Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

Plentymarkets Online-Händler-Kongress
03.03.18 - 03.03.18
In Kassel

Search Marketing Expo 2018
20.03.18 - 21.03.18
In München, ICM – Internationales Congress Center

HackerExpertise im Bereich IT-Sicherheit ist gefragt wie nie, die Anforderungen an IT-Spezialisten sind hoch und entwickeln sich rasant. Wie können Mitarbeiter auf dem neusten Stand bleiben, ihr Wissen vertiefen und Know-how sammeln? 

Der Markt für qualifizierte Weiterbildung ist überschaubar und es ist fraglich, inwieweit die bestehenden Modelle geeignet sind, das Wissen effektiv und nachhaltig in die Unternehmen zu bringen. Einen neuen, webbasierten Ansatz verfolgt die SKYTALE Online Akademie für IT-Sicherheit, die in ihrem Lehrplan zum Angriff bläst auf einen fiktiven Online-Shop.

Die Studie der BITKOM aus dem Frühjahr 2015 und BITKOM-Präsident Prof. Dieter Kempf sprechen eine deutliche Sprache: Digitale Angriffe „sind eine reale Gefahr für Unternehmen. Gerade der Mittelstand muss beim Thema IT-Sicherheit nachlegen.“ Die Forderung ist angesichts der aktuellen Situation und der öffentlichen Diskussion berechtigt. Doch wie kann das konkret erreicht werden? Obwohl naheliegend, spielt das Thema Fort- und Weiterbildung in diesem Bereich bislang keine allzu große Rolle in Politik, Wirtschaft und den Medien.

App-solut sicher?

Unternehmen und ihre IT-Spezialisten wie Entwickler und Administratoren, die ihre Fähigkeiten und Kompetenzen in diesem Bereich ausbauen und vertiefen möchten, stehen nicht selten vor einer Herausforderung: Das Tagesgeschäft bindet die Ressourcen. Falls Zeit und Geld für mehrtägige Workshops und Fortbildungen vorhanden ist, fehlt es oft an Möglichkeiten, die meist theoretischen Lerninhalte schnell in der Praxis umzusetzen und dauerhaft zu festigen. Denn zurück im „business as usual“ gerät das neue Wissen meist schnell wieder in Vergessenheit.

Daneben bleibt die Möglichkeit, den komplexen Lernstoff nach Feierabend über Fachbücher oder Video-Tutorials im Internet zu konsumieren. Dann bleiben jedoch nicht selten die Didaktik und auch die praktische Umsetzung des Gelernten auf der Strecke. Die Vorteile der zeitlichen und räumlichen Unabhängigkeit sowie den konkreten Bezug zur betrieblichen Praxis kombiniert die SKYTALE Online Akademie in ihrem neuen Fortbildungskurs zur Sicherheit von Web-Applikationen. In fünf Kursmodulen vertiefen die Teilnehmer/innen ihr Wissen rund um die Sicherheit der Web-Apps. Der Online-Kurs richtet sich in erster Linie an die Entwickler und Programmierer von Web-Applikationen sowie ihre Systemadministratoren. Innerhalb von fünf Monaten kann der Kurs berufsbegleitend absolviert und mit Zertifikat abgeschlossen werden.

Angriff ist die beste Verteidigung

Der Kurs behandelt zu Beginn die grundlegenden Fragestellungen rund um die Sicherheit von Web-Applikationen, frischt Basiswissen auf und bringt die Teilnehmer zügig auf ein hohes fachliches Niveau. Neben den allgemeinen Grundprinzipien der IT-Sicherheit stehen zunächst systematische Risikoanalysen, Sicherheitsarchitekturen für Web-Apps sowie die verschiedenen Netzwerktechnologien, Methoden zur Verschlüsselung, Authentifizierung und Sicherheitszertifikate im Fokus.

Anschließend werden die Web-Applikationen näher betrachtet und das Augenmerk auf potenzielle Schwachstellen, fehlerhafte Programmierung und Implementierung gerichtet. Dazu wird zunächst die Perspektive des Angreifers eingenommen, denn den roten Faden und den Kern des Lehrplans bildet eine virtuelle Maschine, die einen fiktiven Online-Shop simuliert. Dessen Web-Applikationen enthalten vielfältige Schwachstellen und Sicherheitslücken, die es im Kursverlauf zu finden gilt.

In der nächsten Phase werden durch die Aufgaben und Übungen von den Kursteilnehmern alle notwendigen Informationen über das System gesammelt und Software, Dienste und der virtuelle Webserver systematisch analysiert. Die Ergebnisse bilden wiederum die Basis für die folgenden Kursmodule, bei denen die einzelnen, konkreten Schwachstellen der Web-Applikationen näher beleuchtet werden: Die sichere Speicherung von Passwörtern, die SQL-Injection inklusive kniffeliger Spezialfälle sowie weitere Injection-Angriffe und Sicherheitslücken. Typische Fehler im Berechtigungskonzept werden dabei ebenso detailliert behandelt wie der falsche Einsatz von veralteten oder ungeeigneten Kryptographieverfahren.

Lebenslanges Lernen leicht gemacht

Ein weiterer Themenkomplex behandelt Angriffe, bei denen nicht die Web-Applikation selbst, sondern ihre Nutzer und Kunden ins Fadenkreuz der Hacker gelangen. Dazu werden beispielsweise verschiedene Varianten des Cross Site Scripting (XSS) und der Cross Site Request Forgery (CSRF) behandelt – zwei komplexe Schwachstellen, die seit Jahren in der Branche bekannt sind. Für Schlagzeilen und wirtschaftlichen Schaden sorgen sie indes auch heute noch. Sie sind häufig in den verschiedensten Web-Applikationen zu finden, obwohl sie sich im Prinzip einfach beseitigen lassen.

Skytale

Bild: Bei der Entwicklung und Implementierung von Web-Applikationen spielt die IT-Sicherheit in der betrieblichen Praxis noch viel zu häufig eine untergeordnete Rolle (oberer Bildbereich). Damit der Kulturwandel hin zu einer übergeordneten Sicherheitsstrategie gelingen kann, ist professionelles Know-how bei allen Beteiligten der Wertschöpfungskette gefragt (unterer Bildbereich).

Deshalb werden im gesamten Kursverlauf neben den potenziellen Sicherheitslücken gleichzeitig deren Ursachen und damit mögliche Gegenmaßnahmen thematisiert. Durch praktische Übungen werden sie zugleich trainiert. Der Kurs geht somit bei allen sicherheitsrelevanten Fragestellungen ins Detail: Wie gelangen Hacker über eine fehlerhafte App durch eine Firewall ins interne Firmennetz und wie kann das verhindert werden? Wie wird eine Anwendung effektiv auf Fehler überprüft? Wie können typische und folgenreiche Konfigurationsfehler von Web- und Applikationsservern vermieden werden? Die Antworten vermitteln die Dozenten nicht nur anhand von verständlichen Texten, Tutorials und konkreten Aufgaben. Bei Fragen können sich die Studierenden an die IT-Sicherheitsexperten wenden. Per E-Mail und Telefon geben sie individuell Feedback und helfen, wenn die Teilnehmer allein nicht weiter kommen.

Security by design – dazu befähigt Weiterbildung

Damit bietet der Kurs gewissermaßen eine allgemein anwendbare Anleitung zur Entwicklung von inhärent sicheren Web-Applikationen. Das vermittelte Know-how ist essenziell von der Planung bis zum Release. Denn „Security by design“ kann nur gelingen, wenn die Beteiligten entlang der gesamten Wertschöpfungskette ihren Blick für sicherheitsrelevante Aspekte schärfen, der potenziellen Risiken und Bedrohungen „aware“ sind und eigenständig Lösungen für den konkreten Anwendungsfall entwickeln können.

Dies ist eine notwendige Voraussetzung für den vielfach geforderten Kulturwandel in der Software-Entwicklung, bei dem die Sicherheit der Systeme ins Zentrum rückt. Denn meist stehen auch heute noch Nutzerfreundlichkeit, Performance, Kompatibilität, Ressourcen- und Kosteneffizienz sowie Optik und Design allein im Vordergrund. Sicherheit lässt sich jedoch nur gewinnen, wenn sie von vornherein in sämtlichen Phasen berücksichtigt wird. In der Theorie ist das mittlerweile weit verbreiteter Konsens. Doch in der betrieblichen Praxis wird noch allzu häufig offenbar, dass dieses Konzept steht und fällt – mit dem Know-how der Mitarbeiter.

Max ZieglerDipl.-Inf. Max Ziegler, Leiter der SKYTALE Online Akademie für IT-Sicherheit

Max Ziegler hat Diplom-Informatik an der Universität Paderborn und am RMIT Melbourne studiert. Anschließend war er fünf Jahre bei einem renommierten IT-Sicherheitsunternehmen als Berater im Bereich IT- und Informations-Sicherheit tätig. Neben Sicherheitsüberprüfungen für große Unternehmen im europäischen Raum hat er Trainings zur Sicherheit von Web-Applikationen, Betriebssystemen und Netzwerken durchgeführt und an verschiedenen Hochschulen unterrichtet. In mehreren Jahren als IT Security Officer, Head of IT-Infrastructure und Leiter der Informationssicherheit beim Automobilzulieferer HELLA baute er dort den Bereich IT- und Informationssicherheit weiter aus. Max Ziegler entwickelt und leitet die SKYTALE Online Akademie für IT-Sicherheit bei der Audiocation GmbH, die seit 2009 webbasierte Fort- und Weiterbildungen anbietet.

SKYTALE Online Akademie für IT-Sicherheit

Die SKYTALE Online Akademie für IT-Sicherheit ist eine Marke der Audiocation GmbH und das Qualitätsmanagement ist nach DIN EN ISO 9001 zertifiziert. Die Kurse der Online-Akademie werden zugelassen von der Staatlichen Zentralstelle für Fernunterricht (ZFU) nach Fernunterrichtsschutzgesetz (FernUSG) und zugelassen nach der Akkreditierungs- und Zulassungsverordnung Arbeitsförderung (AZAV). Dadurch können die Kursteilnehmer durch unterschiedlichste Maßnahmen öffentlicher Träger wie der Bundesagentur für Arbeit gefördert und finanziell unterstützt werden.

 
GRID LIST
Hacker

Digitale Kommunikation wirkungsvoll gegen Hacker verteidigen

Unverschlüsselte E-Mails öffnen Cyber-Kriminellen Tür und Tor – dennoch sind sie in den…
Tb W190 H80 Crop Int 5c656c2bb18d2e8e598dd42a06f4e69a

Juniper Networks erweitert Cybersecurity-Plattform

Gezielte Angriffe werden immer ausgefeilter und Unternehmen jeder Größe werden von den…
Tb W190 H80 Crop Int 7b240a672f346adba7106f43f59804b0

Industrial Security neu denken

Industrial Security ist spätestens nach dem diesjährigen Lagebericht des BSI wieder in…
Data Breach Detection

Tipps für Data Breach Detection

Mit den bewährten Best Practices dieser Checkliste können Unternehmen unerwünschte…
Oliver Keizers

Integration von Security-Tools - Den Wald vor lauter Bäumen nicht sehen

"Den Wald vor lauter Bäumen nicht sehen" lässt sich gut auf die Situation in vielen…
Tb W190 H80 Crop Int 756f2d2c4f6fbb1774da012155e3a3b1

Apama EagleEye: KI-unterstützte Marktüberwachungslösung

Die Software AG hat Apama EagleEye vorgestellt, ein Marktüberwachungssystem, das eine…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security