PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

10. gfo-Jahreskongress
25.10.17 - 26.10.17
In Düsseldorf

Google Analytics Summit 2017
09.11.17 - 09.11.17
In Hamburg

Data Driven Business 2017
13.11.17 - 14.11.17
In Berlin

HackerExpertise im Bereich IT-Sicherheit ist gefragt wie nie, die Anforderungen an IT-Spezialisten sind hoch und entwickeln sich rasant. Wie können Mitarbeiter auf dem neusten Stand bleiben, ihr Wissen vertiefen und Know-how sammeln? 

Der Markt für qualifizierte Weiterbildung ist überschaubar und es ist fraglich, inwieweit die bestehenden Modelle geeignet sind, das Wissen effektiv und nachhaltig in die Unternehmen zu bringen. Einen neuen, webbasierten Ansatz verfolgt die SKYTALE Online Akademie für IT-Sicherheit, die in ihrem Lehrplan zum Angriff bläst auf einen fiktiven Online-Shop.

Die Studie der BITKOM aus dem Frühjahr 2015 und BITKOM-Präsident Prof. Dieter Kempf sprechen eine deutliche Sprache: Digitale Angriffe „sind eine reale Gefahr für Unternehmen. Gerade der Mittelstand muss beim Thema IT-Sicherheit nachlegen.“ Die Forderung ist angesichts der aktuellen Situation und der öffentlichen Diskussion berechtigt. Doch wie kann das konkret erreicht werden? Obwohl naheliegend, spielt das Thema Fort- und Weiterbildung in diesem Bereich bislang keine allzu große Rolle in Politik, Wirtschaft und den Medien.

App-solut sicher?

Unternehmen und ihre IT-Spezialisten wie Entwickler und Administratoren, die ihre Fähigkeiten und Kompetenzen in diesem Bereich ausbauen und vertiefen möchten, stehen nicht selten vor einer Herausforderung: Das Tagesgeschäft bindet die Ressourcen. Falls Zeit und Geld für mehrtägige Workshops und Fortbildungen vorhanden ist, fehlt es oft an Möglichkeiten, die meist theoretischen Lerninhalte schnell in der Praxis umzusetzen und dauerhaft zu festigen. Denn zurück im „business as usual“ gerät das neue Wissen meist schnell wieder in Vergessenheit.

Daneben bleibt die Möglichkeit, den komplexen Lernstoff nach Feierabend über Fachbücher oder Video-Tutorials im Internet zu konsumieren. Dann bleiben jedoch nicht selten die Didaktik und auch die praktische Umsetzung des Gelernten auf der Strecke. Die Vorteile der zeitlichen und räumlichen Unabhängigkeit sowie den konkreten Bezug zur betrieblichen Praxis kombiniert die SKYTALE Online Akademie in ihrem neuen Fortbildungskurs zur Sicherheit von Web-Applikationen. In fünf Kursmodulen vertiefen die Teilnehmer/innen ihr Wissen rund um die Sicherheit der Web-Apps. Der Online-Kurs richtet sich in erster Linie an die Entwickler und Programmierer von Web-Applikationen sowie ihre Systemadministratoren. Innerhalb von fünf Monaten kann der Kurs berufsbegleitend absolviert und mit Zertifikat abgeschlossen werden.

Angriff ist die beste Verteidigung

Der Kurs behandelt zu Beginn die grundlegenden Fragestellungen rund um die Sicherheit von Web-Applikationen, frischt Basiswissen auf und bringt die Teilnehmer zügig auf ein hohes fachliches Niveau. Neben den allgemeinen Grundprinzipien der IT-Sicherheit stehen zunächst systematische Risikoanalysen, Sicherheitsarchitekturen für Web-Apps sowie die verschiedenen Netzwerktechnologien, Methoden zur Verschlüsselung, Authentifizierung und Sicherheitszertifikate im Fokus.

Anschließend werden die Web-Applikationen näher betrachtet und das Augenmerk auf potenzielle Schwachstellen, fehlerhafte Programmierung und Implementierung gerichtet. Dazu wird zunächst die Perspektive des Angreifers eingenommen, denn den roten Faden und den Kern des Lehrplans bildet eine virtuelle Maschine, die einen fiktiven Online-Shop simuliert. Dessen Web-Applikationen enthalten vielfältige Schwachstellen und Sicherheitslücken, die es im Kursverlauf zu finden gilt.

In der nächsten Phase werden durch die Aufgaben und Übungen von den Kursteilnehmern alle notwendigen Informationen über das System gesammelt und Software, Dienste und der virtuelle Webserver systematisch analysiert. Die Ergebnisse bilden wiederum die Basis für die folgenden Kursmodule, bei denen die einzelnen, konkreten Schwachstellen der Web-Applikationen näher beleuchtet werden: Die sichere Speicherung von Passwörtern, die SQL-Injection inklusive kniffeliger Spezialfälle sowie weitere Injection-Angriffe und Sicherheitslücken. Typische Fehler im Berechtigungskonzept werden dabei ebenso detailliert behandelt wie der falsche Einsatz von veralteten oder ungeeigneten Kryptographieverfahren.

Lebenslanges Lernen leicht gemacht

Ein weiterer Themenkomplex behandelt Angriffe, bei denen nicht die Web-Applikation selbst, sondern ihre Nutzer und Kunden ins Fadenkreuz der Hacker gelangen. Dazu werden beispielsweise verschiedene Varianten des Cross Site Scripting (XSS) und der Cross Site Request Forgery (CSRF) behandelt – zwei komplexe Schwachstellen, die seit Jahren in der Branche bekannt sind. Für Schlagzeilen und wirtschaftlichen Schaden sorgen sie indes auch heute noch. Sie sind häufig in den verschiedensten Web-Applikationen zu finden, obwohl sie sich im Prinzip einfach beseitigen lassen.

Skytale

Bild: Bei der Entwicklung und Implementierung von Web-Applikationen spielt die IT-Sicherheit in der betrieblichen Praxis noch viel zu häufig eine untergeordnete Rolle (oberer Bildbereich). Damit der Kulturwandel hin zu einer übergeordneten Sicherheitsstrategie gelingen kann, ist professionelles Know-how bei allen Beteiligten der Wertschöpfungskette gefragt (unterer Bildbereich).

Deshalb werden im gesamten Kursverlauf neben den potenziellen Sicherheitslücken gleichzeitig deren Ursachen und damit mögliche Gegenmaßnahmen thematisiert. Durch praktische Übungen werden sie zugleich trainiert. Der Kurs geht somit bei allen sicherheitsrelevanten Fragestellungen ins Detail: Wie gelangen Hacker über eine fehlerhafte App durch eine Firewall ins interne Firmennetz und wie kann das verhindert werden? Wie wird eine Anwendung effektiv auf Fehler überprüft? Wie können typische und folgenreiche Konfigurationsfehler von Web- und Applikationsservern vermieden werden? Die Antworten vermitteln die Dozenten nicht nur anhand von verständlichen Texten, Tutorials und konkreten Aufgaben. Bei Fragen können sich die Studierenden an die IT-Sicherheitsexperten wenden. Per E-Mail und Telefon geben sie individuell Feedback und helfen, wenn die Teilnehmer allein nicht weiter kommen.

Security by design – dazu befähigt Weiterbildung

Damit bietet der Kurs gewissermaßen eine allgemein anwendbare Anleitung zur Entwicklung von inhärent sicheren Web-Applikationen. Das vermittelte Know-how ist essenziell von der Planung bis zum Release. Denn „Security by design“ kann nur gelingen, wenn die Beteiligten entlang der gesamten Wertschöpfungskette ihren Blick für sicherheitsrelevante Aspekte schärfen, der potenziellen Risiken und Bedrohungen „aware“ sind und eigenständig Lösungen für den konkreten Anwendungsfall entwickeln können.

Dies ist eine notwendige Voraussetzung für den vielfach geforderten Kulturwandel in der Software-Entwicklung, bei dem die Sicherheit der Systeme ins Zentrum rückt. Denn meist stehen auch heute noch Nutzerfreundlichkeit, Performance, Kompatibilität, Ressourcen- und Kosteneffizienz sowie Optik und Design allein im Vordergrund. Sicherheit lässt sich jedoch nur gewinnen, wenn sie von vornherein in sämtlichen Phasen berücksichtigt wird. In der Theorie ist das mittlerweile weit verbreiteter Konsens. Doch in der betrieblichen Praxis wird noch allzu häufig offenbar, dass dieses Konzept steht und fällt – mit dem Know-how der Mitarbeiter.

Max ZieglerDipl.-Inf. Max Ziegler, Leiter der SKYTALE Online Akademie für IT-Sicherheit

Max Ziegler hat Diplom-Informatik an der Universität Paderborn und am RMIT Melbourne studiert. Anschließend war er fünf Jahre bei einem renommierten IT-Sicherheitsunternehmen als Berater im Bereich IT- und Informations-Sicherheit tätig. Neben Sicherheitsüberprüfungen für große Unternehmen im europäischen Raum hat er Trainings zur Sicherheit von Web-Applikationen, Betriebssystemen und Netzwerken durchgeführt und an verschiedenen Hochschulen unterrichtet. In mehreren Jahren als IT Security Officer, Head of IT-Infrastructure und Leiter der Informationssicherheit beim Automobilzulieferer HELLA baute er dort den Bereich IT- und Informationssicherheit weiter aus. Max Ziegler entwickelt und leitet die SKYTALE Online Akademie für IT-Sicherheit bei der Audiocation GmbH, die seit 2009 webbasierte Fort- und Weiterbildungen anbietet.

SKYTALE Online Akademie für IT-Sicherheit

Die SKYTALE Online Akademie für IT-Sicherheit ist eine Marke der Audiocation GmbH und das Qualitätsmanagement ist nach DIN EN ISO 9001 zertifiziert. Die Kurse der Online-Akademie werden zugelassen von der Staatlichen Zentralstelle für Fernunterricht (ZFU) nach Fernunterrichtsschutzgesetz (FernUSG) und zugelassen nach der Akkreditierungs- und Zulassungsverordnung Arbeitsförderung (AZAV). Dadurch können die Kursteilnehmer durch unterschiedlichste Maßnahmen öffentlicher Träger wie der Bundesagentur für Arbeit gefördert und finanziell unterstützt werden.

 
GRID LIST
Tb W190 H80 Crop Int B105883123d2264a138f7eac7750dea8

McAfee integriert „Advanced Analytics“ für optimierte SOC-Effizienz

McAfee stellt neue Endpunkt- und Cloud-Lösungen vor. Diese nutzen die Geschwindigkeit und…
Tb W190 H80 Crop Int 4af3435e2cda495d376effd0fa1bcc7b

G DATA Business-Version 14.1

Angriffe durch Ransomware haben in diesem Jahr deutlich zugenommen – das haben die…
Tb W190 H80 Crop Int F051567a083a625588e986bd0718b3d0

Gigamon stellt Integrationen mit Splunk und Phantom vor

Gigamon Inc. (NYSE: GIMO), Anbieter von Traffic-Visibility-Lösungen, hat neue…
Deloitte

Deloitte-Hack: kryptografische Verfahren schützen vor Datenklau

Die Beratungsgesellschaft Deloitte wurde Opfer eines Hackerangriffs: Unbekannte Hacker…
Security Schloss

Neue Lösung für Endpoint Detection and Response (EDR)

Komplexe, zielgerichtete und andauernde Cybergefahren (Advanced Persistent Threats, APTs)…
Wellen Schloß

"Encrypted Waves" ermöglichen in Zukunft die Verschlüsselung

Für globale Unternehmen ist es schwierig, kritische und sensible Daten wirksam zu…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet