Zum Inhalt springen

  • Beiträge
    72
  • Kommentare
    239
  • Aufrufe
    11.913

Modul: IT-Sicherheit


kurtchen

621 Aufrufe

 Teilen

Das Modul "IT-Sicherheit" ist ein Pflichtmodul im Studiengang "Web- und Medieninformatik" und wird dort dem Studienbereich "IT-Systeme" zugerechnet. Laut Studienplan wird es für das 3. Semester empfohlen. Als sinnvolle Vorbereitung werden die Module "Angewandte Mathematik" und "Computernetze" genannt. Dieser Empfehlung möchte ich mich anschließen. Wer Computernetze noch nicht belegt hat, dürfte es schwierig finden, den Kapiteln zur Sicherheit in Netzen zu folgen. Ein grundlegendes Verständnis für die im Internet üblichen Protokolle und sowie Kenntnis der OSI-Referenzmodells sowie des TCP/IP-Referenzmodells ist nötig. Dies wird zwar im Kurs noch einmal kurz behandelt, hätte mir aber in der knappen Form nicht gereicht, um die darauf aufbauenden Ausführungen zu verstehen. Mathe3 ist hilfreich, weil dort eine Einführung in kryptographische Basistechniken gegeben wird und einige kryptographische Verfahren auch schon recht detailliert behandelt werden. Als Beispiele seien hier die asymmetrische Verschlüsselung mit RSA sowie der Schlüsseltausch nach Diffie-Hellman genannt. Diese Themen werden zwar auch im Modul "IT-Sicherheit" genau erklärt, aber die mathematischen Grundlagen werden in Mathe3 ausführlicher behandelt und man hat in den Übungsaufgaben die Chance, aktiv damit zu arbeiten und ein "Gefühl" für diesen Stoff zu bekommen.

 

Studierende im Studiengang "Wirtschaftsinformatik" müssen "IT-Sicherheit" nicht belegen, dürfen es aber als Vertiefungsmodul belegen. Da Sicherheit im Internet und im Intranet von Firmen und Organisationen angesichts immer raffinierterer Bedrohungen immer wichtiger wird, halte ich es für sehr sinnvoll, gerade dieses Modul in seinen Studienplan aufzunehmen. Dafür muss man allerdings in Kauf nehmen, dass die 5 ECTS bei diesem Modul ein bisschen mühsamer erarbeitet werden müssen als in den meisten anderen Modulen.

 

Auch wenn die mathematischen Grundlagen in Mathe3 gelegt wurden: IT-Sicherheit hat viel mit Kryptographie zu tun und Kryptographie hat viel mit Mathematik zu tun. Für ideal hielte ich, wenn der zeitliche Abstand zu Mathe3 und Computernetze nicht zu groß wäre. Manche Kommilitonen, die IT-Sicherheit lange nach diesen beiden Modulen belegt hatten, klagten darüber, wie schwer es ihnen gefallen war, den inhaltlichen Bezug wieder herzustellen.

 

Grundlage für den Kurs ist das Buch "IT-Sicherheit" von Werner Poguntke. Es ist mit knapp 300 Seiten ein bisschen dünner als das durchschnittliche Lehrbuch der W3L. Wie bei vielen Lehrbüchern mit mathematischem Inhalt, wird hier auf knappen Raum viel ausgedrückt. Man sollte also nicht erwarten, diesen Kurs besonders schnell durcharbeiten zu können. Dies gilt insbesondere für das zweite Kapitel, in dem die kryptographischen Verfahren und Protokolle vorgestellt werden. Diese knapp 100 Seiten bilden das Fundament, auf dem die folgenden Kapitel zur Computersicherheit und zur Sicherheit in Netzen aufbauen. Hier wird man am meisten Arbeit investieren müssen. Die gute Nachricht: Hat man diese schwere Kost verdaut, ist der Rest des Kurses schon fast ein nettes kleines Dessert. Es ist erstaunlich, wie schnell man begreift, wenn die theoretische Grundlage erst mal da ist.

 

Das Buch finde ich hervorragend geschrieben. Besonders gefällt mir am Stil des Autors, dass er innerhalb des Buches inhaltliche Bezüge herstellt, indem er sowohl auf folgende Kapitel und Abschnitte verweist, die auf dem aktuellen Thema aufbauen werden, als auch auf vorangehende Abschnitte zurück verweist. So weiß man einerseits, wofür der aktuelle Stoff später nützlich sein wird; und andererseits, wo man noch einmal nachschlagen müsste, wenn man etwas vergessen hat. Letzteres ginge natürlich auch mit dem Index, aber so kann man viel schneller arbeiten. Gerade Gliederung und Aufbau des Stoffes finde ich sehr gelungen. In meinen Augen eines der besten Lehrbücher im Studiengang.

 

Nach dem einführenden ersten Kapitel steigt im zweiten Kapitel "Kryptologische Verfahren und Protokolle" das Niveau rasch an. Hier geht es um:
- symmetrische Verschlüsselungsverfahren wie DES, 3DES und AES
- Stromchiffren wie z.B. der im Mobilfunk verwendete A5
- asymmetrische Verschlüsslung z.B. mit RSA oder mit elliptischen Kurven
- Digitale Signaturen
- kryptographische Hashfunktionen, wie z.B. SHA
- Zero-Knowledge-Protokolle
- Fiat-Shamir-Algorithmus
- Schlüsselmanagement und Schlüsseltausch, z.B. nach Diffie-Hellman
- Zertifikate
- Kryptoanalyse
- Steganographie und digitale Wasserzeichen

 

Die Aufgaben für diesen Kursteil können relativ schwierig sein, weil es hier schon recht mathematisch zugehen kann. Reine Reproduktion genügt hier oft nicht. Hier können auch mal eigene Ideen gefragt sein, wenn z.B. ein Beweis geführt werden soll.

 

Im dritten Kapitel "Computersicherheit" geht es z.B. um:
- Ansätze der Zugangskontrolle
- Authentifikation durch Wissen
- Sichere Passwörter
- Authentifikation durch Besitz, z.B. Smartcards
- Authentifikation bei GSM
- Authentifikation durch biometrische Merkmale
- Authentifikation in verteilten Systemen
- Kerberos
- Zugriffkontrolle, z.B. bei UNIX
- Sicherheit von Betriebssystemen
- Trusted Computing, also den Versuch Sicherheit in die Hardware zu verlagern
- Softwaregesteuerte Angriffe
- Viren, Würmer, Trojaner, Malware
- Sichere Software
- Sicherheit in eingebetteten Systemen

 

Mit den fachlichen Grundlagen aus dem anstrengenden zweiten Kapitel kann man sich diese Themen überraschend leicht erarbeiten. Hier merkt man, dass das didaktische Konzept gut funktionert.

 

Im vierten und letzten Kapitel "Sicherheit in Netzen" geht es dann um:
- Firewalls, Paketfilter, Identifizierung von Angreifern
- Sicherheit auf den verschiedenen Schichten des Internets, also auf der...
- IP-Schicht mit IPSec
- TCP-Schicht z.B. mit SSH und SSL
- auf der Anwendungsschicht, z.B. beim Remote Terminal Access oder beim File Transfer
- Sicherheit von E-Mails
- Sichere Webanwendungen
- Sicherheit in GSM-Netzen
- Smartphones und Appstores
- Anonymität in Netzen und das Mix-Konzept
- Sicherheit im Intranet
- ARP-Poisoning
- WLAN, Bluetooth und VoIP

 

Dieses Kapitel ist wieder ein bisschen schwieriger, weil man sich an diverse technische Details aus dem Modul "Computernetze" erinnern musss. Auf der anderen Seite ist es besonders spannend, weil jeder, der sich im Internet bewegt, sich auch mit Fragen der Sicherheit befassen muss. Hier sind bei mir - wieder auf der Grundlage des zweiten Kapitels - einige Groschen gefallen.

 

Die Einsendeaufgaben decken den Inhalt des Kurses recht breit ab. Sie sind recht unterschiedlich. Es gibt Reproduktionsaufgaben aber auch solche, wo man ein bisschen programmieren muss. Man experimentiert mit Wireshark und soll dann wieder ein Thema selbstständig im Netz recherchieren, dass im Kurs nicht abgedeckt ist. Die Rückmeldungen zu den Aufgaben kamen zügig und waren vor allem dann sehr interessant, wenn nicht alles richtig war. Mein Tutor versuchte, mich mit ein Hinweisen zum selbstständigen Weiterdenken anzuregen. Bei den Aufgaben zum mathelastigen zweiten Kapitel ist es mir leider nicht immer gelungen, diese Tipps zu verwerten. Hier spielte sicher auch mein Wunsch eine Rolle, zügig weiter zu kommen.

 

Im Hinblick auf die Klausur wäre es vorteilhaft gewesen, mich auf diese Anregungen zum Weiterarbeiten einzulassen. Die Präsenzklausur fand ich sehr gut gestellt. Es gab einen Sockel von Aufgaben, die eher auf Reproduktion des gelernten hinausliefen, so dass jeder eine realistische Chance hat, das Modul durch Fleiß zu bestehen. Es gab aber auch eine größere Aufgabe, bei der Problemlösen und eigenes Denken gefragt war. Wer gut abschneiden will, muss sich also aktiv mit dem Stoff auseinander setzen. Die beste Vorbereitung sind hier die schwierigeren Einsendeaufgaben. Mit den Rückmeldungen des Tutors sollte man sich aktiv auseinandersetzen und seine Lösungen noch mal "polieren bis sie glänzen". Das hätte mich noch ein bisschen weiter gebracht.

 

Der Abschluss-Test ist machbar, wenn man die Tests aus dem Modul gut wiederholt. Auch in der Online-Klausur wird nichts unmögliches verlangt. Mit ihr kann man gut ein paar Bonuspunkte sammeln. Der Schwierigkeitsgrad ist aus meiner Sicht etwas niedriger als in der Präsenzklausur.

 

Das Modul hat mir viel Spaß gemacht und ich verstehe nun einige Dinge besser, die im Hintergrund ablaufen, wenn ich z.B. online eine Überweisung tätige oder meine SIM-Karte in ein neues Handy einlege. IT-Sicherheit ist ein vergleichsweise schwieriger Kurs, der die Mühe wert ist.

 Teilen

4 Kommentare


Empfohlene Kommentare

SebastianL

Geschrieben

Bei Kryptographie hatte ich hier und da meine Schwierigkeiten. Das war nie wirklich schwer, aber man kann das Thema auch Mathelastig behandeln und dann versteht man deutlich weniger. Da gibt es als Tip einige gute Youtube Videos zu.

Link zu diesem Kommentar
kurtchen

Geschrieben (bearbeitet)

Mir hat das eigentlich Spaß gemacht, auch die mathematischen Aspekte. Die waren durch das Modul "Angewandte Mathematik" ja auch schon ganz ordentlich vorbereitet.

 

Allerdings muss ich mich jetzt auch wieder anderen Themen zuwenden. Ich möchte jetzt mit "Softwaretechnik 2" weitermachen. Da geht es um Requirements Engineering. Außerdem belege ich "Web-Anwendungen 2". Da geht es um serverseitige Web-Programmierung mit Java Server Pages. Vielen meiner Kommilitonen wäre PHP lieber. Ich nehm das jetzt einfach mal, wie es kommt. Das Modul ist Pflicht, also kann ich mir zwar alles mögliche wünschen, aber machen muss ich es halt trotzdem.

Bearbeitet von kurtchen
Link zu diesem Kommentar

Als Sekundärliteratur habe ich diesen Titel verwendet:

Schneier, Bruce (2005), Anwandte Kryptographie, Pearson Studium

 

Das ist ein ziemlich dicker Schinken. Habe ich eher zum Nachschlagen verwendet oder wenn ich die gleiche Sache noch mal anders erklärt haben wollte. Die mathematische Seite wird hier meist noch etwas expliziter und ausufernder behandelt.

Link zu diesem Kommentar

Das Ergebnis zur IT-Sicherheit ist da und ich bin zufrieden damit. Bei einer Aufgabe hätte man mit einem Beweis die letzten Punkte holen können. Es ging um Pseudozufallszahlen, erzeugt durch ein linear rückgekoppeltes Schieberegister. Das Rüstzeug dazu hätte ich eigentlich durch die Einsendeaufgaben haben müssen. Der Punktabzug dafür hielt sich aber in Grenzen. Ansonsten ist es ziemlich gut gelaufen.

 

Jetzt fehlt mir im Studienbereich "IT-Systeme" nur noch das Modul "Geschäftsprozess-Management". Das kann ich noch gar nicht belegen, weil ich dafür mindestens "BWL1" abgeschlossen haben sollte. Vor BWL habe ich ein bisschen Angst. Ich stelle mir das ziemlich trocken vor. Ich bin ziemlich schlecht darin, Sachen zu lernen, die ich nicht so spannend finde. Insofern schiebe ich das gerade so ein bisschen vor mir her.

Link zu diesem Kommentar

Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde Dich hier an.

Jetzt anmelden


×
×
  • Neu erstellen...