M183 Applikationssicherheit implementieren

Kompetenzmatrix - Modul 183

Kompetenzband: HZ Grundkompetenz Fortgeschrittene-Kompetenz Erweiterte-Kompetenz
A - Sicherheits-schwachstellen und Massnahmen verstehen HZ1, HZ2 A1G: Ich kann erklären, was eine Sicherheitsschwachstelle bei einer Applikation ist. A1F: Ich kann aktuelle Sicherheitsschwachstellen, deren Ursachen und Folgen erklären.(z.B. OWASP Top ten “description”) A1E: Ich kann Informationsquellen zu Sicherheitsschwachstellen in Bezug auf ihre Relevanz beurteilen.
HZ1, HZ2 A2G: Ich kann erklären, was in Bezug auf eine Sicherheitsschwachstelle unternommen werden muss. (z.B. Sicherheitsschwachstelle identifizieren, Gegenmassnahmen definieren und umsetzen, Wirkung überprüfen) A2F: Ich kann Massnahmen gegen aktuelle Sicherheitsschwachstellen erklären.(z.B. OWASP Top ten “how to prevent”) A2E: Ich kann praktische Beispiele von Sicherheitsschwachstellen und Gegenmassnahmen vorführen. (z.B. Beispiel recherchieren, nachvollziehen, praktisch vorführen. z.B. WebGoat)
B - Authentisierungs-verfahren einsetzen HZ3 B1G: Ich kann die Funktionsweise von verschiedenen Authentisierungsverfahren erklären. B1F: Ich kann Authentisierungsverfahren in einer Applikation umsetzen. B1E: Ich kann das für einen Use-Case geeignete Authentisierungsverfahren gegenüberstellen und begründet auswählen.
C - Logging und Monitoring-Mechanismen implementieren HZ5 C1G: Ich kann die relevanten Informationen für das Monitoring und Logging sammeln. C1F: Ich kann gesammelten Informationen für das Monitoring und Logging auswerten und relevante Informationen bestimmen. C1E: Ich kann Monitoring- und Logging-Systeme einrichten, überwachen und Informationen zur Behebung von Sicherheitsproblemen verwenden.
C2G: Ich kann den Aufbau und Inhalt von Logs und Audit-Trails erkennen und erklären. C2F: Ich kann aufgrund des Aufbaus und Inhalts von Logs und Audit-Trails einzelne Massnahmen zur Behebung von möglichen Sicherheitsproblemen vorschlagen. C2E: Ich kann zu Logs und Audit-Trails situativ verschiedene Formen der Alarmierung und Alarmauslösung umsetzen.
D - Kryptographie HZ2, HZ3, HZ4 D1G: Ich kann Kryptographie Verfahren wie Symmetrische- und Asymmetrische Verschlüsselungen sowie Hash-Funktionen einer Anwendung zuweisen und einordnen. D1F: Kann symmetrische und asymmetrische Verschlüsselung sowie Hash-Funktionen in der Applikation zum Schutz sensibler Daten einsetzen. D1E: Kann in einer Applikation eingesetzte kryptographische Massnahmen auf deren Tauglichkeit beurteilen sowie Verbesserungsvorschläge anbringen und umsetzen.
E - Sicherheitslücken vermeiden und beheben HZ4, HZ1, HZ3 E1G: Ich kann die Sicherheitsrisiken in der Entwicklung von Anwendungen auflisten und erklären. E1F: Ich kann die Sicherheitsrisiken in der Entwicklung von Anwendungen erkennen und bei der Implementierung vermeiden. E1E: Ich kann Sicherheitsarchitekturen beim Design von Anwendungen berücksichtigen.
E2G: Ich kann Massnahmen beschreiben, die Sicherheitslücken in Applikationen beheben. E2F: Ich kann Massnahmen umsetzen, die Sicherheitslücken in Applikationen beheben. E2E: Ich kann Massnahmen vergleichen und umsetzen, die die Sicherheit von Systemen und Netzwerken optimieren.

Kompetenzstufen

Grundkompetenz | Der Anfänger | Stufe 1

Diese Stufe ist als Einstieg ins Thema gedacht. Der Fokus liegt hier auf dem Verstehen von Begriffen und Zusammenhängen.

Als Richtungshinweis: Wer alle Kompetenzen in dieser Stufe erfüllt, hat die Noten 3.5.

Fortgeschrittene-Kompetenz | Der Kompetente | Stufe 2

Diese Stufe definiert den Pflichtstoff, den alle Lernenden am Ende des Moduls möglichst beherrschen sollen.

Als Richtungshinweis: Wer alle Kompetenzen in dieser Stufe erfüllt, hat die Noten 4.75

Erweiterte-Kompetenz | Der Gewandete | Stufe 3

Diese Lerninhalte für Lernende gedacht, die schneller vorankommen und einen zusätzlichen Lernanreiz erhalten sollen.

Als Richtungshinweis: Wer alle Kompetenzen in dieser Stufe erfüllt, hat die Noten 6