Drei Abschlussklassen der Fachrichtung Applikationsentwicklung (INFA) erhielten in Zürich einen Einblick in die Informatikdienste der ETH und in das Security Operations Center der Swisscom.
Cross-Site Scripting, Cookies, UI-Redressing, pbkdf2, Cross-Site Request Forgery, Key Rotation, HTTP Digest Authentication und Clickjacking haben uns – neben verschiedenen anderen Inhalten – im vergangenen Halbjahr beschäftigt. Das Modul 183 wird im zweitletzten Semester der EFZ-Ausbildung Informatik mit Fachrichtung Applikationsentwicklung unterrichtet. Zu diesem Zeitpunkt, mit einer breiten Grundausbildung und solider, betrieblicher Erfahrung im Rücken, bietet das vorletzte Modul eine optimale Gelegenheit, viele Aspekte der Informatikausbildung nochmals aufzunehmen und diese in einem grösseren, konkreten Kontext anzuwenden.
Der Kontext Applikationssicherheit ist hoch aktuell, vielfältig und zugleich extrem wichtig für die sichere Funktion aller aktuellen Programme und Anwendungen.
Diese Aktualität und Vielseitigkeit konnten wir am Montag, 23. Janaur 2023 ganz direkt erleben. Die drei Abschlussklassen der Fachrichtung Applikationsentwicklung, verstärkt durch eine Systemtechnikerin und vier Systemtechniker konnten in Zürich einen Einblick in die Informatikdienste der ETH Zürich und ins Security Operations Center der Swisscom erhalten.
Am Vormittag wurden wir unweit des Bahnhofs Oerlikon von einer Delegation der Infomatikdienste der ETH Zürich empfangen. In einem einleitenden Referat wurden bereits viele unserer zuvor eingereichten Fragen beantwortet. Doch die Fragen wurden nicht weniger. Die Sicherheit in einem riesigen Netzwerk, verteilt über zahlreiche Standorte, mit unzähligen Applikationen, zehntausenden von Nutzenden und gigantischen Datenströmen zu gewährleisten erscheint als Herkulesaufgabe. Geduldig und kompetent wurde alle unsere Fragen beantwortet.
Nach einer grosszügigen Stärkung konnten wir einen von drei verschiedenen Vertiefungsworkshops besuchen: Expertinnen und Experten ermöglichten uns während rund 45 Minuten Einblick in ihre tägliche Arbeit. Mit viel Ausdauer, Beharrlichkeit, Kreativität und Gehirnschmalz gelingt es den Spezialistinnen und Spezialisten der ETH Zürich Anomalien im Netzwerk und unsicheres Verhalten zu erkennen und zu abzuwenden.
Die Flexibilität und Spontaneität, welche zur Aufrechterhaltung der Sicherheit oft notwendig ist, stellten die Gastgeber:innen auch zum Abschluss des eindrücklichen Vormittags unter Beweis: Kurzerhand wurde Raum für die Beantwortung weiterer Fragen geschaffen, welcher dankbar mit vielen spezifischen oder kritischen Fragen bespielt wurde.
Nach der Mittagspause – Verköstigung im Personalrestaurant der ETH Zürich – brachte uns die S9 von Oerlikon zur Hardbrücke. Wenige Schritte später waren wir vor einem unscheinbaren, älteren Bürogebäude angelangt. Durch ein kahles Treppenhaus gelangten wir in den zweiten Stock und betraten durch eine (für uns deaktivierte) Sicherheitsschleuse das überraschend modern, fast schon wohnlich eingerichtete Security Operations Center der Swisscom.
Nach einer kurzen Begrüssung erlebten wir den interessanten Kontrast zwischen den Aufgaben, Tools und Möglichkeiten der Swisscom im Vergleich zur vormittags besuchten ETH Zürich. Auf dem Rundgang durch das Security Operations Center erhielten wir Einblick in den War Room, die operative Zentrale mit riesigem, hollywoodreifem Bildschirm, in den speziell gesicherten Forensik-Raum sowie vor allem in die tägliche Arbeit der Sicherheitsfachleute. Die Menge an spezifischen Werkzeugen, Applikationen und Strategien haben uns beeindruckt. Auch die Vorstellung des Bug Bounty Programms als möglicherweise attraktiver Nebenverdienst durch das Aufspüren von Sicherheitslücken in den Anwendungen der Swisscom war sehr interessant. Nur Antoines Challenge aHR0cHM6Ly9pbWd1ci5jb20vYS9kaFlkUXpq wurde bis heute noch von keiner Exkursionsteilnehmerin bzw. keinem Exkursionsteilnehmer geknackt 🙂
Insgesamt ermöglichten uns die beiden Besuche bei der ETH Zürich und bei der Swisscom eine interessante Ergänzung zum vorangehenden Unterricht am GIBZ sowie ein schöner Kontrast zu den individuellen Erfahrungen im eigenen Ausbildungsbetrieb.
Beitrag von Peter Gisler | Lehrperson Fachunterricht und Berufsverantwortlicher Informatiker/in EFZ Applikationsentwicklung
