Sichere Webanwendungen in der öffentlichen Verwaltung – Vergabe, Entwicklung, Abnahme
Gegenstand des Seminars

Angriffsmöglichkeiten in  Webanwendungen Sicherheitsanforderungen bei Vergabe und Entwicklung von Webanwendungen Bewertung der Sicherheit von Webanwendungen

Webanwendungen sind ein modernes und attraktives Mittel für Behörden und Unternehmen, um Dienstleistungen für Bürger und Kunden bereitzustellen – und häufig sehr sicherheitsanfällig. Denn sicherheitsspezifische Vorgaben hinsichtlich der Konzeption, der Umsetzung und dem Betrieb von Webanwendungen werden häufig erst zu einem späten Zeitpunkt im Rahmen einer Beauftragung bzw. eines Entwicklungsprojekts erarbeitet. Als Folge sind Webanwendungen mit Sicherheitsschwachstellen behaftet, welche Angreifern entsprechende Zugriffsmöglichkeiten eröffnen.

Dieses Seminar zeigt deshalb die möglichen Sicherheitslücken in Webanwendungen auf, gibt Empfehlungen zu entsprechenden IT-Sicherheitsanforderungen, welche bei Ausschreibung und Entwicklung berücksichtigt werden sollten, beschreibt, wie ein entsprechender Software-Entwicklungs-Prozess aussehen sollte, und wie die Einhaltung von IT-Sicherheitsanforderungen überprüft werden kann.

Die Seminarinhalte orientieren sich dabei an den beiden Leitfäden zur Entwicklung von sicheren Webanwendungen, welche das Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegeben hat.

Zielsetzung

Anhand von Praxisbeispielen werden die Grundlagen für Beauftragung, Projektierung, Entwicklung und Abnahme von sicheren Webanwendungen vermittelt. Die erworbenen Kenntnisse helfen den Teilnehmern dabei,

  • IT-Sicherheitsanforderungen nach dem Stand der Technik in Projektplanungen und Vergabeunterlagen für Webanwendungen zu integrieren,
  • die Eignung potentieller Auftragnehmer anhand von Leistungskriterien bereits vor dem Projektstart zu bewerten,
  • die Leistungserbringung von Auftragnehmern während einer Vergabe und bei Projektumsetzung anhand von Quality Gates zu bewerten,
  • IT-Sicherheitsanforderungen im Entwicklungsprozess zu implementieren und umzusetzen,
  • den Reifegrad eines Entwicklungsprozesses zu bestimmen und zu erhöhen,
  • den Abnahmeprozess für sichere Webanwendungen erfolgreich durchzuführen.
Zielgruppe

Das Seminar adressiert zum einen Auftraggeber in der öffentlichen Verwaltung, welche über Vergabeverfahren Webanwendungen beschaffen (technischer Einkauf, Projekt- Manager, QS) sowie Projekt-, Fach- und IT-Sicherheitsverantwortliche in Behörden und Unternehmen, welche selbst sichere Webanwendungen entwickeln bzw. die Sicherheit von Webanwendungen bewerten sollen.
Zum anderen richtet es sich an Auftragnehmer (Projektmanager, SW-Entwickler, …), welche sich an Ausschreibungen beteiligen, im Auftrag Webanwendungen entwickeln und IT-Sicherheitsanforderungen berücksichtigen und erfüllen müssen.
Grundlegende Kenntnisse in der Entwicklung von Software sind für die Teilnahme am Seminar zwar von Vorteil, jedoch nicht zwingend erforderlich.

Seminarablauf

Themenüberblick, 1. Tag, 11:00-17:30 Uhr:

Einleitung

  • Rückblick auf erfolgreiche Hacks
  • Brechen mit bekannten Mythen
  • Kategorisierung von Angreifern
  • Vorgehensweisen von Angreifern (Demonstration)
  • Definition von Sicherheit

Sichere Softwareentwicklung

  • Was ist ein sicherer Entwicklungsprozess (Secure Development Lifecycle – SDL)?
  • Umsetzung eines SDL’s in einem Unternehmen
  • Roadmaps als Unterstützung bei der Umsetzung
  • Angemessene Sicherheit definieren
  • Naheliegende Aktionsmöglichkeiten (“Low Hanging Fruits”) erkennen
  • Erstellen von Sicherheitsrichtlinien

Vergabephase

  • Ausschreibungsverfahren von Webanwendungen
  • Leistungskriterien und Quality Gates
  • Bewertung von Auftragnehmern
  • Bewertung anhand von Reifegraden
  • Bestimmung des Schutzbedarfs einer Webanwendung

SDL-Aktivitäten, -Umsetzung, Abnahmekriterien

  • Durchführen einer Anforderungsanalyse
  • Erstellen eines Sicherheitsprojektplans
  • Erstellen einer Datenbehandlungsstrategie
  • Erstellen von Abuse Cases

Themenüberblick, 2. Tag, 08:30-15:00 Uhr:

SDL-Aktivitäten, -Umsetzung, Abnahmekriterien (Fortsetzung)

  • Erstellen einer Sicherheitsarchitektur
  • Durchführen einer Bedrohungsmodellierung
  • Software-Sicherheits-Metriken
  • Sicherer Umgang mit Sourcecode
  • Secure Coding Standards
  • Überblick über Testverfahren (Design Review, Code Review, Penetrationstest, etc.)
  • sichere Auslieferung von Software
  • Plattformhärtung
  • Änderungsmanagement
  • Security Response

Vorgaben an die Implementierung

  • Design-Prinzipien
  • Datenvalidierung
  • Kryptografie
  • Authentisierung und Sessions
  • Datenhaltung und -transport

Abschlussdiskussion und individuelle Fragestellungen

Referenten
Thomas  Kerbl, Dipl.-Ing (FH), Msc, ist seit 10 Jahren als Senior Security Consultant bei der SEC Consult Unternehmensberatung GmbH tätig. Er absolvierte den Diplomstudiengang “Computer- und Mediensicherheit” in Hageneberg sowie den Masterstudiengang “Multimedia und Software Entwicklung” in Wien. Herr Kerbl hat in seiner Laufbahn bereits mehr als 200 erfolgreiche Security-Projekte geleitet sowie mehrere zahlreiche Expertenschulungen im Bereich Anwendungssicherheit abgehalten. Seine Spezialisierungen umfassen sowohl die Konzeption und Entwicklung sicherer Software als auch die Durchführung tiefgehender Sicherheitsaudits. Als Autor mehrerer Leitfäden zum Thema Anwendungssicherheit ist er mit den komplexen Problemstellungen dieser Domäne sehr vertraut.
Amir  Salkic, Msc, ist Security Consultant bei der SEC Consult Unternehmensberatung GmbH und berät nationale wie internationale Kunden in den Themen Informationssicherheit, Awareness und Applikationssicherheit. Herr Salkic ist Master of Science “Informationsmanagement und Computersicherheit” und verfügt über ein breites Wissen bzgl. organisatorischen wie auch technischen Sicherheitsmaßnahmen. Dies wird durch umfangreiche Erfahrungen aus Projekten in der öffentlichen Verwaltung, der Fertigungsindustrie, im Telekommunikations- und IT-Sektor sowie im Finanzwesen ergänzt. Hinweis: Die SEC Consult Unternehmensberatung GmbH war maßgeblich an der Erstellung der beiden BSI-Leitfäden zur Entwicklung sicherer Webanwendungen, welche am 03.09.2013 veröffentlicht wurden, beteiligt.
Termin und Ort
Ort:
Tagungshotel
Bonn


Zeitraum:
17.10.2017 11:00 Uhr - 18.10.2017 15:00 Uhr

Preis
890,- Euro zzgl. MwSt.
Downloads
Zur Anmeldung


Partner:


Veranstaltungen nach Datum


März 2017 (1)

April 2017 (7)

Mai 2017 (7)

Juni 2017 (6)

Juli 2017 (1)

August 2017 (1)

September 2017 (25)

Oktober 2017 (6)

November 2017 (10)

Dezember 2017 (1)


Veranstaltungen nach Thema


Datenschutz
Informationssicherheit
Organisation & Best Practice
Rechtliche Anforderungen & Regulierung
Technische Mittel & Methoden
Zertifizierung