Security by Design: Sicherheit in der Software- und Systementwicklung

Informationssicherheit im Entwicklungs- und Wartungsprozess

• Cyber Security Maturity Model
• Standards und Best Practices für Security by Design
• Beispiele: Microsoft SDL und NIST „Security Considerations in the System Development Life Cycle“
• Auf die Prozesse kommt es an: Integration von Informationssicherheit in Entwicklungs- und IT-Projekte
• Common Criteria
• Security by Design für KI: Unterschiede zur traditionellen Software
• Continuous Delivery und die Konsequenzen für die Informationssicherheit
• Methoden und Werkzeuge für ein systematisches Schwachstellenmanagement
• Development Operations (DevOps) und Informationssicherheit
• Aufbau von sicheren Entwicklungs- und Testumgebungen

Sichere Web-Anwendungen

• Aufbau sicherer Web-Architekturen
• Grundprinzipien des Secure Coding
• Vorgaben des BSI
• Design-Prinzipien des Open Web Application Security Project (OWASP)
• Bedeutung des SEI CERT Coding Standards für Web-Anwendungen
• Techniken für Input Validation

Sichere Micro Services

• Die Rolle von Micro Services für moderne Software-Lösungen
• Plattformen, Lösungen in der Cloud und On Premises
• Best Practices zur Absicherung von Container-Clustern, Serverless Computing und Co.
• Einsatz, Bedeutung und Grenzen von Micro Segmentation

Schwachstellen-Scanning und die Kunst des Penetration Testing

• Wie Schwachstellen-Scanner funktionieren und welche Möglichkeiten sie bieten
• Scanning auf Netzwerk-, Betriebssystem- und Anwendungsebene
• Scanning und Security Testing von Web-Anwendungen und Web-Services
• Produktbeispiele: Nessus, OpenVAS, Burp, ZAP und andere Werkzeuge
• Automatisiertes Schwachstellen-Scanning
• Werkzeuge und Vorgehensweisen für Penetration Tests
• Risiken beim Schwachstellen-Scanning und Penetration Testing
• Elemente eines Konzepts für Schwachstellen-Scanning, Security, Testing und Penetration Testing
• Demonstration

Techniken für Security Testing

• Anforderungen an Security Tests in Standards zur Informationssicherheit und zur Software-Entwicklung
• Static Analysis Security Testing
• Dynamic Analysis Security Testing
• Continuous Security Testung
• Anwendung von KI-Techniken
• Rolle von Penetration Tests

Wenn Software fehlerfrei wäre, müsste man keinen Aufwand betreiben, sie zu schützen. Das ist natürlich nur eine Utopie, die sich wohl nie verwirklichen lassen wird. Trotzdem kann bereits bei der Entwicklung von Software viel für die Sicherheit der Anwendung im späteren Betrieb getan werden. Wesentlich dabei ist, dass drei Aspekte berücksichtigt werden:

• die Grundprinzipien sicherer Softwareprogrammierung,
• eine sichere, zur Anwendung passende Architektur,
• gezieltes, intensives Testen auf Schwachstellen schon während der Entwicklung.

Diese drei Elemente bilden auch die Kernthemen dieses Seminares:

• Rund um den Begriff „Security by Design“ haben sich in den letzten Jahren Modelle, Best Practices und sogar Standards etabliert. Wer für die sichere Software-Entwicklung verantwortlich ist sollte die wesentlichen kennen. Darum sind u.a. das „Cyber Security Maturity Model“, der Microsoft Security Development Lifecycle (SDL) und auch der NIST „Security Considerations in the System Development Life Cycle“ Bestandteil dieser Veranstaltung.
• Am Beispiel von Web-Anwendungen werden nicht nur die Prinzipien sicherer Softwareentwicklung vorgestellt, sondern auch die Bedeutung und Absicherung moderner Betriebsarchitekturen. Im Fokus dabei stehen “Containerisierung” und Mikro-Segmentierung sowohl für den Cloud- als auch für den On-Premises-Betrieb.
• Auch bei sorgfältigster Planung, Programmierung und Betrieb kann es Lücken in der Sicherheit geben. Um diese aufzuspüren gibt es etablierte Testverfahren und –werkzeuge. Die Verfahren werden in diesem Seminar vor- und gegenübergestellt. Eine Live-Demonstration für das besonders wichtige Penetration Testing rundet das Seminar ab.

Dieses Seminar ist ein Muss für alle Software-Entwickler, Betreiber und Projektverantwortliche, die Wert auf sichere Anwendungen und Anwendungsarchitekturen ihrer selbst geschriebenen oder in Auftrag gegebener Entwicklung von Software legen.

Sie lernen in diesem Seminar

• Was sich hinter dem Begriff „Securtiy by Design“ verbirgt
• Wie Informationssicherheit im Entwicklung und Wartungsprozess umgesetzt werden kann
• Welche Standards, Modelle und Best Practices es im Rahmen von „Security by Design“ gibt
• Welche doppelte Rolle Künstliche Intelligenz (KI) bei Security by Design spielt: Wie sichert man KI und wie nutzt man KI zur Absicherung
• Welche Auswirkungen DevOps und Continuous Delivery auf die Informationssicherheit haben
• Wie man sichere Entwicklungs- und Testumgebungen aufbaut
• Welche Prinzipien es für Secure Coding gibt und und welche Standards hier eine Rolle spielen (z.B. OWASP, Microsoft SDL, NIST und SEI)
• Wie moderne und sichere Architekturen für Web-Anwendungen aufgebaut werden
• Wieso Microservices und Micro-Segmentation zusammen gehören
• Wie man Software auf Schwachstellen testet
• Welche Bedeutung Penetration Tests von der Entwicklung bis zum sicheren Betrieb von Anwendung haben

Welche weiteren Sicherheitstests es für die Anwendungsentwicklung und die Anwendung als solche gibt

Zielgruppe

• Administratoren
• Projektleiter

Dieses Seminar ist ein Muss für alle Software-Entwickler, Betreiber und Projektverantwortlichen, die Wert auf sichere Anwendungen und Anwendungsarchitekturen ihrer selbst geschriebenen Software legen.

Skill Level

• Fortgeschrittene

• Dr. Markus Ermes hat im Bereich der optischen Simulationen promoviert und Artikel in verschiedenen Fachzeitschriften veröffentlicht. Teil seiner Promotion waren Planung, Aufbau und Nutzung von verteilten und Höchstleistungs-Rechenclustern (HPC). Bei der ComConsult GmbH berät er Kunden im Bereich Rechenzentren, wobei seine Hauptaufgaben bei Netzwerken, Storage und Cloud-basierten Diensten liegen. Seine Kenntnisse im HPC-Bereich geben zusätzlich Einblicke in modernste Hochleistungstechnologien (CPU, Storage, Netzwerke), die in Zukunft auch im Rechenzentrum Einzug erhalten können.
  

• Dr. Hoff ist technischer Direktor der ComConsult GmbH und blickt auf jahrelange Projekterfahrung in Forschung, Standardisierung, Entwicklung, Planung und Betrieb in den Bereichen IT-Sicherheit, lokale Netze und mobile Kommunikationssysteme zurück.
  

• Markus Schaub kann auf über 20 Jahre Berufserfahrung in den Bereichen lokale Netze, VoIP, Performance Qualitätssicherung und Cloud verweisen. Seit mehr als 10 Jahren ist sein Aufgabengebiet bei der ComConsult GmbH die Evaluierung neuester Technologien und deren Bewertung für den Einsatz in der Praxis. Seine Schwerpunkte umfassen die Bereiche Netzwerk-Design, Betrieb von IP-Infrastrukturdiensten, Routing-Protokolle, Layer-3-Techniken, IPv6 und hybride Cloud-Lösungen. Zu diesen Themen hält er als Senior Trainer regelmäßig Vorträge auf Kongressen, führt erfolgreich Seminare durch und veröffentlicht regelmäßig Fachartikel.
  

Die Teilnahmegebühr umfasst die folgenden Leistungen:

• alle Vortragspräsentationen in elektronischer Form als PDF-Datei zum Download mit kommentierbarer Funktion
• ein Teilnahmezertifikat
• Mittagsmenü inkl. Getränke
• Erfrischungsgetränke und Pausensnacks während der Veranstaltung

Veranstaltungsort und -zeiten:

Beginn am 28.05.2020 um 9:30
Ende am 28.05.2020 um 17:00

Detaillierte Informationen zum Hotel und zur Anreise entnehmen Sie bitte dem jeweiligen Hotel-Link.

Übernachtungsmöglichkeiten:

Während unserer Veranstaltungen stehen Ihnen begrenzte Zimmerkontingente in der Regel bis vier Wochen vor Veranstaltungstermin zu unseren mit dem Hotel vereinbarten Sonderpreisen zur Verfügung (Keine Tiefstpreis-Garantie). Bitte beachten Sie, dass insbesondere bei kurzfristigen Buchungen diese Preise nicht immer gewährt werden können oder das Veranstaltungshotel sogar ausgebucht sein kann. Gerne informieren wir Sie über die aktuellen Konditionen:

vom 27.05. bis 28.05.2020 Übernachtung inkl. Frühstück: 109,00 €/Nacht

Falls die Zimmerbuchung durch uns veranlasst werden soll, vermerken Sie Ihren Zimmerwunsch bitte bei Ihrer Anmeldung. Die Buchung erfolgt dann im Namen und auf Rechnung des jeweiligen Teilnehmers/Auftragsgebers.

Wir empfehlen Ihnen, eine Kreditkarte mit sich zu führen oder dem Hotel die Kostenübernahme durch Ihr Unternehmen im Vorfeld zu bestätigen.

Mit Ihrer Buchung können Sie folgende Materialien zusätzlich erwerben:

• Seminarunterlagen
  Im Seminarpreis sind die Vortragspräsentationen in elektronischer Form (als PDF-Datei zum Download mit kommentierbarer Funktion) enthalten. Sollten Sie darüber hinaus die Seminarunterlagen in ausgedruckter Papierform im ComConsult-Ordner wünschen, berechnen wir einen Aufpreis. Eine Bestellung der ausgedruckten Unterlagen ist nur bis 7 Tage vor Veranstaltungsbeginn aus produktionstechnischen Gründen möglich.
  49,00 € netto

Security by Design: Sicherheit in der Software- und Systementwicklung
(3,35 MB)

Jahreskalender
(6,18 MB)

Allgemeine Geschäftsbedingungen
(88,12 KB)