| A – Sicherheitsschwachstellen und Massnahmen verstehen | 1, 2 | A1G: Ich kann erklären, was eine Sicherheitsschwachstelle bei einer Applikation ist | A1F: Ich kann aktuelle Sicherheitsschwachstellen, deren Ursachen und Folgen erklären (z.B. OWASP Top Ten "description") | A1E: Ich kann Informationsquellen zu Sicherheitsschwachstellen in Bezug auf ihre Relevanz beurteilen |
| 1, 2 | A2G: Ich kann erklären, was in Bezug auf eine Sicherheitsschwachstelle unternommen werden muss (z.B. Sicherheitsschwachstelle identifizieren, Gegenmassnahmen definieren und umsetzen, Wirkung überprüfen) | A2F: Ich kann Massnahmen gegen aktuelle Sicherheitsschwachstellen erklären (z.B. OWASP Top Ten "how to prevent") | A2E: Ich kann praktische Beispiele von Sicherheitsschwachstellen und Gegenmassnahmen vorführen (z.B. Beispiel recherchieren, nachvollziehen, praktisch vorführen, z.B. WebGoat) |
| B – Authentisierungsverfahren einsetzen | 3 | B1G: Ich kann die Funktionsweise von verschiedenen Authentisierungsverfahren erklären | B1F: Ich kann Authentisierungsverfahren in einer Applikation umsetzen | B1E: Ich kann das für einen Use-Case geeignete Authentisierungsverfahren gegenüberstellen und begründet auswählen |
| C – Logging und Monitoring-Mechanismen implementieren | 5 | C1G: Ich kann die relevanten Informationen für das Monitoring und Logging sammeln | C1F: Ich kann gesammelte Informationen für das Monitoring und Logging auswerten und relevante Informationen bestimmen | C1E: Ich kann Monitoring- und Logging-Systeme einrichten und die gesammelten Informationen auf Sicherheitsrelevanz analysieren sowie geeignete Massnahmen ableiten |
| 5 | C2G: Ich kann den Aufbau und Inhalt von Logs und Audit-Trails erkennen und erklären | C2F: Ich kann aufgrund des Aufbaus und Inhalts von Logs und Audit-Trails einzelne Massnahmen zur Behebung von möglichen Sicherheitsproblemen vorschlagen | C2E: Ich kann Alarmierungskonzepte für Logs und Audit-Trails kritisch beurteilen und begründet geeignete Formen der Alarmierung und Alarmauslösung auswählen |
| D – Kryptographie | 2, 3, 4 | D1G: Ich kann Kryptographieverfahren wie symmetrische und asymmetrische Verschlüsselungen sowie Hash-Funktionen einer Anwendung zuweisen und einordnen | D1F: Ich kann symmetrische und asymmetrische Verschlüsselung sowie Hash-Funktionen in der Applikation zum Schutz sensibler Daten einsetzen | D1E: Ich kann in einer Applikation eingesetzte kryptographische Massnahmen auf deren Tauglichkeit beurteilen sowie Verbesserungsvorschläge anbringen und umsetzen |
| E – Sicherheitslücken vermeiden und beheben | 1, 3, 4 | E1G: Ich kann die Sicherheitsrisiken in der Entwicklung von Anwendungen auflisten und erklären | E1F: Ich kann die Sicherheitsrisiken in der Entwicklung von Anwendungen erkennen und bei der Implementierung vermeiden | E1E: Ich kann Sicherheitsarchitekturen beim Design von Anwendungen analysieren und begründete Empfehlungen zur Verbesserung ableiten |
| 1, 3, 4 | E2G: Ich kann Massnahmen beschreiben, die Sicherheitslücken in Applikationen beheben | E2F: Ich kann Massnahmen umsetzen, die Sicherheitslücken in Applikationen beheben | E2E: Ich kann Massnahmen vergleichen und umsetzen, die die Sicherheit von Systemen und Netzwerken optimieren |