks), Konzepte und Methoden zum Sicherheitsmanagement (z.B. Sicherheitsorganisation, -prozeß, -politik), Systeme/Mechanismen zur Realisierung der Authentifikation (z.B. Passwörter, Zertifikate, Single Sign On), der Autorisierung (z.B. Portale oder EAM-Tools), der Protektion (z.B. Härtung, Virenschutz), der Administration (z.B. rollenbasierte sowie plattformübergreifende Rechteverwaltung) und zur Auditierung (z.B. Audits, Intrusion Detection & Reaktion). Abschließend werden ausgewählter Beispiele und Handlungsfelder aus der Praxis vorgestellt (z.B. vertrauliche Kommunikation via asymmetrischer Verschlüsselung).

Die Vorlesung wird in zwei Variationen angeboten: "IT-Sicherheit" ist für Studenten des Studiengangs Wirtschaftsinformatik gedacht; hier wird in der Vorlesung mehr auf wirtschaftliche Aspekte eingegangen. "Sicherheit in verteilten Systemen" ist für Studenten des Studiengangs Informatik gedacht; hier wird in der Vorlesung mehr auf technische und vertiefende Aspekte eingegangen.

>> zurück

Script:

Teilnehmer der Vorlesung erhalten die Präsentationsfolien als PDF-Dateien. Diese sind zugriffsgeschützt. Das Passwort ist in der Vorlesung erhältlich.
  • Teil 0: Vorwort:
    Organisatorisches, Einordnung, Inhaltsüberblick und -gliederung
    (script ...Vorwort.pdf)

  • Teil 1: Grundlagen:
    Definitionen, Motivation, Nutzen, Ziele, Aufgaben, Inhalte, Vision der Informationssicherheit
    (script ...Grundlagen.pdf)

  • Teil 2: Gefahren:
    Gefahren, Angreifer, Angriffstechniken, Systemschwächen, Hackervorgehen
    (script ...Gefahren.pdf)

  • Teil 3: Organisation:
    Sicherheitsmanagement, -politik-, -policies, -organisation, -audits, Sicherheit in der IT-Entwicklung, Ermittlungsverfahren, Standards
    (script ...Organisation.pdf)

  • Teil 4: Authentifikation:
    Definitionen, Motivation, Klassifikation, Authentifikation basierend auf Wissen, auf Besitz, auf Eigenschaft und besondere Authentifikationsverfahren
    (script ...Authentifikation.pdf)

  • Teil 5: Autorisierung:
    Definitionen, Überblick, Klassifikation, Autorisierung umgesetzt auf Systemebene, auf Anwendungsebene und auf Netzwerkebene
    (script ...Autorisierung.pdf)

  • Teil 6: Protektion:
    Definitionen, Überblick, Einflußgrößen, prinzipielle Protektionsmethoden, Methoden gegen spezielle Angriffstechniken, spezielle technische Mechanismen
    (script ...Protektion.pdf)

  • Teil 7: Administration:
    Definitionen, Überblick, Klassifikation und die Problemstellungen Prozess/Organisation, Modellierung/Spezifikation, Implementierung/Umsetzung sowie Identity and Access Management
    (script ...Administration.pdf)

  • Teil 8: Auditierung:
    Definitionen, Überblick, Klassifikation sowie die Lösungsansätze Audit, Protokollierung und Auswertung, Intrusion Detection und Reaktion
    (script ...Auditierung.pdf)

  • Teil 9: Fallstudien:
    Studien ausgewählter Beispiele und Handlungsfelder aus der Praxis:
    Vertrauliche Kommunikation basierend auf symmetrischer und asymmetrischer Verschlüsselung sowie Sicheres Löschen von Dateien
    (script ...Fallstudien.pdf)
>> zurück

Praktikum:

Zielsetzung des Praktikums ist die Vermittlung von besserem Verständnis und Können in Sicherheit, konkret Schutz- und Abwehrkonzepte, -methoden, -techniken.

Als Hard-/Softwarearchitektur wird ein Rechnernetz bestehend aus einem Windows XP- und einem Linux-System eingesetzt; dieses wird entweder als virtuelles Rechnernetz im Labor mittels VMware (Standard-Lösung) oder als privates Rechnernetz durch direkte Verbindung zweier Studenten-Laptops (Alternativ-Lösung) realisiert.

Aufgabentypen sind Einzelaufgaben (z.B. Anwendung von Nachrichten-Verschlüsselung) und aufbauende Aufgaben (z.B. sukzessives Härten eines Systems)

Die Praktikumsdurchführung erfolgt in Gruppen à 1 oder 2 Personen.

Teilnehmer erhalten die Aufgaben als PDF-Dateien. Diese sind zugriffsgeschützt. Das Passwort ist in der Vorlesung bzw. dem Praktikum erhältlich. Änderungen der Aufgaben sind möglich.

  • Aufgabe 1: Einführung:
    Gruppenbildung, Einrichten des virtuellen Rechnernetzes, Testen des virtuellen Rechnernetzes, Einarbeitung in VMware
    (Aufgabe_1)

  • Aufgabe 2: Verschlüsselung:
    Schutz der Vertraulichkeit von Nachrichten und Daten durch Verschlüsselung via einem symmetrischen Verfahren, einem asymmetrischen Verfahren und sicheren Löschen. Durchführung von typischen Aufgaben in Public Key-Infrastrukturen wie sichere Schlüsselablage, Schlüsselerzeugung, -export, -import, -prüfung, -signatur, -vertrauen, -anwendung.
    (Aufgabe_2)

  • Aufgabe 3: Virenschutz:
    Schutz vor Schadsoftware basierend auf Einsatz geeigneter, frei-verwendbarer Schutzsoftware. Gefahrenanalyse, Entwicklung eines Schutzkonzeptes und Realisierung wesentlicher Maßnahmen.
    (Aufgabe_3)

  • Aufgabe 4: Sichere IT-Entwicklung:
    Durchführung der Sicherheits-Aktivitäten in einem IT-Entwicklungsprojekt Schutzbedarffeststellung und Sicherheitskonzept
    (Aufgabe_4)

  • Aufgabe 5: Systemschutz – Grundschutz:
    Realisierung eines Grundschutzes für ein Betriebssystem unter Verwendung der IT-Grundschutz-Kataloge des BSI.
    (Aufgabe_5)

  • Aufgabe 6: Systemschutz – Firewall:
    Firewalls – Aktivierung, Einsatz, Konfiguration, Protokollierung und Kontrolle.
    (Aufgabe_6)

  • Aufgabe 7: Systemschutz – Härtung:
    Suchen und Auswerten von CERT-Meldungen zu Schwachstellen und Umsetzen diverser Systemhärtungs-Maßnahmen.
    (Aufgabe_7)

  • Aufgabe 8: Auditierung:
    Vertraut machen mit Auditierung basierend auf Event-Logging des Betriebssystems. Durchführung typischer Aktivitäten wie Konfigurieren, Einsehen, Auswerten.
    (Aufgabe_8)

>> zurück

Anmeldung:

Im Praktikum ist die Teilnehmeranzahl begrenzt. Eine Anmeldung ist zwingend erforderlich. Dazu ist das ZPA-System zu verwenden.

>> zurück

Copyright © Prof. Dr. C. Pleier. Alle Rechte vorbehalten.