Informationsmanagement und Computersicherheit

Transkript

1 Informationsmanagement und Computersicherheit Detailinfos und Semesterpläne

2 Organisatorisches Studiengangsleiter FH-Prof. Dipl.-Ing. Alexander Mense Tel.: Stellvertreter FH-Prof. Dipl.-Ing. Harald Wahl Tel.: Studienberatung/Sekretariat Marianne Peitl, BSc Tel.: Kontakt Studiengang Informationsmanagement und Computersicherheit Höchstädtplatz 6 A-1200 Wien Web: info.mic@technikum-wien.at Was sind die Charakteristika dieses Masterstudiums? Berufsbegleitendes Studium Dauer: 4 Semester Präsenzzeiten: prinzipiell Dienstag bis Donnerstag 17:50 21:00 Uhr Fernlehreunterstützer Unterricht mit selbst gesteuertem Lernen (FUV) Studienabschluss mit: Master of Science in Engineering (MSc) Stand März

3 Berufliche Tätigkeitsfelder und Profil der AbsolventInnen In unserer Informationsgesellschaft ist die Erstellung, Verteilung, Verbreitung, Nutzung, Integration und Manipulation von Informationen ein bedeutender wirtschaftlicher, politischer und kultureller Faktor. Die berufliche Ausrichtung von Absolventinnen und Absolventen des Masterstudienganges Informationsmanagement und Computersicherheit liegt im Umgang mit Information und Wissen als essentielle und schützenwerte Ressourcen eines Unternehmens aber mittlerweile auch eines Staates und der Gesellschaft. Die effiziente und sichere Verarbeitung bzw. der gesicherte Austausch von Daten und Informationen ist eine zentrale Herausforderung von Unternehmen oder Organisationen. Die datentechnische und IT-infrastrukturelle Umsetzung von Integrationsstrategien für sichere fach- und unternehmensübergreifende IT-Systeme ist ebenso ein zentrales Thema wie neue Herausforderung rund um Mobile Devices, die Zentralisierung und Virtualisierung von Hardware und Diensten oder die dynamische Erweiterung der eigenen Infrastruktur (Hardware oder Services) on demand (Cloud Computing). Information und Wissen ist in einer Informationsgesellschaft in vielen Fällen das Kapital von Unternehmen und diese Werte sind entsprechend zu schützen. Die Bedrohungen für Daten sind vielfältig und das Spektrum reicht von hausgemachten Problemen mit Backups, über firmeninternen Datenmissbrauch bis hin zu Angriffen von Hackern und Industriespionen. Dabei spielen nicht nur technische Tools sondern auch soziale und organisatorische Randbedingungen eine zentrale Rolle. Unternehmen brauchen Spezialisten, die um Bedrohungsszenarien Bescheid wissen, die Methoden und Techniken kennen, Sicherheitsprozesse designen, Maßnahmen planen und umsetzen können. Präventive Sicherheits- und Incident- und Business Continuity Strategien sind dabei ein wesentliches Element. AbsolventInnen dieses Studienganges analysieren, planen, implementieren und betreiben sichere IKT-Architekturen sowie Security-Strukturen unter Verwendung einer gesamtheitlichen (holistischen) Betrachtung (Technik, Organisation und Berücksichtigung sozialer Aspekte) um nachhaltig sicheren Informationsfluss / Informationsaustausch im Unternehmen und über Unternehmensgrenzen hinweg zu gewährleisten. Das Studium bietet daher bewusst keine rein technische Ausbildung sondern bindet organisatorische und Management Aktivitäten ein um eine gesamtheitliche Betrachtung zu ermöglichen. 3

4 Den AbsolventInnen stehen berufliche Positionen in fast allen Branchen und Unternehmenstypen, unabhängig von ihrer Größe, sowohl national als auch international, aber auch im öffentlichen Sektor offen. Exemplarisch können Unternehmen aus den Bereichen Dienstleistungen in der Informationsund Kommunikationstechnologie, Entwicklung von Computersoftware und Webapplikationen, Finanz- und Versicherungsdienstleistungen, Energiesektor oder Öffentliche Verwaltung genannt werden. Im Rahmen der beruflichen Tätigkeitsfelder können aufgrund der Qualifikationsziele des Studienganges unter anderem folgenden Positionen und Funktionen wahrgenommen werden: IT-/Information-Security Spezialistin/Spezialist Datensicherheitsexpertin / Datensicherheitsexperte Penetration Testerin/Tester Software u. Web Entwicklerin/Entwickler sicherer Anwendungssoftware / Web Plattformen IT-Security bzw. Informationssicherheits Consultant IT (Security) Architektin/Architekt IT-Managerin/Manager, IT-Koordinatorin/Koordinator bzw. EDV-Leiterin/Leiter IT-Projektleiterin/Projektleiter IT-Prüferin/Prüfer Chief Information Officer (CIO) CERT Mitarbeiterin/Mitarbeiter IT-Risikomanagerin/Riskomanager Information Security Officer AbsolventInnen können unter anderem die folgenden Aufgaben und Tätigkeiten wahrnehmen: Erkennung und Abwehr von internen und externen Bedrohungsszenarien und Planung von Sicherheitsarchitekturen im Unternehmen Planung und Implementierung von Sicherheitsstrukturen und Technologien Implementierung eines unternehmensweiten Sicherheitsmanagements Entwurf und Aufbau von Securitypolicies Penetrationstests und Audits Implementierung, Erhaltung und Change Management von Sicherheitsmaßnahmen Durchführung von Risikoanalysen und Risikomanagement Vorbereitung auf Zertifizierungen Konzeption des Einsatzes von WEB 2.0 bzw. Enterprise 2.0 Lösungen Sichere Software-Entwicklung in Web, sowie Desktop- u. Enterprise Umgebungen Konzeption der Nutzung von Cloud Services Entwurf von Integrationsstrategien für unternehmensübergreifende IT-Systeme 4

5 Semesterüberblick 1. Semester Bezeichnung Modul bzw. LV Modul 1 IT Security Technical Basis IT-Security Cyber Security Threats Modul 2 Security Management Basis Informationsprozesse Risiko Management & Policies Modul 3 Architecture & Design Sicherheitsstrukturen Projektarbeit 1 Modul 4 Ausgewählte Kapitel 1 Wahlpflichtfach Wahlpflichtfach Modul 5 Personal Skills 1 Projektmanagement 1 Führen im Team Intercultural Communication 2. Semester Bezeichnung Modul bzw. LV Modul 6 Applied IT-Security IKT Architekturen Systemintegration Incident Management Modul 7 Information Security Management Angewandte Informationssicherheit Informationssicherheitsmanagement Modul 8 Project Projektarbeit 2 Modul 9 Selected Topics 2 Wahlpflichtfach Wahlpflichtfach Modul 10 Personal Skills 2 Projektmanagement 2 Advanced English Communication IT-Recht 3. Semester Bezeichnung Modul bzw. LV Modul 11 Information Security Organization Business Continuity & Desaster Recovery Integrierte Managementsysteme & Audit Aktuelle Themen Security & Privacy Modul 12 Specialization Spezialisierung Modul 13 Selected Topics 3 Wahlpflichtfach Wahlpflichtfach Modul 14 Personal Skills 3 Wissenschaftliches Arbeiten IT-Governance 4. Semester Bezeichnung Modul bzw. LV Modul 15 Personal Skills 4 Kommunikation in IT-Projekten Scientific Writing Modul 16 Master Thesis Master Thesis Master Thesis Seminar 5

6 Lehrveranstaltungsbeschreibungen 1. Semester Bezeichnung Modul bzw. LV LV-Typ SWS ECTS Modul 1 IT Security Technical Basis MOD IT-Security ILV, FL Cyber Security Threats ILV, FL Modul 2 Security Management Basis MOD Informationsprozesse ILV, FL Risiko Management & Policies ILV, FL Modul 3 Architecture & Design MOD Sicherheitsstrukturen ILV, FL 2 3 Projektarbeit 1 PRJ Modul 4 Ausgewählte Kapitel 1 MOD Wahlpflichtfach ILV, FL Wahlpflichtfach ILV, FL Modul 5 Personal Skills 1 MOD Projektmanagement 1 SE Führen im Team SE Intercultural Communication SE Summenzeile: IT- Security Festigung der Grundlagen kryptografischer Methoden (Symmetrische und asymmetrische Verfahren, Signaturen, Authentizität, Schlüsselmanagement), Authentifikation und Zugriffskontrolle (Identifizierungs- bzw. Authentifizierungsmodalitäten, AAA-Systeme in verteilten Umgebungen, Single Sign On, Autorisierung und Rechteverwaltung, Sicherheitskonzepte und modelle, Trusted Computing, Firewalls und Intrusion Detection Systeme), Sicherheit in Netzen (Klassifizierung der Technologien, OSI-Sicherheitsarchitektur, TCP/IP- Sicherheitsprobleme, Tunneling-Protokolle nach OSI-Layer - L2TP, IPsec/IKE, TLS, Mechanismen und Anwendungen - SSH, S/MIME, PGP, WLAN-Sicherheit, Sicherheit von Netzdiensten und Webanwendungen, Aktuelle Bedrohungen (Sicheres Programmieren, Malware, promintente Security Vorfälle) Cyber Security Threats Grundlagen zu gängigen Cyber-Attacken, deren Auswirkungen auf Unternehmen und Einzelpersonen. Wie können diese Angriffe abgewendet oder zumindest abgeschwächt werden. Angriffsmethoden und Angriffsarten (Drive-By Attacken, APT (Advanced Persisten Threats), Exploits, Spear Phishing, Watering Hole Attacks, Fast Flux Netzwerke, Denial of Service Attacken) Malware und Malware Arten (Malware, Spyware, Rootkits, Internet Worms) Mitigationsmaßnahmen (Perimeter Sicherheit durch geeignete Next 6

7 Generation/UTM Firewalls und Client/Server Schutzsoftware) OS und Application Hardening (Schwerpunkt Client/Office Anwendungen) Richtiges Abschätzen einer Bedrohung durch Einsatz des CVSS (Common Vulnerability Scoring System) Cyber-Crime und Cyber-War, Aufbau, Struktur und Arbeitsweise von Cyber- Gangs Früherkennung ausgewählter Angriffsmethoden (z.b. Drive-By Downloads) Security Awareness Informationsprozesse Konzepte und Modelle des Informationsmanagement, Betriebliche Informationsarchitekturen und Einbindung in die Gesamtarchitektur; Erschließung und Darstellung von Informationen, Metadaten, Suchtechnologien; Geschäftsprozesse und Workflowsysteme. Risiko Management & Policies Informationssicherheitsmanagment - Überblick und Zielsetzung, Nationale und internationale Rahmenwerke zum Management der Informationssicherheit (Österreichisches, Informationssicherheitshandbuch, Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik, ISO/IEC 2700n Information Technology Security Techniques Information Security Management Systems Series, ISO/IEC 2000 Information Technology Service Management, ISO Enterprise Risk Management, USA National Institute of Standards and Technology NIST Risk Management, ENISA Risk Management, Menaces Informatiques & Pratiques de Sécurité Glossaire des menaces MEHARI, The Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) - Carnegie Mellon University, Payment Card Industry Data Security Standard (PCI-DSS) In den Übungen liegt der Schwerpunkt im Hands-On Training anhand praktischer Fallbeispiele im Rahmen von geführten Kleinprojekten. Sicherheitsstrukturen Erarbeitung von Sicherheitskonzepten und Strukturen auf taktischer und operativer Ebene; Implementierung, Erhaltung und Change Management von Sicherheitsmaßnahmen zum Schutz von Unternehmenswerten; Security-Topographien; PKI und digitale Signaturen, Single Sign On, Authentifikationsverfahren, Biometrische Verfahren, Digital Rights Management, Firewallsysteme, IDS und IPS. Projekt 1 Umsetzung von Projekten in Teamarbeit in den Bereichen Informationsmanagement oder Computersicherheit unter Berücksichtigung aller benötigten Arbeitsschritte. Begleitende Lehrveranstaltungen zu fachspezifischen Themen. Erörterung der Problemstellung, State of the Art Analyse, Aufgabenstellung und funktionale Spezifikation, Scientific Paper. Wahlpflichtfach 1,2 Die Studierenden wählen zwei LVs aus einem Katalog von angebotenen Wahlpflicht-veranstaltungen. Als Beispiel seien folgende Lehrveranstaltungen genannt: Aufwandsschätzung & Vorprojektphase bei SWund IKT-Projekten in der Praxis, Big Data and Data Retrieval, CISSP, Einführung in die Quantenkryptografie, Erkennung und Prävention von Cyberangriffen, Forensik, Identity Management, ITIL, Public Services, Requirements Engineering, Reverse Engineering and Malware Analysis, Securityaspekte des Cloud 7

8 Computing, Security Architekturen und Firewall Techniken, Sicherheit von Mobilnetzen und mobilen Applikationen, Web-Application Security & White Hat Offensive Security 1,2,3 Nähere Details dazu sind im Kapitel Wahlpflichtfächer zu finden. Projektmanagement 1 Projektmanagement Vertiefung in Anlehnung an PMI: Project Management Basics und Organisationale Einflüsse, Projektmanagementprozesse & Integrationsmanagement, Project Scope Management, Projektaufwandschätzung, Vorgehensmodelle, Agile Methoden, Project Time Management, Project Stakeholder Management Führen im Team Praxisrelevante Modelle zum Thema Führung und Motivation in Projekten, Führungsfähigkeiten spielerisch erproben und auswerten; Selbstbild/ Fremdbild - Feedback geben und nehmen; Führen ohne Macht und formelle Kompetenz; der richtige Umgang mit Krisen, Erfolgen und Misserfolgen; Reflexion schwieriger Führungssituationen; Projektmarketing (die Leistungen des Teams richtig verkaufen ) Intercultural Communication Difficulties of the English language for advanced learners. Impacts of computerization on the individual; Making your own point: Persuasive and assertive language in discussions; Negotiating on par using a second language; Dealing with partners from other cultures; Dos and don'ts in intercultural communication Advanced technical English to enhance comprehension of industry specifications and relevant communication with industry experts 8

9 2. Semester Bezeichnung Modul bzw. LV LV-Typ SWS ECTS Modul 6 Applied IT-Security MOD IKT Architekturen ILV, FL Systemintegration ILV, FL Incident Management ILV, FL Modul 7 Information Security Management MOD Angewandte Informationssicherheit ILV, FL Informationssicherheitsmanagement ILV, FL Modul 8 Project MOD Projektarbeit 2 PRJ Modul 9 Selected Topics 2 MOD Wahlpflichtfach ILV, FL Wahlpflichtfach ILV, FL Modul 10 Personal Skills 2 MOD Projektmanagement 2 ILV Advanced English Communication SE IT-Recht VO Summenzeile: IKT Architekturen Erarbeitung und Implementierung von Sicherheitskonzepten auf operativer Ebene. Implementierung und Erhaltung von gesetzten Sicherheitsmaßnahmen zum Schutz von Unternehmenswerten. Managen von Sicherheitsvorfällen und Sicherheitsinformationen. Behandlung entsprechender Themen wie zum Beispiel: Log-Management, Mobile Device Management oder Monitoring. Informationsmanagement, Sicherheitskonzepte, Klassifikation von sicherheitsrelevanten Informationen, Tech. Analyse u. Abstraktion von Sicherheitsvorfällen, gesamtheitliche Sicherheitskonzepte. Systemintegration Konzepte der Systemintegration und vertieft diese im Rahmen einer Web-Service-Implementierung, Distributed Information Systems, Middleware, Enterprise Application Integration, Web Application Integration, Web Services: Grundlagen und Koordinationsprotokolle, BPEL: Web Service Workflows Incident Management Organisatorischen Abhängigkeiten während der Aufarbeitung von IT-Sicherheitsvorfällen und der Bedarf an einer prozessorientierte IT-Sicherheitsorganisation (insbesondere organisatorische Reaktionsmaßnahmen im Fall von IT-Sicherheitsvorfällen). Methodenlandschaft und Techniken im IT Security Incident Response und IT Security Incident Management Bereich. Sicherheitsvorfälle. Grundbegriffe aus der Führungslehre und dem IT Security Incident Management; Bedarf zur Koordination im Unternehmen; Management Reporting und 9

10 Beurteilung der Lage; Organisationsmodelle und Einsatzgebiete von CSIRT/CERT/ISIRT/ISIMT/SOC-Teams; Initiativen in der europäischen Community; Vorgehensmodell nach ISO 27035; Vorgehensmodell nach NIST ; Techniken zur Unterstützung der Vorbereitungen auf IT-Sicherheitsvorfälle; Detektion und Investigation von IT-Sicherheitsvorfällen (Bspw. Nutzung von IOC, Detektion mit IDS/IPS, SIEM etc.) Angewandte Informationssicherheit Überblick über die aktuelle Sicherheitsbedrohungslage resp. -vorfälle. Analyse, Interpretation und Zusammenfassung der neuesten Reports. Im Team ist in Folge eine ausgesuchte Sicherheitsmeldung genau zu analysieren, für eine Vortragsreihe aufzubereiten und darüber eine Seminararbeit zu verfassen. Abstraktion technisch komplexer Inhalte. Informationssicherheitsmanagement Aufzeigen der Unterschiede in den Eigenschaften, Anforderungen und Spezifikation der Rahmenwerke: Österreichisches Informationssicherheitshandbuch, Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik, ISO/IEC Information Technology Security Techniques Information Security Management Systems, Control Objectives for Information and related Technology (COBIT), Payment Card Industry Data Security Standard (PCI-DSS), Aufzeigen der Nahtstellen sowie der Einsatzmöglichkeiten mit den Rahmenwerken: ISO/IEC 2000 Information Technology Service Management, ISO Enterprise Risk Management, ONR Normenserie "Risikomanagement für Organisationen und Systeme In der Übung liegt der Schwerpunkt im Hands-On Training für: die richtige Auswahl der Vorgehensweise für die Erstellung eines Informationssicherheitskonzepts, unter Berücksichtigung des möglichen Rahmenwerkes, das Erstellen der Informationssicherheitsleitlinien, das Entwickeln eines geeigneten Organisationskonzeptes, das Erstellen eines Maßnahmenkatalogs für die Umsetzung der Informationssicherheit anhand eines praktischen Fallbeispiels im Rahmen von geführten Kleinprojekten. Projekt 2 Aufbauend auf Projektarbeit 1: Umsetzung der Projekte in Teamarbeit in den Bereichen Informationsmanagement oder Computersicherheit unter Berücksichtigung aller benötigten Arbeitsschritte. Begleitende Lehrveranstaltungen zu fachspezifischen Themen. Wahlpflichtfach 3,4 Die Studierenden wählen zwei LVs aus einem Katalog von angebotenen Wahlpflicht-veranstaltungen. Als Beispiel seien folgende Lehrveranstaltungen genannt: Aufwandsschätzung & Vorprojektphase bei SWund IKT-Projekten in der Praxis, Big Data and Data Retrieval, CISSP, Einführung in die Quantenkryptografie, Erkennung und Prävention von Cyberangriffen, Forensik, Identity Management, ITIL, Public Services, Requirements Engineering, Reverse Engineering and Malware Analysis, Securityaspekte des Cloud Computing, Security Architekturen und Firewall Techniken, Sicherheit von Mobilnetzen und mobilen Applikationen, Web-Application Security & White Hat Offensive Security 1,2,3 Nähere Details dazu sind im Kapitel Wahlpflichtfächer zu finden. 10

11 Projektmanagement 2 Planning and implementation of R&D projects in teams - Maintain a project handbook, Detailed specification - Time and resource planning - Implementation of the requirements according to the plan IT-Recht Erarbeitung rechtlicher Grundlagen für Informationsverarbeitung und -verkehr anhand von Case Studies; DSG Datenschutzgesetz; ECG Ecommerce Gesetz; EDV relevante Paragraphen aus dem Strafrecht; EGovG E Government Gesetzt; TKG Telekomgesetz (nur EDV-Spezifisch insb. 107); URG Urheberrechtsgesetz; SIG Signaturgesetz; Service Level Agreement Advanced English Communication Advanced argumentation, discussion and presentation; Analysis of trends: Opportunities presented by emerging technologies; Social and ethical impacts of new technology; Sustainability scenarios for our planet; Future Studies vs. futuristic speculation; Advanced technical English to enhance comprehension of relevant literature and current publications pertaining to the field 11

12 3. Semester Bezeichnung Modul bzw. LV LV-Typ SWS ECTS Modul 11 Information Security Organization MOD Business Continuity & Desaster Recovery ILV, FL Integrierte Managementsysteme & Audit ILV, FL Aktuelle Themen Security & Privacy ILV, FL Modul 12 Specialication MOD Spezialisierung PRJ Modul 13 Selected Topics 3 MOD Wahlpflichtfach ILV, FL Wahlpflichtfach ILV, FL Modul 14 Personal Skills 3 MOD Wissenschaftliches Arbeiten ILV IT-Governance ILV, FL Summenzeile: Business Continuity & Desaster Recovery Aufzeigen der Unterschiede in den Eigenschaften, Anforderungen und Spezifikation im Bezug auf Business Continuity Planung & Disaster Recovery Planung in den Rahmenwerken: Österreichisches Informationssicherheitshandbuch, Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik, ISO/IEC Information Technology Security Techniques Information Security Management Systems, Control Objectives for Information and related Technology (COBIT), Payment Card Industry Data Security Standard (PCI-DSS). Aufzeigen der Nahtstellen sowie der Einsatzmöglichkeiten im Bezug auf Business Continuity Planung & Disaster Recovery Planung in den Rahmenwerken: ISO/IEC 2000 Information Technology Service Management, ISO Enterprise Risk Management, ONR Normenserie "Risikomanagement für Organisationen und Systeme. In der Übung liegt der Schwerpunkt im Hands-On Training für: die richtige Auswahl der Vorgehensweise für die Erstellung eines Business Continuity Plans & Disaster Recovery Plans, unter Berücksichtigung des möglichen Rahmenwerkes, das Erstellen eines Übungskonzeptes für einen Business Continuity Plan & Disaster Recovery Plan, das Durchführen einer Übung für einen Business Continuity Plan & Disaster Recovery Plan anhand eines praktischen Fallbeispiels im Rahmen von geführten Kleinprojekten. Integrierte Managementsysteme & Audit Einführung in die Themengebiete Governance & Audit aus der Perspektive von Sicherheitsspezialisten. Integration in ein Informationssicherheitsmanagementsystem. Internal & External Audits, International Standards & Frameworks (zb ISO 9001, 20000, 27001, ISAE 3402,...), Standardisierung & Normungswesen, IT & Enterprise Risk Management & Governance 12

13 Aktuelle Themen Security & Privacy Herausforderungen und organisatorische, strukturelle und technische Security Lösungsansätze für kritische Infrastrukturen im Bereich Industrie 4.0, Energie, Gesundheitswesen und Verkehr. Privay-Enhancing- Technolgien (PET), k-anonymity und l-diversity, Tor Onion Konzept, Systeme, zum Schutz der Privatsphäre (z.b. as OTR, Pond, Flock, Redphone, Textsecure, prism-break, secure messenger Spezialisierung Wissenschaftliche Bearbeitung spezieller Fachbereiche betreffend die individuellen Masterthesen in Kleingruppen. Formulierung wissenschaftlicher Fragestellungen sowie Literaturrecherche und Diskussion aktueller Forschungsergebnisse als mögliche Grundlage der eigenen Masterthesen. Literaturrecherche und state of the art (Literaturliste), Diskussion wissenschaftlicher Paper und Erarbeitung von Themensynergien, Erarbeitung wissenschaftlicher Fragestellungen und Methodiken, Erstellung Proposal Master Thesis, Quellenund Wissenslandkarte. Wahlpflichtfach 5,6 Die Studierenden wählen zwei LVs aus einem Katalog von angebotenen Wahlpflicht-veranstaltungen. Als Beispiel seien folgende Lehrveranstaltungen genannt: Aufwandsschätzung & Vorprojektphase bei SWund IKT-Projekten in der Praxis, Big Data and Data Retrieval, CISSP, Einführung in die Quantenkryptografie, Erkennung und Prävention von Cyberangriffen, Forensik, Identity Management, ITIL, Public Services, Requirements Engineering, Reverse Engineering and Malware Analysis, Securityaspekte des Cloud Computing, Security Architekturen und Firewall Techniken, Sicherheit von Mobilnetzen und mobilen Applikationen, Web-Application Security & White Hat Offensive Security 1,2,3 Nähere Details dazu sind im Kapitel Wahlpflichtfächer zu finden. Wissenschaftliches Arbeiten Wissenschaftliche Arbeitstechnik und Literaturstudium, Schreiben: Gliederung, Stand der Technik, Verwandte Arbeiten, Nachweis der Nachvollziehbarkeit. Schreibtechniken und Schreibblockaden. Peer Review, Effective kurze Referate IT-Governance Unternehmens-Organisationsformen mit Focus auf deren Unterstützung bei der Entwicklung von IT-Lösungen für riskante Systeme; Katastrophenmanagement und Management von Krisensituationen; Change Management im Bereich der Unternehmensführung: Strategische Unternehmensführung in der IT-Branche, Unternehmensvision, Leitbild, Planungsprozesse, Aufbau von Businessplänen, Simulation von Unternehmenszyklen 13

14 4. Semester Bezeichnung Modul bzw. LV LV-Typ SWS ECTS Modul 15 Personal Skills 4 MOD Kommunikation in IT-Projekten SE Scientific Writing SE Modul 16 Master Thesis MOD Master Thesis SO Master Thesis Seminar SE Summenzeile: 3 30 Kommunikation in IT-Projekten Verhandlungsstrategien, Ziel- /Partner-/Ressourcenorientierte Gesprächsführung (verbal und nonverbal), Umgang mit Widerständen und Einwänden, Psychologie der Überzeugung, Wirkung des eigenen Gesprächsverhaltens. Basiskurs NLP Was NLP (neurolinguistisches Programmieren) ist, was es nicht ist und wo es eingesetzt werden soll. Warum habe ich Gefühle? Die unbewusste Verarbeitung von Sprache; Scientific Writing The role, content, style and types (i.e. research and review) of scientific abstracts: Structure of a scientific abstract, Language-related criteria of a scientific abstract, Writing a scientific abstract, Writing a scientific paper based on the topic of the master thesis. Master Thesis Seminar Begleitende Betreuung zur Verfassung der Master Thesis. Unterstützung bei der wissenschaftlichen Arbeit, Forschungsdesign und Problemlösungsansätzen. Master Thesis Selbständige Bearbeitung einer fachlich relevanten Thematik auf wissenschaftlichem Niveau und Ausarbeitung der Master Thesis. 14

15 Wahlpflichtfächer Aufwandschätzung & Vorprojektphase bei SW und IKT- Projekten in der Praxis Die Vorprojekt- und Angebotsphase stellt ProjektmanagerInnen gerade bei Softwareprojekten und Projekten im IKT Umfeld vor besondere Herausforderungen: Wie soll man ein verbindliches Angebot abgeben, wenn die genauen Kundenanforderungen noch nicht feststehen, weil deren Detailspezifikation oft erst Teil der ersten Projektphase ist? Ziel ist es, aktuellste Trends auf diesem Gebiet im Detail zu betrachten und anhand von konkreten Beispielen in der Gruppe Methoden der Software- und IKT-Projekt Aufwandschätzung praktisch anzuwenden und zu üben. 12 Schätzverfahren, wie: Vergleichsverfahren, Proxy Verfahren, Zählen & Messen & Rechnen, Function Point Analyse, Broadband Delphi, etc. Projektmanagement in der Vorprojektphase: Rapid Development, Typische Meilensteine, ORDER Prinzip nach Khalsa. Big Data and Data Retrieval Die Notwendigkeit Informationen aus großen Datenmengen zu extrahieren und suchbar zu machen ist nicht zuletzt durch Suchmaschinen im Internet auch der Allgemeinheit bekannt geworden. Die Lehrveranstaltung beginnt mit einem geschichtlichen Überblick zu Information Retrieval, behandelt Basiskonzepte und geht detaillierter auf einzelne Punkte wie Text Processing, Indexing, Query Languages, Künstliche Intelligenz im Information Retrieval und Suchen in strukturierten und unstrukturierten Datenbeständen ein. Als Datenbestände können das Web, Datenbanken oder auch Multimediale Daten dienen. Ein weiterer Schwerpunkt dient der übersichtlichen Darstellung von Informationen, wie z.b. die Visualisierung von mehrdimensionalen, zeitbezogenen Daten etwa von Börseninformationen oder medizinischen Daten, oder das Navigieren in verlinkten Informationen, wie etwa die Darstellung von Verlinkungen auf Webseiten. CISSP Die Prüfungen zum Certified Information Systems Security Professional (CISSP) und System Security Certified Practitioner (SSCP) sind Wissensprüfung im Bereich Informationssicherheit. Als die erste Zertifizierung, die durch ANSI als ISO-Standard 1704:2003 im Bereich Information Security akkreditiert wurde, bietet die CISSP- Zertifizierung Security Professionals nicht nur eine objektive Bewertung ihrer Kompetenz, sondern auch einen global anerkannten Leistungsstandard. (Achtung: eine Zertifizierung erfordert eine entsprechende kostenpflichtige externe Prüfung und entsprechende Berufserfahrung) Access Control Systems & Methodology (Passwords, Biometrics, Kerberos); Applications & Systems Development (Software Development, Database Security); Business Continuity & Disaster Recovery Planning (Who is Responsible, Maintaining Production ); Cryptography (Symmetric & Asymmetric Encryption, PKI); Law, Investigation & Ethics (Employers Obligations, Gathering Evidence); Operations Security (Monitoring, Auditing); Physical Security (Fire, CCTV, Motion Detectors); Security Architecture & Models (Bell-LaPadula, 15

16 Biba, Clark-Wilson); Security Management Practices (Information Classification, Risk Management); Telecommunications & Network Security (Intrusion Detection, RAID, VPN) Einführung in die Quantenkryptografie Das Forschungsgebiet Quanteninformation ist ein sich schnell entwickelndes und expandierendes Gebiet der Physik. Es ist zu erwarten, dass Realisierungen der teilweise bereits theoretisch bekannten Anwendungen neue technologische Möglichkeiten bieten werden und alte Technologien ablösen werden. Es wurde aber auch gezeigt, dass zum Beispiel die Algorithmen, auf denen die klassische Kryptographie fußt, mit einem zukünftigen Quantencomputer unsicher werden. Daher sollten FH AbsolventInnen einschlägiger Studienrichtungen Kenntnisse in diese zukünftigen Technologien, die auf den Quantengesetzen beruhen, vermittelt werden, damit sie in ihrem zukünftigen Berufsleben auf den sich verändernden Markt reagieren können, bzw., in ihrem Arbeitsgebiet richtungsweisend agieren können. Im Rahmen der Lehrveranstaltung werden folgende Themen behandelt: Einführung in die Quantenmechanik und deren Methoden, Algorithmen in der Quanteninformation, BB84 Protokoll, Ekert Protokoll, Umsetzungen und technische Realisierungen, Grenzen der Quantenkryptografie Erkennung und Prävention von Cyberangriffen Moderne Cyberangriffe zählen nicht zuletzt seit Stuxnet und den Angriffen von Anonymous oder Lulzsec zu den täglichen Risiken, die IT Landschaften von Unternehmen ausgesetzt sind. Die Erkennung von erfolgreichen Angriffen ist schwierig, da allzuoft erst nach einer Veröffentlichung von gestohlenen Daten klar wird, dass ein Cyberangriff erfolgt ist und welcher Schaden dadurch entstanden ist. Oftmals werden die für eine Erkennung erforderlichen Daten nur unzureichend oder gar nicht ausgewertet. Technische Methoden, Angriffe möglichst frühzeitig zu erkennen, existieren zwar, aber oftmals fehlt es an Zeit und entsprechenden Methoden, mit der Informationsflut richtig umzugehen, und die Daten und Fakten richtig zu interpretieren. Daher ist das Ziel dieser LV, Methoden und Wissen zur Früherkennung von Cyberangriffen zu vermitteln. Es werden Angriffe auf Server- und Client-Systeme untersucht, welche verwertbaren Daten für eine Analyse grundsätzlich verfügbar wären, und welche sinnvollerweise ausgewertet werden könnten und welche Informationen z.b. in Log-Files für eine Nachvollziehbarkeit von Angriffen herangezogen werden könnten. Die Themen SIEM (Security Incident Event Monitoring) bzw. SEM (Security Event Monitoring), Log-File Analyse und Datenkorrelation, Verbindungen zum ISMS und Incident Response sind Teil dieser LV. Es besteht auch die Möglichkeit Teile der LV in einer Laborumgebung mit praktischen Hands-On Übungen abzuhalten. Forensik Computer Forensik befasst sich mit der nachträglichen Aufklärung von Sachverhalten sowie der methodischen und systematischen Auswertung vorhandener Beweisspuren. Fallbeispiele: Forensik und der Incident Response Prozess, Moderne Netzwerke in der Praxis, Datensicherung für Hosts, Datensicherung für Netzwerkgeräte, Systematisches Arbeiten, Die forensische Tätigkeit, Case Management 16

17 Identity Management Definition von Idententität, Lebenszyklus von Identitäten, Identitäten-Pseudonymisierung- Anonymisierung, Accessmanagement, IdM Systemarchitekturen, Innerbetriebliches IdM, Federated IdM, Basisstandards (SAML, XACML,...), Identity Management und Access Control im Internet (OpenID, OAuth,...). ITIL Durch Teilnahme an diesem Seminar gewinnen die Teilnehmer einen umfassenden Einblick in das gesamte IT Service Management auf der Grundlage von ITIL. Kernbegriffe werden anschaulich erklärt und anhand von Praxisbeispielen verständlich gemacht. Sie lernen und erarbeiten: Die Kernprozesse des ITIL Service Support und Service Delivery. Optional wird auch die Zertifizierungsprüfung (kostenpflichtig) angeboten. Public Services Strukturen und wesentliche technische Grundlagen von e-health und e-government; Einführung E- Government; IKT-Strategie Österreich; Verfahrensvernetzung und zentrale Register; Gütesiegel; MOA; Verzeichnisdienste; Portalverbund; Allgemeine Sicherheitstrukturen; Bürgerkarte / Amtssignatur; e-dienste (e- Billing, e-zustellung,...); Gesetzliche Grundlagen Definition E-Health, Das Gesundheitswesen in Österreich im Überblick, Strukturen GIN / GINA; Sicherheitsstrukturen / Authentifizierung und Authorisierung im e-health; Protokolle und Standards; die österreichische elektronische Gesundheitsakte; Nationale und internationale ehealth-projekte; Internationale Verfahren und Standards zum nationalen und internationalen Austausch von Gesundheitsdaten Requirements Engineering Requirements Engineering ist der erste Schritt in der strukturieren und systematischen Systementwicklung. Es legt den Umfang des Projektes fest und schafft die gemeinsame Kommunikationsbasis für alle am Projekt beteiligten Disziplinen. Auf Basis dieser Lehrveranstaltung kann die Zertifizierungsprüfung zum "Certified Professional for Requirements Engineering" - Foundation Level abgelegt werden. Inhalte: Einleitung und Grundlagen, System und Systemkontext abgrenzen, Anforderungen ermitteln, Dokumentation von Anforderungen, Anforderungen modellbasiert dokumentieren, Anforderungen prüfen und abstimmen, Anforderungen verwalten, Werkzeugunterstützung Reverse Engineering and Malware Analysis Reverse Engineering (RE) Software is a highly interesting but challenging field - especially when the target is malicious software. It s comparable to a decathlon of skills. Thus the major goal of this workshop is to pave the students way making their first and hardest steps into this new domain building up a stable foundation and therefore an ideal trampoline for the next steps and further advancement. Students are interactively guided by a professional malware analyst providing a brief overview of the most common approaches in terms of analyzing malicious 32 Bit portable executables (PE) on Microsoft Windows Systems sharing real-life insights and expertise particularly focusing on freely available tools. 8 On the basis of a real world scenario students will 17

18 learn how easy it is to get infected by malicious software, form a sense to assess what s possible and what isn t, find out what malware analysts (are able to) do, develop and hence understand typical strategic concepts and tactics in reverse engineering, learn a lot about the hidden gears under the hood of Microsoft Windows and modern operating systems in general, generally locate and fill gaps in their knowledge and gather/train their abilities to deal with unforeseeable and even chaotic situations in a flexible and constructive manner looking over one s own nose. Securityaspekte des Cloud Computing Cloud Computing ermöglicht großen ebenso wie kleinen Unternehmen Internet-basierte Dienste zu nutzen, um Kosten für Investitionen z.b. bei Start-up s auf einer Pay-as-you-use Basis zu reduzieren. Allerdings gilt es dabei auch eine Vielzahl an Sicherheitsfragen zu beantworten. Die LVA behandelt die häufigsten Herausforderungen die sich dem User im Bereich Cloud Computing stellen. Security Architekturen und Firewalltechniken Funktionsweise von Firewalls: Routing (Layer3, Transparent L2), VPN, NAT/PAT, Regelwerk, Clustering, Stateful Inspection, Security Kernel Architektur; Marktübersicht und Vergleich; Planung von Konzepten und Erstellung komplexer Netzwerktopologien; Regelmanagement. Im LAB erfolgt der Aufbau eines geschützten Netzwerkbereiches mit unter besonderer Berücksichtigung von Sicherheitsaspekten; VPN: Außenstellen, Remote Access mittels SecureRemote Client; Debugging von VPN Tunnels Sicherheit von Mobilnetzen und mobilen Applikationen Mobile platforms overview, market and business models, Location based services, GPS, navigation, Mobile devices security threats, Android, ios and WP7 application development, Provisioning of Apps, securing mobile devices, methods and tools for analyzing mobile apps, App development security, mobile identity security Web Application Security Entwurf und Programmierung von sicheren Webanwendungen. Instrumente und Möglichkeiten für die Überprüfung der Sicherheitsaspekte in Applikationen. SQL Injection, Informationsgewinn, XSS Cross Site Scripting, Parameter Manipulation, Cookie replay, White Hat Offensive Security 1,2,3 Die Frage wie sicher ein Informationssystem ist, kann nur beantwortet werden, wenn man versucht in dieses einzudringen, es zu hacken. Dazu werden White Hat Hacker ausgebildet die die Grundsätze des Ethical Hackings beachten aber über das Wissen von Black Hats verfügen. Ein bekannter Ausspruch dazu ist "To beat a hacker, you need to think like one!" 18

19 White Hat Hacking 1 vermittelt das Grundlagenwissen zum Thema Penetration Testing und gibt eine Einführung in die bekannte Penetration Testing Suite Kali Linux (früher BackTrack). Zu den vermittelten Grundlagen gehört neben Methoden des Information Gathering, die Vulnerability Identification, das Knacken von Passwörtern und die Exploitation sowohl durch eigene Exploits als auch durch das Metasploit Framework. Ebenfalls wird das Wissen vermittelt wie durch selbstgeschriebene Module das Metasploit Framework erweitert werden kann. Im White Hat Hacking 2 wird das vermittelte Wissen von White Hat Hacking 1 vertieft indem ausgewählte Hacks von Vulnerabilities praktisch nachvollzogen mit dem Ziel Root Recht auf dem jeweiligen System zu erlangen. Neben typischen Vulnerabilities von Webanwendungen werden auch Themen wie Priviledge Escalation, Antivirus Evasion durch selbst geschriebene Encoder und das Backdooring von Anwendungen behandelt. Das Wissen über Buffer Overflows aus dem ersten Semester wird auf Egghunter ausgedehnt. Im dritten Semester werden die bereits behandelten Themen weiter vertieft. Im Bereich Buffer Overflow werden Themen wie SEH, DEP und ASLR sowie Venetian Shellcode behandelt. Darüber hinaus werden Themen aus dem Bereich Network Pentesting wie die verschiedensten Arten von DLL Injection und Clientside Attacks wie advanced XSS durchgenommen und WI-FI Pentesting behandelt. 19