Lernunterlagen
Die Skripten zum Kurs Sicherheit II sind vom Umfang her mit ca. 195 Seiten nicht sonderlich furchteinflössend. Insgesamt sind es 4 Skripten mit den Themen
- Angriffe auf Rechner oder Netze
- Benutzersicherheit
- Anbietersicherheit
- Entwurf und Implementierung sicherer Systeme
Aufzählungsorgien gibt es nur wenige bis gar keine. Sehr schön! Die wenigen punktuellen Auflistungen (z.B. die häufigsten Softwarefehler nach McGraw) habe ich wieder mit Sketchnotes in mein Hirn gebrannt. Diese Taktik bewährt sich für mich ein ums andere Mal, da ich mich bei der Prüfung um die Aufzählung der einzelnen Punkte nicht mehr kümmern muss ("Bild vor Augen"), sondern mich auf die Inhalte konzentrieren kann. Beispiele dazu habe ich ja in anderen Reviews schon gegeben.
Vom Inhalt her sind die Skripten sicher kein allumfassendes Standardwerk. Ich glaube, diesen Anspruch will der Lehrstuhl ganz bewußt auch nicht erheben, da diese Thematik einfach viel zu schnelllebig und umfangreich ist. Ich halte das für einen klugen Weg. Aber als bekennender Streber aus Leidenschaft habe ich viele Themen in externen Quellen nachgelesen und vertieft - ganz einfach, weil es mich eben interessiert hat, für die Prüfung selbst wäre das aber nicht nötig gewesen. Grundsätzlich könnte man ja sowieso aus jedem noch so kleinen Thema in den Skripten ein riesen Faß aufmachen, wenn man denn wollte. Wollte man aber nicht! Gerade im Masterstudium, wo man die Module nach eigenen Interessen wählen kann, sollte es m.E. selbstverständlich sein, dass man sich da und dort noch zusätzlich reinhängt.
So konsequent ich beim Ergänzen von Prüfungsinhalten bin (was häufig so dermaßen ausufert, dass mein Addendum länger ist als der entsprechende Inhalt im Skript), so konsequent bin ich auch beim Ausblenden von Themen, deren unmittelbare Relevanz ich für meinen Lernzweck nicht unbedingt erkenne bzw. die nicht ausreichend genug erklärt wurden, um sie sinnbringend einzusetzen. Davon gab es hier zwar nicht viele, ich will sie euch aber dennoch nicht vorenthalten:
- Quantencomputer: Interessantes Thema, aber auf gar keinen Fall auf 3 Seiten erklärbar. Ich hätte sehr viel mehr Zeit und Aufwand investieren müssen, um das Thema wirklich zu verstehen und nicht nur auswendig zu lernen. Das hätte ich bei einem Modul mit entsprechender Thematik wohl auch gemacht, aber hier ging es ja um basale Sicherheitsthemen, nicht um Quantenphysik. Deshalb habe ich mir nur die Kernaussagen bzw. die Konsequenzen für die Verschlüsselungsalgorithmen gemerkt.
- Gesetzliche Rahmenbedingungen: Auch dieses Thema habe ich nur deshalb ignoriert, weil ich mit Halbwissen einfach gar nichts anfangen kann. Entweder ich lese mich da wirklich mal tiefer rein oder lasse es gleich ganz. Das Reinprügeln von ein paar Paragraphen, deren Inhalt ich schneller vergessen habe, als ich nach der Prüfung "Auf Wiedersehen" sagen kann, nö, das bringt mir nichts. Natürlich kann ich auch den Lehrstuhl verstehen...irgendwie müssen sie solche Themen eben auch unterbringen. Ob das jemals geprüft wird? Ich kann es mir nicht vorstellen.
Jetzt noch zum Fehlertoleranz-Skript (ca. 80 Seiten). Je mehr man sich da reinarbeitet, desto spannender wird die Thematik. Das Skript war - gottseidank!!! - nicht vollgestopft mit Beweisen und purem Formalismus. Es liest sich auch relativ flüssig, nur das Kapitel "Wahrscheinlichkeit und Fehleranalyse - Theoretische Grundlagen" war etwas mühsam. Mühsam insofern, als dass alles ein wenig angeschnitten, aber nichts so richtig durchdringend erklärt wurde. Ja, klar: Mastermodul und so. Wer aber nicht tagtäglich mit Binomialkoeffizienten, bedingten Wahrscheinlichkeiten, Wahrscheinlichkeitsdichtefunktionen, Poissonverteilungen, Weibull etc. zu tun hat, müsste nochmal tief in der Modulkiste am Dachboden nach den Statistikskripten graben und sich da reinarbeiten. Habe ich bedingt gemacht. Ich denke, das, worauf es dem Autor ankam, nämlich den Bezug all dieser Themen zur Fehlertoleranz herzustellen, habe ich ganz gut erfasst.
Die restlichen Kapitel behandeln Begriffsdefinitionen von Fehlern, MTTF, MTTR, MTBF, Verfügbarkeit, Ausfallsicherheit, Redundanz, Fehlererkennung & Fehlerkorrektur (Parität, Hamming, CRC), RAID und fehlertolerante OSI-Protokolle. Gerade so Begriffe wie MTTF, MTBF oder auch CRC geistern ja immer durch die Module, ohne dass sie wirklich mal genauer erklärt werden. Einiges war aber auch schon bekannt und wurde in diesem Rahmen nochmals konkretisiert. Ich fand den Kurs wirklich sehr ansprechend und habe ihn gerne bearbeitet.
Zusatzquellen
Abseits der Skripten möchte ich, neben den bereits erwähnten Unterlagen und den sonstigen üblichen Verdächtigen, noch folgende externen Quellen hervoheben:
- Vorlesung Datensicherheit der Hochschule Ravensburg: Ein guter Einstieg in die Thematik. Nicht alles ist modulrelevant, aber interessant ist es allemal.
- Verschlüsselung: Christian Spannagel, der Godfather of Didaktik, widmet sich den Themen Cäsar, Vigenere und RSA. Achtung: Nichts davon ist prüfungsrelevant, aber ich hör dem Kerl einfach gerne zu.
- edx - Cybersecurity: Auf der frei verfügbaren Plattform edx bietet das Rochester Institute of Technology ein Programm zur Cybersecurity an, das aus 5 Kursen besteht: Cybersecurity Fundamentals, Computer Forensics, Network Security, Cybersecurity Capstone, Cybersecurity Risk Management. Wenn ihr auf den Link klickt, findet ihr ganz unten die Kursliste. Aktuell (Stand 3/2018) sind noch nicht alle Kurse verfügbar, ich konnte bis jetzt lediglich die Fundamentals absolvieren, Forensics läuft gerade, der Rest kommt im Laufe des Jahres. Aber das ist schon toll gemacht, Jonathan Weissman ist sowas wie ein amerikanischer Sicherheits-Spannagel. Da wird die Vorlesung im american style eher zur Show bzw. zur Werbeveranstaltung für Sicherheit, als dass sie zum biederen Informationsvortrag verkommt. M.E. ein absoluter Geheimtipp! Die Fundamentals sind freilich noch sehr basal, aber auch diese Einfachheit hat seine Schönheit. Ich werde mir jedenfalls auch die restlichen Kurse anschauen (und eine Menge anderes Zeug von edx).
Prüfung
Angemeldet war ich zur Prüfung bei Prof. Unger per Videokonferenz. Das hat auch gut geklappt, der Lehrstuhl hegt diesbezüglich keinerlei Ressentiments. Danke! An der FUH ist das ja leider nicht selbstverständlich, was ich generell für einen großen Kritikpunkt halte. Als ausländischer Studierender hat man ja eigentlich ein "Recht" auf eine Videoprüfung. Dennoch ist das nicht überall gern gesehen und muss manchmal regelrecht eingefordert werden. Ich kann das nicht nachvollziehen - im Gegenteil: wenn eine FERN-Uni das nicht anbietet, wer dann? Ich gehe sogar noch einen Schritt weiter und behaupte, dass Videoprüfungen auch für alle deutschen Studenten außerhalb eines Umkreises von - Pi mal Daumen - 150km angeboten werden sollten. Es gehen mir für eine persönliche Anreise jedenfalls mindestens zwei Arbeitstage, 7 Stunden Reisezeit pro Richtung und mehrere Hundert Euro Reisekosten drauf, von den Opportunitätskosten und vom Reisestress mal ganz abgesehen. Und das für 20-30 Minuten Prüfungszeit! Da die technischen Voraussetzungen ohnehin schon vorhanden sind, verstehe ich diese Abwehrhaltung nicht wirklich. Aber ich drifte ab, zurück zur Prüfung...
Geprüft hat mich letztlich Dr. Kubek, Prof. Unger hat den Beisitz gemacht (und war von dieser Aufgabe sichtlich gelangweilt, was ich aber irgendwie auch nachvollziehen kann). Dr. Kubek ist jedenfalls ein sehr netter, ruhiger Zeitgenosse. Es wurde von den Themen her nicht starr zwischen Sicherheit II und Fehlertoleranz differenziert, sondern es gab mal ein Frage hierzu, mal eine Frage dazu, alles ziemlich durcheinander. Dr. Kubek stellte auch gerne mal Fragen, wo Transferwissen zwischen den beiden Kursen gefordert war, und natürlich kamen auch die Standardfragen dran (s.u.). Zum Ende hin, als dann klar wurde, um welche Note es geht, wurden die Fragen dann gefühlt auch etwas knackiger, aber bei guter Vorbereitung dennoch locker machbar. Es wurde jedenfalls nichts gefragt, was nicht in den Skripten stehen würde oder daraus abgeleitet werden könnte. Insofern kann man sich darauf schon verlassen.
Meine konkreten Fragenkomplexe waren:
- Protokolle aller OSI-Layer
- Routingprotokolle
- Byzantinische Generäle
- Host-based IDS
- Reaktionen auf Angriffe
- DNS-Spoofing
- CRC
- Kryptoanalyse
Fazit
Ein faires, interessantes und höchstrelevantes Modul. Ich würde es jederzeit wieder belegen und bin zur Abwechslung mal gar nicht so froh darüber, dass es schon wieder vorbei ist. Die Skripten haben hier und da ihre Schwächen, sind aber insgesamt sehr flüssig und "studentenfreundlich" geschrieben. Wer mehr wissen will, muss (und sollte) sich eigenständig noch vertiefen. Zum Bestehen der Prüfung ist dies allerdings nicht notwendig.
Vielen Dank für den ausführlichen Bericht.
AntwortenLöschenDas hört sich ja relativ bekannt an, wenn ich mich so an 1690 zurück erinnere. OSI, CRC, Hamming, Paritäten, eCASH, SET... das ist aufgrund der kürzlichen Prüfung noch sehr präsent. Leider habe ich den zweiten (bzw. ersten) Teil des Kurses noch nicht belegt, sonst hätte ich direkt mit Safety & Security angeschlossen. Aber nicht so schlimm, dann wird es halt im Wintersemester gemacht.
An den LS habe ich auch eine Videoprüfung gemacht, obwohl ich gerade einmal 100 km mit dem Auto entfernt wohne. Da ich allerdings in der komfortablen Situation bin, ein Regionalzentrum fußläufig von der Arbeit erreichen zu können, habe ich diese Variante gewählt. Die Sekräterin hat zwar bei Terminvereinbarung gesagt, dass es zwar unüblich ist, aber trotzdem machbar.
Zurück zu dir. Du hast ja nun die Möglichkeit, die Masterarbeit zu schreiben. Nimmst du das jetzt schon in Angriff oder fängst du erst an, wenn alles sonstigen Leistungen in trockenen Tüchern sind=
Danke!
AntwortenLöschenKannst du, wenn du Zeit findest, die Fragen in einem Prüfungsprotokoll niederschreiben und in die METI-Fachschaft einreichen?