Entwicklung sicherer Software – ISO 27034 Workshop

 

Entscheidend sind die Einfallstore in Ihre Software: Die ausgenutzten Angriffspunkte, die Sicherheitslücken – und nicht die sehr vielen und zunehmenden Angriffe. Sicherheitslücken können identifiziert und geschlossen werden: Angriffssichere Software, Firmware, Microcode, Hardware und Apps. Sind alle Lücken geschlossen, ist Ihr System sicher!

Cyberangriffe bleiben also wirkungslos, wenn die Angriffspunkte identifiziert und behoben sind.
Mit der stetig steigenden Verbreitung des „Internet of Things“ sind alle drahtgebunden oder drahtlos vernetzten Geräte potenzielles Ziel eines Angriffes. Von der Zahnbürste, Hygieneartikel, smarten Heizung und Steckdose, Kochgerät bis zur kompletten Fabrik mit Produktionsanlagen. Jedes Gerät mit Internetanschluss bietet aufgrund von Sicherheitslücken in Software und Hardware Angreifern ein Einfallstor. Wir demonstrieren Ihnen wie sich Sicherheitslücken identifizieren lassen – auch bisher nicht-veröffentlichte Zero-Day-Vulnerabilities, Hintertüren und auch covert channels – empfehlen Gegenmaßnahmen und erläutern die Bedeutung von Sicherheitstests mit mehreren (!) Methoden.

Deswegen müssen schon bei der Produkt- und Softwareentwicklung Sicherheitsmaßnahmen getroffen werden. Die ISO 27034 liefert hierzu einen Rahmen, um alle Sicherheitsaktivitäten auf Organisationsebene steuern zu können; darauf basiert unser Security Testing Process.

Programm des 1. Tages

IT-Sicherheitsgesetz

    • Für wen gilt das IT-Sicherheitsgesetz?
    • Welche Folgen hat das für Webseitenbetreiber?

Einführung in den Security Testing Prozess, Anforderungen der ISO 27034

    • Security Development Lifecycle
    • Security Testing Prozess mit 6 Methoden

Application Security Management nach ISO 27034 und Integrationsmöglichkeiten in die Softwareentwicklung

Security Requirements Analysis Identifizierung, Bewertung und Prüfung von Security Requirements

Security by Design – Threat Modeling

    • Identifizierung
    • Bewertung
    • Behebung von Bedrohungen im Software-Design

Programm des 2. Tages

Static Source Code Analysis

    • Semi-automatisierte Quellcode-Prüfung
    • Auswahlkriterien von Tools
    • Auswertung

Penetration Testing – simulierte Angriffe inklusive Explorative Testing und manuelles Code Auditing

    • Vulnerability Scanning
    • Exploitation
    • Zero-Day-Vulnerabilities

Dynamic Code Analysis (Fuzzing)

    • Arten
    • Anwendungsgebiete
    • Identifizierung von Sicherheitslücken in der Implementierung und Laufzeit-Umgebung.

Weitere europäische und weltweite Standards

    • Penetration Testing Execution Standard (PTES)
    • BSI–Praxis-Leitfaden für Penetrationstests
    • PCI Penetration Testing Guide
    • NIST 800-115, ISSAF, OSSTMM, OWASP Testing Guide v4.0 OWASP Top 10 Sicherheitslücken etc.

Lern-Ziele:

    • Einfacher Start in den Security Testing Prozess und beispielhafte Integration der ISO 27034 in den Kunden-eigenen Entwicklungsprozess
    • Dazu werden die Vorgehensweise und die Ziele der 6 Security Testing Methoden erläutert
    • An praxisnahen Beispielen werden bekannte Sicherheitslücken und insbesondere (bisher nicht erkannte) Zero-Day-Vulnerabilities identifiziert

Dauer: 2 Tage à 3 Stunden

Kosten: 485,- Euro pro Person zzgl. 16% MwSt.

Voraussetzungen: IT-Kenntnisse

Termine 2020: Mittwoch, den 9. und Donnerstag den 10. Dezember 2020 jeweils 15.00 – 18.00 Uhr

Zielgruppen: Der Lehrgang bietet die Grundlagen zur Entwicklung sicherer Software anhand der ISO 27034 und richtet sich insbesondere an:

    • Software Entwickler/Designer, Leiter Softwareentwicklung
    • Software Tester
    • Software Architekten
    • Entscheider für IT-Security
    • Geräte-Entwickler, Leiter Geräte-Entwicklung

Durchführung: Dieser Workshop wird als Webinar und somit vollständig digital angeboten. Damit sparen sie Zeit im Vergleich zum klassischen Workshop: An- und Abreise entfallen. Bei Bedarf bieten wir diesen auch in-house bei Kunden an. Die Teilnehmerzahl ist auf 9 begrenzt.

Technische Voraussetzungen: Der Workshop wird mithilfe der browserbasierten Software BigBlueButton durchgeführt.

Wir empfehlen:

    • Einen aktuellen und gängigen Webbrowser (z.B. Mozilla Firefox – oder auch Google Chrome, Microsoft Edge)
    • Eine schnelle und stabile Internetverbindung (vorzugsweise kein WLAN)
    • Kopfhörer oder Lautsprecher an Ihrem Endgerät (Desktop-PC / Laptop / Tablet)

Anmeldung: Anmeldeformular

Fragen zum Workshop: Mail an info@softscheck.com oder per Telefon: +49 2241 255 43 0