sicherheit_fuer_entwickler
IT-Sicherheit betrifft nicht nur Netze und Firewalls, sondern auch die Software von Unternehmen. Hier sind insbesondere IT-Architekt:innen und Software-Entwickler:innen gefragt, um sichere Software zu Entwickeln.
Die Teilnehmer:innen der Schulung lernen die wichtigsten Bedrohungen und deren Auswirkungen kennen. In praxisnahen Übungen werden diese Bedrohungen ausgenutzt, um in IT-Systeme einzudringen, und Maßnahmen ergriffen, um Software abzusichern.
Trainer und Dozenten
Das Seminar wird von zwei Trainern geleitet, um für die Teilnehmer eine optimale Betreuung bieten zu können. Unsere Trainer sind erfahrene IT-Berater aus der Praxis, die täglich mit der Konzeption und Entwicklung von Individualsoftware zu tun haben. Zwei unserer Trainer sind z.B.:
Dr. Tobias Heide hat in Wirtschaftsinformatik an der Universität Münster promoviert. Er leitet den Kompetenzbereich IT-Security der viadee AG und beschäftigt sich neben der IT-Sicherheit mit IT-Architektur und Prozessautomatisierung. Er ist Certified Information Systems Security Professional (CISSP) und hat eine mehrjährige Erfahrung in der Durchführung von IT-Sicherheitsschulungen.
Martin Müller ist Software-Architekt und Senior Anwendungsentwickler bei der viadee AG. Neben seinen Projekteinsätzen engagiert er sich im Kompetenzbereich Security. In der Praxis hat er eine Vielzahl von Architekturansätzen, Tools und Technologien kennengelernt und teilt dieses Wissen gerne mit anderen Entwicklern und Schulungsteilnehmern.
Voraussetzungen
Für die Schulung sind grundlegende Kenntnisse in der Entwicklung von (Web-)Anwendungen und Webtechnologien, wie HTTP, HTML und JavaScript, von Vorteil. Unsere Testanwendung, die wir im Zuge der Gegenmaßnahmen erweitern, setzt auf Java mit Spring im Backend. Einsteiger-Kenntnisse in der Java-Entwicklung sind für die Teilnahme an der Schulung ausreichend.
Inhalt
Einleitung
Zum Einstieg behandeln wir mit den Teilnehmer:innen u. a. die folgenden Fragen und Themen:
- Warum ist IT Sicherheit ein wichtiges Thema?
- Wie können organisatorische Maßnahmen die Sicherheit unterstützen?
- Warum muss IT Sicherheit bereits in der Entwicklung beachtet werden?
TOP 10 Bedrohungen
Bereits 2010 hat die Non-Profit Organisation OWASP (Open Web Application Security Project) eine Top 10 Liste der größten Bedrohungen für Webanwendungen veröffentlicht und diese 2013 und 2017 aktualisiert. Die aktuelle Top 10 umfasst viele Punkte, die für Software-Entwicklung und Betrieb relevant sind:
- Injection (Injection-Schwachstellen, wie z. B. SQL-, OS- oder LDAP-Injection)
- Umgehung der Benutzer:innenauthentifizierung
- Zugriff auf sensible Daten
- XML Externe Entities (XXE)
- Umgehung der Zugriffskontrolle
- Sicherheitsrelevante Fehlkonfiguration
- Cross-Site Scripting (XSS-Schwachstellen)
- Unsichere Deserialisierung
- Benutzen von Komponenten mit bekannten Schwachstellen
- Unzureichendes Logging & Monitoring
Diese und weitere Bedrohungen sind die Grundlage für unsere Einführungsschulung.
…und Gegenmaßnahmen
- Injection (Injection-Schwachstellen, wie z. B. SQL-, OS- oder LDAP-Injection)
- Umgehung der Benutzer:innenauthentifizierung
- Zugriff auf sensible Daten
- XML Externe Entities (XXE)
- Umgehung der Zugriffskontrolle
- Sicherheitsrelevante Fehlkonfiguration
- Cross-Site Scripting (XSS-Schwachstellen)
- Unsichere Deserialisierung
- Benutzen von Komponenten mit bekannten Schwachstellen
- Unzureichendes Logging & Monitoring
…und Gegenmaßnahmen
Zu jeder dieser Bedrohungen werden konkrete Maßnahmen präsentiert, die den Bedrohungen entgegentreten, um die Einhaltung der Schutzziele sicherzustellen. Diese Maßnahmen werden im Rahmen von Übungen ausprobiert und vertieft. Zusätzlich schauen wir uns an wie sichere Entwicklungsprozesse gestaltet werden und gehen auf sinnvolle Security-Tools für Entwicklung und Test ein.
Fokus auf die Praxis
Unsere Einführungsschulung enthält an zwei Tagen insgesamt sechs Übungen in denen Webanwendungen angegriffen und Gegenmaßnahmen implementiert werden. Inklusive der Einleitungen zu den Übungen und Diskussionen ist mehr als die Hälfte der Schulungsdauer für interaktive Teile reserviert.
Termine
- Es steht noch kein Termin für diesen Kurs fest.