Zu jedem Handlungsziel aus der Modulidentifikation (hier gekürzt wiedergegeben) werden keine, eine oder mehrere realistische, beispielhafte und konkrete Handlungssituationen beschrieben, die zeigen, wie die Kompetenzen in der Praxis angewandt werden.
| Handlungsziel | Beschreibung |
|---|---|
| HZ1: | Aktuelle Bedrohungen erkennen und erläutern können. Aktuelle Informationen zum Thema (Erkennung und Gegenmassnahmen) beschaffen und mögliche Auswirkungen aufzeigen und erklären können. |
| HZ2: | Sicherheitslücken und ihre Ursachen in einer Applikation erkennen können. Gegenmassnahmen vorschlagen und implementieren können. |
| HZ3: | Mechanismen für die Authentifizierung und Autorisierung umsetzen können. |
| HZ4: | Sicherheitsrelevante Aspekte bei Entwurf, Implementierung und Inbetriebnahme berücksichtigen. |
| HZ5: | Informationen für Auditing und Logging generieren. Auswertungen und Alarme definieren und implementieren. |
Aus einer Fachzeitschrift hat ein Team-Mitglied von Andrea einen Artikel mit ins Team-Meeting gebracht. In diesem wird über eine Sicherheitslücke in einer bekannten Library berichtet, die das Team in der Software, die es betreut, verwendet. Andrea erhält den Auftrag, sich im kommenden Sprint für diese Sicherheitslücke, über verlässliche Quellen umfänglich Informationen zu beschaffen. Das Team erwartet einen Bericht, in welchem Informationen zur Erkennung, zu Gegenmassnahmen und möglichen Auswirkungen aufgezeigt werden.
Die Software, bei der Andrea mitarbeitet, hat ein veraltetes Authentisierungsverfahren. Andrea hat in einem Internet-Forum einen Artikel entdeckt, in dem ein Authentisierungsverfahren vorgestellt wird, welches die Sicherheit und Performance des bestehenden Verfahrens verbessern würden. Im nächsten Sprint soll dieses Verfahren in einer Studie untersucht und die nötigen Schritte zur Integration des neuen Verfahren definiert werden.
Der Verantwortliche einer Anwendung berichtet von den Meldungen, die im 1. und 2. Level Support eingegangen sind. Die Benutzer/innen melden seltsames Verhalten der Software bei einigen Funktionen. Alte Rechnungen sind plötzlich verschwunden und manchmal erscheinen Rechnungen von anderen Firmen. Da das Fehlverhalten nicht reproduzierbar ist, erhält Andrea den Auftrag, die entsprechenden Stellen in der Software mit Logging-Meldungen zu erweitern. Zudem soll ein Konzept erarbeitet werden, welches Auswertungen und Alarme zur Überwachung des Systems erlaubt.
Das Team, in dem Andrea an einer Anwendung mitentwickelt, hat eine Sicherheitslücke entdeckt. Glücklicherweise ist die Sicherheitslücke mit hoher Wahrscheinlichkeit noch nicht ausgenutzt worden. Andrea soll die Sicherheitslücke untersuchen, um herauszufinden, wo sich im Entwurfsprozess und bei der Umsetzung der Software die Fehler eingeschlichen haben und ob weitere Teile der Software betroffen sein könnten. Zudem sollen Massnahmen vorschlagen werden, die für die Schliessung der Sicherheitslücke nötig sind.
Andrea ist Teil eines Entwicklerteams, das an einer Webanwendung arbeitet. Vor dem nächsten Release soll sichergestellt werden, dass die Anwendung sicher ist. Andrea wird beauftragt, ein Code-Review der entscheidenden Code-Abschnitten durchzuführen und potenzielle Schwachstellen zu identifizieren. Dabei soll der Code auf mögliche Sicherheitslücken analysiert werden. Dies geschieht in enger Zusammenarbeit mit dem Team, um gemeinsam Lösungen zu entwickeln und allfällige Schwachstellen zu beheben.