Security Engineering

Vorlesung, 2+1 SWS / 4 ECTS-Credits (Modulbeschreibung)
Sprache: deutsch / german
Zeit und Ort: Mo, 09:00 – 11:00 Uhr, MI 01.07.023 (Vorlesung)
Mo, 11:00 – 12:00 Uhr, MI 01.07.023 (Übung)
Beginn: Montag, 02.05.2011
Veranstalter: Ricarda Weber

Gegenstand der Vorlesung

Eine sichere IT-Anwendung erfordert sowohl die Anwesenheit erwünschter Sicherheitsfunktionalität (Beispiel: Zugriffskontrolle), als auch die Abwesenheit unerwünschter Sicherheitsmängel (Beispiel: verwundbare Software). Wir besprechen grundlegende Begriffe (Beispiel: "Security" versus "Safety"), sowie Sicherheitsziele.

Wir lernen den Entstehungsprozeß sicherheitskritischer Anwendungen kennen. Wir beginnen mit einer Analyse der Sicherheitsanforderungen, gefolgt von einer Risiko- und Bedrohungsanalyse, die auch wirtschaftliche Aspekte einschließt. Wir lernen, wie Sicherheitsrichtlinien definiert werden und wie sie sich in einer Sicherheitsarchitektur widerspiegeln. Wir betrachten grundlegende Sicherheitsmechanismen sowie Zugriffs- und Informationsfluß-Kontrollmodelle. Wir adressieren Methoden zur Validierung und Bewertung sicherer Anwendungen (Beispiel: formale Methoden, "Common Criteria"-Evaluierung). Wir schließen den ersten Teil mit einem Überblick über IT-Sicherheitsmanagement-Konzepte und das IT-Grundschutzkonzept des BSI.

Im zweiten Teil der Vorlesung befassen wir uns mit sicherer Software-Entwicklung. Wir sprechen die grundlegenden Angriffs-Vektoren von Hackern, Crackern und Schadsoftware-Autoren an. Wir sehen, wie unsichere Programmierung Verwundbarkeiten eröffnet (Beispiele: "Buffer- und Integer-Overflows", "Script Injection" und "Cross-Site-Scripting"). Wir adressieren Prinzipien sicheren Software-Entwurfs und sicherer Programmierung. Wir betrachten den "Security Development Cycle" von Microsoft und Methoden, die Güte solcher Prozesse zu messen und zu verbessern.

Inhalt

  1. Einführung
    • 02.05.2011: Motivation, Begriffe, Sicherheitsziele
  2. Entwicklung sicherheitskritischer Anwendungen
    • 09.05.2011: Der Security-Engineering-Prozess
    • 16.05.2011: Bedrohungs- & Risiko-Analyse, Fallstudie Teil I
    • 23.05.2011: Sicherheitsgrundfunktionen, PKI, Fallstudie Teil II
    • 30.05.2011: Sicherheitsstrategie und -architektur
    • 06.06.2011: Formale Methoden und Common-Criteria (D. von Oheimb)
    • 27.06.2011: Sicherer Betrieb, IT-Sicherheitsmanagement, BSI-Grundschutz
  3. Entwicklung sicherer Software
    • 04.07.2011 Grundlagen von Angriffen (Hacking) & unsichere Programmierung
    • 11.07.2011 Prinzipien sicherer Programmierung (B. Fichtinger, Siemens CERT)
    • 18.07.2011 Prozeßbewertung und -verbesserung, Microsoft-SDL, SSE-CMM
  4. Abschluß
    • 25.07.2011: Zusammenfassung, Wrap-Up, Prüfungsvorbereitung

Am 20.06.2011 entfällt die Vorlesung. Dafür verlängern sich die anderen Einheiten entsprechend.

Vorlesungsfolien

Die Vorlesungsfolien werden hier jeweils nach Möglichkeit zeitnah zur Vorlesung bereit gestellt. Login und Passwort dazu werden in der Vorlesung bekannt gegeben.

Literatur

  • Claudia Eckert: IT-Sicherheit, 6. Auflage, Oldenbourg, 2009
  • Ross Anderson: Security Engineering, Wiley & Sons, 2008
  • Jack Koziol et.al.: The Shellcoder's Handbook, Wiley & Sons, 2007
  • Michael Howard et.al.: The Security Development Lifecycle, Microsoft Press, 2009

(weitere Literaturhinweise finden sich in den Folien)

Nützliche Links

Ansprechpartner