Kontextuelles, praktisches Lernen: Der ultimative Weg, um Ihr Gehirn für Sicherheit zu trainieren

Veröffentlicht am 11. Sep. 2019
von Jaap Karan Singh
FALLSTUDIE

Kontextuelles, praktisches Lernen: Der ultimative Weg, um Ihr Gehirn für Sicherheit zu trainieren

Veröffentlicht am 11. Sep. 2019
von Jaap Karan Singh
Ressource anzeigen
Ressource anzeigen

Es tut mir leid, ich muss eine schlechte Nachricht überbringen.

Die traditionelle Ausbildung ist tot.

Nun, okay, das ist es nicht... aber es sollte es wahrscheinlich sein. Immer wieder haben Studien gezeigt, dass es eine der ineffektivsten Arten ist, Menschen in ein Klassenzimmer zu stecken, um etwas Neues zu lernen, eine Compliance-Aufgabe abzuhaken oder sich umschulen zu lassen. Und wenn es um Unternehmensschulungen geht, werden diese Statistiken nicht besser. Die Harvard Business Review veröffentlichte eine Studie über die Effektivität von Präsenztrainings für Neueinstellungen in großen Unternehmen und stellte fest, dass diese Lernmethode im Durchschnitt acht bis zwölf Monate benötigt, um neue Mitarbeiter auf den neuesten Stand zu bringen und produktiv zu machen. Das ist eine sehr lange Zeit, um die Fähigkeiten einer Person voll auszuschöpfen (und eine lange Zeit, um sich einzugewöhnen, wenn man der neue Mitarbeiter ist). Heutzutage haben die meisten Unternehmen nicht so viel Zeit; zwangsläufig wird an allen Ecken und Enden gespart, die Mitarbeiter erhalten nicht das Training, das sie brauchen, und dem Unternehmen entgeht eine Menge Wert, der viel früher erreicht werden könnte.

Es ist wirklich erstaunlich, dass viele Unternehmen immer noch auf Klassenzimmer, trockene Lehrbücher und langweilige Videotrainings setzen, um ihre besten und klügsten Köpfe mit den besten Praktiken oder neuen Initiativen des Unternehmens vertraut zu machen, vor allem, wenn es eine viel bessere, ansprechendere und wertvollere Art zu lernen gibt: kontextbezogenes Training. Es hat sich herausgestellt, dass wir Menschen Informationen viel besser behalten, wenn wir neue Ideen und Prozesse in die Hand nehmen.

Nun, wenn es um Entwickler geht, sind wir ein besonderer Haufen. Aus meiner eigenen Erfahrung als Entwickler kann ich sagen, dass traditionelle Schulungen nicht gerade meine Welt in Brand setzen. Entwickler neigen dazu, kreative, einfallsreiche Problemlöser zu sein, die viel lieber die Tools benutzen, als in einem Klassenzimmer belehrt zu werden, oder vor endlosen Videos eines sprechenden Kopfes zu sitzen, wenn sie versuchen, neue Informationen zu lernen. Wenn man sich die Sicherheitsschulung im Speziellen ansieht, scheint es in der aktuellen Landschaft eine klare Diskrepanz zu geben: Entwickler versäumen es, häufige Schwachstellen in ihrem Code zu beheben, was dazu führt, dass sich AppSec-Profis die Haare raufen, wenn sie immer wieder mit denselben, leicht zu behebenden Problemen konfrontiert werden. Die Beziehung zwischen diesen Teams ist angespannt, und die Entwickler erhalten nicht die richtigen Tools und Schulungen, um sich mit den Best Practices für sichere Entwicklung zu beschäftigen. Ihr Hauptziel ist die Funktionserstellung, aber angesichts der rapide steigenden Cyberrisiken für jedes Unternehmen können wir es uns einfach nicht mehr leisten, Sicherheitswissen zu ignorieren und zu vernachlässigen.

Und das Beste daran? Wenn Entwickler sicherheitsbewusst sind, verschwinden diese häufigen Schwachstellen allmählich. Das Risiko wird reduziert, ebenso wie die Kosten für die Behebung von Fehlern im Spätstadium (und AppSec verliert nicht mehr reihenweise die Haare).

Wie sieht also die Einbindung von Entwicklern mit kontextbezogenem Training genau aus?

Beispiele aus der realen Welt sind lächerlich mächtig.

Stellen Sie sich vor, wir müssten alle das Autofahren lernen, indem wir uns Videos auf YouTube ansehen. Während Sie die allgemeine Idee bekommen können, wie ein Auto funktioniert, sowie die Abfolge von Ereignissen, die eingeleitet wird, um Sie entlang der Straße zu bewegen, wäre es praktisch unmöglich, das Fahren gut zu lernen, bis Sie in ein Auto springen und es persönlich ausprobieren.

Ein kontextbezogenes Training ist deshalb so wertvoll, weil es den Kursteilnehmer auf den Fahrersitz des zu vermittelnden Stoffes setzt. Wenn man einen realen Kontext für etwas hat, macht es das Lernen viel ansprechender und sinnvoller.

Wenn es um sichere Codierung geht, kann sich jeder ein Video ansehen und die Grundlagen der SQL-Injektion verstehen, aber die Feinheiten der tatsächlichen Problemlösung werden leicht vergessen, wenn Fristen drohen und die Lieferung von Funktionen Priorität hat. Wenn es jedoch möglich wäre, reale Code-Beispiele zu überprüfen, die Injektion zu identifizieren und sie als Teil einer Trainingsübung zu beheben, ist das für den Arbeitsalltag eines Entwicklers viel besser anwendbar als der Versuch, einseitige Informationen zu behalten. Es ist auch für einen Entwickler besser nachvollziehbar, wenn er Code sieht, der dem ähnelt, was er normalerweise schreibt, wird er aufstehen und aufpassen.

Auf der Secure Code Warrior Plattform haben wir das sichere Codetraining gamifiziert und bieten eine Vielzahl von Herausforderungen in mehreren Sprachen und Frameworks. Das System regt zum wiederholten Spielen an und ist vor allem sofort anpassbar, um die richtige Umgebung für echtes kontextbezogenes Lernen zu bieten.

Wissen bereitstellen, wenn es am nützlichsten ist

Nach der kontextuellen Lerntheorie findet effektives Lernen nur dann statt, wenn die Schüler neue Informationen oder neues Wissen so verarbeiten, dass es für sie innerhalb ihres eigenen individuellen Bezugsrahmens Sinn macht.

Stellen Sie sich vor, ein Entwickler erhält eine Liste von Sicherheitslücken aus Bug Bounty-Programmen, SAST-Tools oder Bug-Tracking-Software. Sie sind vielleicht perplex - sogar überwältigt - wenn sie noch nie auf diese Schwachstellen gestoßen sind. Was noch schlimmer ist: Die meisten Berichte sind für Anwendungssicherheitsexperten und nicht für Entwickler gedacht. Die Informationen in den Berichten sind schwer zu analysieren und enthalten oft allgemeine Ratschläge, die für einen Entwickler nicht direkt anwendbar sind.

Vor kurzem haben wir die Möglichkeit hinzugefügt, direkt auf praktische Schulungen zu Schwachstellen aus Bug-Bounty-Programmen, SAST-Tools, Bug-Tracking-Software und Penetrationstest-Berichten zu verlinken. Entwickler können sofort die Grundlagen verstehen und gute Coding-Rezepte für ihr jeweiliges Framework lernen.

Diese Art des Lernens stellt sicher, dass Entwickler Wissen und Training zu Konzepten erhalten, wenn sie am relevantesten sind, und es ist viel wahrscheinlicher, dass sie diese Informationen auf lange Sicht behalten.

Secure Code Warrior Ausbildungs-Infografik
Kontextuelles Training im Entwicklungsprozess.

Schnellere Ergebnisse, weniger Störung, glücklichere Camper.

Bei jedem Training ist ein unmittelbarer Zusammenhang mit Ihren täglichen Aktivitäten viel wirkungsvoller, als wenn Sie versuchen, etwas Allgemeines auf Ihre Arbeit anzuwenden. Sie verbringen weniger Zeit im "Lernmodus" oder - noch schlimmer - Sie müssen weniger Dinge durchgehen, die Sie bereits "gelernt" haben, wenn Sie eine Antwort auf etwas brauchen.

Eines der Prinzipien des kontextuellen Trainings ist die Fähigkeit, auf Wissen aufzubauen, so dass jede Komponente des Trainings die vorherige ergänzt, was einen schrittweisen Prozess ermöglicht, der den Teilnehmern einen Weg zur Beherrschung bietet. Auch dies ist etwas, das wir auf unserer Plattform unterstützen, mit einem Gurtsystem, das dem in einem Karate-Dojo ähnelt. Jeder fängt mit dem weißen Gürtel an, bevor er nach den notwendigen Trainingsstunden und der Teilnahme an tournament den begehrten schwarzen Gürtel oder die Stufe "Sicherheitschampion" erreicht. Es ist ein unterhaltsamer Ansatz mit realem Wert und praktischer Anwendung.

Möchten Sie die besten Talente an sich binden und sie sicherheitsbewusst halten? Geben Sie ihnen die Werkzeuge für den Erfolg.

Es ist eine bedauerliche Tatsache, dass sicherheitsbewusste Entwickler und AppSec-Spezialisten im Moment eine knappe (aber wichtige) Ressource sind. Sie sind auch notorisch schwer zu halten.

Cybrary führte 2018 eine Umfrage unter 3100 IT- und Sicherheitsexperten durch und stellte fest, dass ein Schlüsselelement für die Bindung wertvoller Mitarbeiter die Investition in ihre Ausbildung ist. Die Ergebnisse zeigen, dass Unternehmen, die Tools und Schulungen zur Förderung der internen Sicherheitskompetenzen anbieten, 60 % mehr Sicherheitsexperten an sich binden konnten als Unternehmen, die dies nicht taten, und satte 65 % der Befragten bevorzugten praktische Schulungen. Ziemlich klasse, oder?

Die Umfrageergebnisse lieferten jedoch auch eine ziemlich alarmierende Enthüllung: 80 % der Befragten fühlen sich nicht ausreichend vorbereitet, um ihre Organisation gegen Cyber-Bedrohungen zu verteidigen. Diese Bedrohungen werden nicht verschwinden, und das richtige Training zur Bekämpfung des wachsenden Risikos von kostspieligen Datenverletzungen und Angriffen ist jetzt mehr denn je erforderlich. Und, na ja, ich bin vielleicht voreingenommen, aber die Plattform von Secure Code Warrior könnte das Werkzeug sein, das Sie brauchen, um eine positive Sicherheitskultur zu entfachen, Entwickler mit dem kontextbezogenen Training, das sie lieben, weiterzubilden und zu unterstützen und Ihr Unternehmen vor den bösen Jungs zu schützen. Fordern Sie eine Demo an und wir zeigen Ihnen mehr.

Ressource anzeigen
Ressource anzeigen

Autor

Jaap Karan Singh

Sie wollen mehr?

Tauchen Sie ein in unsere neuesten Erkenntnisse über sichere Kodierung im Blog.

Unsere umfangreiche Ressourcenbibliothek zielt darauf ab, die menschliche Herangehensweise an eine sichere Weiterbildung im Bereich der Programmierung zu stärken.

Blog ansehen
Sie wollen mehr?

Holen Sie sich die neuesten Forschungsergebnisse zur entwicklergesteuerten Sicherheit

Unsere umfangreiche Ressourcenbibliothek ist voll von hilfreichen Ressourcen, von Whitepapers bis hin zu Webinaren, die Ihnen den Einstieg in die entwicklungsorientierte sichere Programmierung erleichtern. Erforschen Sie sie jetzt.

Ressourcendrehscheibe

Kontextuelles, praktisches Lernen: Der ultimative Weg, um Ihr Gehirn für Sicherheit zu trainieren

Veröffentlicht am 11. Sep. 2019
Von Jaap Karan Singh

Es tut mir leid, ich muss eine schlechte Nachricht überbringen.

Die traditionelle Ausbildung ist tot.

Nun, okay, das ist es nicht... aber es sollte es wahrscheinlich sein. Immer wieder haben Studien gezeigt, dass es eine der ineffektivsten Arten ist, Menschen in ein Klassenzimmer zu stecken, um etwas Neues zu lernen, eine Compliance-Aufgabe abzuhaken oder sich umschulen zu lassen. Und wenn es um Unternehmensschulungen geht, werden diese Statistiken nicht besser. Die Harvard Business Review veröffentlichte eine Studie über die Effektivität von Präsenztrainings für Neueinstellungen in großen Unternehmen und stellte fest, dass diese Lernmethode im Durchschnitt acht bis zwölf Monate benötigt, um neue Mitarbeiter auf den neuesten Stand zu bringen und produktiv zu machen. Das ist eine sehr lange Zeit, um die Fähigkeiten einer Person voll auszuschöpfen (und eine lange Zeit, um sich einzugewöhnen, wenn man der neue Mitarbeiter ist). Heutzutage haben die meisten Unternehmen nicht so viel Zeit; zwangsläufig wird an allen Ecken und Enden gespart, die Mitarbeiter erhalten nicht das Training, das sie brauchen, und dem Unternehmen entgeht eine Menge Wert, der viel früher erreicht werden könnte.

Es ist wirklich erstaunlich, dass viele Unternehmen immer noch auf Klassenzimmer, trockene Lehrbücher und langweilige Videotrainings setzen, um ihre besten und klügsten Köpfe mit den besten Praktiken oder neuen Initiativen des Unternehmens vertraut zu machen, vor allem, wenn es eine viel bessere, ansprechendere und wertvollere Art zu lernen gibt: kontextbezogenes Training. Es hat sich herausgestellt, dass wir Menschen Informationen viel besser behalten, wenn wir neue Ideen und Prozesse in die Hand nehmen.

Nun, wenn es um Entwickler geht, sind wir ein besonderer Haufen. Aus meiner eigenen Erfahrung als Entwickler kann ich sagen, dass traditionelle Schulungen nicht gerade meine Welt in Brand setzen. Entwickler neigen dazu, kreative, einfallsreiche Problemlöser zu sein, die viel lieber die Tools benutzen, als in einem Klassenzimmer belehrt zu werden, oder vor endlosen Videos eines sprechenden Kopfes zu sitzen, wenn sie versuchen, neue Informationen zu lernen. Wenn man sich die Sicherheitsschulung im Speziellen ansieht, scheint es in der aktuellen Landschaft eine klare Diskrepanz zu geben: Entwickler versäumen es, häufige Schwachstellen in ihrem Code zu beheben, was dazu führt, dass sich AppSec-Profis die Haare raufen, wenn sie immer wieder mit denselben, leicht zu behebenden Problemen konfrontiert werden. Die Beziehung zwischen diesen Teams ist angespannt, und die Entwickler erhalten nicht die richtigen Tools und Schulungen, um sich mit den Best Practices für sichere Entwicklung zu beschäftigen. Ihr Hauptziel ist die Funktionserstellung, aber angesichts der rapide steigenden Cyberrisiken für jedes Unternehmen können wir es uns einfach nicht mehr leisten, Sicherheitswissen zu ignorieren und zu vernachlässigen.

Und das Beste daran? Wenn Entwickler sicherheitsbewusst sind, verschwinden diese häufigen Schwachstellen allmählich. Das Risiko wird reduziert, ebenso wie die Kosten für die Behebung von Fehlern im Spätstadium (und AppSec verliert nicht mehr reihenweise die Haare).

Wie sieht also die Einbindung von Entwicklern mit kontextbezogenem Training genau aus?

Beispiele aus der realen Welt sind lächerlich mächtig.

Stellen Sie sich vor, wir müssten alle das Autofahren lernen, indem wir uns Videos auf YouTube ansehen. Während Sie die allgemeine Idee bekommen können, wie ein Auto funktioniert, sowie die Abfolge von Ereignissen, die eingeleitet wird, um Sie entlang der Straße zu bewegen, wäre es praktisch unmöglich, das Fahren gut zu lernen, bis Sie in ein Auto springen und es persönlich ausprobieren.

Ein kontextbezogenes Training ist deshalb so wertvoll, weil es den Kursteilnehmer auf den Fahrersitz des zu vermittelnden Stoffes setzt. Wenn man einen realen Kontext für etwas hat, macht es das Lernen viel ansprechender und sinnvoller.

Wenn es um sichere Codierung geht, kann sich jeder ein Video ansehen und die Grundlagen der SQL-Injektion verstehen, aber die Feinheiten der tatsächlichen Problemlösung werden leicht vergessen, wenn Fristen drohen und die Lieferung von Funktionen Priorität hat. Wenn es jedoch möglich wäre, reale Code-Beispiele zu überprüfen, die Injektion zu identifizieren und sie als Teil einer Trainingsübung zu beheben, ist das für den Arbeitsalltag eines Entwicklers viel besser anwendbar als der Versuch, einseitige Informationen zu behalten. Es ist auch für einen Entwickler besser nachvollziehbar, wenn er Code sieht, der dem ähnelt, was er normalerweise schreibt, wird er aufstehen und aufpassen.

Auf der Secure Code Warrior Plattform haben wir das sichere Codetraining gamifiziert und bieten eine Vielzahl von Herausforderungen in mehreren Sprachen und Frameworks. Das System regt zum wiederholten Spielen an und ist vor allem sofort anpassbar, um die richtige Umgebung für echtes kontextbezogenes Lernen zu bieten.

Wissen bereitstellen, wenn es am nützlichsten ist

Nach der kontextuellen Lerntheorie findet effektives Lernen nur dann statt, wenn die Schüler neue Informationen oder neues Wissen so verarbeiten, dass es für sie innerhalb ihres eigenen individuellen Bezugsrahmens Sinn macht.

Stellen Sie sich vor, ein Entwickler erhält eine Liste von Sicherheitslücken aus Bug Bounty-Programmen, SAST-Tools oder Bug-Tracking-Software. Sie sind vielleicht perplex - sogar überwältigt - wenn sie noch nie auf diese Schwachstellen gestoßen sind. Was noch schlimmer ist: Die meisten Berichte sind für Anwendungssicherheitsexperten und nicht für Entwickler gedacht. Die Informationen in den Berichten sind schwer zu analysieren und enthalten oft allgemeine Ratschläge, die für einen Entwickler nicht direkt anwendbar sind.

Vor kurzem haben wir die Möglichkeit hinzugefügt, direkt auf praktische Schulungen zu Schwachstellen aus Bug-Bounty-Programmen, SAST-Tools, Bug-Tracking-Software und Penetrationstest-Berichten zu verlinken. Entwickler können sofort die Grundlagen verstehen und gute Coding-Rezepte für ihr jeweiliges Framework lernen.

Diese Art des Lernens stellt sicher, dass Entwickler Wissen und Training zu Konzepten erhalten, wenn sie am relevantesten sind, und es ist viel wahrscheinlicher, dass sie diese Informationen auf lange Sicht behalten.

Secure Code Warrior Ausbildungs-Infografik
Kontextuelles Training im Entwicklungsprozess.

Schnellere Ergebnisse, weniger Störung, glücklichere Camper.

Bei jedem Training ist ein unmittelbarer Zusammenhang mit Ihren täglichen Aktivitäten viel wirkungsvoller, als wenn Sie versuchen, etwas Allgemeines auf Ihre Arbeit anzuwenden. Sie verbringen weniger Zeit im "Lernmodus" oder - noch schlimmer - Sie müssen weniger Dinge durchgehen, die Sie bereits "gelernt" haben, wenn Sie eine Antwort auf etwas brauchen.

Eines der Prinzipien des kontextuellen Trainings ist die Fähigkeit, auf Wissen aufzubauen, so dass jede Komponente des Trainings die vorherige ergänzt, was einen schrittweisen Prozess ermöglicht, der den Teilnehmern einen Weg zur Beherrschung bietet. Auch dies ist etwas, das wir auf unserer Plattform unterstützen, mit einem Gurtsystem, das dem in einem Karate-Dojo ähnelt. Jeder fängt mit dem weißen Gürtel an, bevor er nach den notwendigen Trainingsstunden und der Teilnahme an tournament den begehrten schwarzen Gürtel oder die Stufe "Sicherheitschampion" erreicht. Es ist ein unterhaltsamer Ansatz mit realem Wert und praktischer Anwendung.

Möchten Sie die besten Talente an sich binden und sie sicherheitsbewusst halten? Geben Sie ihnen die Werkzeuge für den Erfolg.

Es ist eine bedauerliche Tatsache, dass sicherheitsbewusste Entwickler und AppSec-Spezialisten im Moment eine knappe (aber wichtige) Ressource sind. Sie sind auch notorisch schwer zu halten.

Cybrary führte 2018 eine Umfrage unter 3100 IT- und Sicherheitsexperten durch und stellte fest, dass ein Schlüsselelement für die Bindung wertvoller Mitarbeiter die Investition in ihre Ausbildung ist. Die Ergebnisse zeigen, dass Unternehmen, die Tools und Schulungen zur Förderung der internen Sicherheitskompetenzen anbieten, 60 % mehr Sicherheitsexperten an sich binden konnten als Unternehmen, die dies nicht taten, und satte 65 % der Befragten bevorzugten praktische Schulungen. Ziemlich klasse, oder?

Die Umfrageergebnisse lieferten jedoch auch eine ziemlich alarmierende Enthüllung: 80 % der Befragten fühlen sich nicht ausreichend vorbereitet, um ihre Organisation gegen Cyber-Bedrohungen zu verteidigen. Diese Bedrohungen werden nicht verschwinden, und das richtige Training zur Bekämpfung des wachsenden Risikos von kostspieligen Datenverletzungen und Angriffen ist jetzt mehr denn je erforderlich. Und, na ja, ich bin vielleicht voreingenommen, aber die Plattform von Secure Code Warrior könnte das Werkzeug sein, das Sie brauchen, um eine positive Sicherheitskultur zu entfachen, Entwickler mit dem kontextbezogenen Training, das sie lieben, weiterzubilden und zu unterstützen und Ihr Unternehmen vor den bösen Jungs zu schützen. Fordern Sie eine Demo an und wir zeigen Ihnen mehr.

Wir bitten Sie um Ihre Erlaubnis, Ihnen Informationen über unsere Produkte und/oder verwandte Themen der sicheren Codierung zuzusenden. Wir werden Ihre persönlichen Daten immer mit äußerster Sorgfalt behandeln und sie niemals zu Marketingzwecken an andere Unternehmen verkaufen.

Um das Formular abzuschicken, aktivieren Sie bitte "Analytics"-Cookies. Sie können die Cookies wieder deaktivieren, sobald Sie fertig sind.