Seminar IT-Sicher­heit für Web­ent­wick­ler:innen

• Das umfassende Wissen, um sichere Webanwendungen entwickeln zu können. Alle Teilnehmer können danach das Thema Weiterbildung im Bereich Web-Security abhaken.

• Wissens-Vermittlung in kürzester Zeit. Kein langes Fachbuch-Lesen, IT-Security-Studium etc. mehr notwendig.

• Verständlich und anschaulich demonstriert

• Antworten vom Experten auf Fragen zu eigenen Anwendungsfällen

• Keine Sorge mehr vor Angriffen auf die eigene Software

• Wettbewerbs- & Vertrauensvorteil gegenüber uninformiertem Mitbewerb

• Kein Risiko durch Geld-zurück- und Erfolgsgarantie

• Teilnahmezertifikat

Hochwertiger Code und gut funktionierende Software hört nicht bei der Erfüllung von funktionalen Anforderungen auf. Gerade Software, die über das Internet abrufbar ist, hat hohe Anforderungen hinsichtlich der Resistenz gegenüber Angriffen von Hackern. Neben System- und Netzwerkadministratoren sind aber gerade Webentwickler diejenigen, deren Verantwortung es ist, grundlegende Prinzipien der IT-Sicherheit umzusetzen und somit Angriffe, die Umsatzentgang, Datendiebstahl oder -Verlust oder Image-Schaden zur Folge haben, zu verhindern.

Dabei gelten vor allem folgende beiden Grundprinzipien:

• Software ist nur so sicher wie Entwickler sie machen.

• Entwickler können nur absichern was sie kennen.

Dieses Wissen lernt man selten ausreichend in der Ausbildung zum Softwareentwickler. Ziel dieses Seminars ist es daher, umfassend auf die Sicherheits-Anforderungen des Entwickler-Alltags vorzubereiten, damit teilnehmende Entwickler nicht nur um die Gefahren Bescheid wissen, sondern in Zukunft selbstständig Sicherheitslücken erkennen und vermeiden können.
Diese Schulung ist das Destillat eines IT-Security-Studiums, zig-tausenden Seiten Fachliteratur, unzähligen Stunden Weiterbildung, sowie jahrzehntelanger Erfahrung in genau diesem Gebiet, heruntergebrochen auf die Anforderungen von Softwareentwicklern im Web. Sparen Sie sich und Ihrem Team diese Zeit und lernen Sie in kürzestmöglicher Zeit alles was Sie zur täglichen Arbeit brauchen, um sichere Webanwendungen zu schreiben! Die Inhalte decken dabei ein solch breites Feld ab, dass Sie das Thema Web-Security-Weiterbildung für die nächsten Jahre getrost abhaken können.
Themen werden verständlich erklärt und demonstriert. (Sie werden überrascht sein, was alles möglich ist!) Am Ende werden die umfassenden Inhalte auf ein paar wenige Prinzipien heruntergebrochen, die in der täglichen Entwicklerarbeit leicht zu berücksichtigen sind. Wenn Entwickler das Gelernte in ihrer Arbeit umsetzen, ist entstehender Code nahezu unhackbar.

Die Schulung wird von Georg Knabl gehalten. Er hat jahrelange Erfahrung als Webentwickler und IT-Security-Consultant, einen Masterabschluss in IT-Security, spricht auf Konferenzen über genau diese Themen, ist diplomierter Erwachsenentrainer und bildet an Hochschulen Softwareentwickler aus.

Inhalte der Schulung werden meist sowohl theoretisch, als auch praktisch erklärt und gezeigt. Teilnehmer haben die Möglichkeit, ausgewählte Angriffe und Gegenmaßnahmen selbst auszuprobieren. Folgende Inhalte werden behandelt:

• IT-Security Grundlagen inkl. Kryptografie-Crashkurs u.a. mit Hashing, Verschlüsselung, Encoding, HMAC, Post-Quantum-Cryptography, Zertifikaten, Authentication & Authorization, wichtige Algorithmen & Prinzipien, Protokolle, Handlungsempfehlungen bei entdeckten Angriffen uvm.

• Sicherheitskonzepte in Webanwendungen inkl. Same Origin Policy, Cookie-Sicherheit, HTTP-Sicherheit, richtiger Einsatz sicherheitsrelevanter HTTP-Header, Content Security Policy, Transportverschlüsselung, Umgang mit Captchas, Angriffserkennung mittels Logging, Monitoring & Alerting, richtiger Einsatz der Two-Factor-Authentication, JWT, OAuth2, WebAuthn, Honeypots uvm.

• Praktische Anwendung der Sicherheitskonzepte z.B. wie man Datenintegrität sicher stellt, selbst wenn diese über unsichere Kanäle laufen, den Kommunikationsweg absichert, Anwendungen mehrstufig schützt, Passwörter sicher speichert und worauf man bei einer Authentifizierungs­implementierung oder beim Einsatz eines Web-Frameworks achten muss. Außerdem die sichere Implementierung von Formularen und Datei-Uploads, Denial-of-Service-Absicherungsstrategien, Sicherheitsmaßnahmen für das Frontend und sichere API-Entwicklung u.a. mit REST-Services.

• Angriffe auf Webanwendungen inkl. OWASP Top-10, Information Disclosure, Man-in-the-Middle Attacken, Brute-Forcing, Session-Hijacking, XSS, CSRF, Click-Jacking, diverse Injection-Attacken (z.B. SQL-Injection, Command-Injection, SMTP-Injection, Host-Header-Injection), Local & Remote File Inclusion, DoS, IP-Spoofing, Web Cache Poisoning, Replay-Attacken, Google-Hacking, Social Engineering-Abwehr im Application Layer, Kali-Linux mit den wichtigsten Werkzeugen uvm.

• Absicherung von Webanwendungen im Zuge der vorgestellten Angriffsvektoren

• Einführung in das Prüfen auf Schwachstellen einer Webanwendung inkl. manueller und automatischer Werkzeuge für die statische und dynamische Analyse zum Scannen auf Sicherheitslücken

• Sichere Softwareentwicklung inkl. Sicherheit im kompletten Software-Entwicklungsprozess, Architektur, Security Software Testing inkl. konkreten Test-Empfehlungen, Entwickler-Rechner sicher halten, Supply-Chain-Attacken verhindern, Bewertung von Sicherheitsrisiken, Tipps für den Entwickleralltag wie z.B. der Auswahl von Dependencies

• Der sichere Webserver als Einführung inkl. Datenübertragung, verwundbare Softwarekomponenten, mehrstufiges Hardening, Beachtenswertes beim Hosting und konkrete Software-Empfehlungen für Linux-Server

Alle Teilnehmenden erhalten außerdem digitale Extras, wie sofort nutzbare Checklisten, ready-to-use (Code-)Snippets für Absicherungsmaßnahmen und fertig nutzbare Textierungen für die eigenen User. Nach Abschluss erhalten alle Teilnehmer ein Teilnahmezertifikat.

Dieses Seminar ist für alle Branchen, die Webtechnologien in ihren Produkten einsetzen und diese selbst entwickeln bzw. solche evaluieren müssen, geeignet und sinnvoll, da in jedem Fall Software gegen Angriffe abgesichert sein muss.

Zielgruppe dieser Schulung sind IT-Fach- & -Führungskräfte (Softwareentwickler, CTOs, technische Abteilungsleiter und technische Consultants), zu deren Aufgaben es zählt, Webapplikationen im Frontend (JavaScript, HTML, CSS) oder Backend (z.B. via Java, Python, PHP, node.js, C#, Ruby) umzusetzen, solche Anwendungen zu konzipieren oder technische Hintergründe zu bewerten. Dementsprechend betrifft dies auch Unternehmen, die diese Entwicklungsleistung am Markt anbieten oder in-house verwenden.

Folgende Voraussetzungen sollten gegeben sein:

• Teilnehmer sollten Grundlagen der Basis-Webtechnologien insb. HTTP, HTML, JavaScript Basics, sowie idealerweise eine dynamische Backendsprache ihrer Wahl verstehen. Einsteiger-Niveau oder in der Vergangenheit einmal damit zu tun gehabt zu haben, ist ausreichend.

• Wenn der Wunsch besteht, aktiv im Code mitzuarbeiten oder etwas selbst auszuprobieren, ist ein Rechner mit vorinstallierter und -konfigurierter Software erforderlich (Wird bekannt gegeben.). Dies ist aber für den Lernerfolg nicht zwingend notwendig und daher optional.

• Bei Online-Veranstaltungen benötigen Teilnehmer eine ausreichend schnelle Internetverbindung, um Bildschirmübertragungen und gestreamtes Video flüssig empfangen zu können. Außerdem sind eine funktionierende Webcam und Mikrofon notwendig.

Angreifbarer Beispielcode inkl. Absicherungsmaßnahmen wird bereitgestellt. Da sämtlicher Code sehr einfach gehalten ist und erklärt wird, sind keine speziellen Kenntnisse in den verwendeten Sprachen erforderlich.

Teilnehmer erhalten einen professionellen und lehrreichen Kurs, abgehalten von einem Top-Experten.
Wir sind uns der Qualität so sicher, dass wir folgende Garantien abgeben:

• Geld-zurück-Garantie: Sollte der Kurs nicht den hier dargestellten Merkmalen entsprechen oder ausfallen, bekommen Sie Ihr Geld zurück. No Questions asked.

• Erfolgsgarantie: Es bleibt genug Zeit, um etwaige offene Fragen zu den Themen zu behandeln.