Sicherheitstestprozesse
Grundlagen des Sicherheitstestens
Die Herausforderung
Sicherheitsanforderungen an moderne IT-Systeme steigen und sind nicht allein durch konstruktive Maßnahmen realisierbar. Über 90 Prozent aller Software-Sicherheitsvorfälle werden durch Angreifer verursacht, die bekannte Sicherheitslücken ausnutzen. Diese beruhen in der Mehrzahl auf Programmierfehlern.
Durch das Planen, Überwachen und Durchführen systematischer Sicherheitstestprozesse können Schwachstellen umfassend und nachvollziehbar identifiziert und behoben, sowie der Fortschritt und Abschluss gemessen und festgestellt werden.
Die Lösung
Der Kurs vermittelt die allgemeinen Grundlagen und die Struktur von Sicherheitstestprozessen. Diese werden im Kontext verschiedener Anwendungslebenszyklusmodelle betrachtet. Die konkreten Aufgaben in den verschiedenen Phasen des Sicherheitstestprozesses werden analysiert.
Praktische Sicherheitstests werden entlang der verschiedenen Phasen erläutert und durchgeführt. Dabei werden einige typische Schwachstellen und Testmethoden erläutert. Die organisatorischen Rahmenbedingungen von Sicherheitstests in den Phasen des Sicherheitstestprozesses werden ebenfalls betrachtet.
Ihre Vorteile auf einem Blick
Nach dem Seminar können Sie...
Sicherheitstestprozesse und die Aktivitäten in dessen Phasen planen
- Grundlegende Methoden für die Aktivitäten in den einzelnen Phasen des Sicherheitstestprozesses auswählen und anwenden
- Sicherheitstestprozesse in verschiedenen Anwendungslebenszyklusmodelle verstehen
Dieses Seminar bietet Ihnen...
systematische Einführung in Sicherheitstestprozesse
- Einführung in Sicherheitstesttechniken wie das Fuzzing und die Testbewertung
- Praktische Übungen für verschiedene Aktivitäten in den Phasen des Sicherheitstestprozesses wie Planung, Analyse, Entwurf, Implementierung, Ausführung und Auswertung von Sicherheitstests
Inhalte
- Definition von Sicherheitstestprozessen
Lernziele
Die Teilnehmer*innen sind nach dem Kurs in der Lage, die wichtigsten Aktivitäten für einen systematischen Sicherheitsprozess auszuwählen, zu planen, durchzuführen und zu analysieren.
- Definieren der Elemente eines effektiven Sicherheitstestprozesses für ein gegebenes Projekt
- Analysieren eines gegebenen Sicherheitstestplans sowie dessen Stärken und Schwächen identifizieren
- Entwurf konzeptioneller (abstrakter) Sicherheitstests auf Grundlage einer gegebenen Sicherheitstestvorgehensweise und identifizierter funktionaler und struktureller Sicherheitsrisiken für ein gegebenes Projekt
- Entwurf von Testfällen zur Validierung von Sicherheitsrichtlinien und -verfahren
- Verstehen der Schlüsselelemente und Merkmale einer effektiven Sicherheitstestumgebung
- Verstehen der Bedeutung von Planung und Genehmigung vor der Durchführung von Sicherheitstests
- Analyse der Ergebnisse von Sicherheitstests für die Berichterstattung
- Verstehen der Notwendigkeit der Überarbeitung von Sicherheitserwartungen und Akzeptanzkriterien
- Verstehen der Notwendigkeit, Sicherheitstestergebnisse vertraulich und sicher zu behandeln
- Verstehen der Notwendigkeit, geeignete Kontrollen und Mechanismen zur Datenerfassung zu schaffen, um die Quelldaten für die Statusberichte der Sicherheitstests zeitnah, genau und präzise bereitzustellen
- Analyse eines gegebenen Zwischenberichts zum Stand der Sicherheitstests, um den Grad der Genauigkeit, Verständlichkeit und Angemessenheit für die Beteiligten zu bestimmen
Zielgruppen
Produktmanager*innen, Projektleiter*innen in der Produktentwicklung, Produktentwickler*innen, Anforderungsentwickler*innen, Testentwickler*innen, Testanalyst*innen, Testmanager*innen, Abnahmetester*innen, Qualitätsmanager*innen und –berater*innen
Voraussetzungen
Grundlagen des Softwaretestens (z.B. ISQTB Certified Tester Foundation Level)
Kursdaten
Martin Schneider ist Teamleiter der Gruppe Testen im Geschäftsbereich Quality Engineering des Fraunhofer Instituts FOKUS. Er ist Experte für Qualitätssicherung und Sicherheitstests im Bereich vernetzter Softwaresysteme.
Dorian Knoblauch ist wissenschaftlicher Mitarbeiter in der Gruppe Critical Systems Engineering im Geschäftsbereich SQC des Fraunhofer Instituts FOKUS.
Bitte um Kontaktaufnahme
Sie wünschen eine individuelle Beratung oder haben Rückfragen zu unseren Schulungen? Rufen Sie uns uns oder schreiben Sie uns am besten eine Mail. Wir melden uns dann bei Ihnen.