Betriebssysteme sind eine zentrale Komponente von Rechnern und stellen grundlegende Funktionen für die Arbeit mit diesen Rechnern bereit. In immer größerem Maße stehen Rechner aber nicht alleine, sondern sind in Netzwerke eingebunden, innerhalb derer auf Daten und Funktionen anderer Computersysteme zugegriffen werden kann. Damit werden verteilte Systeme möglich, bei denen die Daten und Funktionen systematisch verschiedenen Rechnern innerhalb eines Netzwerkes zugeordnet werden, um gemeinsam definierte Aufgaben zu bewältigen. Während die verschiedenen Rechner innerhalb eines Netzwerkes oder eines verteilten Systems in der Vergangenheit stationär waren, sind mittlerweile auch viele mobile Rechner im Einsatz, was zu völlig neuen Anwendungsszenarien sowohl im privaten als auch im geschäftlichen Kontext führt.

1. Grundlagen der Betriebssysteme
   1. Grundlegender Aufbau von Computersystemen
   2. Dateisysteme
   3. Speicherverwaltung
   4. Prozesse und Threads
2. Verbreitete Betriebssysteme
   1. Grundkonzepte Windows
   2. Grundkonzepte Unix und Linux
   3. Grundkonzepte Apple-Betriebssysteme
   4. Mobile Betriebssysteme
3. Rechnernetze
   1. Grundlagen der Datenübertragung
   2. OSI-Referenzmodell
   3. Netztopologien
4. TCP/IP und Internet
   1. Entstehung des Internets
   2. TCP/IP-Protokollstack
   3. Ausgewählte IP-basierte Protokolle und Dienste
   4. Sicherheit im Internet
5. Architekturen verteilter Systeme
   1. Client-Server-Systeme und verteilte Anwendungen
   2. Grundbegriffe verteilter Systeme: Nebenläufigkeit, Semaphoren, Deadlock
   3. Kommunikation in verteilten Systemen
   4. Dienste-Orientierung: SOA, Webservices und Microservices
   5. Cloud-Anwendungen
   6. Transaktionen in verteilten Systemen
   7. High-Performance Computing Cluster
6. Mobile Computing
   1. Grundlagen, Techniken und Protokolle für Mobile Computing
   2. Mobiles Internet und seine Anwendungen
   3. Mobile Kommunikationsnetze
   4. Sicherheit und Datenschutz in mobilen Systemen

Die Studierenden lernen wichtige Konzepte aus dem Bereich IT-Sicherheit kennen. Dabei werden sowohl grundlegende Begriffe eingeführt und diskutiert als auch typische Anwendungsfelder und Einsatzgebiete von IT-Sicherheit vorgestellt sowie typische Verfahren und Techniken beschrieben.

1. Begriffsbestimmungen und Hintergründe
   1. Informationstechnik (IT) für die Unterstützung von privaten Aktivitäten
   2. und geschäftlichen Prozessen
   3. Sicherheit und Schutz als Grundbedürfnisse
   4. Datenschutz als Persönlichkeitsrecht
   5. IT-Sicherheit als Qualitätsmerkmal von IT-Verbünden
   6. Abgrenzung Datenschutz und IT-Sicherheit
2. Grundlagen des Datenschutzes
   1. Prinzipien
   2. Rechtliche Vorgaben
   3. Informationelle Selbstbestimmung im Alltag
3. Grundlagen der IT-Sicherheit
   1. Paradigmen der IT-Sicherheit
   2. Modelle der IT-Sicherheit
   3. Rechtliche Vorgaben der IT-Sicherheit
4. Standards und Normen der IT-Sicherheit
   1. Grundlegende Standards und Normen
   2. Spezifische Standards und Normen
5. Erstellung eines IT-Sicherheitskonzeptes auf Basis von IT-Grundschutz
   1. Strukturanalyse
   2. Schutzbedarfsfeststellung
   3. Modellierung (Auswahl der Sicherheitsanforderungen)
   4. IT-Grundschutz-Check
   5. Risikoanalyse
6. Bewährte Schutz- und Sicherheitskonzepte für IT-Geräte
   1. Schutz vor Diebstahl
   2. Schutz vor Schadsoftware (Malware)
   3. Sichere Anmeldeverfahren
   4. Sichere Speicherung von Daten
   5. Sichere Vernichtung von Daten
7. Ausgewählte Schutz- und Sicherheitskonzepte für IT-Infrastrukturen
   1. Objektschutz
   2. Schutz vor unerlaubter Datenübertragung
   3. Schutz vor unerwünschtem Datenverkehr
   4. Schutz durch Notfallplanung

Informationssicherheit umfasst sowohl digitale als auch nicht digitale Informationen. Die Teilmenge IT-Security befasst sich nur mit elektronisch verarbeiteten, gespeicherten und übertragenen Informationen. Somit geht es bei der Informationssicherheit um die Sicherheit, die sich auf digitale und nicht digitale Werte eines Unternehmens bezieht.

1. Einführung in die Informationssicherheit
   1. Grundlegende Definitionen, Sicherheitskonzepte und Ziele der Informationssicherheit
   2. Normen und regulatorische Rahmenbedingungen
   3. Sicherheitsnormen: ISO/IEC 27000-Familie und BSI-Normen
   4. Managementsystem für Informationssicherheit (ISMS)
2. Initiierung eines Managementsystems für Informationssicherheit
   1. Ersteinrichtung des ISMS
   2. Analyse des Unternehmens
   3. Analyse des bestehenden ISMS und Bestimmung des Reifegrads
   4. Definition des ISMS-Anwendungsbereichs und der Sicherheitspolitiken
3. Implementierung des Managementsystem für Informationssicherheit
   1. Risikobeurteilung
   2. Erklärung zur Anwendbarkeit (SoA)
   3. Definition der Unternehmensstruktur für Informationssicherheit
   4. Dokumentenmanagement und Kommunikationsplan
   5. Definition von Maßnahmen und Verfahren
4. Controlling des Managementsystems für Informationssicherheit
   1. Überwachung, Messung, Analyse und Auswertung
   2. Internes Audit
   3. Management Review
5. Verbesserung des Managementsystems für Informationssicherheit
   1. Betrachtung von Herausforderungen und Abweichungen
   2. Fortlaufende Verbesserung
   3. Pläne für Korrektur- und Präventivmaßnahmen
6. Maßnahmen des Managementsystems für Informationssicherheit
   1. Allgemeine Struktur von Maßnahmen
   2. Maßnahmen der ISO/IEC 27001 - Anhang A
   3. Maßnahmenmanagement
   4. Bewertung der Wirksamkeit von Maßnahmen

Die Informatik ist in einen rechtlichen Rahmen eingebettet, der bei der Arbeit zu berücksichtigen ist. Dies betrifft einerseits die eigene Gestaltung dieser Arbeit, die beispielsweise durch Verträge und das zugehörige Vertragsrecht bestimmt wird. Andererseits gestaltet die Informatik auch stark ihr Umfeld und muss dabei relevante rechtliche Grundlagen wie das Telekommunikationsrecht oder das Datenschutzrecht berücksichtigen. Ziel dieses Kurses ist es daher, die Studierenden in die Lage zu versetzen, die speziellen IT-Aspekte in diesem rechtlichen Rahmen zu berücksichtigen, in einfachen Fällen anzuwenden, und zu erkennen, wenn spezialisiertes juristischen Knowhow erforderlich wird.

1. Einführung in die Grundlagen des Rechts und IT-Rechts
   1. Aufbau des deutschen Rechtssystems
   2. Bürgerliches Recht
   3. Handelsrecht
   4. Übersicht über das Rechtsgebiet IT-Recht
   5. Internationale Rahmenbedingungen des IT-Rechtes
   6. IT-spezifisches Strafrecht
   7. Grundlagen der Vertragsschließung und -gestaltung
2. Typische Vertragstypen in der IT und Onlineverträge
   1. Hardware-Verträge
   2. Softwareüberlassung
   3. Projektverträge
   4. Besonderheiten bei agiler Vorgehensweise
   5. Beratungs-, Schulungs- und Wartungsverträge
   6. Cloud Computing, Outsourcing und Hosting
   7. Elektronische Vertragsschließung
   8. Elektronischer Geschäftsverkehr und Online-Marktplätze
3. Softwarelizenzmodelle
   1. Lizenzen und Softwareüberlassung
   2. IT-spezifische Standardklauseln
   3. Durchsetzung von Lizenzen durch Digital Rights Management (DRM)
   4. Open Source Software, Free- und Shareware
4. Schutz- und Informationsrechte
   1. Patent- und Kennzeichenrecht
   2. Urheberrecht
   3. Schutzfähigkeit von Software
   4. Schutzfähigkeit von Datenbanken bzw. Datenbankherstellern
   5. Abmahnungen
   6. Informationsfreiheitsgesetz
5. Internet- und Telekommunikationsrecht
   1. Telekommunikationsgesetz
   2. Medienstaatsvertrag
   3. Informationspflicht nach dem Digitale-Dienste-Gesetz
   4. Verantwortung für Inhalte im Internet
   5. Domainrecht
   6. Elektronische Signaturen
6. Datenschutz, IT-Sicherheit und Produkthaftung
   1. Grundlagen des Datenschutzes
   2. DSGVO, BDSG und TDDDG
   3. Datenschutz-Anforderungen an Organisationen
   4. Datenschutzrechte der betroffenen Person
   5. Datenschutz bei Datenübermittlung in Drittländer
   6. IT-Sicherheit und Gesetze
   7. Funktionale Sicherheit und Produkthaftung

IT-Systeme und Netzwerke, die hochsensible Informationen und Daten enthalten und verarbeiten, sowie IT-Infrastruktur zur Unterstützung geschäftskritischer Prozesse oder nationaler kritischer Infrastrukturen sind für Angreifer von großem Interesse, um Informationen zu erlangen (Cyber-Spionage), Informationen und Daten zu manipulieren oder zu zerstören sowie grundlegende Funktionen und Dienste zu unterbrechen, indem sie diese Systeme und Unternehmen kompromittieren.

Ein Angriffsvektor richtet sich an die Benutzer und Betreiber, um diese Personen als Mithelfer zu missbrauchen, um Sicherheitsrichtlinien und Vorschriften zu brechen. Social Engineering oder soziale Manipulation wird von Gegnern häufig eingesetzt, um an die notwendigen Informationen zu gelangen, um IT-Infrastrukturen zu kompromittieren und ihre spezifischen Ziele zu erreichen.

Der Einsatz von Methoden des Social Engineering kommt der so genannten "Insider-Bedrohung" sehr nahe. Personen aus dem Inneren der Organisation handeln aus verschiedenen Gründen gegen die Sicherheitspolitik und -vorschriften ihres eigenen Unternehmens. Rache, Unzufriedenheit oder manchmal auch kriminelle Absichten sind Gründe für ein solches Verhalten. Eine Kombination aus Social Engineering und "feindlichen Insidern" ist ein Ass für alle Gegner. Daher müssen technische und organisatorische Maßnahmen entwickelt und umgesetzt werden, um solche Bedrohungen abzuwenden.

Mit diesem Kurs sind die Studierenden in der Lage, Methoden des Social Engineering zu erkennen und Insider-Bedrohungen zu identifizieren. Sie sind in der Lage, präventive Sicherheitsrichtlinien und -vorschriften sowie reaktionsfähige Sicherheitsmaßnahmen zu entwickeln und umzusetzen, um diesen Bedrohungen zu begegnen.

1. Methoden des Social Engineering
   1. Phishing, Spear Phishing und Dynamite Phishing
   2. Quidproquo, Köder (Baiting), Medienköder (Media Dropping)
   3. Scareware, Betrugsmasche CEO-Fraud (CEO-Betrug)
   4. Pretexting, Tailgating
2. Rechtliche Aspekte des Social Engineering
   1. Compliance, Verhaltenskodex
   2. Identitätsdiebstahl
   3. Datenschutz
3. Erkennung von Insider-Bedrohungen
   1. Data-Mining-Techniken
   2. Anwendung von Methoden des Machine Learning
   3. Umfassendes Framework für die Erkennung von und Reaktion auf Insider-Bedrohungen
   4. Tools für die Selbstbeurteilung
   5. Organisatorische Maßnahmen und Awareness
4. Sicherheitsrichtlinien und -vorschriften
   1. Organisatorisches Framework, Compliance, Verhaltenskodex
   2. Training und Awareness
   3. Schutz vertraulicher Informationen
   4. Sicherheitsüberwachung und Störfallreaktion
5. Nationale und internationale Zusammenarbeit sowie Informationsaustausch
   1. Zusammenarbeit mit Internet Service Providern (ISP) und Vertretern der IT-Sicherheit
   2. Austauschplattformen und Foren für Tactics, Techniques und Procedures (TTP) sowie Best Practices
   3. Zusammenarbeit mit nationalen Sicherheitsbehörden

System-Penetrationstests sind ein wichtiger Prozess, um Schwachstellen in IT-Systemen zu finden und deren Behebung zu unterstützen, bevor Angreifer sie ausnutzen können. Aus diesem Grund setzen viele Organisationen solche "Pentester" oder ethische Hacker ein, um ihre Software- und Hardwarebasis (einschließlich Konnektivität) zu testen und die gefundenen Sicherheitsprobleme zu beheben. Dies ist zu einem Eckpfeiler moderner Sicherheitskonzepte geworden. Um bei diesem Unterfangen erfolgreich zu sein, ist jedoch eine gute Kenntnis der verschiedenen Arten von anvisierten IT-Systemen erforderlich. Wir beziehen uns auf Hosts, Netzwerke, Web Apps und sogar Cloud Computing. In diesem Kurs stellen wir die grundlegenden Aspekte von IT-Systemen sowie die Prozesse, Hilfsmittel und Techniken vor, die die industrielle Praxis der Penetrationstests ausmachen. Ausgerüstet mit diesem Wissen werden die Studierenden die Mechanismen eines bestimmten Angriffs verstehen und sich auf den Weg eigener Penetration Tests begeben.

1. Ziele von Penetrationstests und industrielle Perspektive
   1. Organisatorischer Nutzen
   2. Rahmenbedingungen für Ethical Hacking
   3. Rechtliche Aspekte
   4. Verantwortungsvolle Offenlegung von Schwachstellen
   5. Professionelle Penetrationstest-Dienstleistungen und Zertifizierungen
2. Hintergrundkonzepte
   1. Betriebssysteme
   2. Hardware-Architekturen
   3. Netzwerke und Protokolle
   4. Web-basierte Anwendungen
   5. Cloud-Computing
3. Ablauf von Penetrationstests
   1. Planung und Erkundung
   2. Whitebox-, Blackbox- und Graybox-Scanning
   3. Zugang erhalten
   4. Aufrechterhaltung des Zugangs
   5. Analyse und Berichterstattung
   6. Härtung und Entschärfung
4. Betriebssystembasierte Penetrationstests
   1. Häufige Fehlkonfigurationen
   2. Shellcode-Angriffe
   3. Speicherkorruption und Pufferüberlauf-Schwachstellen
   4. Metasploit und Kali-Tools
   5. Härtung des Betriebssystems
5. Netzwerk-Penetrationstests
   1. Scoping und Recon der Netzwerkinfrastruktur
   2. Ausnutzen von Netzwerkdiensten
   3. Seitliche Bewegung im Netzwerk
   4. Kerberos-Angriffe
   5. Werkzeugsatz: Nmap, PowerShell, Bloodhound und Tcpdump
   6. Entwickeln von Korrekturmaßnahmen
6. Web-App-Penetrationstests
   1. Die OWASP-Methodik
   2. Open-Source-Intelligenz (OSINT)
   3. Häufig ausgenutzte Web-App-Schwachstellen
   4. Ausnutzungs-Toolset: BurpSuite, sqlmap, BeEF und ExploitDB
   5. Berichterstattung über Ergebnisse und Abhilfemaßnahmen
7. Spezialisierte Penetrationstests auf einen Blick
   1. Ausnutzungs-Entwicklung
   2. Ethisches Hacking
   3. Penetrationstests für drahtlose und mobile Geräte
   4. Bewertung von Cloud-Bedrohungen und Schwachstellen