Advanced Security Training for Development Teams

Bleiben Sie Angreifern stets einen Schritt voraus!

Was Sie erwartet

Auf einen Blick

Skill level

Professional

Trainingsdauer

2 Tage

Frühbucherpreis*

1.611€

Nächstes Training

Datum: 14/05/2025

Ort: Online

1790€ zzgl. MwSt.

Jetzt buchen!

Um Ihr grundlegendes Security-Wissen zu vertiefen, stehen in diesem weiterführenden Security-Training verschiedene Module zur Auswahl. Erweitern Sie ihr Wissen durch praxisnahe Live-Hacking-Demonstrationen und interaktive Hands-On-Übungen.

Entdecken Sie im Modul Threat Modelling den Shift-Left-Security-Ansatz, der Sicherheit frühzeitig in den Entwicklungsprozess integriert. Wir verwenden Methoden wie STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege) zur Identifizierung von Schwachstellen. Durch praxisnahe Übungen lernen Sie, Bedrohungen zu erkennen und zu bewerten. Darüber hinaus vermitteln wir Ihnen Konzepte wie Attack Trees und Abuser Stories, um ein ganzheitliches Verständnis für Sicherheitsrisiken zu entwickeln. Am Ende dieses Trainings sind Sie in der Lage, effektive Sicherheitsmaßnahmen zu implementieren und potenzielle Bedrohungen frühzeitig zu erkennen.

Unser Web Security Modul zeichnet sich durch praxisnahe Live-Hacking-Demonstrationen, Fokussierung auf kritische Sicherheitsrisiken und interaktive Hands-On-Übungen aus. Es werden die wichtigsten Schwachstellen sowohl im Frontend als auch im Backend behandelt. Die Teilnehmenden können sicher sein, dass sie nicht nur theoretisches Wissen erwerben, sondern auch die Fähigkeiten entwickeln, um Web-Applikationen effektiv vor Cyber-Bedrohungen zu schützen.

Das Modul Application Programming Interface (API) Security zeichnet sich durch praxisnahe Anwendungen, Fokussierung auf kritische Sicherheitsrisiken, interaktive Übungen, anwendungsorientierte Best Practices und die Expertenführung aus. Dabei stehen die häufigsten Angriffsvektoren von APIs im Mittelpunkt. Die Teilnehmenden können sicher sein, dass sie nicht nur theoretisches Wissen erwerben, sondern auch die Fähigkeiten entwickeln, um APIs effektiv vor Cyber-Bedrohungen zu schützen.

Lernen Sie in unserem Modul Identity and Acess Management (IAM) die Grundlagen und Vorteile des modernen Identity Access Managements kennen. Wir stellen Ihnen die Konzepte und Typen moderner IAM-Systeme und deren gängige Anwendungsfälle vor. In praktischen Hands-On Übungen lernen Sie darüber hinaus die heute in diesem Kontext wichtigen technischen Protokolle wie OAuth 2.1 und OpenID Connect kennen. Abgerundet wird das Modul durch aktuelle Best Practices und einen Ausblick in Zukunftstechnologien in diesem Bereich.

Modul 1: Threat Modelling (6h)

I. Agile Security

  • Anpassung von Sicherheitsmaßnahmen an agile Entwicklungsprozesse / Integration von Sicherheit in allen Phasen des agilen Prozesses

II. Security Requirements Engineering

  • Identifizierung und Definition von Sicherheitsanforderungen / Priorisierung und Integration von Sicherheitsanforderungen in den Entwicklungszyklus

III. OWASP ASVS (Application Security Verification Standard)

  • Verständnis und Anwendung der OWASP ASVS-Richtlinien / Gewährleistung von Sicherheitsstandards gemäß den OWASP ASVS-Vorgaben

IV. Security in Refinement

  • Berücksichtigung von Sicherheitsaspekten während der Anforderungserfassung und -verfeinerung / Identifizierung von potenziellen Sicherheitslücken in frühen Entwicklungsphasen

V. Threat Modeling & Attack Trees

  • Durchführung von Threat-Modelling-Session zur Identifizierung potenzieller Bedrohungen

VI. Attack Trees & AbUser Stories

  • Erstellung von Attack Trees zur Visualisierung von Angriffsszenarien und Schwachstellen
  • Vorstellung von AbUser Stories zur Betrachtung von Angriffsszenarien aus der Perspektive des Angreifers
  • Analyse von potenziellen Angriffen und deren Auswirkungen auf das System

 

Modul 2: Web Security (8h)

I. Einführung in das Websecurity-Training

  • Überblick über die Bedeutung von Websecurity und die Auswirkungen von unsicheren Webanwendungen
  • Vorstellung des OWASP (Open Web Application Security Project) und der OWASP Top 10

II. OWASP Top 10: Ursachen und Risiken

  • Detailierte Erklärung der OWASP Top 10 Sicherheitsrisiken
  • Ursachen und potenzielle Auswirkungen jeder Sicherheitslücke
  • Präsentation von Fallstudien und realen Angriffsszenarien, um die Relevanz zu verdeutlichen

III. Live-Hacking mit dem OWASP Juice Shop

  • Einführung in den OWASP Juice Shop als eine unsichere Webanwendung
  • Praktische Demonstration von Live-Hacking-Szenarien anhand der OWASP Top 10
  • Interaktive Teilnahme der Teilnehmenden, um die Angriffe zu verstehen und zu analysieren

IV. Hands-On-Übungen

  • Installation des OWASP Juice Shops für die Teilnehmenden
  • Durchführung von praxisnahen Übungen, um Schwachstellen zu identifizieren
  • Diskussion und Analyse der gefundenen Sicherheitslücken

V. Vermeidung von Schwachstellen: Best Practices und Tipps

  • Vorstellung bewährter Methoden zur Vermeidung der OWASP Top 10 Sicherheitsrisiken
  • Code-Review und sichere Entwicklungstechniken
  • Einsatz von Web Application Firewalls (WAF) und anderen Sicherheitsmechanismen

VI. Frage- und Antwortsession

  • Gelegenheit für die Teilnehmenden, Fragen zu stellen und ihre Erfahrungen zu teilen
  • Diskussion über bewährte Sicherheitspraktiken in Webanwendungen

 

Modul 3: API Security (8h)

I. Einführung in das API-Security-Training

  • Überblick über die Bedeutung von API-Security und die Auswirkungen von unsicheren APIs
  • Vorstellung des OWASP (Open Web Application Security Project) und der OWASP API Top 10

II. OWASP API Top 10: Ursachen und Risiken

  • Detailierte Erläuterung der OWASP API Top 10 Sicherheitsrisiken
  • Ursachen und potenzielle Auswirkungen jeder Sicherheitslücke
  • Präsentation von Fallstudien und realen Angriffsszenarien, um die Relevanz zu verdeutlichen

III. Live-Hacking mit der OWASP completely ridiculous API

  • Einführung in die OWASP completely ridiculous API als eine unsichere Webanwendung/API
  • Praktische Demonstration von Live-Hacking-Szenarien anhand der OWASP API Top 10
  • Interaktive Teilnahme der Teilnehmenden, um die Angriffe zu verstehen und zu analysieren

IV. Hands-On-Übungen

  • Installation der OWASP completely ridiculous API für die Teilnehmenden
  • Durchführung von praxisnahen Übungen, um Schwachstellen zu identifizieren
  • Nutzung von Tools wie z.B. Zed Attack Proxy (ZAP) und jwt_tool
  • Diskussion und Analyse der gefundenen Sicherheitslücken

V. Vermeidung von Schwachstellen: Best Practices und Tipps

  • Vorstellung bewährter Methoden zur Vermeidung der OWASP API Top 10 Sicherheitsrisiken
  • Code-Review und sichere Entwicklungstechniken
  • Einsatz von Autorisierungsmodellen, Rate-Limitern und anderen Sicherheitsmechanismen

VI. Frage- und Antwortsession

  • Gelegenheit für die Teilnehmenden, Fragen zu stellen und ihre Erfahrungen zu teilen
  • Diskussion über bewährte Sicherheitspraktiken in APIs

 

Modul 4: Identity and Access Management (IAM) (6h)

I. Einführung in IAM

  • Grundlagen von IAM und digitaler Identitäten
  • Wichtigkeit von IAM im Kontext moderner Architekturen und Compliance
  • Überblick über IAM-Lösungen und Standards

II. Grundlagen von OAuth 2.1

  • OAuth 2.1 Protokollfluss
  • OAuth 2.1 Grant-Typen: Authorization Code (PKCE) und Client Credentials
  • Refresh Tokens und Scopes
  • Sicherheitsbetrachtungen und Best Practices

III. Einführung in OpenID Connect (OIDC)

  • Unterschiede zwischen OAuth 2.0 und OpenID Connect
  • Identitäts-Token und Userinfo-Endpunkt
  • OpenID Connect Flows: Authorization Code Flow und Hybrid Flow
  • Sicherheitsbetrachtungen und Best Practices

IV. Hands-On-Übungen

  • Praktische Übungen zu den Grant-Typen Authorization Code und Client Credentials im OAuth 2.1 bzw. OpenID Connect Mode
  • Implementierung eines OAuth/OIDC Resource Servers in Java
  • Implementierung eines OAuth/OIDC Clients in Java

V. Ausblick in IAM Zukunftstechnologien

  • Vorstellung dezentralisierter Identitäten und Verifiable Credentials
  • Praktisches Anwendungsbeispiel: eIDAS

VI. Frage- und Antwortsession

  • Gelegenheit für die Teilnehmenden, Fragen zu stellen und ihre Erfahrungen zu teilen
  • Diskussion über verschiedene Szenarien und architekturen

 

Dauer des Trainings

Trainingsdauer: 1 Tag

6h Training: 09.00-15.00 Uhr

8h Training: 09.00-17.00 Uhr

Dieses Training wird allen empfohlen, die die Sicherheit im gesamten Software-Lebenszyklus signifikant erhöhen wollen und bereits über ein grundlegendes Verständnis der Security-Themen verfügen:

  • Entwickler:innen
  • Architekt:innen
  • Product Owner
  • Requirements Engineering
  • Scrum Master
  • Projektleiter:innen

 

Lernen Sie fortgeschrittene Konzepte von Security kennen. Schützen Sie ihre Projekte von Anfang an indem Sie fortgeschrittenes Wissen über Security anwenden.

Sollten Sie ein grundlegendes Training als Einstieg in die Security-Themen bevorzugen so empfehlen wir Ihnen unser Security Training for Development Teams für die Zielgruppe „Beginner“.

Termine

Early Bird

Online

Deutsch

14.05.2025 – 15.05.2025

Teams/Zoom

Early Bird

Online

Deutsch

24.09.2025 – 25.09.2025

Teams/Zoom

Teilnahmegebühr

Die Teilnahmegebühr für alle Module beträgt 1.790€ zzgl. MwSt. inklusive Trainingsunterlagen und Verpfle­gung während der Schulung. (Verpflegung gilt nur für Präsenz-Termine)

Die Buchung einzelner Module ist möglich:

  1. Die Teilnahmegebühr für Modul 1: Threat Modelling beträgt 490 € zzgl. MwSt. inklusive Trainingssunterlagen.
  2. Die Teilnahmegebühr für Modul 2: Web Security beträgt 590 € zzgl. MwSt. inklusive Trainingssunterlagen.
  3. Die Teilnahmegebühr für Modul 3: API Security beträgt 590 € zzgl. MwSt. inklusive Trainingssunterlagen.
  4. Die Teilnahmegebühr für Modul 4: Identity and Access Management (IAM) beträgt 490 € zzgl. MwSt. inklusive Trainingssunterlagen.

Zudem erstellen wir für Sie auf Anfrage gerne Teilnahmebescheinigungen.

Bei Anmeldungen 30 Tage vor Kursbeginn können wir Ihnen einen Frühbucherrabatt in Höhe von 10% gewähren. Wenn Sie mehr als einen Teilnehmenden anmelden wollen, können wir Ihnen zudem attraktive Gruppenrabatte anbieten.

Unsere Trainer:innen

Andreas Falk

Senior Managing Consultant

andreas.falk

Anmeldung

Anmeldung. Sichern Sie sich verbindlich und unkompliziert einen Platz für das ausgewählte Training. Wir freuen uns auf Sie!

Bitte aktiviere JavaScript in deinem Browser, um dieses Formular fertigzustellen.
Name
Abweichende Rechnungsanschrift
Checkboxes

Werden Sie Expert:in!
Unser Trainingsangebot

Mehr erfahren
IoT

OpenTelemetry für Developer: Hands-On Observability Workshop

Praxisnaher OpenTelemetry-Workshop: Tracing, Metriken & Logs

Mehr erfahren
unFIX CTA Grafik

unFIX Foundation V2 – Organisationsentwicklung neu denken

Mehr erfahren
Bist du NIS2 ready?

KI / AI für Führungskräfte

Lernen Sie die Möglichkeiten von AI effektiv für Ihr Unternehmen

Mehr erfahren

Novatec Consulting GmbH

+49 711 22040-700
info@novatec-gmbh.de