Grundlagen des Security Testens
Die Herausforderung
Sicherheitsanforderungen an moderne IT-Systeme steigen und sind nicht allein durch konstruktive Maßnahmen realisierbar. Über 90 Prozent aller Software-Sicherheitsvorfälle werden durch Angreifer verursacht, die bekannte Sicherheitslücken ausnutzen. Diese beruhen in der Mehrzahl auf Programmierfehlern. Mit dem Cyber Resilience Act (CRA) möchte die Europäische Kommission die Sicherheit von internetfähigen Produkten steigern.

Durch das Planen, Überwachen und Durchführen systematischer Sicherheitstestprozesse können Schwachstellen umfassend und nachvollziehbar identifiziert und behoben, sowie der Fortschritt und Abschluss gemessen und festgestellt werden.

Die Lösung
Der Kurs vermittelt die allgemeinen Grundlagen und die Struktur von Sicherheitstestprozessen. Diese werden im Kontext verschiedener Anwendungslebenszyklusmodelle betrachtet. Die konkreten Aufgaben in den verschiedenen Phasen des Sicherheitstestprozesses werden analysiert.

Praktische Sicherheitstests werden entlang der verschiedenen Phasen erläutert und durchgeführt. Dabei werden einige typische Schwachstellen und Testmethoden erläutert. Die organisatorischen Rahmenbedingungen von Sicherheitstests in den Phasen des Sicherheitstestprozesses werden ebenfalls betrachtet.

Nach dem Seminar können Sie...
Sicherheitstestprozesse und die Aktivitäten in dessen Phasen planen
Grundlegende Methoden für die Aktivitäten in den einzelnen Phasen des Sicherheitstestprozesses auswählen und anwenden
Sicherheitstestprozesse in verschiedenen Anwendungslebenszyklusmodelle verstehen

Dieses Seminar bietet Ihnen...
systematische Einführung in Sicherheitstestprozesse
Einführung in Sicherheitstesttechniken wie das Fuzzing und die Testbewertung
Praktische Übungen für verschiedene Aktivitäten in den Phasen des Sicherheitstestprozesses wie Planung, Analyse, Entwurf, Implementierung, Ausführung und Auswertung von Sicherheitstests

Die Teilnehmer*innen sind nach dem Kurs in der Lage, die wichtigsten Aktivitäten für einen systematischen Sicherheitsprozess auszuwählen, zu planen, durchzuführen und zu analysieren.

Definieren der Elemente eines effektiven Sicherheitstestprozesses für ein gegebenes Projekt
Analysieren eines gegebenen Sicherheitstestplans sowie dessen Stärken und Schwächen identifizieren
Entwurf konzeptioneller (abstrakter) Sicherheitstests auf Grundlage einer gegebenen Sicherheitstestvorgehensweise und identifizierter funktionaler und struktureller Sicherheitsrisiken für ein gegebenes Projekt
Entwurf von Testfällen zur Validierung von Sicherheitsrichtlinien und -verfahren
Verstehen der Schlüsselelemente und Merkmale einer effektiven Sicherheitstestumgebung
Verstehen der Bedeutung von Planung und Genehmigung vor der Durchführung von Sicherheitstests
Analyse der Ergebnisse von Sicherheitstests für die Berichterstattung
Verstehen der Notwendigkeit der Überarbeitung von Sicherheitserwartungen und Akzeptanzkriterien
Verstehen der Notwendigkeit, Sicherheitstestergebnisse vertraulich und sicher zu behandeln
Verstehen der Notwendigkeit, geeignete Kontrollen und Mechanismen zur Datenerfassung zu schaffen, um die Quelldaten für die Statusberichte der Sicherheitstests zeitnah, genau und präzise bereitzustellen
Analyse eines gegebenen Zwischenberichts zum Stand der Sicherheitstests, um den Grad der Genauigkeit, Verständlichkeit und Angemessenheit für die Beteiligten zu bestimmen