10 nach 10 Podcast
10 nach 10 Podcast
CSDC: Wahlpflichtmodul IT-Security
In unserem Bachelorstudium CSDC bieten wir ab dem vierten Semester Wahlpflichmodule an, wo sich die Studierenden in aktuell relevanten Themenbereichen vertiefen können. Ein solches Modul ist IT-Security, in welchem die Kenntnisse im Bereich IT-Security erweitert und vertieft werden. Themen wie Firewalls, Verschlüsselung, Penetration Testig Tools oder Web Security werden dort aufgegriffen mit dem Ziel, ein solides IT-Security Verständis für die Entwicklung sicherer Systeme aufzubauen.
Das Wahlpflichtmodul IT-Security besteht aus zwei Lehrveranstaltungen, Secure Admin Tools im vierten Semester und Ausgewählte Kapitel der IT-Security im fünften Semester. In dieser Folge geben wir Ihnen gemeinsam mit den Vortragenden Einblicke in diese zwei Lehrveranstaltungen.
00:00:05
Intro Speaker: Wissenswertes und Wissen. News aus den Studiengängen der Technik an der FH Campus Wien
00:00:18
Igor Miladinovic: In unserem Bachelorstudium Computer Science and Digital Communications bieten wir ab dem vierten Semester Wahlpflichtmodule an, wo sich die Studierenden in aktuell relevanten Themenbereichen vertiefen können. Ein solches Modul ist IT-Security, in welchem die Kenntnisse im Bereich IT-Security erweitert und vertieft werden. Themen wie Firewalls, Verschlüsselung, Penetration Testing Tools oder Websecurity werden dort aufgegriffen mit dem Ziel, ein solides IT-Security Verständnis für die Entwicklung sicherer Systeme aufzubauen.
00:00:58
Sigrid Schefer-Wenzl: Das Wahlpflichtmodul IT-Security besteht aus zwei Lehrveranstaltungen. Secure Admin Tools im vierten Semester und Ausgewählte Kapitel der IT Security im fünften Semester. In dieser Folge geben wir Ihnen gemeinsam mit den Vortragenden Einblicke in diese zwei Lehrveranstaltungen.
00:01:18
Igor Miladinovic: Die Entwicklung der Informatik und digitalen Kommunikation war nie so schnell wie heute.
00:01:24
Sigrid Schefer-Wenzl: Und sie wird nie so langsam sein wie heute.
00:01:30
Igor Miladinovic: In diesem Podcast stellen wir wichtige Themen rund um unsere Informatikstudiengänge der FH Campus Wien vor.
00:01:38
Sigrid Schefer-Wenzl: Die Sie optimal für diese Entwicklung vorbereiten werden.
00:01:43
Igor Miladinovic: Willkommen zu dieser Folge von unserem Podcast 10 nach 10. Mein Name ist Igor Miladonovic und ich bin der Studiengangsleiter von den Studiengängen Computer Science and Digital Communications, Software Design and Engineering und Multilingual Technologies.
00:01:58
Sigrid Schefer-Wenzl: Willkommen auch von meiner Seite. Mein Name ist Sigrid Schefer-Wenzl und ich unterrichte in diesen Studiengängen.
00:02:04
Igor Miladinovic: In unserem Bachelorstudiengang haben wir ab dem vierten Semester fünf Vertiefungsmöglichkeiten, sogenannte Wahlpflichtmodule und heute reden wir über das Wahlpflichtmodul IT-Security. Unsere Gäste sind heute Silvie Schmidt und Manuel Koschuch, die für diese Vertiefung verantwortlich sind. Und am Anfang würde ich Silvie und Manuel bitten, dass sie sich kurz vorstellen.
00:02:33
Manuel Koschuch: Mein Name ist Manuel Koschuch. Ich bin hauptberuflich Lehrender und Forschender hier an der FH Campus Wien seit 2008. Habe davor auf der TU Graz Telematik studiert, damals noch Diplomstudium. Das war so eine Mischung aus Informatik und Elektrotechnik mit einem Fokus auf IT-Security und bin hier tätig im Kompetenzzentrum für IT-Security und im Master IT-Security, aber halt auch für die facheinschlägigen IT-Security Themen. In zum Beispiel beim Bachelorstudiengang CSDC, aber auch in anderen Studiengängen wie Technisches Management oder Health Assisting Engineering.
00:03:05
Silvia Schmidt: Ja. Mein Name ist Silvie Schmidt. Ich bin seit 2015 Lehrende und Forschende an der FH Campus Wien, im Master IT-Security bzw. Kompetenzzentrum für IT-Security. Ich habe Informatik und IT-Security studiert und unterrichte im Master IT-Security, im CSDC in Bachelor, bei dem Bioinformatikern usw. Alles halt IT-Security lastig. Meine Themen sind in erster Linie Penetration Testing und IoT Security.
00:03:42
Sigrid Schefer-Wenzl: Dankeschön. Könnt ihr uns einen kurzen Elevator Pitch über das IT-Security Wahlpflichtmodul geben? Das heißt das Wichtigste dieses Moduls in 60 Sekunden zusammengefasst.
00:03:58
Silvia Schmidt: Also Wahlfachmodul IT-Security besteht aus zwei Fächern. Das ist Secure Admin Tools und Ausgewählte Kapitel der IT-Security. Fokus liegt sehr stark, wie das erste Fach schon sagt auf Tools, die wir brauchen, um Secure Admins, also Administratoren, die auch IT-Security Wissen haben auszubilden und auf Penetration Testing - von der Bedrohungsanalyse, Schwachstellenanalyse bis hin zu den tatsächlichen Exploits, sprich Angriffen, um eben einen Penetration Test auszuführen.
00:04:40
Igor Miladinovic: Vielen Dank. So wie wir es gehört haben dieses Wahlpflichtmodul besteht aus zwei Lehrveranstaltungen: Secure Admin Tools und Ausgewählte Kapitel der IT-Security. Was wären genau die Inhalte von diesen zwei Lehrveranstaltungen?
00:04:58
Manuel Koschuch: Also zum einen in Secure Admin Tools fangen wir an und schauen uns Werkzeuge an, von der wir der Meinung sind, dass ein Administrator, eine Administratorin, die irgendwie zumindest halbwegs im Netzwerk Umfeld oder auch im Security Umfeld arbeitet, diese Tools kennen und verwenden sollte. Das fängt an bei VPNs, also Virtual Private Networks, die unterschiedlichen Technologien, die es da gibt, das ist ja endenwollend. Sprich es gibt zwar sehr sehr viele VPN Anbieter, kommerziell auch, aber nur wenige zugrundeliegende Technologien. Wie funktionieren die? Was sind die Vorteile? Was sind die Nachteile? Wir setzen das praktisch auf, machen auch Messungen, vergleichen den Durchsatz, vergleichen den Aufwand, um den Studierenden was in die Hand zu geben, das dann abschätzen zu können. Dann schauen wir uns SSH und E-mail Security an, weil das ja auch wichtige Punkte sind und dann wandern wir weiter Richtung Penetration Testing. Was sind Grundlagen von Penetration Testing? Wie baue ich sowas auf? Wie gehe ich vor? Wie schreibe ich am Ende einen Report? In den Ausgewählten Kapiteln IT-Security dann, da verwenden wir die Zeit darauf, dass wir uns, wie der Name sagt, auch, aktuelle Themen anschauen, Weil natürlich, in jedem technischen Studium ist ein bisschen dieses Spannungsfeld. So ein Studium mit Bachelor dauert mindestens sechs Semester, drei Jahre, und wir alle wissen, wie schnell sich technische Entwicklungen fortbewegen. Das heißt, es ist unrealistisch anzunehmen, dass wenn man im ersten Semester irgendwie konkrete technische Produkte und Lösungen unterrichtet, dass das dann auch die sind, die die Studierenden nach dem Bachelor oder vielleicht sogar nach dem Master verwenden. Und das heißt bis dahin, also bis zur Ausgewählte Kapitel IT-Security, versuchen wir Dinge zu unterrichten, wo wir davon ausgehen, die sind auch nach dem Studium noch relevant. Also an VPN Technologien hat sich die letzten sieben Jahre nichts groß geändert und das was sich geändert hat verwendet bekannte Ansätze, und dann in Ausgewählte Kapitel verwenden wir die Zeit drauf. Jetzt schauen wir uns wirklich an: was gibt es denn aktuell an Lösungen, an Problemen, an Angriffen? Auf welche konkrete Technologie und wie funktionieren die? Das heißt, dann nehmen wir uns die Zeit und sagen so: was ist denn jetzt gerade State of the Art und aktuell? Und spiegeln das am theoretischen Unterbau von vorher. Der zweite Teil an Ausgewählte Kapitel IT-Security ist dann etwas, was da ein bisschen schon auch dazu passt und auch einen Ausblick gibt für Personen, die später irgendwo einen Master vertiefen wollen. Und zwar egal ob jetzt Software Design oder jetzt IT-Security oder auch Embedded Systems. Da betrachten wir ein bissi die theoretische Informatik, und zwar insbesondere hinsichtlich Komplexitätstheorie, Aufwände und Berechenbarkeit, weil das ja beides Themen sind, die sowohl in der Softwareentwicklung als auch in der IT-Security relevant sind. Im Wesentlichen geht es darum, fundamentale Aussagen treffen zu können. Was ist überhaupt zumindest theoretisch möglich? Und wenn es theoretisch möglich ist, mit einem Rechner erledigt zu werden, welcher Aufwand ist es denn? Das ist quasi der letzte Teil in der letzten Vorlesung in dieser Vertiefung IT-Security.
00:07:55
Silvia Schmidt: Ja, eine kleine Ergänzung hätte ich dazu. In Ausgewählte Kapitel der IT-Security sind natürlich die aktuellen Schwachstellen, Exploits, was auch immer werden da behandelt. Aktuelle Tools, Technologien, aber auch Klassiker wie zum Beispiel Buffer Overflows oder die ersten IoT Schwachstellen, wie der Lightbulb Worm, von Phillips Hue zum Beispiel. Schwachstellen, die man kennen sollte, wenn man die Vertiefung IT-Security wählt. Oder Tools, die vielleicht auch schon jahrelang bestehen, die man kennen sollte, wenn man IT-Security Vertiefung hat, also sind. Der Fokus ist auf aktuellen, aber es gibt einfach klassische Schwachstellen wie Buffer Owerflows oder SQL Injection. Die sollte ich als IT-Security Student kennen, sind alt, aber man muss sie kennen.
00:08:57
Manuel Koschuch: Weil sie natürlich auch heute noch ein Problem sind. Aber du hast völlig recht. Freilich, die sind zwar alt, aber leider immer noch aktuell.
00:09:03
Silvia Schmidt: Ja, und gerade durch das IoT finden diese Schwachstellen, wo man Buffer Overflows dachte man eigentlich sind kein Problem mehr. Durch das IoT und die eingeschränkten Ressourcen, die man hat, sind die wieder ein Thema geworden, weil man eben nicht mehr so viel Speicher oder Energie zur Verfügung hat, wie bei einem Rechner oder einem Laptop.
00:09:28
Sigrid Schefer-Wenzl: Dankeschön. Welches Vorwissen wünscht ihr euch von Studierenden, die sich für eure Spezialisierung für euer Wahlpflichtmodul entscheiden?
00:09:38
Silvia Schmidt: Vorwissen: im wesentlichen ist das Linux, dass sie, dass sie da keine Angst davor haben, also dass sie die grundlegenden Befehle und etc. Funktionsweise von Linux können. Grundlagen der Netzwerktechnik. Die Dinge, die wir in IT-Security Fundamentals besprochen haben, sind von Vorteil und auch ein gewisses Maß an Engagement wie zum Beispiel in Ausgewählte Kapitel sich auch selbst mit einem Thema zu beschäftigen und zu vertiefen und auch einmal was zu probieren, auch wenn es nicht gleich funktioniert, etwas praktisch auszuprobieren. Ansonsten fällt mir nichts ein, weil Bash-Scripting haben wir jetzt im Secure Admin Tool schon von Beginn an dabei, weil das ein sehr hilfreiches, wichtiges Tool ist für Administrator*innen.
00:10:34
Manuel Koschuch: Du hast im Wesentlichen alles erwähnt und auch den Punkt, den ich auch gebracht hätte, die gewisse Recherche Skills oder zumindest den Mut her zu gehen und selbständig Quellen zu bewerten, Informationen einzusortieren und die dann irgendwo zu kategorisieren und daraus Schlüsse zu ziehen. Ja.
00:10:52
Igor Miladinovic: Vielen Dank. Und wie jedes Wahlpflichtmodul ist auch in eurem Modul Hands On ein wichtiges Thema. Es geht nicht um die Theorie, sondern um eine Mischung aus der Theorie und Praxis. Und wie ist das in dieser Vertiefung genau organisiert? Wann sind die Vorlesungen? Wann sind die Übungen in den beiden Lehrveranstaltungen?
00:11:16
Manuel Koschuch: Fange vielleicht ich jetzt kurz an. Mit der ersten Vorlesung Secure Admin Tools. Also im Wesentlichen haben wir die horizontal geteilt. Eine Hälfte mache ich, eine Hälfte Silvie. Und was wir dort im Ablauf machen, ist immer eine Zweiereinheit Vorlesung, eine vierer Einheit Labor, wo wir das, was wir in der Vorlesung besprochen haben, praktisch ausprobieren. Dann wieder Vorlesung, dann wieder Labor. Das zieht sich dann so bis zum Ende durch. Das man halt am Ende quasi in Summe, werden es sechs oder sieben Laborübungstermine und halt dazugehörig jeweils davor in der Vorlesung die Theorie dazu haben.
00:11:51
Silvia Schmidt: Ja bei Ausgewählte Kapitel der IT-Security ist es so, dass es so viele Schwachstellen, Exploits, Tools etc. gibt, dass das einen Seminar-Charakter hat. Bei den Themen, die jetzt der Großteil die theoretische Informatik ist, dann am Ende. Das ist ein klassischer Frontalvortrag, wo am Ende dann zwei Prüfungsfragen in der Abschlussprüfung gestellt werden. Die Themen sind so aufgebaut, dass die Studierenden Schritt für Schritt mit Zwischenabgaben und Einzelgesprächen ein Thema aufarbeiten. Einerseits theoretisch und dazu verpflichtend etwas Praktisches machen müssen. Wir haben da auch von dem ELVIS Lab, dem Embedded Lab für IoT und Security, jede Menge Geräte und Tools, die ich da auch austeile. Penetration Testing Tools zum Beispiel, wo sich die Studierenden dann damit beschäftigen und auch was Praktisches aufsetzen und am Ende ihren Kolleg*innen vorstellen. Aber immer so mit Schritt für Schritt Begleitung. Von mir wird auch dann ein Wiki erstellt oder ein bestehendes Wiki. Wir haben ein eigenes Wiki oder eben, wenn es zu dem Thema oder zu dem Tool schon ein Wiki gibt, dann müssen sie das da im Rahmen dieser Lehrveranstaltung aktualisieren. Aber wie wir schon geredet haben, ich glaube, ich habe in den letzten Jahren die Bluetooth Unterlagen fünfmal geändert, weil jedes Jahr eine neue Attacke dazukam oder Schwachstelle. Darum bleibt es immer spannend. Ja, aber da ist der Fokus ein Thema, sich zu vertiefen und das auch praktisch, theoretisch und praktisch aufzuarbeiten.
00:13:39
Sigrid Schefer-Wenzl: Dankeschön. Wenn Studierende eure Vertiefung absolvieren, was würdet ihr sagen, für welche Berufe qualifiziert dieses Modul?
00:13:51
Manuel Koschuch: Im Wesentlichen, aber die Antwort ist halt sehr breit, für alles, wo irgendwo IT-Security relevant ist. Ganz konkret auch von dem, was wir versuchen zu vermitteln. Wohl für Personen, die irgendwo im Administrationsumfeld tätig sind, insbesondere wenn es um Server oder Netzwerkadministration geht, weil die Tools und Vorgehensweisen, die wir dort vermitteln, dafür relevant sind. Natürlich für Personen, die irgendwo in einem SOC, also einem Security Operations Center, in einem größeren Unternehmen arbeiten und dort Angriffe bewerten müssen, detektieren: ist das überhaupt ein Angriff? Was könnte das sein? Oder die dann halt auch im Design und der Planung von solchen Systemen beteiligt sind, wo man sich dann halt überlegt, gut, was können wir denn schon in der Design Phase einbauen? Wie können wir vorgehen, um gewisse Angriffe, gewisse Probleme gar nicht erst entstehen zu lassen? Also das ist so ungefähr die Richtung, wo wir versuchen Wissen zu vermitteln.
00:14:43
Silvia Schmidt: Was ich immer sage ist, dass man von Beginn an IT Security denken soll, eine Bedrohungsanalyse zum Beispiel erstellen kann bei einem Design eines Projekts, welcher Art auch immer.
00:14:56
Igor Miladinovic: Vielen Dank. Und für die Studierenden, die dieses Wahlpflichtmodul absolvieren. Was wären aus eurer Sicht die drei wichtigsten Punkte, die sie sich aus diesem Modul mitnehmen sollten?
00:15:14
Silvia Schmidt: IT-Security ist cool und spannend. Die Fähigkeit, diese Tools, die sie kennengelernt haben, richtig einzuordnen, richtig anzuwenden, zur gegebenen Zeit Risiken oder mögliche Schwachstellen zu erkennen. Und auch wenn sie jetzt zum Beispiel eine Administrator*innen Stelle antreten, dass sie wissen: okay, für das kann ich zum Beispiel Burp Suite verwenden oder ich kann bei OWASP, das Open Web Application Security Project, nachschlagen, auf welche Schwachstellen ich aufpassen muss, welche... Also einfach, dass sie wissen, wo sie sich auch Informationen holen können, um gewisse Probleme in ihrer Arbeit zu lösen.
00:16:09
Manuel Koschuch: Ich hätte das dann auch ein bissi auf die Peergroup im Privaten erweitert. Irgendwo träume ich oder wäre mein Wunsch davon, dass diese Studierenden dann rausgehen und so was wie Security Evangelist*innen auch in ihrem Freundeskreis sind. Die können also beraten, wenn wer fragt: "Oh, ich hätte gerne ein VPN für Netflix, was ist denn da gscheit"? Oder: "Wie kann ich denn sicher eine E-mail verschicken?" Und die sagen dann drauf: "Gar nicht, mach's anders." Also irgendwo, dass man Personen da auch hat, die dann im privaten Umfeld wissen, was geht, was geht nicht. Und auch Personen, die jetzt nicht notwendigerweise technikaffin sind oder so was studiert haben, einfach unterstützen können bei gewissen Security Fragestellungen und das niederschwellig, aber halt mit einem fundierten Wissen und sich nicht darauf verlassen müssen auf irgendwo so eine Website die Top 10 VPN 2022.
00:16:56
Sigrid Schefer-Wenzl: Vielen Dank für diesen Einblick in euer Wahlpflichtmodul. Zum Abschluss hätten wir jetzt noch zwei Fragen für euch, die vielleicht ein bisschen persönlicher sind. Und meine erste Frage an euch wäre: wir sind ja hier in einem Podcast. Kennt ihr vielleicht einen anderen Podcast so im IT Security Bereich, den ihr empfehlen könntet?
00:17:21
Silvia Schmidt: Ja, da gibt es die Darknet Diaries. Die kann ich sehr empfehlen. Wird auch gern von unseren Studierenden gehört.
00:17:31
Igor Miladinovic: Vielen Dank für diese Empfehlung. Und unsere letzte Frage ist: was gefällt euch am meisten am Job einer oder eines Lehrenden? Und was am wenigsten?
00:17:46
Silvia Schmidt: Was mir gut gefällt, ist die Arbeit mit den Studierenden. Ich bin auch eher der Typ für Übungen oder so Einzelgespräche, Kleingruppen. Da nehme ich mir auch gerne die Zeit und das macht mir sehr, sehr großen Spaß. Und wenn ich sehe, ob sich jetzt ein Student*in ein bisschen schwerer tut und ich sehe dann diese Fortschritte. Ach, das kann ich gar nicht sagen, wie toll das ist. Und das, was mir weniger gefällt ist, wenn Studierende die Abgaben verschieben und die Korrekturen. Das ist so was, was ich jetzt dann nicht so gerne mache.
00:18:27
Manuel Koschuch: Also im Wesentlichen kann ich mich dem anschließen. Ich weiß noch, wir hatten einen Latein und Altgriechisch Lehrer und ich habe damals auch einmal gefragt, er war kurz vor der Pensionierung, es war in der AHS, ob das nicht unglaublich langweilig ist, weil im Wesentlichen hatte er ja seit 40 Jahren dasselbe unterrichtet. Und wie die Antwort damals war, und das habe ich auch immer noch heute: "Ja, aber die Menschen sind ja immer andere". Und das Gleiche ist jetzt hier bei der IT- Security. Da gibt es zwar Dinge, die ändern sich natürlich. Jedes Semester unterrichte ich da was anderes, aber gewisse Grundlagen der IT-Security, die erzähle ich jetzt zum 15. Mal. Aber es sind tatsächlich immer andere Menschen, denen es man erzählt. Und das Schönste in jeder Vorlesung und das funktioniert eigentlich fast immer, auch die letzten Semester, ist, wenn man eine Frage, also für mich, wenn ich eine Frage gestellt bekomme, die ich einfach nicht beantworten kann, weil man denkt, da habe ich noch nie drüber nachgedacht, stimmt eigentlich. Das finde ich schön, weil dann beschäftigt man sich noch was damit und dann habe ich auch was gelernt. Das ist also ein sehr egoistischer Ansatz da, aber das finde ich total spannend. Und der anstrengendste Teil als Vortragender, da bin ich ganz bei Silvia, ist dann irgendwelche Individualleistungen durch irgendwelche Vorgänge in eins bis fünf oder meinetwegen bestanden, nicht bestanden zu gießen. Das ist so ein zermürbender, teilweise zermürbender, verlust-behafteter Prozess. Wenn man dann so einen 120 Stapel Prüfungen vor sich liegen hat und den korrigieren muss. Das ist jetzt nicht der spannendste Teil am Vortragenden Da-sein.
00:19:58
Igor Miladinovic: Vielen Dank für diese umfassende Informationen über das Wahlpflichtmodul IT- Security. Danke auch an unsere Zuhörer*innen, dass sie heute mit uns waren. Alles Gute und bis zum nächsten Mal.
00:20:13
Sigrid Schefer-Wenzl: Bis zum nächsten Mal.
00:20:16
Silvia Schmidt: Vielen Dank!
00:20:16
Manuel Koschuch: Tschüss!