Modulbeschreibung
IT Security Management
Kürzel:
Durchführungszeitraum:
ECTS-Credits:
Arbeitsaufwand (h):
Lernziele:
Die Informations- und Kommunikationstechnologie spielt eine zentrale Rolle für das Funktionieren moderner Wirtschaftssysteme. Ihre Allgegenwart und die Selbstverständlichkeit ihres Einsatzes erfordern gezielt und korrekt eingesetzte Massnahmen der Informationssicherheit, um die Risiken wirtschaftlicher Schäden durch externe Angriffe oder internen Missbrauch zu reduzieren.
In diesem Modul werden grundlegende Kenntnisse über die Verfahren und Vorgehensweisen vermittelt, mit denen die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sichergestellt werden können.
Die Studierenden entwickeln ein Bewusstsein für Informationssicherheitsrisiken und erlangen ein breites und grundlegendes Wissen zu deren Begrenzung. An Beispielen aus dem beruflichen wie privaten Umfeld werden die erlernten Fähigkeiten vertieft.
Verantwortliche Person:
Standort (angeboten):
Zusätzlich vorausgesetzte Kenntnisse:
Die Studierenden bringen folgende Kenntnisse mit:
- IT-Management, Projektmanagement
- Architektur und Protokolle des Internets (TCP/IP)
- Programmier- und Datenbankkenntnisse
Modultyp:
Bemerkungen:
Workload[h]
Kontaktstudium: 20
Begleitetes Selbststudium: 34.5
Unbegleitetes Selbststudium: 35.5
ECTS-Credits pro Kategorie
Modulbewertung
Bewertungsart:
Leistungsbewertung
Während der Prüfungssession:
Bemerkungen zur Prüfung:
closed book
Während des Semesters:
Bewertungsart:
Kurse in diesem Modul
IT Security Management
Kürzel:
Semester:
Lernziele:
Ausgangskompetenzen / Grobziele
Die Studierenden besitzen die fachlichen und methodischen Kompetenzen zur aktiven Mitarbeit in Informationssicherheitsprojekten, d.h. sie…
- Verstehen die Wichtigkeit und Herausforderngen der Informationssicherheit in einem Unternehmen
- Verstehen die Bedeutung der behandelten Modelle und Methoden der Informationssicherheit und können sie zum Schutz von betrieblichen und personenbezogenen Daten sachgerecht einsetzen
- Können Informationen aus der Berichterstattung über IT-Sicherheitsvorfälle einordnen, sich selbständig in ein aktuelles Security-Thema einarbeiten und ihre Erkenntnisse angemessen kommunizieren
- Sind in der Lage beim Aufbau, der Einführung und beim Betrieb eines ISMS eine aktive Rolle zu spielen
- Erarbeiten sich ein Verständnis der Schutzmassnahmen in den Themenbereichen Kryptographie, Anwendungssicherheit und Awareness
Fachkompetenz
Die Studierenden…
- Kennen die aktuellen Bedrohungen und verstehen die Motivation und Sicherheitsziele der Informationssicherheit
- Verstehen den Aufbau, die Einführung und den Betrieb eines ISMS
- Kennen die Konzepte und Vorgehensweisen wie Bedrohungen entgegengewirkt werden kann
- Verstehen die kryptographischen Grundlagen und deren Anwendung in der Praxis
- Kennen und verstehen die Top Bedrohungen für Webanwendungen und können geeignete Massnhmen zu deren Mitigation treffen
- Kennen geeignete Sensibilisierungsmassnahmen, um den Faktor «Mensch» zu adressieren
- Kennen den Weg zur ISO 27001 Konformität
- Können den Umfang und die Qualität von Sicherheitsprodukten und -dienstleistungen bewerten und kennen unterschiedliche Ansätze zur Risikoverminderung
- Können das gelernte Wissen auf neue Technologien übertragen (z. B. mobile & eingebettete Systeme)
Methodenkompetenz
Die Studierenden…
- Wissen die behandelten Methoden zum Schutz von Daten in ihrem eigenen Arbeitsgebiet einzusetzen
- Können Standards und Frameworks für die Informationssicherheit anwenden
- Sind in der Lage beim Aufbau eines ISMS eine aktive Rolle zu spielen
- Können im Rahmen eines Awarenes-Programms geiegneter Sensibilisierungsmassnahmen planen und umsetzen
- Sind in der Lage Audits fachlich zu begleiten
- Recherchieren selbständig und zielorientiert zu einem vorgegebenen Thema oder einer vorgegebenen Problemstellung.
Sozial- und Selbstkompetenz
Die Studierenden…
- Pflegen einen bewussten und verantwortungsvollen Umgang mit der (eigenen und fremden) Informationssicherheit
- Wissen um die Bedeutung der Informationssicherheit im Kontext der allverfügbaren Kommunikationsmittel
- Verstehen das Spannungsfeld Informationssicherheit und Wirthschaftlichkeit
Plan und Lerninhalt:
Schwerpunkt «Kontext und Konzepte»
- Einführung, Motivation, Begriffe
- Schutzziele
- Schwachstellen, Bedrohungen und Angriffe
Schwerpunkt «Information Security Management System (ISMS)»
- Grundlagen, Aufbau, Organisation ISMS
- Standards, Frameworks
- IT-Grundschutz
- Risiko-Analyse
Schwerpunkt «Kryptographie»
- Zufallszahlen, Hashfunktionen
- Symmetrische und asymmetrische Verschlüsselung
- Digitale Signaturen
Schwerpunkt «Sicherheit in Anwendungen»
- Web Application Security, OWASP Top Ten
Schwerpunkt «Awareness»
- Faktor «Mensch»
- Awareness-Programm
- Security vs. Usability
Schwerpunkt «Audits und ISO-27001-Zertifizierung»
- Audit-Grundlagen und -Arten
- Der Weg zur ISO 27001 Konformität, Zertifizierungsablauf
- Begleiten und Durchführen von Audits gemäss ISO 17021
Unterrichtssprache:
Lehr- und Lernmethoden:
Kontaktstudium
- Dialogorientierter Unterricht mit aktuellen Beispielen und integrierten Übungen
Selbststudium
- Einzel- oder Gruppenarbeit (z.B. Fallstudien)
- Übungen zur Vertiefung und Anwendung der erlernten Theorie
- Selbstständiges Erarbeiten neuer Inhalte
Bibliographie:
Pflichtliteratur
- Einzelne Pflichtliteratur-Kapitel werden in den Unterlagen zu den einzelnen Schwerpunkten definiert.
Ergänzende Literatur
- Eckert C. (2018), IT-Sicherheit, 10. Auflage, De Gruyter, Oldenbourg
- Rieder C., Hirschi O. et al (2024): Informationssicherheitshandbuch für die Praxis, Auflage 10/2024 (www.sihb.ch), Luzern
Weitere ergänzende Literatur (Bücher, Artikel) wird durch den Dozierenden fallspe-zifisch empfohlen.
Kursart:
Durchführung gemäss Stundenplan
Bemerkungen:
Präsenzpflicht: Nach Massgabe der Dozierenden