Einführung in Sec4Dig / Grundlagen der Informationssicherheit
Zeit: 27.06.2018-28.06.2018 | Ort: FH St. Pölten
Im Startmodul, am Beginn der Kursreihe wird neben dem weiteren Ablauf, das Basiswissen für alle weiteren Schulungen vermittelt. Es handelt sich dabei um ein Pflichtmodul, durch welches der Grundstein für die weiteren Vorträge gelegt werden soll.
Es werden diverse für den geschäftlichen aber auch industriellen Bereich relevante Grundbegriffe im Zusammenhang mit IT-Sicherheit wie etwa Awareness, Passwortsicherheit, Angriffserkennungssysteme und verschiedenste Software-Werkzeuge (Wireshark, nmap, IDS, IPS, Nessus) behandelt.
Secure Cloud Computing
Zeit: 03.09.2018-05.09.2018 | Ort: FH St. Pölten | Maximale Teilnehmerzahl: 20
Dieser Block beleuchtet Cloud Computing und die zu Grunde liegenden Konzepte. Der Unterschied zwischen den verschiedenen Modellen (SaaS, PaaS, IaaS) der Bereitstellung sowie deren Vor- und Nachteile und typische Anwendungsszenarien sind ein Teil des Inhalts. Außerdem wird Virtualisierung, Containerisierung und DevOps erklärt. Ausfallsicherheit und kontinuierliche Migration wird mit Hilfe von privaten und öffentlichen (AWS, Microsoft Azure) Cloud-Anbietern demonstriert.
Secure Network Design and Configuration, Firewalling
Zeit: 15.10.2018-17.10.2018 | Ort: FH St. Pölten | Maximale Teilnehmerzahl: 20
In diesem Modul werden grundsätzliche Aspekte der Netzwerksicherheit im Local Area Network (LAN) und am Perimeter behandelt. Dabei werden Netzwerkprotokolle wie IP, TCP und UDP näher betrachtet sowie IPv6 als Nachfolger von IPv4 vorgestellt. In diesem Zusammenhang wird auf LAN-Security und die zugehörigen Best Practices eingegangen. Weitere Inhalte des Moduls sind sichere Netzwerksegmentierung sowie Firewalling-Konzepte.
Identity and Access Management, Authentication Design
Zeit: 05.11.2018-07.11.2018 | Ort: FH St. Pölten | Maximale Teilnehmerzahl: 20
Dieser Block behandelt Authentifikationsmethoden: PIN, Passwort, Passwortalgorithmen, Merkhilfen und Verbesserungen, biometrische Systeme (Vorteile, Nachteile, FRR, FAR, EER, Roc-Kurve, konditionierte/zufällige/vererbte Merkmale, Finger, Handschrift, Iris, Gesicht, Vene etc., Probleme, Matching-on-chip), kryptografische Authentifikation (Digitale Signatur, Challenge Response, Zero Knowledge), Hardware-Token (Standards, Funktionalität, Sicherheit) und eine Einführung in das Identitätsmanagement.
Sicherheits- und Risikomanagement
Zeit: 10.12.2018-11.12.2018, 17.12.2018-18.12.2018 | Ort: FH St. Pölten | Maximale Teilnehmerzahl: 20
Vermittelt werden unter anderen Grundlagen zu Managementsysteme nach ISO 27001, ISO 27002, ISO 27005 in Zusammenhang mit den Strategieoptionen zur Informationssicherheit. Konkreter besprochen werden die einzelnen Kapitel der ISO 27002, theoretische Anforderungen werden Umsetzungsmöglichkeiten gegenüber gestellt. Risikomanagement nach ISO 27005 und ISO 31010 runden die Themen um das Informationssicherheits – Managementsystem ab.
Penetration Testing für Secure Setup
Zeit: 21.01.2019-23.01.2019 | Ort: FH St. Pölten | Maximale Teilnehmerzahl: 20
In diesem Workshop geht es darum, Sicherheitslücken in der Infrastruktur bzw. Netzwerk aufzudecken und dem Betreiber mögliche Maßnahmen zur Sicherung der betroffenen Systeme aufzuzeigen. Das Mittel dafür sind Penetration Tests. Sie umfassen eine Koordinations- und Planungsphase, in der unter anderem auch der zu testende Bereich und die Aggressivität des Vorhabens definiert werden, die Suche nach (un-)bekannten Schwachstellen und eine umfangreiche und lückenlose Dokumentation des Vorgehens. Dabei kommen entsprechende Werkzeuge (nmap, Nessus u.ä.) zum Einsatz, die im Workshop auch praktisch erprobt werden. Abschließend werden weiterführende Maßnahmen zur Behebung der gefundenen Schwachstellen und zur besseren Absicherung der Infrastruktur aufgezeigt.
Security und Safety Standards
Zeit: 11.02.2019-13.02.2019 | Ort: FH Wiener Neustadt | Maximale Teilnehmerzahl: 16
Im Zuge dieses Workshops werden neben der Theorie zu den Themenbereichen IT-Awareness, IT-Grundschutz und IT Standards im industriellen Umfeld auch verschiedenste Szenarien in Form von praktischen Übungen erarbeitet. Hierbei liegen die Schwerpunkte neben technischen auch auf organisatorischen Sicherheitsmaßnahmen.
Sichere Software entwickeln
Zeit: 18.02.2019-20.02.2019 | Ort: FH St. Pölten | Maximale Teilnehmerzahl: 20
Die meisten Sicherheitsprobleme ergeben sich durch den ungewollten Einbau von Schwachstellen während des Entwurfs und der Entwicklung von Software. Das Seminar „Sichere Software entwickeln“ stellt Vorgehensweisen, Konzepte, Aktivitäten und Werkzeuge vor, um Sicherheit von Anfang an in Softwareprodukte einzubauen. Diese gewährleisten, dass Sicherheit im notwendigen Umfang berücksichtigt und integriert wird. Die Aktivitäten sind unabhängig vom Entwicklungsprozess. Die Vorgehensweisen und Aktivitäten, die im Seminar „Sichere Software entwickeln““ betrachtet werden, sind „Sicherheitsanforderungen finden und spezifizieren“, „Sichere Architektur und Design“ inkl. Bedrohungsmodellierung (u.a. Misuse Cases, STRIDE, Angriffsbäume, DFD und Trust Boundaries) sowie Sicherheitsprinzipien und -muster, „Risiken analysieren und bewerten“.
Anhand eines Beispielprojektes werden die verschiedenen Aktivitäten mit den TeilnehmerInnen konkret durchgeführt. Bereiche bei der Software-Entwicklung, die bezüglich Sicherheit eine besondere Rolle spielen, werden genau behandelt; Best Practice-Beispiele aus der Praxis zu den Bereichen werden vorgestellt und besprochen. Beispiele für solche Bereiche sind Authentifizierung, Session Management, Daten-/Input-Validierung und Verschlüsselung.
IoT (Internet der Dinge) Sicherheit
Zeit: 18.03.2019-20.03.2019 | Ort: FH Wiener Neustadt | Maximale Teilnehmerzahl: 16
Wie kann die Kommunikation bei IoT gesichert werden? Welche Standards existieren und was wird im IoT Gerät benötigt um diese Standards zu implementieren. Im Praxisteil werden auch im Labor auch Versuche durchgeführt.
Web-Security und Penetration Testing for System Development
Zeit: 08.04.2019-10.04.2019 | Ort: FH St. Pölten | Maximale Teilnehmerzahl: 20
Typische Sicherheitsschwachstellen in modernen Applikationen, insbesondere in Webapplikationen, werden besprochen und praktisch ausprobiert. Dazu gehören SQL Injections, Command Injections, Session Hijacking, Session Authentication, Cross-Site Scripting, Cross-Site Request Forgery und andere, die der bekannten OWASP-Top-Ten-Liste entnommen werden (diese enthält die 10 häufigsten Schwachstellen, die in Webapplikationen zu finden sind). Der Inhalt des Workshops ist unabhängig von einer bestimmten Programmiersprache, da sich die Angriffsszenarien für alle modernen Webapplikationen sehr ähnlich sind. Es werden Methoden aufgezeigt, mit welchen Maßnahmen (Reviews, Tests u.ä.) solche Schwachstellen vermieden bzw. frühzeitig entdeckt werden können. Die Tests (mit entsprechenden Werkzeugen) werden auch praktisch geübt.
Integrating Devices – BYOD (Bring Your Own Device)
Zeit: 06.05.2019-08.05.2019 | Ort: FH St. Pölten | Maximale Teilnehmerzahl: 20
Dieses Modul bietet einen umfassenden Überblick über den Aufbau, die Konzepte und Sicherheitsmerkmale von aktuellen mobilen Betriebssystemen und Systemen zur Integration von persönlichen Mitarbeitergeräten. Hierzu wird auch das Augenmerk auf die Rahmenbedingungen und technischen Möglichkeiten für die Integration von mobilen Geräten in eine bestehende Unternehmens-Infrastruktur gelegt. Dabei wird auf die Gefährdungen und Risiken aber auch Möglichkeiten und Chancen von Bring Your Own Device hingewiesen. Zum einfachen Managen von mobilen Geräten werden diverse Enterprise Mobility Management (EMM) und Mobile Device Management (MDM) Lösungen vorgestellt.
Formale Methoden
Zeit: 20.05.2019-22.05.2019 | Ort: FH St. Pölten | Maximale Teilnehmerzahl: 20
Die Sicherstellung des korrekten und sicheren Funktionierens von Software ist unerlässlich, um Kundenzufriedenheit zu gewährleisten. Klassischerweise werden Anforderungen an ein Software-System mittels Testverfahren und Code Auditing überprüft. Auf Grund der steigenden Komplexität von Software, spielen sogenannte formale Methoden jedoch eine zunehmend wichtige Rolle. Formale Methoden sind Methoden zum Spezifizieren, Modellieren und Überprüfen von Systemen mittels angewandter Logik. Formale Methoden können klassische Testverfahren sowohl untersützen (z.B. Model Based Testing) wie auch (teilweise) ersetzen (z.B. Model Checking). Neben einer Einführung in die Prinzipien formaler Methoden für die Softwareentwicklung, steht der praktische Umgang mit entsprechenden Tools und Werkzeugen im Vordergrund des Moduls. Es wird gezeigt wie man Security- und Safety-Anforderungen formal modelliert und deren korrekte Implementierung verifiziert. Der praktische Einsatz wird anhand von Beispielen erlernt.
Digitale Forensik und Incident Handling
Zeit: 27.05.2019-29.05.2019 | Ort: FH St. Pölten | Maximale Teilnehmerzahl: 20
In diesem Workshop lernen die Teilnehmer und Teilnehmerinnen Techniken und Werkzeuge der forensischen post-mortem Analyse von digitalen Beweisstücken kennen und erarbeiten die Grundlagen der Schadsoftware-Analyse. Konkret werden folgende Themen betrachtet: Prinzipien und Verfahren der digitalen Forensik, Täter-Profiling, praktische Untersuchung von Festplatten und Arbeitsspeicher-Abbildern, Reverse Engineering von einfacher Software, sowie statische und dynamische Analyse von Malware.
Im zweiten Teil des Blocks werden live-forensische Techniken und das Incident Management beleuchtet. Hier wird vermittelt, wie man Angriffe zeitnah erkennen kann und auf diese richtig reagiert.
System Monitoring und Anomalie-Erkennung
Zeit: 17.06.2019-19.06.2019 | Ort: FH St. Pölten | Maximale Teilnehmerzahl: 20
Ein essenzieller Teil um ein System automatisch zu überwachen ist die Erkennung von Mustern und Anomalien. Die Analyse von großen Datenmengen durch Data Mining und Clustering sowie verschiedene Klassifikatoren (knn, Bayes, LDA, SVM,…) und Herausforderungen wie Overfitting sind Teil dieses Moduls. Für praktische Beispiele werden diverse Mining Tools (Rapid Miner, WEKA, KNIME, Matlab,…) verwendet.
Zeitliche, örtliche und andere Änderungen des Programms vorbehalten.