IT & Mobile Security

System-Nahe Anwendungen aufbauend auf den Fertigkeiten (C-Entwicklung) von "Mobile Operating Systems", ausgwählte Kapitel in nativer Programmierung auf verschiedenen mobilen Plattformen (zum Beispiel Android, iOS, WP8,...). Dabei wird auf die plattformpezifischen Ansätze eingegangen.

Security ist ein sehr wichtiges Thema für verteilte Software Systeme. In dieser Lehrveranstaltung werden verschiedene Praktiken für das Designs von sicheren Web Applikationen vorgestellt:

- Architectural Risk Analysis
Secure Design Principles
Threat Modeling

- Secure Web Applications
Web Application Architecture & Risk Analysis
HTTP / HTTPS Protocol
Client-Side Controls
Access Control
Authentication
Session Management
Authorization
Data Stores
XSS Prevention
CSRF Prevention

HTML5-Webapplikationen für unterschiedliche Plattformen (Web, Android, iOS, ...) unter Berücksichtigung der HTML5 APIs. Zum Beispiel Local Storage, Sensoren oder GPS für Location Based Services werden entwickelt. Ausgewählte Kapitel wie Real-Time Web Anwendungen oder die Verknüpfung zu verschiedenen Social Media Frameworks (Twitter, Facebook) werden behandelt.

Die folgenden Themen werden behandelt:
Anwendung in Netzwerk-Protokollen (IPSec, SSL, TLS, SSH), Random Number Generators, Cryptographic Libraries & APIs for mobile Platform, Cryptographic primitives in mobile solutions, Challenge/Response Verfahren, One Time Passwords, Elliptic Curves, Anonymity + Unlinkability, ausgewählte weiterführende Themen

Diese Lehrveranstaltung behandelt alle wichtigen Aspekte der Database Security (DB-Authentication, Applicaton- & Password-Security, DB-Autorisation, Granular Access Control, DB2DB Communication, DB-Encryption, DB Auditing). Weiters gibt sie eine fundierte Einführung in das Thema Datenqualität durch das Studium von Definitionen von Datenqualität, Methoden der Messung und Sicherstellung von Datenqualität (z.B. Metriken & Constraints) sowie DB-Refactoring.

Die Lehrveranstaltung erweitert das Grundlagenwissen in Netzwerksicherheit um Sicherheit bei mobilen Geräten und mobilen Infrastrukturen. Themen der Lehrveranstaltung sind WLAN, WiMax, Bluetooth, NFC, etc. Einer Einführung in Mobilfunknetze wie GSM, UMTS, LTE folgen SSL, SSH und VPN-Technologien als Basis einer sicheren Verbindung verteilter Netze. VPN beinhaltet Grundlagen, Authentifizierung, Implementierung in den OSI Schichten 2, 3, und 4. Des Weiteren bietet die LV Vertiefung und Kernthemen wie IPSec, "KeyManagement", Verschlüsselung, Performance, Verfügbarkeit, DDOS-Abhilfe, "Network-Monitoring", NIDS, Algorithmen für Mustererkennung, "Honeypots/-nets"und "Intrusion Prevention and Detection Systems". Der Ausblick auf "Next Generation Networks" wie Sensornets und "Smart Grids" (u.a.) schließt die LV ab.

Es werden ausgewählte Aspekte des Mobile Development wie zum Beispiel cross-plattform code generation behandelt.

Die Lehrveranstaltung behandelt de Thematik des Penetration Testens (auch bekannt als White Hat Hacking oder Ethical Hacking). Im ersten Teil werden typische Angriffsmuster analysiert und in einer Laborumgebung nachgestellt. Dabei liegt ein Fokus auf der Ausnutzung von Programmierfehlern und anderen typischen Schwächen von Softwareprodukten (Puffer Überläufe, SW Exploitation, Exploit Development), Mechanismen von Beriebssystemen zur Verhinderung von Exploits (ASLR, Stack Cookies, SafeSEH, DEP,..).
Ein weiterer Schwerpunkt ist die Behandlung von typischen Schwachstellen und Angriffsmustern von WEB-Anwendungen und deren Vermeidung.
Der dritte Teil der Lehrveranstaltung setzt sich mit der strukturierten Analyse von Sicherheitsproblemen und der Vorgehensweise bei Penetration Tests auseinander. (Analyse, Vorbereitung, Exploitation, Dokumentation, Empfehlungen)

Diese Lehrveranstaltung unterrichtet Studierende über die Grundprinzipien der wissenschaftlichen Arbeit auf dem Gebiet der angewandten Informatik. Die Lehrveranstaltung soll eine fundierte Einführung in die Kriterien der Wissenschaftlichkeit geben, indem das zu bearbeitende Forschungsgebiet im Vordergrund steht. Im Mittelpunkt der Lehrveranstaltung stehen folgende Aspekte: wissenschaftlicher Schreibstil und Gründzüge der Argumentation; Klare und präzise akademische Schreibkompetenz in Englischer Sprache; Formale Gestaltung wissenschaftlicher Arbeiten; Darstellung des Forschungsdesigns, Forschungsfragen und ihre Formulierungen, Themensuche und -eingrenzung; Strategien der Materialbeschaffung.

Die Lehrveranstaltung bietet eine anwendungsorientiertes Studium von Big Data Datenmodellen, Architekturen und Prinzipien. Es werden Storage und Datenbanksysteme im Umfeld Big Data anhand praxisnaher Szenarien untersucht. Insbesondere aber werden die Security Aspekte dieser Technolgoien sowie damit in zusammenhang stehende Best Practices erörtert. Besondere Sorge wird dafür getragen, der Diskussion aktueller technologischer Entwicklungen im Bereich Big Data genügend Raum zu geben.

Enterprise Applikationen sind üblicherweise aus verteilten Services zusammengebaut, welche auf verschiedenen Plattformen laufen und in unterschiedlichen Programmiersprachen entwickelt wurden. Service-Oriented Architectures und Microservices sind Ansätze um solche großen, heterogenen und verteilten Systeme zu realisieren.

In dieser Lehrveranstaltung werden die folgenden sicherheitsrelevanten Themen von Web Services vorgestellt:

- Web Service Architecture & Risk Analysis
- Access Control
Authentication
Authorization
- XML Attacks & Schema Validation
- Message Encryption
Published Identifiers
Digital Signatures
Encrypting Representations

In der der Lehrveranstaltung werden komplexe Angriffsszenarien von Hackern analysiert und in einer Laborumgebung simuliert. Der Fokus liegt hier in der Erkennung, der Analyse und des Entwurfs von Abwehrmethoden gegen umfangreiche, komplexe Angriffsmuster.
Themen:
Analyse von Malware
Code Analyse
Reverse Engineering
Firmware Analyse
Ausnutzung von Race Conditions
Umgehung von Schutzmechanismen des Betriebssystems: Bypass Methoden für ASLR, DEP, SafeSEH, SEHOP z.B. durch ROP (Return orientiertes Programmieren), Partielles Überschreiben von Speicherinhalten, HeapSpraying usw.
Umgehung von Anti-Virus Schutzmechanismen
Angriffe auf kryptographische Verfahren, sichere/unsichere Verfahren
Angriffe auf industrielle Steuerungssysteme und deren Abwehr

Grundlegende / inhärente Sicherheitsprinzipien von Betriebssystemen. Verifizierbare Ziele bezüglich Systemsicherheit, Security-Erweiterungen / -Ergänzungen, sowie spezielle Hochsicherheitssysteme.

Students are expected to independently carry out a medium sized project of average difficulty. The tasks of this project reflect most of the main objectives of the master program.

Eine Einführung in die Quanten-Kryptography, ihre physikalischen Grundlagen und technischen Implementierungen. Weiters ein Vergleich mit der Standard Kryptographie aus der sich ihre Vor- und Nachteile sowie der aktuelle Stand der Entwicklungen ergeben.

Einführung in "Secure Elements"
• Key Parameters
"Secure Implementation" und "building blocks"
• Mobile Phone and Device security
• CPUs
• Memory technology
• Secure Cryptographic Implementations
• Random Number Generators
• Physical uncloneable functions

Einführung in "Embedded Secure Elements"
• Programming Interfaces
• Secure System Integration
* "Attack Scenarios" und "Countermeasures"
• Differential Power Analysis and EMA Attacks
• Light Attacks
• Timing Analysis
• Countermeasures in HW and SW
• Setups for Analysis and Attacks
* Common Criteria Certification
• Definition
• Development Process and Security Evaluation
• Lifecycle

Verzeichnisdienste und zentrale Authentisierung, Überwachung der IT Infrastruktur, Hochverfügbarkeit und Skalierbarkeit, Internet Protocol Security (IPsec)

Die Abschlussprüfung zur Master Thesis.

Die Studierenden arbeiten selbstständig an einem Forschungsthema und schreiben ihre Master Thesis. Es wird erwartet, dass sie wissenschaftliche Forschungsmethoden einsetzen und ein hohes Maß an Fachwissen auf dem jeweiligen Fachgebiet zeigen.

Dieses Seminar zielt darauf ab, den Studierenden dabei zu helfen, effektive wissenschaftliche Schreibfähigkeiten zu entwickeln (klare und effektive akademische Schrift, Notizen, Paraphrasierung, Register), egal wie professionell ein Student / Forscher Hintergrund sein kann, oft Schwierigkeiten entstehen bei der Vermittlung von technischen und akademischen Inhalten prägnant auf Englisch. Ziel des Kurses ist es, den schriftlichen Ausdruck der Teilnehmer in englischer Sprache zu verbessern: Identifizierung und Ausübung allgemeiner Phrasen und Begriffe, die im wissenschaftlichen Schreiben verwendet werden, gemeinsame Korrekturen.

Dieser Kurs leitet Studierende beim Schreiben ihrer Master Thesis an.

In der Lehrveranstaltung werden Managementsysteme für einen sicheren IT-Betrieb behandelt. Dabei stellen Information Security Management Systeme (ISMS) und Business Continuity Management Systeme (BCM) die Kernthemen dar. Studierende erhalten einen Einblick in die Konzeption, Einführung, den Betrieb und die laufende Weiterentwicklung der Systeme. Themenbereiche wie Risikobewertungen und Risiko Management sowie Compliance Anforderungen und die Vorbereitung von Unternehmen auf eine ISO 27001 Zertifizierung runden das Thema ab.