Modulbeschreibung

Die Informations- und Kommunikationstechnologie spielt eine zentrale Rolle für das Funktionieren moderner Wirtschaftssysteme. Ihre Allgegenwart und die Selbstverständlichkeit ihres Einsatzes erfordern gezielt und korrekt eingesetzte Massnahmen der Informationssicherheit, um die Risiken wirtschaftlicher Schäden durch externe Angriffe oder internen Missbrauch zu reduzieren.

In diesem Modul werden grundlegende Kenntnisse über die Verfahren und Vorgehensweisen vermittelt, mit denen die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sichergestellt werden können.

Die Studierenden entwickeln ein Bewusstsein für Informationssicherheitsrisiken und erlangen ein breites und grundlegendes Wissen zu deren Begrenzung. An Beispielen aus dem beruflichen wie privaten Umfeld werden die erlernten Fähigkeiten vertieft.

Die Studierenden bringen folgende Kenntnisse mit:

• IT-Management, Projektmanagement
• Architektur und Protokolle des Internets (TCP/IP)
• Programmier- und Datenbankkenntnisse

Workload[h]

Kontaktstudium: 20

Begleitetes Selbststudium: 34.5

Unbegleitetes Selbststudium: 35.5

Ausgangskompetenzen / Grobziele
Die Studierenden besitzen die fachlichen und methodischen Kompetenzen zur aktiven Mitarbeit in Informationssicherheitsprojekten, d.h. sie…

• Verstehen die Wichtigkeit und Herausforderngen der Informationssicherheit in einem Unternehmen
• Verstehen die Bedeutung der behandelten Modelle und Methoden der Informationssicherheit und können sie zum Schutz von betrieblichen und personenbezogenen Daten sachgerecht einsetzen
• Können Informationen aus der Berichterstattung über IT-Sicherheitsvorfälle einordnen, sich selbständig in ein aktuelles Security-Thema einarbeiten und ihre Erkenntnisse angemessen kommunizieren
• Sind in der Lage beim Aufbau, der Einführung und beim Betrieb eines ISMS eine aktive Rolle zu spielen
• Erarbeiten sich ein Verständnis der Schutzmassnahmen in den Themenbereichen Kryptographie, Anwendungssicherheit und Awareness
  
  

Fachkompetenz

Die Studierenden…

• Kennen die aktuellen Bedrohungen und verstehen die Motivation und Sicherheitsziele der Informationssicherheit
• Verstehen den Aufbau, die Einführung und den Betrieb eines ISMS
• Kennen die Konzepte und Vorgehensweisen wie Bedrohungen entgegengewirkt werden kann
• Verstehen die kryptographischen Grundlagen und deren Anwendung in der Praxis
• Kennen und verstehen die Top Bedrohungen für Webanwendungen und können geeignete Massnhmen zu deren Mitigation treffen
• Kennen geeignete Sensibilisierungsmassnahmen, um den Faktor «Mensch» zu adressieren
• Kennen den Weg zur ISO 27001 Konformität
• Können den Umfang und die Qualität von Sicherheitsprodukten und -dienstleistungen bewerten und kennen unterschiedliche Ansätze zur Risikoverminderung
• Können das gelernte Wissen auf neue Technologien übertragen (z. B. mobile & eingebettete Systeme)

Methodenkompetenz

Die Studierenden…

• Wissen die behandelten Methoden zum Schutz von Daten in ihrem eigenen Arbeitsgebiet einzusetzen
• Können Standards und Frameworks für die Informationssicherheit anwenden
• Sind in der Lage beim Aufbau eines ISMS eine aktive Rolle zu spielen
• Können im Rahmen eines Awarenes-Programms geiegneter Sensibilisierungsmassnahmen planen und umsetzen
• Sind in der Lage Audits fachlich zu begleiten
• Recherchieren selbständig und zielorientiert zu einem vorgegebenen Thema oder einer vorgegebenen Problemstellung.

Sozial- und Selbstkompetenz

Die Studierenden…

• Pflegen einen bewussten und verantwortungsvollen Umgang mit der (eigenen und fremden) Informationssicherheit
• Wissen um die Bedeutung der Informationssicherheit im Kontext der allverfügbaren Kommunikationsmittel
• Verstehen das Spannungsfeld Informationssicherheit und Wirthschaftlichkeit

Schwerpunkt «Kontext und Konzepte»

• Einführung, Motivation, Begriffe
• Schutzziele
• Schwachstellen, Bedrohungen und Angriffe

Schwerpunkt «Information Security Management System (ISMS)»

• Grundlagen, Aufbau, Organisation ISMS
• Standards, Frameworks
• IT-Grundschutz
• Risiko-Analyse

Schwerpunkt «Kryptographie»

• Zufallszahlen, Hashfunktionen
• Symmetrische und asymmetrische Verschlüsselung
• Digitale Signaturen

Schwerpunkt «Sicherheit in Anwendungen»

• Web Application Security, OWASP Top Ten

Schwerpunkt «Awareness»

• Faktor «Mensch»
• Awareness-Programm
• Security vs. Usability

Schwerpunkt «Audits und ISO-27001-Zertifizierung»

• Audit-Grundlagen und -Arten
• Der Weg zur ISO 27001 Konformität, Zertifizierungsablauf
• Begleiten und Durchführen von Audits gemäss ISO 17021

Kontaktstudium

• Dialogorientierter Unterricht mit aktuellen Beispielen und integrierten Übungen

Selbststudium

• Einzel- oder Gruppenarbeit (z.B. Fallstudien)
• Übungen zur Vertiefung und Anwendung der erlernten Theorie
• Selbstständiges Erarbeiten neuer Inhalte

Pflichtliteratur

• Einzelne Pflichtliteratur-Kapitel werden in den Unterlagen zu den einzelnen Schwerpunkten definiert.

Ergänzende Literatur

• Eckert C. (2018), IT-Sicherheit, 10. Auflage, De Gruyter, Oldenbourg
• Rieder C., Hirschi O. et al (2024): Informationssicherheitshandbuch für die Praxis, Auflage 10/2024 (www.sihb.ch), Luzern
  Weitere ergänzende Literatur (Bücher, Artikel) wird durch den Dozierenden fallspe-zifisch empfohlen.

Präsenzpflicht: Nach Massgabe der Dozierenden