Erfahrungsbericht Safety und Security

Ich starte den Beitrag mal mit einem verwirrenden Intro: Im Bachelorstudium der Wirtschaftsinformatik konnte man als Wahlkurs im Rahmen des Moduls "Einführung in Internet-Technologien und Informationssysteme" bereits "Sicherheit im Internet I (01866)" belegen. Der Kurs war damals und ist auch heute noch sehr interessant und wichtig, deshalb wollte ich mich unbedingt auch in die Fortsetzung "Sicherheit im Internet II (01867)" vertiefen. Dieser Kurs wird im Masterstudium unter dem Modulnamen "Sicherheit - Safety und Security", zusammen mit dem Kurs Fehlertoleranz (21811), angeboten. Es gibt auch noch den Kurs "Sicherheit im Internet - Ergänzungen (01868)", den man wiederum zusammen mit "Sicherheit I (01867)" unter dem Modulnamen "Sicherheit im Internet" im Masterstudium absolvieren  kann. Wenn man das Sicherheitsthema also komplett mit allen Kursen bearbeiten will, sollte man eigentlich im Bachelor nicht Sicherheit I belegen, weil man es im Master dann noch einmal machen müsste, um die Ergänzungen bearbeiten zu können. Irgendwie komisch geregelt. Ich würde mich dennoch der Sicherheit I schon im Bachelor widmen, weil diese Thematik in anderen Modulen immer wieder benötigt wird. Schade finde ich es dennoch, dass mir die "Ergänzungen" jetzt zwangsweise entgehen.

Lernunterlagen

Die Skripten zum Kurs Sicherheit II sind vom Umfang her mit ca. 195 Seiten nicht sonderlich furchteinflössend. Insgesamt sind es 4 Skripten mit den Themen

• Angriffe auf Rechner oder Netze
• Benutzersicherheit
• Anbietersicherheit
• Entwurf und Implementierung sicherer Systeme

Die Kurseinheiten zur Benutzersicherheit und Anbietersicherheit gibt es gleichlautend auch schon in Sicherheit I. Aber keine Sorge, sie überschneiden sich nicht, sondern bauen vielmehr aufeinander auf. Grundsätzlich sind die Skripten sehr flüssig, fast schon erzählerisch geschrieben. Das hat Vor- und Nachteile, denn was sich flüssig liest, merkt man sich manchmal gar nicht so leicht. Ihr kennt das ja, man liest eine Seite, versteht das alles, aber wenn man es aktiv wiedergeben soll, tut man sich schwerer als gedacht. Prosaischen Lehrtexten fehlt naturgemäß einfach die nötige Struktur. Es empfiehlt sich hier also, die Eckpunkte herauszuarbeiten und zu markieren bzw. herauszuschreiben, um bei der Prüfung einen roten Faden parat zu haben.

Aufzählungsorgien gibt es nur wenige bis gar keine. Sehr schön! Die wenigen punktuellen Auflistungen (z.B. die häufigsten Softwarefehler nach McGraw) habe ich wieder mit Sketchnotes in mein Hirn gebrannt. Diese Taktik bewährt sich für mich ein ums andere Mal, da ich mich bei der Prüfung um die Aufzählung der einzelnen Punkte nicht mehr kümmern muss ("Bild vor Augen"), sondern mich auf die Inhalte konzentrieren kann. Beispiele dazu habe ich ja in anderen Reviews schon gegeben.

Vom Inhalt her sind die Skripten sicher kein allumfassendes Standardwerk. Ich glaube, diesen Anspruch will der Lehrstuhl ganz bewußt auch nicht erheben, da diese Thematik einfach viel zu schnelllebig und umfangreich ist. Ich halte das für einen klugen Weg. Aber als bekennender Streber aus Leidenschaft habe ich viele Themen in externen Quellen nachgelesen und vertieft - ganz einfach, weil es mich eben interessiert hat, für die Prüfung selbst wäre das aber nicht nötig gewesen. Grundsätzlich könnte man ja sowieso aus jedem noch so kleinen Thema in den Skripten ein riesen Faß aufmachen, wenn man denn wollte. Wollte man aber nicht! Gerade im Masterstudium, wo man die Module nach eigenen Interessen wählen kann, sollte es m.E. selbstverständlich sein, dass man sich da und dort noch zusätzlich reinhängt.

So konsequent ich beim Ergänzen von Prüfungsinhalten bin (was häufig so dermaßen ausufert, dass mein Addendum länger ist als der entsprechende Inhalt im Skript), so konsequent bin ich auch beim Ausblenden von Themen, deren unmittelbare Relevanz ich für meinen Lernzweck nicht unbedingt erkenne bzw. die nicht ausreichend genug erklärt wurden, um sie sinnbringend einzusetzen. Davon gab es hier zwar nicht viele, ich will sie euch aber dennoch nicht vorenthalten:

1. Quantencomputer: Interessantes Thema, aber auf gar keinen Fall auf 3 Seiten erklärbar. Ich hätte sehr viel mehr Zeit und Aufwand investieren müssen, um das Thema wirklich zu verstehen und nicht nur auswendig zu lernen. Das hätte ich bei einem Modul mit entsprechender Thematik wohl auch gemacht, aber hier ging es ja um basale Sicherheitsthemen, nicht um Quantenphysik. Deshalb habe ich mir nur die Kernaussagen bzw. die Konsequenzen für die Verschlüsselungsalgorithmen gemerkt.
2. Gesetzliche Rahmenbedingungen: Auch dieses Thema habe ich nur deshalb ignoriert, weil ich mit Halbwissen einfach gar nichts anfangen kann. Entweder ich lese mich da wirklich mal tiefer rein oder lasse es gleich ganz. Das Reinprügeln von ein paar Paragraphen, deren Inhalt ich schneller vergessen habe, als ich nach der Prüfung "Auf Wiedersehen" sagen kann, nö, das bringt mir nichts. Natürlich kann ich auch den Lehrstuhl verstehen...irgendwie müssen sie solche Themen eben auch unterbringen. Ob das jemals geprüft wird? Ich kann es mir nicht vorstellen.

Das war es eigentlich auch schon mit dem Mut zur Lücke, insgesamt sprechen wir hier von 7-8 Seiten. Etwas oberflächlicher habe ich wohl die Bezahlvarianten bearbeitet, z.B. wie Überweisungen, Lastschriftverfahren, Maestro-Zahlungen usw. funktionieren. Das war kein unmittelbar informatischer Inhalt, eher Bankenkram (wenn ihr es lest, werdet ihr wissen, was ich meine). Wichtiger erschienen mir in diesem Zusammenhang Themen wie SET, eCash und Bitcoin. Für SET (Secure Electronic Transaction) und eCash habe ich übrigens die Videovorlesungen von Herrn Coltzau aus dem ETTI-Modul wieder hervorgekramt. Dort wurde die Thematik einerseits genauer, andererseits aber auch um einiges konsistenter beschrieben. Die Erklärung zu SET im Skript ergibt bei manchen Aspekten ohne Zusatzinformationen einfach keinen Sinn (und weist m.E. auch den einen oder anderen inhaltlichen Fehler auf). Bei eCash vermisse ebenso einige Details in den Sicherheitsskripten, ohne die sich (für mich) der Kreis nicht schließen will. Ok, vielleicht bin ich da auch zu pedantisch, aber ich kann mir das sonst nur schwer merken. Letztlich also reiner Opportunismus ;).

Jetzt noch zum Fehlertoleranz-Skript (ca. 80 Seiten). Je mehr man sich da reinarbeitet, desto spannender wird die Thematik. Das Skript war - gottseidank!!! - nicht vollgestopft mit Beweisen und purem Formalismus. Es liest sich auch relativ flüssig, nur das Kapitel "Wahrscheinlichkeit und Fehleranalyse - Theoretische Grundlagen" war etwas mühsam. Mühsam insofern, als dass alles ein wenig angeschnitten, aber nichts so richtig durchdringend erklärt wurde. Ja, klar: Mastermodul und so. Wer aber nicht tagtäglich mit Binomialkoeffizienten, bedingten Wahrscheinlichkeiten, Wahrscheinlichkeitsdichtefunktionen, Poissonverteilungen, Weibull etc. zu tun hat, müsste nochmal tief in der Modulkiste am Dachboden nach den Statistikskripten graben und sich da reinarbeiten. Habe ich bedingt gemacht. Ich denke, das, worauf es dem Autor ankam, nämlich den Bezug all dieser Themen zur Fehlertoleranz herzustellen, habe ich ganz gut erfasst.

Die restlichen Kapitel behandeln Begriffsdefinitionen von Fehlern, MTTF, MTTR, MTBF, Verfügbarkeit, Ausfallsicherheit, Redundanz, Fehlererkennung & Fehlerkorrektur (Parität, Hamming, CRC), RAID und fehlertolerante OSI-Protokolle. Gerade so Begriffe wie MTTF, MTBF oder auch CRC geistern ja immer durch die Module, ohne dass sie wirklich mal genauer erklärt werden. Einiges war aber auch schon bekannt und wurde in diesem Rahmen nochmals konkretisiert. Ich fand den Kurs wirklich sehr ansprechend und habe ihn gerne bearbeitet.

Zusatzquellen

Abseits der Skripten möchte ich, neben den bereits erwähnten Unterlagen und den sonstigen üblichen Verdächtigen, noch folgende externen Quellen hervoheben:

• Vorlesung Datensicherheit der Hochschule Ravensburg: Ein guter Einstieg in die Thematik. Nicht alles ist modulrelevant, aber interessant ist es allemal.
• Verschlüsselung: Christian Spannagel, der Godfather of Didaktik, widmet sich den Themen Cäsar, Vigenere und RSA. Achtung: Nichts davon ist prüfungsrelevant, aber ich hör dem Kerl einfach gerne zu.
• edx - Cybersecurity: Auf der frei verfügbaren Plattform edx bietet das Rochester Institute of Technology ein Programm zur Cybersecurity an, das aus 5 Kursen besteht: Cybersecurity Fundamentals, Computer Forensics, Network Security, Cybersecurity Capstone, Cybersecurity Risk Management. Wenn ihr auf den Link klickt, findet ihr ganz unten die Kursliste. Aktuell (Stand 3/2018) sind noch nicht alle Kurse verfügbar, ich konnte bis jetzt lediglich die Fundamentals absolvieren, Forensics läuft gerade, der Rest kommt im Laufe des Jahres. Aber das ist schon toll gemacht, Jonathan Weissman ist sowas wie ein amerikanischer Sicherheits-Spannagel. Da wird die Vorlesung im american style eher zur Show bzw. zur Werbeveranstaltung für Sicherheit, als dass sie zum biederen Informationsvortrag verkommt. M.E. ein absoluter Geheimtipp! Die Fundamentals sind freilich noch sehr basal, aber auch diese Einfachheit hat seine Schönheit. Ich werde mir jedenfalls auch die restlichen Kurse anschauen (und eine Menge anderes Zeug von edx).

 Prüfung

Angemeldet war ich zur Prüfung bei Prof. Unger per Videokonferenz. Das hat auch gut geklappt, der Lehrstuhl hegt diesbezüglich keinerlei Ressentiments. Danke! An der FUH ist das ja leider nicht selbstverständlich, was ich generell für einen großen Kritikpunkt halte. Als ausländischer Studierender hat man ja eigentlich ein "Recht" auf eine Videoprüfung. Dennoch ist das nicht überall gern gesehen und muss manchmal regelrecht eingefordert werden. Ich kann das nicht nachvollziehen - im Gegenteil: wenn eine FERN-Uni das nicht anbietet, wer dann? Ich gehe sogar noch einen Schritt weiter und behaupte, dass Videoprüfungen auch für alle deutschen Studenten außerhalb eines Umkreises von - Pi mal Daumen - 150km angeboten werden sollten. Es gehen mir für eine persönliche Anreise jedenfalls mindestens zwei Arbeitstage, 7 Stunden Reisezeit pro Richtung und mehrere Hundert Euro Reisekosten drauf, von den Opportunitätskosten und vom Reisestress mal ganz abgesehen. Und das für 20-30 Minuten Prüfungszeit! Da die technischen Voraussetzungen ohnehin schon vorhanden sind, verstehe ich diese Abwehrhaltung nicht wirklich. Aber ich drifte ab, zurück zur Prüfung...

Geprüft hat mich letztlich Dr. Kubek, Prof. Unger hat den Beisitz gemacht (und war von dieser Aufgabe sichtlich gelangweilt, was ich aber irgendwie auch nachvollziehen kann). Dr. Kubek ist jedenfalls ein sehr netter, ruhiger Zeitgenosse. Es wurde von den Themen her nicht starr zwischen Sicherheit II und Fehlertoleranz differenziert, sondern es gab mal ein Frage hierzu, mal eine Frage dazu, alles ziemlich durcheinander. Dr. Kubek stellte auch gerne mal Fragen, wo Transferwissen zwischen den beiden Kursen gefordert war, und natürlich kamen auch die Standardfragen dran (s.u.). Zum Ende hin, als dann klar wurde, um welche Note es geht, wurden die Fragen dann gefühlt auch etwas knackiger, aber bei guter Vorbereitung dennoch locker machbar. Es wurde jedenfalls nichts gefragt, was nicht in den Skripten stehen würde oder daraus abgeleitet werden könnte. Insofern kann man sich darauf schon verlassen.

Meine konkreten Fragenkomplexe waren:

• Protokolle aller OSI-Layer
• Routingprotokolle
• Byzantinische Generäle
• Host-based IDS
• Reaktionen auf Angriffe
• DNS-Spoofing
• CRC
• Kryptoanalyse

Ich glaube, es waren noch ein paar mehr Fragen, aber ich kann mich nicht an alle erinnern. Diese Liste ist auch wirklich nur als grobe Orientierung zu sehen, denn es ging bei den jeweiligen Themen gerne auch mal um ein spezielles Detail und dessen Zusammenhänge. Das entstand dann eher aus dem Gesprächsablauf heraus. 

Fazit

Ein faires, interessantes und höchstrelevantes Modul. Ich würde es jederzeit wieder belegen und bin zur Abwechslung mal gar nicht so froh darüber, dass es schon wieder vorbei ist. Die Skripten haben hier und da ihre Schwächen, sind aber insgesamt sehr flüssig und "studentenfreundlich" geschrieben. Wer mehr wissen will, muss (und sollte) sich eigenständig noch vertiefen. Zum Bestehen der Prüfung ist dies allerdings nicht notwendig.