Seminare
Kurs 1a: Grundlagen der Informationssicherheit
Termin : 18.09 – 19.09.19 | 8.30 – 17.30 Uhr | FHV Raum U410 + U428
Die Teilnehmenden verstehen die Wichtigkeit der Informationssicherheit in einer zunehmend digitalisierten Wirtschaft und Gesellschaft. Sie kennen grundlegende Lösungsansätze um Sicherheit im Unternehmen zu etablieren und zu verbessern. Sie verstehen, dass Informationssicherheit das Unternehmen ganzheitlich, d.h. die drei Bereiche Technologie-Mensch-Prozess, betrifft. Technologie: Sie können eine oder mehrere technologische Maßnahmen umsetzen, um ein definiertes Sicherheitsziel zu erreichen. Mensch: Sie verstehen, dass Sicherheitsmaßnahmen nur dann erfolgreich sind, wenn der Mensch vor der Maschine fähig ist, diese einzusetzen. Prozess: Sie verstehen Informationssicherheitsmanagement als ganzheitlichen Prozess. Sie verstehen den Nutzen eines risikobasierten Ansatzes zur Erhöhung der Informationssicherheit.
Kurs 1b: Sicherheits- und Risikomanagement
Termin 1: 21.11 – 22.11.19 | 8.30 – 17.30 Uhr | FHV Raum U206 + U310
Termin 2: 12.12 – 13.12.19 | 8.30 – 17.30 Uhr | FHV Raum U204 + U212
Die Prävention von Informationssicherheitsvorfällen erfordert die systematische Erhebung, Bewertung und kontinuierliche Überprüfung von Sicherheitsanforderungen und Schutzmaßnahmen. Im Rahmen dieser Schulung werden relevante Begriffe, Definitionen, Standards und entsprechende Verfahren vorgestellt. Die Kursteilnehmer werden die vermittelten Konzepte zudem im Rahmen einer Case Study mit Hilfe eines Softwaretools anwenden. • Vermittlung grundlegender Konzepte und Abläufe des InformationssicherheitsManagements und des Risikomanagements, insbesondere: • Identifikation und Dokumentation von Sicherheitszielen und -anforderungen • Identifikation, Bewertung und Behandlung von Risiken der Informationssicherheit • Ableitung geeigneter Schutzmaßnahmen Praktisches Training anhand einer Case Study im Team.
Kurs 1c: IT-Governance – Einführung und Referenzmodelle für IT-Governance und IT Service Management (ISMS)
Termin: 16.10.2019| 8.30 – 17.30 Uhr | FHV Raum U210
Die Teilnehmenden erhalten einen fundierten Überblick über IT-Governance als Führungsaufgabe. Sie verstehen die Ziel, Zweck und Wertbeitrag von IT-Governance, deren Einbettung in die unternehmenweite Governance Einführung in IT-Governance und Abgrenzungen bzw. Überlappungen mit verwandten Aktivitäten (z.B. IT-Compliance, IT Service Management). Sie kennen die wichtigsten Referenzmodelle (Rahmenwerke) für IT-Governance und IT Service Management und lernen Aufbau und Inhalt solcher Rahmenwerke an ausgewählten Beispielen kennen.
Kurs 2a: Sichere Software Entwickeln
Intermediate
Termin 1: 17.10 – 18.10.19 | 8.30 – 17.30 Uhr| FHV Raum U429
Termin 2: 23.10 – 24.10.19 | 8.30 – 17.30 Uhr| FHV Raum U427 + U425
Expert
Termin 1: 28.01 – 29.01.20 | 8.30 – 17.30 Uhr | FHV Raum U425
Termin 2: 03.02 – 04.02.20 | 8.30 – 17.30 Uhr | FHV Raum U425
Die Teilnehmenden kennen und verstehen Modelle, Konzepte und Werkzeuge, um Sicherheit in allen Phasen des Entwicklungsprozesses (inkl. Anforderungsanalyse, Architektur, Entwurf, Codierung/ Implementierung) von Software einzubauen Teilnehmende kennen und verstehen Ansätze, Prozesse, Methoden und Technologien zum Risikomanagement. Sie können die OWASP risk rating-Methode anwenden. Einige dieser Werkzeuge können sie anwenden und einsetzen. Anhand eines Beispielprojekts wird eine einfache Bedrohungsmodellierung durchgeführt.
Kurs 2a ModulA Level „Intermediate“: geht von geringem Vorwissen im Bereich Informationssicherheit und Software-Sicherheit aus. D.h. es werden vor den beschriebenen Inhalten die Sicherheitsziele (CIA und erweiterte) sowie Grundlagen der angewandten Kryptologie behandelt. Dafür werden die Frameworks nicht behandelt.
Kurs 2a ModulB Level „Expert“: geht davon aus, dass die Teilnehmenden bereits einiges an Vorwissen im Bereich Informationssicherheit und im speziellen Software-Sicherheit mitbringen; beispielsweise werden die Sicherheitsprinzipien nicht im Detail vorgestellt, sondern nur eine Liste derselben aufgezeigt und mit den Teilnehmenden diskutiert.
Kurs 2b: Security Testing
Termin 1: 12.11.19 | 8.30 – 17.30 Uhr | FHV Raum U428
Termin 2: 13.11.19 | 8.30 – 17.30 Uhr | FHV Raum U429
Die TeilnehmerInnen lernen Techniken kennen, um Software und IT-Systeme auf Security Anforderungen und Schwachstellen zu testen. Sie können aktuelle Techniken (inkl. Angriffstechniken) in ihrer Praxis (sowohl Software-Entwicklung als auch Betrieb von Informationssystemen) auch anwenden.
Kurs 2c: Sichere Software-Architekturen
Termin 1: 13.02.20 | 9.00 – 13.00 Uhr | FHV Raum U329
Termin 2: 02.03.20 | 9.00 – 13.00 Uhr | FHV Raum U325
In diesem Workshop werden Softwarearchitekturen besprochen die ein Security by Design dezidiert ermöglichen. Es wird einen angepasste Microservice-Architektur vorgestellt die damit sichere und stabile Software direkt begünstigt. Im Workshop werden zuerst verschiedene Software-Architekturmodelle vorgestellt und es werden die jeweiligen Stärken und Schwächen bzw. Vor- und Nachteile besprochen. Im Weitern werden die unterschiedlichen Herausforderungen von Legacy bzw. Green Field Software Projekten analysiert. Auf Basis einer modernen Microservice-Architektur werden zuletzt – gemeinsam mit den Teilnehmerinnen und Teilnehmern – Anpassungen und Erweiterungen erarbeitet die Sicherheit und Stabilität der Architektur erhöhen und dennoch die geforderte Modularität und lose Kopplung gewährleisten. Der erste Teil des Kurses besteht aus einem Vortrag mit Applikationsbeispielen und einer Diskussion. Im mittleren Teil werden Erfahrungen zwischen allen Teilnehmerinnen und Teilnehmern sowie dem Kursleiter ausgetauscht. Der abschließende Teil beginnt mit der Vorstellung der Architektur gefolgt von schrittweisen Erweiterungen anhand eines konkreten Beispiels inkl. Quellcode. Das Ergebnis wird mit den, im ersten Teil erörterten, Anwendungen verglichen. Zu guter Letzt erfolgt eine Zusammenfassung und eine Feedbackrunde.
Kurs 2d: Security Requirements und Risk Management
14.09 + 25.09 + 28.09 + 09.10.20 jeweils 2 bis 3 H |online Webinar
Zur Gewährleistung der Informationssicherheit verarbeiteter Daten muss die Software selbst, aber zunehmend auch die eingesetzten Entwicklungsprozesse, einer Risikoanalyse unterzogen werden. Im Rahmen dieser Schulung werden relevante Begriffe, Definitionen, Standards und entsprechende Verfahren vorgestellt.
Kurs 3a: Identity & Access Management, Authentication Design
Termin 1: 09.12.19 | 8.30 – 17.30 Uhr |FHV Raum U407
Die TeilnehmerInnen verstehen, dass Identity & Access Management (IAM) nicht nur die ITAbteilung, sondern alle Bereiche im Unternehmen betrifft. Die TeilnehmerInnen können ein IAM-Konzept entwerfen und umsetzen. Sie lernen die Grundlegende Konzepte rund um das Management von digitalen Identitäten (IdM) für einen zielgerichteten und bewussten Umgang mit Identität, Anonymität und Pseudoanonymität. Dabei werden Aspekte von IdM in Unternehmen als auch im Internet betrachtet. Speziell in Unternehmen müssen Identitäten und Berechtigungen adäquat verwaltet werden im Rahmen einer IT Sicherheitspolitik durch sogenannte IdentityManagement-Architekturen unter Verwendung von Verzeichnisdiensten. Zusätzlich wird noch der Bezug zu wichtigen gesetzlichen Rahmenbedingung wie eIDAS (electronic IDentification, Authentication and trust Services) oder GDPR (General Data Protection Regulation) hergestellt. In einem zweiten Schritt wird das Design und der Umgang mit Authentifizierungssystemen als zweite Säule analysiert. Die Methoden und Technologien für Authentifizierung werden anhand praktischer Beispiele besprochen. Es wird dabei sowohl auf die Eigenschaften von immer noch häufig verwendeten passwortbasierten Methoden eingegangen als auch auf neue Lösungen wie attribut-basierte Authentifizierung oder Zero-Knowledge-Protokollen. Im dritten Schritt lernen sie die grundlegenden Technologien für die Realisierung von Zugriffskontrollen zur Überwachung und Steuerung des Zugriffs auf bestimmte Ressourcen. Eine effektive Zugriffsverwaltung bildet die Basis zur Sicherstellung der Integrität, Vertraulichkeit und Verfügbarkeit von Informationen. Es werden die Gebiete administrative, physische und technische Zugriffskontrolle erläutert und deren Komplementarität analysiert, um den Schichtenaufbau von Authorisierungssystemen zu verstehen. Basierend auf den drei Säulen werden dann noch aktuellste Themen und Herausforderungen der immer stärken werdenden Vernetzung diskutiert. Dabei wird ein starker Fokus auf föderiertes Identitätsmanagement gelegt und wie Identitäten über Unternehmens- und Anwendungsgrenzen hinweg genutzt und verwaltet werden können, um Funktionalitäten wie SSO (Single Sign-On) zu unterstützen. IAM-as-a-Service Lösungen werden besprochen und Technologien wie OpenID, OAuth, OpenID Connect and SAML analysiert. Projekt In einer Case Study soll für ein fiktives produzierendes Unternehmen mit starken Fokus auf Digitalisierung die Planung einer IAM-Strategie durchgeführt werden. Es soll eine Sicherheitsarchitektur mit Rollenkonzepten entworfen und adäquate Authentifizierungssysteme ausgesucht werden. Die Einbindung von externen Cloud Services und Lieferantenbeziehungen soll thematisiert werden. TeilnehmerInnen kennen Maßnahmen und Basis-Technologien, um die Sicherheit in Computernetzwerken zu maximieren. Sie können Computernetzwerke so planen, entwerfen und konfigurieren, dass diese höchstmögliche Widerstandsfähigkeit gegen Angriffe und/oder Ausfälle haben.
Kurs 3b: Netzwerksicherheit
Termin 1: 26.02.20 | 8.30 – 17.30 Uhr | FHV Raum U427
Termin 2: 27.02.20 | 8.30 – 17.30 Uhr | FHV Raum U427
TeilnehmerInnen kennen Maßnahmen und Basis-Technologien, um die Sicherheit in Computernetzwerken zu maximieren. Sie können Computernetzwerke so planen, entwerfen und konfigurieren, dass diese höchstmögliche Widerstandsfähigkeit gegen Angriffe und/oder Ausfälle haben.
Kurs 3c: Security Monitoring, Incident Detection, Analysis & Response
Termin 1: 10.03 – 11.03.20 | 08.30 – 17.30 Uhr | FHV Raum U426
Termin 2: 12.03 – 13.03.20 | 08.30 – 17.30 Uhr | FHV Raum U427
Ziel des Moduls ist, dass die TeilnehmerInnen einen aktuellen Überblick über Techniken und Werkzeuge erhalten, die zur Erkennung und Aufdeckung von verschiedenartigen CyberAngriffen innerhalb von IT-Infrastrukturen eingesetzt werden können. Sie lernen wie aufbauend auf Datenquellen und Sensorik (Log-Daten, NetFlows, Netzwerktraffic, etc.) Anomalien in Datenströmen und Systemverhalten erkannt werden. Sie lernen grundlegende Monitoring-Werkzeuge kennen und darauf aufbauend Intrusion Detection Systeme und wissen diese in geeigneter Weise einzusetzen. Die TeilnehmerInnen erhalten zudem einen Überblick über die gängigen Features von SIEM (Security Information and Event Management)-Softwarelösungen für das Erfassen und Auswerten von sicherheitsrelevanten Meldungen. Abschließend wird gezeigt, wie Erkenntnisse interner Analysen mit externen Threat Intelligence Plattformen validiert werden können. Nach Absolvierung des Moduls können die TeilnehmerInnen zwischen verschiedenen Incident Detection Verfahren unterscheiden und kennen darauf aufbauende Analyseverfahren. Darüber hinaus kennen sie die relevanten Organisationsprozesse, um Incident Detection, Analysen & Response Systeme innerhalb der eigenen Organisation effizient zu etablieren. Die Teilnehmenden können das erlernte Wissen in kurzen Übungen in einer simulierten Trainingsumgebung (AIT Cyber Range) anwenden.
Kurs 4a: IoT (Internet der Dinge) Sicherheit
Termin 1: 25.11.19 | 8.30 – 17.30 Uhr | FHV Raum U306
Termin 2: 26.11.19 | 8.30 – 17.30 Uhr | FHV Raum U306
Die TeilnehmerInnen erfahren, welche speziellen Aspekte im Zusammenhang mit Sicherheit bei der Entwicklung und Verwendung von IoT-Geräten zu beachten sind (z.B. Ressourcenbeschränktheit, keine Benutzereingaben, gängige asymmetrische Verschlüsselungsverfahren aber auch Passwort-basierte Authentifizierung nicht möglich, Firmware-Updates usw.). Es werden anhand konkreter Beispiele verschiedene Fragen im Umgang mit IoT Systemen präsentiert und Lösungsansätze demonstriert.
Kurs 4b: Sicherheit in und mit der Cloud
Die TeilnehmerInnen kennen und verstehen die verschiedenen Sicherheitsprobleme (Risiken und Bedrohungen) im Zusammenhang mit Cloud-Computing; d.h. bei der Auslagerung von Daten und Prozessen in die Cloud. Darauf aufbauend können sie Richtlinien und ein Konzept für die sichere Einführung von Cloud-Computing im Unternehmen definieren.
Termin 1: 14.11.19 | 8.30 – 17.30 Uhr | FHV Raum U429
Termin 2: 15.11.19 | 8.30 – 17.30 Uhr | FHV Raum U429
Kurs 5a: Safety-Standards
abgesagt
Die TeilnehmerInnen erfahren welche Normen und Standards im Bereich der Maschinensicherheit für Unternehmen relevant sind und wie funktional sichere Software in Steuerungssystemen umgesetzt werden kann.
Kurs 5b: Praktische Safety und Maschinensicherheit
abgesagt
Die Teilnehmenden haben klares Verständnis für die praktische Problemstellung Maschinensicherheit. Der Kurs richtet sich an Personen, die einen sicheren Umgang mit einer SPS beherrschen. Es geht darum zu verstehen was funktionale Maschinensicherheit ist und wie diese mittels integrierter Sicherheitstechnik in einer SPS umgesetzt werden kann. Ziel des Kurses ist es nicht, Personen dazu zu befähigen tatsächlich funktionale Maschinensicherheit umzusetzen (das ist ein langwieriger Ausbildungsprozess, i. aller Regel nach einem MA-Studium und sollte nicht von Laien umgesetzt werden).
Kurs 6a: Chancengleichheit (Verpflichtend)
• Historie zur Frauenbewegung • Einführung in die Theorien von Gender, Intersektionalität und Diversity • Die gesellschaftliche Konstruktion von Geschlecht • Soziale Ungleichheiten – Intersektionelle Analyse (Daten / Fakten) • Anwendung im eigenen Handlungsfeld: Gender Mainstreaming • Digitalisierung der Wirtschaft – Auswirkungen und Potenzial für Genderfragen.
*Bei ganztägigen Seminaren findet die Pause von 12.30 bis 13.30 Uhr statt.
