• Verständnis der Cyberbedrohungslandschaft und rechtlicher Anforderungen
• Sicherheitsbewusstsein und Risikomanagement
• Praktische Schutzmaßnahmen und Angriffsabwehr

• Secure Software Development Lifecycle Fundamentals
• Threat Modeling Fundamentals
• Secure Coding Fundamentals

Ein grundsätzliches Verständnis über Techniken der sicheren Softwareentwicklung sollten zu den Mindestanforderungen aller Entwickler:innen zählen.

In dieser Schulung werden die Grundprinzipien von sicherem Code erklärt. Weiters werden sicherheitsrelevante Kriterien beschrieben, nach denen eine Programmiersprache ausgewählt werden kann. Da der Betrieb der meisten Software auch von integrierter Software von Drittherstellern abhängt, bekommt die richtige Verwaltung dieser Abhängigkeiten eine zentrale Sicherheitsbedeutung.

Durch den Besuch dieses Training bekommen Sie eine solide Basis, um sichere und zuverlässige Software entwickeln zu können.

• Woher stammen wir und in welcher (digitalisierten) Welt leben wir heute?
• Überblick über die aktuelle Bedrohungslage
• Was ist Cyber Security?
• Kurzüberblick über rechtliche Anforderungen
• Überblick zu grundlegenden technischen und organisatorischen Sicherheitsmaßnahmen
• Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001
• Überblick zu Sicherheitsstandards und Best Practices

Die kostspieligsten Sicherheitsprobleme betreffen in der Regel nicht das Coding, sondern die Softwarearchitektur. Um solche Designschwächen in Software zu finden, hilft in der Regel weder ein automatisiertes Tool noch ein Penetrationstest. Threat Modeling ist ein effektives Werkzeug, um diese Art von Sicherheitsproblemen systematisch und effektiv aufzudecken.

• Einführung: Warum SDLC?
• Anforderungsanalyse mit Sicherheitsfokus
• Gängige Anforderungen am Beispiel der DSGVO
• Sicheres Design und sichere Architektur
• Security-Design-Patterns, die gängige Sicherheitsprobleme lösen

• Die größten Risiken und Bedrohungen
• Vorfälle und mögliche Auswirkungen in Unternehmen
• Die wichtigsten Sicherheitsmaßnahmen
• Einfache Demos
• (Optional) Einbetten von Unternehmensspezifika wie bspw. Regelwerke
• Security-1×1

• Cybersicherheit in der digitalen Gesellschaft
• Aktuelle Bedrohungslagen und Risikoszenarien
• Grundlagen der IT- und Informationssicherheit
• Rechtliche und organisatorische Rahmenwerke
• Lösungen und Maßnahmen zur Bewältigung von Cyberrisiken
• Herausforderungen und Stolpersteine in der Praxis

• Secure Software Development Lifecycle
• Threat Modeling
• Web Application Hacking

Erlernen Sie die Vorrausetzungen, Anforderungen und Basis Werkzeuge für den Betrieb eines Security Operation Centers (SOC).

Der Kurs fokussiert sich unter anderem auf die folgenden Themengebiete, wobei die Auswahl der Themen bis zu einem gewissen Grad von den Vorkenntnissen und Wünschen der Teilnehmenden abhängig ist:

• Einführung in Web-APIs und REST
• Same-Origin Policy (SOP)
• Cross-Origin Resource Sharing (CORS)
• Cookie Flags
• Security Token am Beispiel JSON Web Token (JWT)
• Broken Object Level Authorization
• Broken User Authentication
• Excessive Data Exposure
• Lack of Resources & Rate Limiting
• Broken Function Level Authorization
• Mass Assignment
• Security Misconfiguration
• Injection-Angriffe
• Improper Assets Management
• Insufficient Logging & Monitoring

• Schwachstellen am Windows Client und Windows Server
• Ausweitung der Privilegien am System
• Ausbreitung des Angreifers im Windows-Netzwerk
• Schwachstellen im Active Directory und Forests
• Geeignete Gegenmaßnahmen

• Security-Grundlagen: Identity and Access Management (IAM)
• Die wichtigsten AWS Services und was es zu beachten gibt
• Umgang mit Incidents: Logging und Monitoring
• Angriffe auf Cloud Services und Security Tools

• Vermittlung von typischen und gefährlichen Web-Schwachstellen (OWASP)
• Praktische Umsetzung des erworbenen Wissens:
• Angriffe können selbst ausprobiert werden
• Schutzmechanismen werden im Anschluss entwickelt
• Unabhängig von bestimmten Programmiersprachen

• Firmwareanalyse & Reverse Engineering
• Schritt-für-Schritt-Entwicklung eines Exploits
• Bus-Systeme, Interfaces, Prototyping v. Schnittstellen
• Herausforderungen und Stolpersteine in der Praxis
• Schwachstellen in Hardware erkennen

• Security & Risk Management, Asset Security
• Security Engineering, Communication & Network Security
• Identity & Access Management
• Security Assessement & Testing
• Security Operations
• Software Development Security

• Information Security Governance
• Information Risk Management and Compliance
• Information Security Program Development and Management
• Information Security Incident Management

• Information System Auditing Process
• Governance and Management of IT
• Information Systems Acquisition, Development
  and Implementation
• Information Systems Operations and Business Resilience
• Protection of Information Assets