Secure Software Development: Entwicklung sicherer Software nach ISO 27034 und BSI-Leitfaden

Zurück

Zielsetzung

Das zweitägige Training vermittelt in anschaulicher Form – anhand zahlreicher Praxisbeispiele, Demonstrationen und praktischer Übungen – welche IT-Sicherheitsanforderungen bei der Entwicklung von Software berücksichtigt werden müssen und wie sie umgesetzt werden können.

Dazu wird insbesondere auf die Vorgaben der ISO 27034 sowie des BSI-Leitfadens zur Entwicklung sicherer Webanwendungen referenziert.

Die Teilnehmer werden befähigt, einen Secure Development Lifecycle (SDL) in der eigenen Organisation abzubilden und verschiedene Test-Methoden anzuwenden.

Hintergrundinformationen

Sicherheit beginnt bereits bei der Entwicklung von Anwendungs-Software. Sicherheitslücken im Programmcode, die in der Entwicklungsphase entstehen, sind Haupteinfallstore für Angreifer. Diese werden häufig erst durch eingetretene Schadensfälle erkannt und können nachträglich nur mit größerem Aufwand beseitigt werden.
Die Anwendung entsprechender Sicherheitsstandards in der Software-Entwicklung ermöglicht nicht nur ein hohes Sicherheitsniveau, sondern schafft auch Vertrauen des Kunden bzw. Nutzers in die entsprechende Software. Für den professionellen Entwickler von Software ist somit die Einhaltung von Sicherheitsstandards ein Aushängeschild.

Zielgruppe

Das Training richtet sich an Software-Architekten, Projektleiter Softwareentwicklung, Software-Entwickler, Software-Tester.

Inhalte

1. Tag, 10:00 – 17:30 Uhr

Einführung

  • Software-Schwachstellen und Angriffsmöglichkeiten
  • BSI-Leitfaden zur Entwicklung sicherer Webanwendungen
  • ISO 27034

Organisation des Entwicklungsprozesses

  • Security Development Lifecycle (SDL)
  • Security Testing Process
    • Security Requirements Engineering
    • Threat Modeling
    • Static Source Code Analysis
    • Fuzzing
    • Penetration Testing
  • Zertifizierung

Entwicklungsprozess Phase 1: Initiale Planung

  • Security Requirements Engineering & Analysis
  • Methode SQUARE – Security Quality Requirements Engineering
  • Risikoanalyse & Business Impact Analyse

Entwicklungsprozess Phase 2: Konzeption & Planung

  • Rollen und Berechtigungskonzept
  • Erstellung von Abuse-Cases / Misuse-Cases
  • Erstellung einer Sicherheitsarchitektur mit Threat Modeling
  • Threat Modeling-Prozess
    • Eingrenzen des Scopes / Abhängigkeiten
    • Modellierung eines Datenflussdiagramms
    • STRIDE-Klassifizierung
    • Threat Spezifizierung
    • Bewertung von Threats
    • Erstellung von Mitigierungsmaßnahmen
    • Erstellung eines Mitigierungsplans

2. Tag, 08:30 – 16:30 Uhr

Entwicklungsprozess Phase 3: Implementierung

  • Security APIs
  • Secure Coding Standards
  • Static Source Code Analysis (SSCA)
  • SSCA-Prozess
  • Tool-Klassen
    • Style Checking
    • Semantic Analysis
    • Deep Flow Analysis

Entwicklungsprozess Phase 4: Testen

  • Dynamic Security Testing
  • Fuzzing-Prozess
    • Identifizierung der Eingabeschnittstellen
    • Fuzzdaten-Generierung
    • Fuzzing
    • Monitoring
    • Exploitation
  • Fuzzdaten-Generierung
  • Netzwerkprotokoll-Fuzzing
  • Smart-Fuzzing & Dumb-Fuzzing
  • Penetration Testing

Entwicklungsprozess Phase 5: Auslieferung & Betrieb

  • Hardening
  • Security by Default
  • Web Application Firewall
  • Anti-DoS
  • TLS-Konfiguration
  • DMZ & Netzwerkseparierung
  • Security Header
  • (Fern-)Wartung

Vorgaben an die Implementierung

  • Designprinzipien für sichere Systeme
  • Eingabevalidierung & Kodierung
  • Sichere Weiterleitungen
  • Session Management
  • CSRF-Token
  • Captchas
  • Datenhaltung & Datentransport
  • Authentisierung
  • Kryptographie
  • Autorisierung & Zugriffskontrolle
  • Fehlerbehandlung & Logging
  • Intern vs. Extern Penetration Testing

Voraussetzungen

Software Engineering-Grundkenntnisse werden vorausgesetzt.

Referenten

Sebastian Klipper

Sebastian Klipper ist Managing Security Consultant und Geschäftsführer der CycleSEC GmbH. Er ist Autor zahlreicher Fachbücher und Artikel zur Informations-, IT- und Cybersicherheit und Experte für Implementierung und Betrieb von Managementsystemen für Informationssicherheit (ISMS) nach der Normenreihe ISO/IEC 27000. Als Trainer greift er auf über 15 Jahre Erfahrung als IT-Sicherheitsbeauftragter und Security Consultant zurück.

Christian Dresen

Christian Dresen ist Senior Security Consultant bei der Cycle-SEC GmbH. Er studierte Informatik (Master of Science (M.Sc.)) an der Fachhochschule Münster und ist Spezialist für sichere Softwareentwicklung und technische Sicherheitsanalysen.

Veranstaltungshinweise

Die Trainings in München/ Fürstenfeldbruck werden in der Regel in der Firmenzentrale der ESG durchgeführt. Hierfür können wir Ihnen zum Beispiel folgende Hotels in der Nähe empfehlen.

Download Hotelempfehlungen

Alle anderen Trainings finden in zentral gelegenen Konferenz-/Schulungszentren am jeweiligen Veranstaltungsort statt. Genauere Informationen erfahren Sie gerne auf Anfrage oder bei der Anmeldung zum jeweiligen Training.

Preis

1.150 € ,- Euro zzgl. MwSt.

Im Preis enthalten sind Trainingsunterlagen, Pausengetränke und Mittagessen.

Ähnliche Trainings

Copyright ESG Elektroniksystem- und Logistik-GmbH 2018. All rights reserved.