Titel des Moduls: Application Security Kennnummer Workload Credits 90 h 3 Studiensemester 4. -7. Sem (B.Sc.) 1 Lehrveranstaltung Workshop, Wahlpflichtfach 2 Lernergebnisse (learning outcomes) / Kompetenzen Sprache Deutsch Häufigkeit des Angebots Wahlmodul Kontaktzeit Selbst2 SWS / 22.5 h studium 67,5 h Dauer 1 Semester geplante Gruppengröße 10-15 In dieser Veranstaltung werden Fähigkeiten vermittelt, die zur Planung und Erstellung sicherer Anwendungssysteme benötigt werden. Die Studierenden verstehen wieso computerbasierte Angriffe stattfinden und in wie weit sich diese auf ein Unternehmen auswirken können. Die Teilnehmer lernen methodische Vorgehensweisen eines Angriffs kennen, und in diesem Zusammenhang, die häufigsten Schwachstellen von Webanwendungen (orientiert nach den aktuellen OWASP TOP 10). Daneben werden weitere Sicherheitsaspekte erörtert, die Einfluss auf ein komplexes Anwendungssystem haben können. Die Ursache, Auswirkung von technischen und organisatorischen Schwachstellen sowie deren angemessene Gegenmaßnahmen werden verstanden. Die Studierende sind in der Lage Handlungsmöglichkeiten darzustellen wie solche Schwachstellen während der Entwicklungsphase vermieden werden können und entsprechende Maßnahmen durchzuführen. 3 Inhalte a) b) c) d) e) f) 4 Grundeigenschaften von IT Sicherheit und rechtliche Aspekte. Angriffsgegner und deren Angriffsmethodiken. Angriffsphasen eines erfolgreichen Angriffs, insbesondere aktive und passive Reconnaissance. Häufige technische Software Schwachstellen, Auswirkungen und Gegenmaßnahmen. Allgemeine Sicherheitsparadigmen und sichere Software Design Prinzipien. Sicherheit als integraler Bestandteil im klassischen Softwareentwicklungsprozess am Beispiel eines sicheren Softwareentwicklungsmodells. Lehrformen/Methodik Präsentation von Inhalten als Vorlesung, praktische Übungen zur Vertiefung der Inhalte des Frontalunterrichts. Für die Teilnahme wird ein sicherer Umgang mit Softwareentwicklungswerkzeugen empfohlen, vorwiegend für Webapplikationen, bspw. HTML und SQL Abfragen-Programmierung. 5 Ablauf/Organisation Der Kurs wird als blockweise Online‐Veranstaltung über MEMEO samstags jeweils im 2. Block (9:30‐11:00) und im 3. Block (11:15‐12:45) gehalten. Verbindliche Anmeldung erfolgt über FELIX. Einwahl zur Online-Veranstaltung erfolgt durch MEMEO: https://memeo.hs-furtwangen.de/wpv-fakos Die Termine sind: 18.03., 25.03., 08.04., 22.04., 06.05., 20.05., 03.06. und 17.06.17. 6 Teilnahmevoraussetzungen a) Grundkenntnisse der Programmierung. b) Grundkenntnisse über IT-Netzwerke und verteilte Anwendungen. 7 Prüfungsformen a) Praktische Übungen b) Klausur 8 Modulbeauftragte/r und hauptamtlich Lehrende Prof. Dr. F. Kaspar, Alexios Fakos 9 Literatur [1] [2] [3] [4] [5] [6] Schneier, Bruce; Secrets & Lies, dpunkt.Verlag, 2001 Howard, Michael; Leblanc, David; Sichere Software programmieren, 2nd Edition Microsoft Press, 2002 Howard, Michael et al.; 24 Deadly Sins of Software Security, McGraw-Hill, 2009 Fakos, Alexios; Sichere Webanwendungen - Grundlagen, Schwachstellen und Gegenmaßnahmen, AV Akademikerverlag, 2012 Shostack, Adam; Threat Modeling: Designing for Security, Wiley, 2014 The Open Web Application Security Project, http://www.owasp.org (letzter Zugriff 09.01.2017)