Thought Leadership
Expertise im Bereich IT-Sicherheit ist gefragt wie nie, die Anforderungen an IT-Spezialisten sind hoch und entwickeln sich rasant. Wie können Mitarbeiter auf dem neusten Stand bleiben, ihr Wissen vertiefen und Know-how sammeln?
Der Markt für qualifizierte Weiterbildung ist überschaubar und es ist fraglich, inwieweit die bestehenden Modelle geeignet sind, das Wissen effektiv und nachhaltig in die Unternehmen zu bringen. Einen neuen, webbasierten Ansatz verfolgt die SKYTALE Online Akademie für IT-Sicherheit, die in ihrem Lehrplan zum Angriff bläst auf einen fiktiven Online-Shop.
Die Studie der BITKOM aus dem Frühjahr 2015 und BITKOM-Präsident Prof. Dieter Kempf sprechen eine deutliche Sprache: Digitale Angriffe „sind eine reale Gefahr für Unternehmen. Gerade der Mittelstand muss beim Thema IT-Sicherheit nachlegen.“ Die Forderung ist angesichts der aktuellen Situation und der öffentlichen Diskussion berechtigt. Doch wie kann das konkret erreicht werden? Obwohl naheliegend, spielt das Thema Fort- und Weiterbildung in diesem Bereich bislang keine allzu große Rolle in Politik, Wirtschaft und den Medien.
App-solut sicher?
Unternehmen und ihre IT-Spezialisten wie Entwickler und Administratoren, die ihre Fähigkeiten und Kompetenzen in diesem Bereich ausbauen und vertiefen möchten, stehen nicht selten vor einer Herausforderung: Das Tagesgeschäft bindet die Ressourcen. Falls Zeit und Geld für mehrtägige Workshops und Fortbildungen vorhanden ist, fehlt es oft an Möglichkeiten, die meist theoretischen Lerninhalte schnell in der Praxis umzusetzen und dauerhaft zu festigen. Denn zurück im „business as usual“ gerät das neue Wissen meist schnell wieder in Vergessenheit.
Daneben bleibt die Möglichkeit, den komplexen Lernstoff nach Feierabend über Fachbücher oder Video-Tutorials im Internet zu konsumieren. Dann bleiben jedoch nicht selten die Didaktik und auch die praktische Umsetzung des Gelernten auf der Strecke. Die Vorteile der zeitlichen und räumlichen Unabhängigkeit sowie den konkreten Bezug zur betrieblichen Praxis kombiniert die SKYTALE Online Akademie in ihrem neuen Fortbildungskurs zur Sicherheit von Web-Applikationen. In fünf Kursmodulen vertiefen die Teilnehmer/innen ihr Wissen rund um die Sicherheit der Web-Apps. Der Online-Kurs richtet sich in erster Linie an die Entwickler und Programmierer von Web-Applikationen sowie ihre Systemadministratoren. Innerhalb von fünf Monaten kann der Kurs berufsbegleitend absolviert und mit Zertifikat abgeschlossen werden.
Angriff ist die beste Verteidigung
Der Kurs behandelt zu Beginn die grundlegenden Fragestellungen rund um die Sicherheit von Web-Applikationen, frischt Basiswissen auf und bringt die Teilnehmer zügig auf ein hohes fachliches Niveau. Neben den allgemeinen Grundprinzipien der IT-Sicherheit stehen zunächst systematische Risikoanalysen, Sicherheitsarchitekturen für Web-Apps sowie die verschiedenen Netzwerktechnologien, Methoden zur Verschlüsselung, Authentifizierung und Sicherheitszertifikate im Fokus.
Anschließend werden die Web-Applikationen näher betrachtet und das Augenmerk auf potenzielle Schwachstellen, fehlerhafte Programmierung und Implementierung gerichtet. Dazu wird zunächst die Perspektive des Angreifers eingenommen, denn den roten Faden und den Kern des Lehrplans bildet eine virtuelle Maschine, die einen fiktiven Online-Shop simuliert. Dessen Web-Applikationen enthalten vielfältige Schwachstellen und Sicherheitslücken, die es im Kursverlauf zu finden gilt.
In der nächsten Phase werden durch die Aufgaben und Übungen von den Kursteilnehmern alle notwendigen Informationen über das System gesammelt und Software, Dienste und der virtuelle Webserver systematisch analysiert. Die Ergebnisse bilden wiederum die Basis für die folgenden Kursmodule, bei denen die einzelnen, konkreten Schwachstellen der Web-Applikationen näher beleuchtet werden: Die sichere Speicherung von Passwörtern, die SQL-Injection inklusive kniffeliger Spezialfälle sowie weitere Injection-Angriffe und Sicherheitslücken. Typische Fehler im Berechtigungskonzept werden dabei ebenso detailliert behandelt wie der falsche Einsatz von veralteten oder ungeeigneten Kryptographieverfahren.
Lebenslanges Lernen leicht gemacht
Ein weiterer Themenkomplex behandelt Angriffe, bei denen nicht die Web-Applikation selbst, sondern ihre Nutzer und Kunden ins Fadenkreuz der Hacker gelangen. Dazu werden beispielsweise verschiedene Varianten des Cross Site Scripting (XSS) und der Cross Site Request Forgery (CSRF) behandelt – zwei komplexe Schwachstellen, die seit Jahren in der Branche bekannt sind. Für Schlagzeilen und wirtschaftlichen Schaden sorgen sie indes auch heute noch. Sie sind häufig in den verschiedensten Web-Applikationen zu finden, obwohl sie sich im Prinzip einfach beseitigen lassen.
Bild: Bei der Entwicklung und Implementierung von Web-Applikationen spielt die IT-Sicherheit in der betrieblichen Praxis noch viel zu häufig eine untergeordnete Rolle (oberer Bildbereich). Damit der Kulturwandel hin zu einer übergeordneten Sicherheitsstrategie gelingen kann, ist professionelles Know-how bei allen Beteiligten der Wertschöpfungskette gefragt (unterer Bildbereich).
Security by design – dazu befähigt Weiterbildung
Damit bietet der Kurs gewissermaßen eine allgemein anwendbare Anleitung zur Entwicklung von inhärent sicheren Web-Applikationen. Das vermittelte Know-how ist essenziell von der Planung bis zum Release. Denn „Security by design“ kann nur gelingen, wenn die Beteiligten entlang der gesamten Wertschöpfungskette ihren Blick für sicherheitsrelevante Aspekte schärfen, der potenziellen Risiken und Bedrohungen „aware“ sind und eigenständig Lösungen für den konkreten Anwendungsfall entwickeln können.
Dies ist eine notwendige Voraussetzung für den vielfach geforderten Kulturwandel in der Software-Entwicklung, bei dem die Sicherheit der Systeme ins Zentrum rückt. Denn meist stehen auch heute noch Nutzerfreundlichkeit, Performance, Kompatibilität, Ressourcen- und Kosteneffizienz sowie Optik und Design allein im Vordergrund. Sicherheit lässt sich jedoch nur gewinnen, wenn sie von vornherein in sämtlichen Phasen berücksichtigt wird. In der Theorie ist das mittlerweile weit verbreiteter Konsens. Doch in der betrieblichen Praxis wird noch allzu häufig offenbar, dass dieses Konzept steht und fällt – mit dem Know-how der Mitarbeiter.
Dipl.-Inf. Max Ziegler, Leiter der SKYTALE Online Akademie für IT-Sicherheit
Max Ziegler hat Diplom-Informatik an der Universität Paderborn und am RMIT Melbourne studiert. Anschließend war er fünf Jahre bei einem renommierten IT-Sicherheitsunternehmen als Berater im Bereich IT- und Informations-Sicherheit tätig. Neben Sicherheitsüberprüfungen für große Unternehmen im europäischen Raum hat er Trainings zur Sicherheit von Web-Applikationen, Betriebssystemen und Netzwerken durchgeführt und an verschiedenen Hochschulen unterrichtet. In mehreren Jahren als IT Security Officer, Head of IT-Infrastructure und Leiter der Informationssicherheit beim Automobilzulieferer HELLA baute er dort den Bereich IT- und Informationssicherheit weiter aus. Max Ziegler entwickelt und leitet die SKYTALE Online Akademie für IT-Sicherheit bei der Audiocation GmbH, die seit 2009 webbasierte Fort- und Weiterbildungen anbietet.
SKYTALE Online Akademie für IT-Sicherheit
Die SKYTALE Online Akademie für IT-Sicherheit ist eine Marke der Audiocation GmbH und das Qualitätsmanagement ist nach DIN EN ISO 9001 zertifiziert. Die Kurse der Online-Akademie werden zugelassen von der Staatlichen Zentralstelle für Fernunterricht (ZFU) nach Fernunterrichtsschutzgesetz (FernUSG) und zugelassen nach der Akkreditierungs- und Zulassungsverordnung Arbeitsförderung (AZAV). Dadurch können die Kursteilnehmer durch unterschiedlichste Maßnahmen öffentlicher Träger wie der Bundesagentur für Arbeit gefördert und finanziell unterstützt werden.
