20 Jahre Erfahrung FreeCall 0800 tutegos

IT-Sicherheit-Bewusstseins-Training für Software-Entwickler, Architekten, Tester

„Falls Sie glauben, dass Technologie Ihre Sicherheitsprobleme lösen kann, dann verstehen Sie das Problem nicht, oder haben von Technologie keine Ahnung!“, Bruce Schneier, Experte für Computersicherheit, 2000. Das Sicherheits-Bewusstseins-Training soll Ihr Verständnis für sichere Softwareentwicklung entfachen, erweitern und schärfen. Es soll Sie zu einem verantwortungsbewussten Software-Entwickler/-Architekten/-Tester machen, der neben der Softwarequalität auch stets die Sicherheit fest im Blick hat. In vier Lektionen wird praxisbezogenes Wissen zum Thema Sicherheit im Entwicklungs- und Testprozess vermittelt und vertieft. Dazu gehören erprobte Sicherheits-Konzepte, bewährte Sicherheits-Techniken, Software-Entwicklungsstandards und vor allem alltagstaugliche Sicherheits-Werkzeuge für den Projektalltag. Nach dem Sicherheits-Bewusstseins-Training sind Sie in der Lage:

  • eigene Projekte auf Sicherheitslücken zu untersuchen.
  • Werkzeuge aus der Werkzeugkiste des Sicherheitsexperten anzuwenden.
  • mögliche Sicherheitslücken im eigenem Quellcode zu erkennen, zu bewerten und zu beseitigen.
  • sichere Software nach den OWASP Secure Coding Cheat Sheets zu entwickeln.
  • das Prinzip „Security by Design“ anzuwenden und in eigenen Projekten umzusetzen.

Inhalte des Seminars

Der Schwachstelle auf den Zahn gefühlt

Zur Einführung in das komplexe Thema Sicherheit in der Softwareentwicklung werden drei der bekanntesten Sicherheitslücken aus den OWASP Top Ten vorgestellt. Innerhalb einer Beispielumgebung werden die Sicherheitslücken ausgenutzt und die Folgen untersucht. Abschließend diskutieren und bewerten wir, welche Fehler in der Implementierung und im Entwicklungsprozess gemacht wurden. Am Ende der Lektion wissen Sie:
  • was eine Sicherheitslücke ist.
  • wie und wodurch eine Sicherheitslücke verursacht werden kann.
  • wie eine Sicherheitslücke ausgenutzt werden kann.
  • welche Bedrohung von einer Sicherheitslücke ausgehen kann.

Bewusstseinserweiterung

In dieser Lektion werden die OWASP Organisation, die OWASP Top Ten und die Handlungsempfehlungen für sichere Softwareentwicklung, die OWASP Secure Coding Cheat Sheets, vorgestellt. Nach einer allgemeinen Einführung widmen wir uns ausführlich der OWASP Top Ten Hitliste. Sie lernen, wie die Fehler aus der OWASP Top Ten entstehen, welche Folgen sie haben und wie sie zu vermeiden sind. Abschließend werden ausgewählte Handlungsempfehlungen aus den OWASP Secure Coding Cheat Sheets vorgestellt und diskutiert. Am Ende der Lektion haben Sie verstanden:
  • was die OWASP Top Ten Hitliste und die Secure Coding Cheat Sheets sind.
  • wie Sie die OWASP Secure Coding Cheat Sheets für eigene Projekte gewinnbringend nutzen können.

Die Werkzeugkiste

In dieser Lektion stellen wir die Werkzeugkiste des sicherheitsbewussten Softwareentwicklers/-Architekten/-Testers zusammen. Ziel ist es, den eigenen Entwicklungen mit den Waffen des Gegners auf den Zahn zu fühlen. Sie lernen die Vorgehensweisen Vulnerability-Scan und Penetration-Test kennen und mittels der vorgestellten Werkzeuge anzuwenden. Wir diskutieren und bewerten die jeweiligen konzeptionellen Vor- und Nachteile. Abschließend entwickeln wir Szenarien für den sinnvollen Einsatz der Werkzeugkiste im sicherheitsbewussten Entwicklungsprozess (Secure Development LifeCycle). Nach der Lektion
  • sind Sie in der Lage, eigene Projekte auf vorhandene Sicherheitslücken zu untersuchen.
  • haben Sie die konzeptionellen Unterschiede zwischen Vulnerability-Scan und Penetration-Test verstanden und können beide Techniken anwenden.
  • sind Sie in der Lage gefundene Sicherheitslücken zu bewerten, zu dokumentieren und im Team fachgerecht zu diskutieren.
  • sind Sie in der Lage, bekannte Sicherheitslücken nach dem Common Vulnerability Scoring System (CVSS) und Common Vulnerabilities and Exposures (CVE) einzuordnen und zu bewerten.

Die Herausforderung

In der letzten Lektion stellen Sie Ihr erworbenes Wissen auf die Probe. Sie werden einer unbekannten Anwendung mit den vorgestellten Werkzeugen zu Leibe rücken und versuchen herauszufinden, ob und welche Sicherheitslücken die Anwendung aufweist. Mögliche Sicherheitslücken werden Sie analysieren, bewerten, dokumentieren und mit anderen Workshop-Teilnehmern diskutieren. Abschließenden erarbeiten und diskutieren Sie mit anderen Workshop-Teilnehmern mögliche Lösungsansätze wie die Sicherheitslücken zu schließen wären. Nach der Lektion:
  • sind Sie in der Lage eine unbekannte Anwendung auf Sicherheitslücken zu untersuchen.
  • sind Sie in der Lage Reverse-Engineering, Vulnerability-Scan und Penetration-Test durchzuführen.
  • haben Sie verstanden, wie wichtig die vorgestellten Methoden sind, und dass Sie von Projektbeginn an in den sicheren Entwicklungsprozess integriert werden sollten.

Termine / Kontakt

Jedes Seminar führt tutego als kundenangepasstes Inhouse-Seminar (innerbetriebliche Weiterbildung) durch.

Wir helfen Ihnen gerne bei der Anmeldung und einen passenden Termin zu finden. Kontaktieren Sie uns per E-Mail oder unter 0800/tutegos (kostenlos aus allen Netzen).

Die Fakten

  • Empfohlene Schulungsdauer: 3 Tage, insgesamt 24 Unterrichtsstunden à 45 Minuten
  • Zielgruppe: Software-Entwickler, -Architekten und -Tester

Alle Kategorien

Was Teilnehmer sagen

›Das tutego-Seminar war genau auf unsere Wünsche abgestimmt. Somit konnten wir 100% davon in unser Tagesgeschäft übernehmen.‹
Jens-Peter B., Rossmann

›Bester Kurs, den ich je besucht habe.‹
Kent G., Deutsche Bank

›Schöne Schulung. Endlich das ein oder andere AHA-Erlebnis.‹
Teilnehmer, innovas

›Die lockere, aber stets themenbezogene Art des Trainers, die es ihm ermöglicht, auch schwierige Sachverhalte deutlich zu machen [hat mir besonders gut gefallen].‹
Jörg H., Bundeswehr

›[Der tutego-Trainer] hat es mühelos geschafft, auch komplizierte Sachverhalte leicht verständlich darzustellen. Seine Begeisterung für das Thema hat sich nachhaltig auf die Teilnehmer übertragen - ich kann den Trainer nur weiterempfehlen.‹
Mathias W., Deutsche Afrika-Linien

›Referent war sehr kompetent. Referent ging stets auf Fragen ein.‹
Reinholt P., debis Systemhaus

›Guter Dozent, der weiß wovon er redet.‹
Jochen H., Dresdner Bank

›Die tutego-Trainer waren äußerst kompetent, konnten ihr Wissen sehr gut vermitteln und sind stets auf alle Fragen und Problemstellungen eingegangen.‹
Teilnemer, Nö. Gebietskrankenkasse

›Die Vortragsart des Referenten und dessen fachliche Sicherheit [hat mit sehr gefallen]. Gute Übungen, Konzentration auf das Wesentliche.‹
Gil R., MDR

›Durch seine moderne und kompetente Art schafft es C. Ullenboom mit seinem fundierten Hintergrundwissen den Seminarteilnehmern jedes Thema aus dem Bereich Java verständlich zu machen und das Interesse für neue Technologien zu wecken.‹
René D., Servicezentrum Landentwicklung und Agrarförderung

›Vielen Dank noch einmal für das interessante und umfangreiche Seminar. Mir persönlich hat es viel gebracht!.‹
Thomas S., Sächsische Aufbaubank/Förderbank

›[Der tutego-Trainer] hat uns das komplexe Thema Objective-C sehr kompetent vermittelt. Beide Trainings waren individuell auf uns abgestimmt.‹
Andre M., Gathmann Michaelis und Freunde

›Die Schulung ist sehr gut bei den Teilnehmern angekommen. Ich habe bisher nur positives Feedback erhalten.‹
Torsten L., Netbiscuits

›Wir waren mit dem Kurs sehr zufrieden. Auch die Unterlagen sind sehr gut aufbereitet.‹
Igor R., typo3expert.at

›Die Abstimmung im Vorfeld über die Inhalte ist gut gelaufen, es war eine sehr individuelle Betreuung, wie man das von einem Inhouse Seminar in dieser Form erwartet hat.‹
Dr. Andreas V., edacentrum

›Die Kursteilnehmer waren mit dem Kurs sehr zufrieden. In den vier abgehaltenen Seminarblöcken wurden die Kursanforderungen vollständig abgedeckt, die Kursinhalte konnten individuell abgesprochen werden.‹
Teilnemer, Nö. Gebietskrankenkasse

›Die Schulung bot einen kompakten und zielgerichteten Wissenstransfer auf hohem Niveau. Im Ergebnis für alle Teilnehmer eine echte Bereicherung.‹
Johannes W., Schönhofer Sales and Engineering

›Das Training war logisch strukturiert, inhaltlich auf unseren fachlichen Anspruch abgestimmt und hat zudem noch Spaß gemacht. Vielen Dank für diese tolle Schulung.‹
Christoph G., my.IRS

›Wir waren sehr zufrieden. Die Teilnehmer haben das mitgenommen, was sie brauchten und erwartet haben.‹
Michael O., Basler Versicherungen

›Das thematisch flexibel gestaltete Seminar hat unsere Einsteiger und auch fortgeschrittenen Teilnehmer begeistert.‹
Ralph B., PiSA sales

›Wir kommen sicherlich wegen des nächsten geplanten Seminars auf den tutego-Trainer zurück.‹
Ralph B., PiSA sales

›Wir waren mit dem C# Seminar sehr zufrieden. Der Referent hat unsere Sonderwünsche sofort, kompetent und eingehend behandelt. Wir hoffen auf eine baldige Fortsetzung des Seminars zur Vertiefung des Stoffes. ‹
Winfried S., Lacroix Electronics

›Der Trainer hat die Balance zwischen den unterschiedlichen Vorkenntnissen von Anfängern und Fortgeschrittenen hervorragend gemeistert.‹
Brigitte K., Rutronik Elektronische Bauelemente GmbH

›Wir waren sehr zufrieden mit den Workshop und die Erwartungen wurden sogar übertroffen. Zudem ist auch die Nachbetreuung durch den tutego-Referenten exzellent.‹
Oliver J., SRS-Management

›Wir waren rundum zufrieden und würden uns freuen, den tutego-Referenten bei weiteren Schulungen in unserem Hause begrüßen zu dürfen.‹
Carsten P., Barmenia Versicherungen

›Ihr Dozent hat bei uns für zwei spannende Tage gesorgt, ich habe nur positive Feedback von meinen Kollegen gehört. Sowohl seine Kompetenz als auch der Inhalt der Schulung, sowie die Art und Weise, wie er das präsentiert hat, kamen sehr gut an!‹
Wladimir J., circ IT

›Das Java Seminar hat uns einen grossen Schritt nach vorne gebracht, da es genau auf unsere Bedürfnisse zugeschnitten war. Vielen Dank nochmals dafür.‹
Wolfgang S., signotec

›Der Dozent hatte sich relativ schnell auf unser doch sehr hohes Niveau eingestellt und die Schulung entsprechend dynamisch angepasst.‹
Torsten L., Netbiscuits

›Die Schulung [...] hat prima geklappt und die Teilnehmer waren ausnahmslos mit dem Trainer sehr zufrieden. Das vermittelte Wissen wird uns sicher den Start in eine neue Technologie ermöglichen.‹
Hendrik F. d. C., Wincor Nixdorf International

›Der Trainer war gut vorbereitet und hoch motiviert und er hat zwischen Frontvortrag, interaktiver Entwicklung des Stoffs am Whiteboard und praktischen Übungen am PC gut gewechselt.‹
Hendrik F. d. C., Wincor Nixdorf International

›Ich würde den Dozenten jederzeit weiterempfehlen und wäre auch nicht abgeneigt, weitere Kurse von Ihm abhalten zu lassen.‹
Torsten L., Netbiscuits

›Der PrimeFaces-Kurs mir persönlich sehr gut gefallen. Der Kursleiter hat es geschafft uns die Besonderheiten von PrimeFaces zu vermitteln.‹
Greta Z., Raiffeisenverband

›Der Referent ist auch auf unsere Fragen eingegangen und hat diese sehr professionell beantwortet.‹
Greta Z., Raiffeisenverband

›Die Themen waren spannend und sehr breit aufgestellt. Der Trainer hat die Themen gut vermittelt.‹
Teilnemer, gadiv

›Der Referent konnte sowohl die fachlichen Inhalte als auch deren Hintergründe absolut verständlich vermitteln. Da er unsere Fragen stets in Bezug auf unsere individuellen Anforderungen beantworten konnte, war es möglich, beim Lernen einen hohen Grad an Einprägung zu erreichen.‹
Teilnemer, KKS Marburg

›Der Dozent ist sowohl in Java zu Hause als auch ein erfahrener "Wissensvermittler".‹
Eduard K., Kathrein

›Der zu vermittelnde Stoff ist didaktisch sehr gut aufbereitet und immer gut zu verstehen.‹
Eduard K., Kathrein

›Auf Fragen geht der Dozent umfassend ein und schafft auch dabei Brücken zu weiteren kursrelevanten Themen einzubauen.‹
Eduard K., Kathrein

Der Kurs zeigt in gut strukturierter Form die typischen Sicherheitslücken einer Web-Applikation auf. Alles in allem ein sehr nützlicher Kurs, der einem die Augen öffnet und konkrete Lösungen zu den Problemen anbietet.‹
Teilnehmer, University of Luxembourg

Der Dozent ist auf alle Fragen eingegangen, war sehr kompetent und sympathisch.‹
Teilnehmer, University of Luxembourg

Die Weiterbildung hat mir zum Thema Objektorientierung in Java viel gebracht. Die aufeinander aufbauenden Praxisübungen verdeutlichen den theoretischen Teil sehr gut.‹
Oleg N., Technische Informationsbibliothek Hannover (TIB)