Wer zuerst kommt, mahlt zuerst: Warum kuratierte sichere Codierung courses keine Gnade mit Cyber-Bedrohungen kennt
Es gibt da draußen so etwas wie eine unbequeme Wahrheit, die von Regierungen, großen Unternehmen und sogar einigen Branchenführern gerne beschönigt wird: Als Gesellschaft befinden wir uns in einem ständigen Kampf gegen Cyber-Bedrohungen, und wir sind derzeit auf der Verliererseite. Woher wissen wir das? Diese Statistiken erzählen eine ernüchternde Geschichte:
- Schätzungen zufolge wird Cyberkriminalität bis 2021weltweit Kosten in Höhe von 6 Billionen USDverursachen
- Alle 39 Sekundenfindet ein Cyberangriff statt
- 24 % der Datenverletzungen werden durch menschliches Versagen verursacht
- Alarmierende 77 % der Unternehmen verfügen nicht über einen Reaktionsplan für Cybersecurity-Vorfälle, der unternehmensweit skalierbar ist und abteilungsübergreifend einheitlich angewendet wird.
Wenn es um Cybersicherheitsspezialisten geht, sind wir kritisch unterbesetzt; es ist unwahrscheinlich, dass die Qualifikationslücke geschlossen wird, und es gibt keine geheime AppSec-Armee, die uns aus der Patsche hilft. Das wissen wir seit Jahren, und wir müssen unseren Ansatz ändern. In unserem Fall ist der beste Angriff eine großartige Verteidigung, und wir können mit einem guten Plan zuerst zuschlagen.
Das klingt alles ein bisschen deprimierend, aber es ist nicht so schlimm, wie manche uns glauben machen wollen. Wir haben ein Ass im Ärmel, und das Cybersecurity-Klima bietet uns eine goldene Gelegenheit. Sie brauchen nicht weiter zu suchen als Ihre internen Entwicklungsteams, um das Personal zu finden, das die Organisation retten wird, aber Ihr Sicherheitsprogramm muss sie auf ihrem Weg unterstützen, sicherheitsbewusste Ingenieure zu werden, die bereit sind, die Verantwortung für sicheres Coding zu teilen.
Aber auch die richtigeSchulung, die motiviert, kontextbezogenes Wissen aufbaut und Entwicklern hilft, Sicherheit zu lieben, könnte viel effektiver sein, wenn sie nur besser auf die Bedürfnisse des Unternehmens, die Bedrohungen, denen sie ausgesetzt sind, und die Compliance-Anforderungen, die Unternehmen helfen, all unsere Daten sicher zu halten, abgestimmt wäre.
Und da kommt unsere neueste Funktion ins Spiel, Coursesins Spiel kommt. Übrigens, wenn Sie die Anspielung im Titel verstanden haben, sind Sie offiziell alt (oder schätzen einfach einen Klassiker).
Organisationsspezifisches Lernen: Verteidigung aufbauen, Entwicklerfähigkeiten verstärken
Wir haben alle möglichen Meinungen darüber, warum manche Arten von Entwicklerschulungen besser sind als andere (z.B. langweilen Sie sie nicht mit stundenlangen, trockenen, generischen Videopredigten zu Tode und erwarten dann, dass eine Leidenschaft für sicheres Coding aufblüht). Aber selbst bei wettbewerbsfähigen Schulungen, die darauf ausgelegt sind, die Denkweise von Entwicklern anzusprechen, kann der Inhalt immer noch ein wenig breiter sein, als es für bestimmte Anforderungen innerhalb einer Organisation erforderlich ist.
Ein kuratierter Kurs, der genau die Module enthält, in denen Ihre Entwickler ihre Fähigkeiten unter Beweis stellen müssen, wird eine starke Wirkung haben und es ihnen ermöglichen, bei ihrer täglichen Arbeit mit Best Practices in Sachen Sicherheit durchzustarten. Schneiden Sie die Programme auf Frontend-Teams, Cloud-Ingenieure und mehr zu, mit der Möglichkeit, die wichtigsten Schwachstellen in den für sie relevanten Sprachen und Frameworks zu vertiefen. Entwickler erweitern ihre Fähigkeiten durch kontinuierlichen Kontext, Berührungspunkte und Erfahrung, während das Unternehmen von einem präzisen Bewusstsein für die Probleme profitiert, die das größte Risiko darstellen.
Anpassen eines Kurses für Compliance
Überall auf der Welt werden strengere Vorschriften in Bezug auf Cybersicherheit erlassen, und die Einhaltung von Software-Sicherheitsvorschriften ist eine großartige Grundlage, auf der eine positive, effektive Sicherheitskultur aufgebaut werden kann. Es sollte nicht langweilig sein, und ein gutes Sicherheitsprogramm entfacht bei den Entwicklern ein Gefühl von Stolz und Verantwortung, im Gegensatz zu einem Stöhnen und Facepalm.
Als Ausgangspunkt ist es eine sehr gute Idee, jeden mit den OWASP Top 10 auf den neuesten Stand zu bringen, aber um wirklich neue Höhen in der branchenrelevanten Compliance zu erreichen, können Sie einen maßgeschneiderten Kurs rund um die Anforderungen spezifischer Vorschriften entwerfen. Ein Finanzunternehmen könnte zum Beispiel einen Kurs auf die Compliance-Anforderungen seiner Software zuschneiden, in Übereinstimmung mit den PCI-DSS-Richtlinien, die für Zahlungs- und Kartenverarbeitungsanwendungen gelten. Es steht viel auf dem Spiel, wenn Sie für die Verarbeitung und Speicherung sensibler Daten wie Kreditkartennummern verantwortlich sind, und wenn Sie bei der Schulung von Entwicklern sehr spezifisch vorgehen, können Sie die richtige Schulung zur richtigen Zeit anbieten und die Eignung des Teams viel einfacher überwachen.
So nutzt General Electric (GE) Courses innerhalb ihrer Teams:
"Courses sind eine großartige Lösung für unsere Ingenieure. Mit der neuen Funktion - die den Lernpfad, die Videos und die Checkpoints in einem anpassbaren Modul bündelt - haben wir die Möglichkeit, die Inhalte so zu gestalten, wie wir sie gerade brauchen. Die Compliance-Funktionen und die Flexibilität bieten eine noch bessere Möglichkeit, einen strafferen und flexibleren Prozess zu gewährleisten. Diese Fähigkeit hat General Electric geholfen, relevante Schulungen für jeden Ingenieur schneller und einfacher als je zuvor zu gestalten."
Und denken Sie daran, dass es sich zwar um eine kuratierte Compliance-Schulung handelt, diese aber immer noch als mundgerechtes, kontextbezogenes und ansprechendes Lernerlebnis geliefert wird, das für Entwickler viel attraktiver ist.
Eine positive Sicherheitskultur, die auf Respekt und Relevanz beruht
Bildung ist ein lebenslanger Prozess, aber in der hektischen Welt von DevSecOps gibt es eine Menge Teller zu drehen. Die Zeit, die für Schulungen vorgesehen ist, sollte klug genutzt werden, mit einem praktikablen Lernpfad, der weiterhin engagiert und wertschöpfend ist.
Indem Sie einen benutzerdefinierten Kurs kuratieren, der hyperrelevant ist, respektieren Sie die Zeit und den Arbeitsablauf des Entwicklers, während Sie gleichzeitig auf eine messbare Reduzierung von Schwachstellen und Cybersicherheitsrisiken für das Unternehmen hinarbeiten.
Die Beziehung zwischen AppSec-Spezialisten und Ingenieuren ist traditionell mit Missverständnissen und Belastungen behaftet, aber strukturiertes Lernen mit Courses kann es beiden Parteien ermöglichen, bei den Best Practices für Sicherheit auf die gleiche Seite zu kommen. Die Entwickler werden es sicherlich zu schätzen wissen, wenn das AppSec-Team sie lösungsorientiert befähigt, was die Belastung für sie minimiert und sie bei der Erstellung eines höheren Codestandards unterstützt.
Schwachstellen ausmerzen, Sicherheitshygiene auf Unternehmensebene skalieren
Wir sind alle Menschen, und leider machen wir Fehler. Diese Fehler können in der digitalen Welt extrem kostspielig sein, sind aber erstaunlich häufig. Der 2019 Internet Security Threat Report von Symantec bestätigt, dass mehr als 70 Millionen Datensätze aufgrund von falsch konfigurierten S3-Buckets gestohlen wurden. Sicherheitsfehlkonfigurationen sind eine der Hauptursachen für Datenschutzverletzungen, wobei menschliches Versagen für etwa ein Viertel davon verantwortlich ist.
Für diese Probleme gibt es eine Reihe von Gründen, aber ein Mangel an Sicherheitsbewusstsein und -schulung ist ein großer Treiber dafür, dass kleine Zeitfenster offen gelassen werden, die Angreifer ausnutzen können. Für eine skalierbare Sicherheitshygiene, die Wirkung zeigt, müssen Sie einen Kurs anbieten, der auf Ihr Unternehmen zugeschnitten ist. Zeigen Sie keine Gnade mit Ihren Angreifern und schalten Sie jede Möglichkeit aus, die Ihnen das größte Kopfzerbrechen bereitet, das Sie je erlebt haben.
Wir sehen bereits eine erstaunliche Wirkung bei unseren Kunden, darunter dieser führende SaaS-Anbieter für cloudbasierte Buchhaltung:
Courses"Der maßgeschneiderte Lernpfad war ein entscheidender Schritt. Die Spezifität rund um die Programmiersprachen und die Schwachstellen bietet mehr Kontrolle und Flexibilität, um die richtige Lernerfahrung für jeden Entwickler auf der Grundlage der individuellen und betrieblichen Bedürfnisse zu schaffen. Die Verwendung von Courses in Verbindung mit der breiteren Plattform für sichere Programmierung von Secure Code Warrior hat das Engagement unserer Entwickler dahingehend verändert, dass sie nun mehr daran interessiert sind, ihre Fähigkeiten im Bereich der sicheren Programmierung zu verbessern, um besseren und sichereren Code zu schreiben."
Machen Sie sich DevSec-bereit. Erfahren Sie mehr über Secure Code Warriors brandneue Funktion Courses hier.
Ein kuratierter Kurs, der genau die Module enthält, in denen Ihre Entwickler ihre Fähigkeiten unter Beweis stellen müssen, wird eine starke Wirkung haben und es ihnen ermöglichen, bei ihrer täglichen Arbeit mit den Best Practices im Bereich der Sicherheit auf Anhieb zurechtzukommen.
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenMatias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Es gibt da draußen so etwas wie eine unbequeme Wahrheit, die von Regierungen, großen Unternehmen und sogar einigen Branchenführern gerne beschönigt wird: Als Gesellschaft befinden wir uns in einem ständigen Kampf gegen Cyber-Bedrohungen, und wir sind derzeit auf der Verliererseite. Woher wissen wir das? Diese Statistiken erzählen eine ernüchternde Geschichte:
- Schätzungen zufolge wird Cyberkriminalität bis 2021weltweit Kosten in Höhe von 6 Billionen USDverursachen
- Alle 39 Sekundenfindet ein Cyberangriff statt
- 24 % der Datenverletzungen werden durch menschliches Versagen verursacht
- Alarmierende 77 % der Unternehmen verfügen nicht über einen Reaktionsplan für Cybersecurity-Vorfälle, der unternehmensweit skalierbar ist und abteilungsübergreifend einheitlich angewendet wird.
Wenn es um Cybersicherheitsspezialisten geht, sind wir kritisch unterbesetzt; es ist unwahrscheinlich, dass die Qualifikationslücke geschlossen wird, und es gibt keine geheime AppSec-Armee, die uns aus der Patsche hilft. Das wissen wir seit Jahren, und wir müssen unseren Ansatz ändern. In unserem Fall ist der beste Angriff eine großartige Verteidigung, und wir können mit einem guten Plan zuerst zuschlagen.
Das klingt alles ein bisschen deprimierend, aber es ist nicht so schlimm, wie manche uns glauben machen wollen. Wir haben ein Ass im Ärmel, und das Cybersecurity-Klima bietet uns eine goldene Gelegenheit. Sie brauchen nicht weiter zu suchen als Ihre internen Entwicklungsteams, um das Personal zu finden, das die Organisation retten wird, aber Ihr Sicherheitsprogramm muss sie auf ihrem Weg unterstützen, sicherheitsbewusste Ingenieure zu werden, die bereit sind, die Verantwortung für sicheres Coding zu teilen.
Aber auch die richtigeSchulung, die motiviert, kontextbezogenes Wissen aufbaut und Entwicklern hilft, Sicherheit zu lieben, könnte viel effektiver sein, wenn sie nur besser auf die Bedürfnisse des Unternehmens, die Bedrohungen, denen sie ausgesetzt sind, und die Compliance-Anforderungen, die Unternehmen helfen, all unsere Daten sicher zu halten, abgestimmt wäre.
Und da kommt unsere neueste Funktion ins Spiel, Coursesins Spiel kommt. Übrigens, wenn Sie die Anspielung im Titel verstanden haben, sind Sie offiziell alt (oder schätzen einfach einen Klassiker).
Organisationsspezifisches Lernen: Verteidigung aufbauen, Entwicklerfähigkeiten verstärken
Wir haben alle möglichen Meinungen darüber, warum manche Arten von Entwicklerschulungen besser sind als andere (z.B. langweilen Sie sie nicht mit stundenlangen, trockenen, generischen Videopredigten zu Tode und erwarten dann, dass eine Leidenschaft für sicheres Coding aufblüht). Aber selbst bei wettbewerbsfähigen Schulungen, die darauf ausgelegt sind, die Denkweise von Entwicklern anzusprechen, kann der Inhalt immer noch ein wenig breiter sein, als es für bestimmte Anforderungen innerhalb einer Organisation erforderlich ist.
Ein kuratierter Kurs, der genau die Module enthält, in denen Ihre Entwickler ihre Fähigkeiten unter Beweis stellen müssen, wird eine starke Wirkung haben und es ihnen ermöglichen, bei ihrer täglichen Arbeit mit Best Practices in Sachen Sicherheit durchzustarten. Schneiden Sie die Programme auf Frontend-Teams, Cloud-Ingenieure und mehr zu, mit der Möglichkeit, die wichtigsten Schwachstellen in den für sie relevanten Sprachen und Frameworks zu vertiefen. Entwickler erweitern ihre Fähigkeiten durch kontinuierlichen Kontext, Berührungspunkte und Erfahrung, während das Unternehmen von einem präzisen Bewusstsein für die Probleme profitiert, die das größte Risiko darstellen.
Anpassen eines Kurses für Compliance
Überall auf der Welt werden strengere Vorschriften in Bezug auf Cybersicherheit erlassen, und die Einhaltung von Software-Sicherheitsvorschriften ist eine großartige Grundlage, auf der eine positive, effektive Sicherheitskultur aufgebaut werden kann. Es sollte nicht langweilig sein, und ein gutes Sicherheitsprogramm entfacht bei den Entwicklern ein Gefühl von Stolz und Verantwortung, im Gegensatz zu einem Stöhnen und Facepalm.
Als Ausgangspunkt ist es eine sehr gute Idee, jeden mit den OWASP Top 10 auf den neuesten Stand zu bringen, aber um wirklich neue Höhen in der branchenrelevanten Compliance zu erreichen, können Sie einen maßgeschneiderten Kurs rund um die Anforderungen spezifischer Vorschriften entwerfen. Ein Finanzunternehmen könnte zum Beispiel einen Kurs auf die Compliance-Anforderungen seiner Software zuschneiden, in Übereinstimmung mit den PCI-DSS-Richtlinien, die für Zahlungs- und Kartenverarbeitungsanwendungen gelten. Es steht viel auf dem Spiel, wenn Sie für die Verarbeitung und Speicherung sensibler Daten wie Kreditkartennummern verantwortlich sind, und wenn Sie bei der Schulung von Entwicklern sehr spezifisch vorgehen, können Sie die richtige Schulung zur richtigen Zeit anbieten und die Eignung des Teams viel einfacher überwachen.
So nutzt General Electric (GE) Courses innerhalb ihrer Teams:
"Courses sind eine großartige Lösung für unsere Ingenieure. Mit der neuen Funktion - die den Lernpfad, die Videos und die Checkpoints in einem anpassbaren Modul bündelt - haben wir die Möglichkeit, die Inhalte so zu gestalten, wie wir sie gerade brauchen. Die Compliance-Funktionen und die Flexibilität bieten eine noch bessere Möglichkeit, einen strafferen und flexibleren Prozess zu gewährleisten. Diese Fähigkeit hat General Electric geholfen, relevante Schulungen für jeden Ingenieur schneller und einfacher als je zuvor zu gestalten."
Und denken Sie daran, dass es sich zwar um eine kuratierte Compliance-Schulung handelt, diese aber immer noch als mundgerechtes, kontextbezogenes und ansprechendes Lernerlebnis geliefert wird, das für Entwickler viel attraktiver ist.
Eine positive Sicherheitskultur, die auf Respekt und Relevanz beruht
Bildung ist ein lebenslanger Prozess, aber in der hektischen Welt von DevSecOps gibt es eine Menge Teller zu drehen. Die Zeit, die für Schulungen vorgesehen ist, sollte klug genutzt werden, mit einem praktikablen Lernpfad, der weiterhin engagiert und wertschöpfend ist.
Indem Sie einen benutzerdefinierten Kurs kuratieren, der hyperrelevant ist, respektieren Sie die Zeit und den Arbeitsablauf des Entwicklers, während Sie gleichzeitig auf eine messbare Reduzierung von Schwachstellen und Cybersicherheitsrisiken für das Unternehmen hinarbeiten.
Die Beziehung zwischen AppSec-Spezialisten und Ingenieuren ist traditionell mit Missverständnissen und Belastungen behaftet, aber strukturiertes Lernen mit Courses kann es beiden Parteien ermöglichen, bei den Best Practices für Sicherheit auf die gleiche Seite zu kommen. Die Entwickler werden es sicherlich zu schätzen wissen, wenn das AppSec-Team sie lösungsorientiert befähigt, was die Belastung für sie minimiert und sie bei der Erstellung eines höheren Codestandards unterstützt.
Schwachstellen ausmerzen, Sicherheitshygiene auf Unternehmensebene skalieren
Wir sind alle Menschen, und leider machen wir Fehler. Diese Fehler können in der digitalen Welt extrem kostspielig sein, sind aber erstaunlich häufig. Der 2019 Internet Security Threat Report von Symantec bestätigt, dass mehr als 70 Millionen Datensätze aufgrund von falsch konfigurierten S3-Buckets gestohlen wurden. Sicherheitsfehlkonfigurationen sind eine der Hauptursachen für Datenschutzverletzungen, wobei menschliches Versagen für etwa ein Viertel davon verantwortlich ist.
Für diese Probleme gibt es eine Reihe von Gründen, aber ein Mangel an Sicherheitsbewusstsein und -schulung ist ein großer Treiber dafür, dass kleine Zeitfenster offen gelassen werden, die Angreifer ausnutzen können. Für eine skalierbare Sicherheitshygiene, die Wirkung zeigt, müssen Sie einen Kurs anbieten, der auf Ihr Unternehmen zugeschnitten ist. Zeigen Sie keine Gnade mit Ihren Angreifern und schalten Sie jede Möglichkeit aus, die Ihnen das größte Kopfzerbrechen bereitet, das Sie je erlebt haben.
Wir sehen bereits eine erstaunliche Wirkung bei unseren Kunden, darunter dieser führende SaaS-Anbieter für cloudbasierte Buchhaltung:
Courses"Der maßgeschneiderte Lernpfad war ein entscheidender Schritt. Die Spezifität rund um die Programmiersprachen und die Schwachstellen bietet mehr Kontrolle und Flexibilität, um die richtige Lernerfahrung für jeden Entwickler auf der Grundlage der individuellen und betrieblichen Bedürfnisse zu schaffen. Die Verwendung von Courses in Verbindung mit der breiteren Plattform für sichere Programmierung von Secure Code Warrior hat das Engagement unserer Entwickler dahingehend verändert, dass sie nun mehr daran interessiert sind, ihre Fähigkeiten im Bereich der sicheren Programmierung zu verbessern, um besseren und sichereren Code zu schreiben."
Machen Sie sich DevSec-bereit. Erfahren Sie mehr über Secure Code Warriors brandneue Funktion Courses hier.
Es gibt da draußen so etwas wie eine unbequeme Wahrheit, die von Regierungen, großen Unternehmen und sogar einigen Branchenführern gerne beschönigt wird: Als Gesellschaft befinden wir uns in einem ständigen Kampf gegen Cyber-Bedrohungen, und wir sind derzeit auf der Verliererseite. Woher wissen wir das? Diese Statistiken erzählen eine ernüchternde Geschichte:
- Schätzungen zufolge wird Cyberkriminalität bis 2021weltweit Kosten in Höhe von 6 Billionen USDverursachen
- Alle 39 Sekundenfindet ein Cyberangriff statt
- 24 % der Datenverletzungen werden durch menschliches Versagen verursacht
- Alarmierende 77 % der Unternehmen verfügen nicht über einen Reaktionsplan für Cybersecurity-Vorfälle, der unternehmensweit skalierbar ist und abteilungsübergreifend einheitlich angewendet wird.
Wenn es um Cybersicherheitsspezialisten geht, sind wir kritisch unterbesetzt; es ist unwahrscheinlich, dass die Qualifikationslücke geschlossen wird, und es gibt keine geheime AppSec-Armee, die uns aus der Patsche hilft. Das wissen wir seit Jahren, und wir müssen unseren Ansatz ändern. In unserem Fall ist der beste Angriff eine großartige Verteidigung, und wir können mit einem guten Plan zuerst zuschlagen.
Das klingt alles ein bisschen deprimierend, aber es ist nicht so schlimm, wie manche uns glauben machen wollen. Wir haben ein Ass im Ärmel, und das Cybersecurity-Klima bietet uns eine goldene Gelegenheit. Sie brauchen nicht weiter zu suchen als Ihre internen Entwicklungsteams, um das Personal zu finden, das die Organisation retten wird, aber Ihr Sicherheitsprogramm muss sie auf ihrem Weg unterstützen, sicherheitsbewusste Ingenieure zu werden, die bereit sind, die Verantwortung für sicheres Coding zu teilen.
Aber auch die richtigeSchulung, die motiviert, kontextbezogenes Wissen aufbaut und Entwicklern hilft, Sicherheit zu lieben, könnte viel effektiver sein, wenn sie nur besser auf die Bedürfnisse des Unternehmens, die Bedrohungen, denen sie ausgesetzt sind, und die Compliance-Anforderungen, die Unternehmen helfen, all unsere Daten sicher zu halten, abgestimmt wäre.
Und da kommt unsere neueste Funktion ins Spiel, Coursesins Spiel kommt. Übrigens, wenn Sie die Anspielung im Titel verstanden haben, sind Sie offiziell alt (oder schätzen einfach einen Klassiker).
Organisationsspezifisches Lernen: Verteidigung aufbauen, Entwicklerfähigkeiten verstärken
Wir haben alle möglichen Meinungen darüber, warum manche Arten von Entwicklerschulungen besser sind als andere (z.B. langweilen Sie sie nicht mit stundenlangen, trockenen, generischen Videopredigten zu Tode und erwarten dann, dass eine Leidenschaft für sicheres Coding aufblüht). Aber selbst bei wettbewerbsfähigen Schulungen, die darauf ausgelegt sind, die Denkweise von Entwicklern anzusprechen, kann der Inhalt immer noch ein wenig breiter sein, als es für bestimmte Anforderungen innerhalb einer Organisation erforderlich ist.
Ein kuratierter Kurs, der genau die Module enthält, in denen Ihre Entwickler ihre Fähigkeiten unter Beweis stellen müssen, wird eine starke Wirkung haben und es ihnen ermöglichen, bei ihrer täglichen Arbeit mit Best Practices in Sachen Sicherheit durchzustarten. Schneiden Sie die Programme auf Frontend-Teams, Cloud-Ingenieure und mehr zu, mit der Möglichkeit, die wichtigsten Schwachstellen in den für sie relevanten Sprachen und Frameworks zu vertiefen. Entwickler erweitern ihre Fähigkeiten durch kontinuierlichen Kontext, Berührungspunkte und Erfahrung, während das Unternehmen von einem präzisen Bewusstsein für die Probleme profitiert, die das größte Risiko darstellen.
Anpassen eines Kurses für Compliance
Überall auf der Welt werden strengere Vorschriften in Bezug auf Cybersicherheit erlassen, und die Einhaltung von Software-Sicherheitsvorschriften ist eine großartige Grundlage, auf der eine positive, effektive Sicherheitskultur aufgebaut werden kann. Es sollte nicht langweilig sein, und ein gutes Sicherheitsprogramm entfacht bei den Entwicklern ein Gefühl von Stolz und Verantwortung, im Gegensatz zu einem Stöhnen und Facepalm.
Als Ausgangspunkt ist es eine sehr gute Idee, jeden mit den OWASP Top 10 auf den neuesten Stand zu bringen, aber um wirklich neue Höhen in der branchenrelevanten Compliance zu erreichen, können Sie einen maßgeschneiderten Kurs rund um die Anforderungen spezifischer Vorschriften entwerfen. Ein Finanzunternehmen könnte zum Beispiel einen Kurs auf die Compliance-Anforderungen seiner Software zuschneiden, in Übereinstimmung mit den PCI-DSS-Richtlinien, die für Zahlungs- und Kartenverarbeitungsanwendungen gelten. Es steht viel auf dem Spiel, wenn Sie für die Verarbeitung und Speicherung sensibler Daten wie Kreditkartennummern verantwortlich sind, und wenn Sie bei der Schulung von Entwicklern sehr spezifisch vorgehen, können Sie die richtige Schulung zur richtigen Zeit anbieten und die Eignung des Teams viel einfacher überwachen.
So nutzt General Electric (GE) Courses innerhalb ihrer Teams:
"Courses sind eine großartige Lösung für unsere Ingenieure. Mit der neuen Funktion - die den Lernpfad, die Videos und die Checkpoints in einem anpassbaren Modul bündelt - haben wir die Möglichkeit, die Inhalte so zu gestalten, wie wir sie gerade brauchen. Die Compliance-Funktionen und die Flexibilität bieten eine noch bessere Möglichkeit, einen strafferen und flexibleren Prozess zu gewährleisten. Diese Fähigkeit hat General Electric geholfen, relevante Schulungen für jeden Ingenieur schneller und einfacher als je zuvor zu gestalten."
Und denken Sie daran, dass es sich zwar um eine kuratierte Compliance-Schulung handelt, diese aber immer noch als mundgerechtes, kontextbezogenes und ansprechendes Lernerlebnis geliefert wird, das für Entwickler viel attraktiver ist.
Eine positive Sicherheitskultur, die auf Respekt und Relevanz beruht
Bildung ist ein lebenslanger Prozess, aber in der hektischen Welt von DevSecOps gibt es eine Menge Teller zu drehen. Die Zeit, die für Schulungen vorgesehen ist, sollte klug genutzt werden, mit einem praktikablen Lernpfad, der weiterhin engagiert und wertschöpfend ist.
Indem Sie einen benutzerdefinierten Kurs kuratieren, der hyperrelevant ist, respektieren Sie die Zeit und den Arbeitsablauf des Entwicklers, während Sie gleichzeitig auf eine messbare Reduzierung von Schwachstellen und Cybersicherheitsrisiken für das Unternehmen hinarbeiten.
Die Beziehung zwischen AppSec-Spezialisten und Ingenieuren ist traditionell mit Missverständnissen und Belastungen behaftet, aber strukturiertes Lernen mit Courses kann es beiden Parteien ermöglichen, bei den Best Practices für Sicherheit auf die gleiche Seite zu kommen. Die Entwickler werden es sicherlich zu schätzen wissen, wenn das AppSec-Team sie lösungsorientiert befähigt, was die Belastung für sie minimiert und sie bei der Erstellung eines höheren Codestandards unterstützt.
Schwachstellen ausmerzen, Sicherheitshygiene auf Unternehmensebene skalieren
Wir sind alle Menschen, und leider machen wir Fehler. Diese Fehler können in der digitalen Welt extrem kostspielig sein, sind aber erstaunlich häufig. Der 2019 Internet Security Threat Report von Symantec bestätigt, dass mehr als 70 Millionen Datensätze aufgrund von falsch konfigurierten S3-Buckets gestohlen wurden. Sicherheitsfehlkonfigurationen sind eine der Hauptursachen für Datenschutzverletzungen, wobei menschliches Versagen für etwa ein Viertel davon verantwortlich ist.
Für diese Probleme gibt es eine Reihe von Gründen, aber ein Mangel an Sicherheitsbewusstsein und -schulung ist ein großer Treiber dafür, dass kleine Zeitfenster offen gelassen werden, die Angreifer ausnutzen können. Für eine skalierbare Sicherheitshygiene, die Wirkung zeigt, müssen Sie einen Kurs anbieten, der auf Ihr Unternehmen zugeschnitten ist. Zeigen Sie keine Gnade mit Ihren Angreifern und schalten Sie jede Möglichkeit aus, die Ihnen das größte Kopfzerbrechen bereitet, das Sie je erlebt haben.
Wir sehen bereits eine erstaunliche Wirkung bei unseren Kunden, darunter dieser führende SaaS-Anbieter für cloudbasierte Buchhaltung:
Courses"Der maßgeschneiderte Lernpfad war ein entscheidender Schritt. Die Spezifität rund um die Programmiersprachen und die Schwachstellen bietet mehr Kontrolle und Flexibilität, um die richtige Lernerfahrung für jeden Entwickler auf der Grundlage der individuellen und betrieblichen Bedürfnisse zu schaffen. Die Verwendung von Courses in Verbindung mit der breiteren Plattform für sichere Programmierung von Secure Code Warrior hat das Engagement unserer Entwickler dahingehend verändert, dass sie nun mehr daran interessiert sind, ihre Fähigkeiten im Bereich der sicheren Programmierung zu verbessern, um besseren und sichereren Code zu schreiben."
Machen Sie sich DevSec-bereit. Erfahren Sie mehr über Secure Code Warriors brandneue Funktion Courses hier.
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchenMatias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Es gibt da draußen so etwas wie eine unbequeme Wahrheit, die von Regierungen, großen Unternehmen und sogar einigen Branchenführern gerne beschönigt wird: Als Gesellschaft befinden wir uns in einem ständigen Kampf gegen Cyber-Bedrohungen, und wir sind derzeit auf der Verliererseite. Woher wissen wir das? Diese Statistiken erzählen eine ernüchternde Geschichte:
- Schätzungen zufolge wird Cyberkriminalität bis 2021weltweit Kosten in Höhe von 6 Billionen USDverursachen
- Alle 39 Sekundenfindet ein Cyberangriff statt
- 24 % der Datenverletzungen werden durch menschliches Versagen verursacht
- Alarmierende 77 % der Unternehmen verfügen nicht über einen Reaktionsplan für Cybersecurity-Vorfälle, der unternehmensweit skalierbar ist und abteilungsübergreifend einheitlich angewendet wird.
Wenn es um Cybersicherheitsspezialisten geht, sind wir kritisch unterbesetzt; es ist unwahrscheinlich, dass die Qualifikationslücke geschlossen wird, und es gibt keine geheime AppSec-Armee, die uns aus der Patsche hilft. Das wissen wir seit Jahren, und wir müssen unseren Ansatz ändern. In unserem Fall ist der beste Angriff eine großartige Verteidigung, und wir können mit einem guten Plan zuerst zuschlagen.
Das klingt alles ein bisschen deprimierend, aber es ist nicht so schlimm, wie manche uns glauben machen wollen. Wir haben ein Ass im Ärmel, und das Cybersecurity-Klima bietet uns eine goldene Gelegenheit. Sie brauchen nicht weiter zu suchen als Ihre internen Entwicklungsteams, um das Personal zu finden, das die Organisation retten wird, aber Ihr Sicherheitsprogramm muss sie auf ihrem Weg unterstützen, sicherheitsbewusste Ingenieure zu werden, die bereit sind, die Verantwortung für sicheres Coding zu teilen.
Aber auch die richtigeSchulung, die motiviert, kontextbezogenes Wissen aufbaut und Entwicklern hilft, Sicherheit zu lieben, könnte viel effektiver sein, wenn sie nur besser auf die Bedürfnisse des Unternehmens, die Bedrohungen, denen sie ausgesetzt sind, und die Compliance-Anforderungen, die Unternehmen helfen, all unsere Daten sicher zu halten, abgestimmt wäre.
Und da kommt unsere neueste Funktion ins Spiel, Coursesins Spiel kommt. Übrigens, wenn Sie die Anspielung im Titel verstanden haben, sind Sie offiziell alt (oder schätzen einfach einen Klassiker).
Organisationsspezifisches Lernen: Verteidigung aufbauen, Entwicklerfähigkeiten verstärken
Wir haben alle möglichen Meinungen darüber, warum manche Arten von Entwicklerschulungen besser sind als andere (z.B. langweilen Sie sie nicht mit stundenlangen, trockenen, generischen Videopredigten zu Tode und erwarten dann, dass eine Leidenschaft für sicheres Coding aufblüht). Aber selbst bei wettbewerbsfähigen Schulungen, die darauf ausgelegt sind, die Denkweise von Entwicklern anzusprechen, kann der Inhalt immer noch ein wenig breiter sein, als es für bestimmte Anforderungen innerhalb einer Organisation erforderlich ist.
Ein kuratierter Kurs, der genau die Module enthält, in denen Ihre Entwickler ihre Fähigkeiten unter Beweis stellen müssen, wird eine starke Wirkung haben und es ihnen ermöglichen, bei ihrer täglichen Arbeit mit Best Practices in Sachen Sicherheit durchzustarten. Schneiden Sie die Programme auf Frontend-Teams, Cloud-Ingenieure und mehr zu, mit der Möglichkeit, die wichtigsten Schwachstellen in den für sie relevanten Sprachen und Frameworks zu vertiefen. Entwickler erweitern ihre Fähigkeiten durch kontinuierlichen Kontext, Berührungspunkte und Erfahrung, während das Unternehmen von einem präzisen Bewusstsein für die Probleme profitiert, die das größte Risiko darstellen.
Anpassen eines Kurses für Compliance
Überall auf der Welt werden strengere Vorschriften in Bezug auf Cybersicherheit erlassen, und die Einhaltung von Software-Sicherheitsvorschriften ist eine großartige Grundlage, auf der eine positive, effektive Sicherheitskultur aufgebaut werden kann. Es sollte nicht langweilig sein, und ein gutes Sicherheitsprogramm entfacht bei den Entwicklern ein Gefühl von Stolz und Verantwortung, im Gegensatz zu einem Stöhnen und Facepalm.
Als Ausgangspunkt ist es eine sehr gute Idee, jeden mit den OWASP Top 10 auf den neuesten Stand zu bringen, aber um wirklich neue Höhen in der branchenrelevanten Compliance zu erreichen, können Sie einen maßgeschneiderten Kurs rund um die Anforderungen spezifischer Vorschriften entwerfen. Ein Finanzunternehmen könnte zum Beispiel einen Kurs auf die Compliance-Anforderungen seiner Software zuschneiden, in Übereinstimmung mit den PCI-DSS-Richtlinien, die für Zahlungs- und Kartenverarbeitungsanwendungen gelten. Es steht viel auf dem Spiel, wenn Sie für die Verarbeitung und Speicherung sensibler Daten wie Kreditkartennummern verantwortlich sind, und wenn Sie bei der Schulung von Entwicklern sehr spezifisch vorgehen, können Sie die richtige Schulung zur richtigen Zeit anbieten und die Eignung des Teams viel einfacher überwachen.
So nutzt General Electric (GE) Courses innerhalb ihrer Teams:
"Courses sind eine großartige Lösung für unsere Ingenieure. Mit der neuen Funktion - die den Lernpfad, die Videos und die Checkpoints in einem anpassbaren Modul bündelt - haben wir die Möglichkeit, die Inhalte so zu gestalten, wie wir sie gerade brauchen. Die Compliance-Funktionen und die Flexibilität bieten eine noch bessere Möglichkeit, einen strafferen und flexibleren Prozess zu gewährleisten. Diese Fähigkeit hat General Electric geholfen, relevante Schulungen für jeden Ingenieur schneller und einfacher als je zuvor zu gestalten."
Und denken Sie daran, dass es sich zwar um eine kuratierte Compliance-Schulung handelt, diese aber immer noch als mundgerechtes, kontextbezogenes und ansprechendes Lernerlebnis geliefert wird, das für Entwickler viel attraktiver ist.
Eine positive Sicherheitskultur, die auf Respekt und Relevanz beruht
Bildung ist ein lebenslanger Prozess, aber in der hektischen Welt von DevSecOps gibt es eine Menge Teller zu drehen. Die Zeit, die für Schulungen vorgesehen ist, sollte klug genutzt werden, mit einem praktikablen Lernpfad, der weiterhin engagiert und wertschöpfend ist.
Indem Sie einen benutzerdefinierten Kurs kuratieren, der hyperrelevant ist, respektieren Sie die Zeit und den Arbeitsablauf des Entwicklers, während Sie gleichzeitig auf eine messbare Reduzierung von Schwachstellen und Cybersicherheitsrisiken für das Unternehmen hinarbeiten.
Die Beziehung zwischen AppSec-Spezialisten und Ingenieuren ist traditionell mit Missverständnissen und Belastungen behaftet, aber strukturiertes Lernen mit Courses kann es beiden Parteien ermöglichen, bei den Best Practices für Sicherheit auf die gleiche Seite zu kommen. Die Entwickler werden es sicherlich zu schätzen wissen, wenn das AppSec-Team sie lösungsorientiert befähigt, was die Belastung für sie minimiert und sie bei der Erstellung eines höheren Codestandards unterstützt.
Schwachstellen ausmerzen, Sicherheitshygiene auf Unternehmensebene skalieren
Wir sind alle Menschen, und leider machen wir Fehler. Diese Fehler können in der digitalen Welt extrem kostspielig sein, sind aber erstaunlich häufig. Der 2019 Internet Security Threat Report von Symantec bestätigt, dass mehr als 70 Millionen Datensätze aufgrund von falsch konfigurierten S3-Buckets gestohlen wurden. Sicherheitsfehlkonfigurationen sind eine der Hauptursachen für Datenschutzverletzungen, wobei menschliches Versagen für etwa ein Viertel davon verantwortlich ist.
Für diese Probleme gibt es eine Reihe von Gründen, aber ein Mangel an Sicherheitsbewusstsein und -schulung ist ein großer Treiber dafür, dass kleine Zeitfenster offen gelassen werden, die Angreifer ausnutzen können. Für eine skalierbare Sicherheitshygiene, die Wirkung zeigt, müssen Sie einen Kurs anbieten, der auf Ihr Unternehmen zugeschnitten ist. Zeigen Sie keine Gnade mit Ihren Angreifern und schalten Sie jede Möglichkeit aus, die Ihnen das größte Kopfzerbrechen bereitet, das Sie je erlebt haben.
Wir sehen bereits eine erstaunliche Wirkung bei unseren Kunden, darunter dieser führende SaaS-Anbieter für cloudbasierte Buchhaltung:
Courses"Der maßgeschneiderte Lernpfad war ein entscheidender Schritt. Die Spezifität rund um die Programmiersprachen und die Schwachstellen bietet mehr Kontrolle und Flexibilität, um die richtige Lernerfahrung für jeden Entwickler auf der Grundlage der individuellen und betrieblichen Bedürfnisse zu schaffen. Die Verwendung von Courses in Verbindung mit der breiteren Plattform für sichere Programmierung von Secure Code Warrior hat das Engagement unserer Entwickler dahingehend verändert, dass sie nun mehr daran interessiert sind, ihre Fähigkeiten im Bereich der sicheren Programmierung zu verbessern, um besseren und sichereren Code zu schreiben."
Machen Sie sich DevSec-bereit. Erfahren Sie mehr über Secure Code Warriors brandneue Funktion Courses hier.
Inhaltsübersicht
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Die Leistungsfähigkeit von OpenText Fortify + Secure Code Warrior
OpenText Fortify und Secure Code Warrior bündeln ihre Kräfte, um Unternehmen dabei zu helfen, Risiken zu reduzieren, Entwickler zu Sicherheits-Champions zu machen und Kundenvertrauen aufzubauen. Lesen Sie hier mehr darüber.
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Die Secure-by-Design-Bewegung ist die Zukunft der sicheren Softwareentwicklung. Erfahren Sie mehr über die wichtigsten Elemente, die Unternehmen berücksichtigen müssen, wenn sie über eine Secure-by-Design-Initiative nachdenken.
Ressourcen für den Einstieg
OWASP Top 10 für LLM-Bewerbungen: Was ist neu, was hat sich geändert, und wie bleibt man sicher?
Bleiben Sie bei der Absicherung von LLM-Anwendungen mit den neuesten OWASP Top 10 Updates immer einen Schritt voraus. Entdecken Sie, was neu ist, was sich geändert hat und wie Secure Code Warrior Sie mit aktuellen Lernressourcen ausstattet, um Risiken in der generativen KI zu minimieren.
Trust Score zeigt den Wert von Secure-by-Design-Upskilling-Initiativen
Unsere Forschung hat gezeigt, dass Schulungen für sicheren Code funktionieren. Trust Score verwendet einen Algorithmus, der auf mehr als 20 Millionen Lerndaten aus der Arbeit von mehr als 250.000 Lernenden in über 600 Organisationen basiert, und zeigt, wie effektiv die Initiative ist, um Schwachstellen zu beseitigen und wie man sie noch effektiver gestalten kann.
Reaktive versus präventive Sicherheit: Prävention ist das bessere Heilmittel
Der Gedanke, Legacy-Code und -Systeme zur gleichen Zeit wie neuere Anwendungen mit präventiver Sicherheit auszustatten, kann entmutigend erscheinen, aber ein Secure-by-Design-Ansatz, der durch die Weiterbildung von Entwicklern durchgesetzt wird, kann die besten Sicherheitsverfahren auf diese Systeme anwenden. Dies ist für viele Unternehmen die beste Chance, ihre Sicherheitslage zu verbessern.
Die Vorteile eines Benchmarking der Sicherheitskompetenzen von Entwicklern
Der zunehmende Fokus auf sicheren Code und Secure-by-Design-Prinzipien erfordert, dass Entwickler von Beginn des SDLC an in Cybersicherheit geschult werden, wobei Tools wie Secure Code Warrior's Trust Score dabei helfen, ihre Fortschritte zu messen und zu verbessern.