Qualifikationsziele: Die Studentinnen und Studenten sind in der Lage, ● typische Angriffe auf Daten- und IT-Sicherheit zu benennen und ihr Schadenspotential anwendungsbezogen einzuschätzen, ● Prinzipien, Methoden und Mechanismen zum Schutz von Systemen zu benennen und ihre Einsatzbereiche zu beschreiben, ● in Kenntnis potentieller Sicherheitslücken, Systeme hinsichtlich ihrer Sicherheitseigenschaften zu analysieren, ● bei der Software-Entwicklung Sicherheitsbelange bereits bei der Anforderungsdefinition und anschließend während des gesamten Entwicklungsprozesses zu berücksichtigen, ● betriebliche Sicherheitsrichtlinien sowie Datenschutzrichtlinien technisch umzusetzen; sie kennen die Bestimmungen des Datenschutzrechts.

Inhalte: Grundbegriffe: Schutzziele, Sicherheitsmechanismen, Umsetzung von Sicherheitsanforderungen, Systemsicherheit versus Netzsicherheit. Gesellschaftlicher Kontext: Historisches, Politisches, Evaluation und Zertifizierung. Typische Angriffe: Trojanische Pferde, Salamitaktik, Geheimtüren, Viren, Würmer, Logische Bomben, verdeckte Lecks, Ausnutzung von Software-Qualitätsmängeln (z. B. Pufferüberlauf). Zugangskontrolle: Passwörter, Sicherungskarten, Biometrie. Zugriffsschutz: Speicherschutz, Autorisierung eines Prozesses, Dateischutz, Capabilities, Modellierung, rollen- basierter Zugriffsschutz, Zugriffsschutzstrategien, Zugriffsschutz in Programmiersprachen, Sicherheitsmechanismen in Java, anwendungsorientierte Schutzsysteme (Datenbanken, CORBA). Überwachungssysteme: Auditing, Intrusion Detection. Informationsflusskontrolle: Elemente der Informationstheorie, Informationsfluss zwischen Objekten, Sicherheitsklassen, mehrstufige Sicherheit, flusssichere Programme, Zugriffsschutz und Flusskontrolle (Bell-LaPadula-Modell, Chinese-Wall-Modell). Sicherheitsmechanismen in lokalen Netzen: Zugangskontrolle über Sun NIS, Fernbenutzung (telnet, ssh), Zugriffsschutz in verteilten Dateisystemen. Kryptographie: Grundbegriffe, Transpositionsverschlüsselung, Substitutionsverschlüsselung, Sicherheit von Verschlüsselungsverfahren, Polyalphabetische Substitution, sichere Blockverschlüsselung; asymmetrische Verschlüsselung (knapsack, RSA); Authentizität, digitale Unterschriften, Hash-Codes, DSS. Kryptographische Protokolle: Elementare Protokolle, Schlüsselverwaltung, Diffie-Hellman, Zertifikate, PKI, PGP, Authentisierungsdienste (Kerberos, Sesame). Sichere Endsysteme: Trusted Computing: TCG, TPM, Secure Booting, Pro&Contra, DRM.