Inhalte

• Rolle des Sicherheitstestens in der Anforderungsspezifikation

• Rolle des Sicherheitstestens beim Entwurf
• Rolle des Sicherheitstestens in der Implementierungsphase
• Sicherheitstests in während der System- und Abnahmetests
• Sicherheitstests in der Wartung  

Lernziele

Die Teilnehmer*innen sind nach dem Kurs in der Lage, einfache Bedrohungsanalysen für klassische Internet-Anwendungen durchzuführen und auf deren Basis, Sicherheitsrisiken zu klassifizieren, Sicherheitstestziele zu formulieren sowie Sicherheitstests systematisch zu erstellen und auszuführen.

• Analysieren eines gegebenen Anforderungssatzes aus der Sicherheitsperspektive, um Mängel zu identifizieren
• Analyse eines gegebenen Entwurfdokuments aus der Sicherheitsperspektive, um Schwachstellen zu identifizieren
• Verstehen der Rolle von Sicherheitstests während der Komponententestphase
• Entwurf von Sicherheitstests auf Komponentenebene (abstrakt) anhand einer definierten Implementierungsspezifikation
• Analyse der Ergebnisse von Tests auf Komponentenebene, um die Angemessenheit des Codes aus der Sicherheitsperspektive zu bestimmen
• Verstehen der Grundprinzipien eines statischen Code-Checkers (z.B. Sonarqube/Sonarlint)
• Für ein gegebenes Projektszenario: Nachweis der Fähigkeit, einen automatisierten statischen Code-Checker anzuwenden und die Fallstricke der Automatisierung zu verstehen.
• Erstellen eines End-to-End-Testszenarios für Sicherheitstests, das eine oder mehrere vorgegebene Sicherheitsanforderungen verifiziert und einen beschriebenen funktionalen Prozess testet
• Definieren einer Reihe von Abnahmekriterien für die Sicherheitsaspekte eines bestimmten Abnahmetests
• Erstellen eines End-to-End-Ansatzes für Sicherheitstests/Regressionstests auf der Grundlage eines gegebenen Szenarios
• Verstehen der Unterschiede zwischen Regressionstests, Re-Tests und Penetrationstests 

Zielgruppen

Produktmanager*innen, Projektleiter*innen in der Produktentwicklung, Produktentwickler*innen, Anforderungsentwickler*innen, Testentwickler*innen, Testanalyst*innen, Testmanager*innen, Abnahmetester*innen, Qualitätsmanager*innen und –berater*innen

Voraussetzungen

Grundlagen des Softwaretestens (z.B. ISQTB Certified Tester Foundation Level)

Dr. Jürgen Großmann ist Teamleiter der Gruppe Critical Systems Engineering im Geschäftsbereich SQC des Fraunhofer Instituts FOKUS. Er ist Experte für Qualitätssicherung, Risikoanalyse und IT-Sicherheitsprüfungen im Bereich kritischer, vernetzter Softwaresysteme der Automobilindustrie und im Finanzsektor.

Dr. Johannes Viehmann ist Senior Researcher und Projektleiter der Gruppe Critical Systems Engineering im Geschäftsbereich SQC des Fraunhofer Instituts FOKUS. Er ist Experte für sicherheitskritische hochgradig vernetze Systeme, Vertrauen schaffende Konzepte und für das Risiko Management.