Die Millionenfrage, die jeder Entwickler seinen potenziellen Arbeitgebern stellen sollte
Jeder Entwickler muss sich eine Frage stellen, egal ob Sie gerade Ihren Abschluss gemacht haben oder bereits ein Veteran sind. Und die Antwort ist wichtig. In einer agilen Welt ist dies noch wichtiger geworden, da es einen direkten Einfluss auf Ihren Erfolg in der Softwareentwicklung und Ihren Wert für Ihren nächsten Arbeitgeber hat.
Das ist die Millionenfrage. Eigentlich ist es sogar eine Frage von mehreren Millionen Dollar!
Sind Sie entschlossen, mir dabei zu helfen, sicher zu programmieren?
Die durchschnittlichen Kosten einer Datenverletzung belaufen sich mittlerweile auf 3,6 Millionen US-Dollar. Die Wahrscheinlichkeit, dass Ihr Unternehmen in diesem Jahr gehackt wird, liegt bei eins zu vier. Angesichts dieser Tatsachen teile ich die Frustration vieler Menschen darüber, dass Entwickler ihr Studium nicht mit Kenntnissen in sicherer Programmierung und Sicherheit abschließen, die ihnen in die Wiege gelegt sind.
Warum? Softwareentwicklung ist noch ein relativ junger Berufszweig. Der Schwerpunkt lag darauf, den Anwendern beizubringen, wie man schnell Code erstellt, ihn elegant und funktional gestaltet, aber es wurde nur sehr wenig Wert auf die Sicherheit des Codes gelegt. Das Tempo, mit dem sich Methoden, Technologien, Sprachen und Möglichkeiten weiterentwickeln, verschärft diese grundlegenden Qualifikationslücken nur noch.
Wir werden das Hochschulsystem nicht so schnell ändern können. Entwickler und Unternehmen müssen sich daher darauf einstellen, dass Entwickler sich ihre Kenntnisse im Bereich sicheres Programmieren in der Praxis aneignen. In manchen Berufen kann man durch Fehler lernen, in anderen ist dies jedoch keine Option. Das Gleiche gilt für die Cybersicherheit.
Die Fakten zeigen, dass wir auch bei der Fortbildung von Entwicklern im Bereich Sicherheit keine besonders guten Ergebnisse erzielt haben. Die meisten der weltweit größten Sicherheitslücken sind auf Programmierfehler zurückzuführen, die es Hackern ermöglichen, sich Zugriff auf Computernetzwerke zu verschaffen und so an wertvolle Daten zu gelangen und diese zu sammeln. Der Bericht von Verizon über Datenverstöße (DBIR) 2017 zeigt, dass 30 % aller Verstöße direkt auf Schwachstellen in der Sicherheit von Webanwendungen zurückzuführen sind, und diese Schlussfolgerung ist seit 2013 im DBIR-Bericht konstant.
Die im August 2017 veröffentlichte weltweite Umfrage zu DevSecOps-Kompetenzen bestätigte, was wir bereits wussten: Während 65 % der DevOps-Fachleute der Meinung sind, dass es sehr wichtig ist, sich mit DevSecOps auszukennen, wenn man in die IT-Branche einsteigt, glauben 70 %, dass sie im Rahmen einer offiziellen Ausbildung nicht die erforderliche Schulung erhalten, um in der heutigen DevSecOps-Welt erfolgreich zu sein.
Fast 40 % der befragten Personalverantwortlichen gaben an, dass die am schwierigsten zu findenden Mitarbeiter vielseitige High-End-Entwickler mit ausreichenden Kenntnissen im Bereich Sicherheitstests seien. 70 % der Befragten gaben an, dass die Sicherheitsschulungen, die sie erhalten hatten, nicht auf ihre aktuellen Positionen zugeschnitten waren. Tatsächlich gaben weniger als 4 % an, überhaupt eine solche Schulung erhalten zu haben.
Ich habe das mit eigenen Augen gesehen, als ich fast zehn Jahre lang mit mehreren Teams professioneller Hacker zusammengearbeitet habe. Mit tragischer Regelmäßigkeit sind wir in große Unternehmen, Start-ups und Ministerien eingedrungen und haben immer wieder dieselben Schwachstellen gefunden.
Deshalb sollten Entwickler sich äußern, wenn Sie eingestellt werden. Wenn Ihr potenzieller Arbeitgeber Ihre Ausbildung in Entwicklersicherheit nicht ernst nimmt, sollten Sie darüber nachdenken, bei welcher Art von Unternehmen Sie arbeiten möchten.
Die zweite Frage, die Sie sich stellen sollten, ist, wie sie dies umsetzen wollen. Wird es praktisch und interaktiv sein? Es ist unwahrscheinlich, dass eine Sicherheitsschulung für Entwickler zu Schwachstellen mithilfe von Folienpräsentationen, Videos, anklickbaren Animationen oder abstrakten Diskussionen Ihnen direkt beim Programmieren hilft. Werden sie dafür sorgen, dass Sie ständig über die neuesten Schwachstellen auf dem Laufenden gehalten werden? Gibt es eine Gilde oder eine Sicherheitsgemeinschaft, von der Sie lernen können? Gibt es Sicherheitsspezialisten, an die Sie sich wenden können, wenn Sie Hilfe benötigen?
Ein Engagement für Ihre Kompetenzen im Bereich der sicheren Programmierung erfordert kontinuierliches Lernen durch praktische Herausforderungen in spezifischen Programmierumgebungen und die Auseinandersetzung mit verschiedenen Schwachstellen in vielfältigen Szenarien. Sie können SQL-Injektionen nicht anhand eines einzigen Beispiels erlernen. Sie müssen mit vielen verschiedenen Beispielen konfrontiert werden, um diese gefährlichen Programmiermuster erkennen zu lernen.
Einer unserer Kunden hat seine Entwickler gebeten, zwei Monate lang täglich eine einzige Herausforderung (5 Minuten) zu bewältigen. Er hat ihre Fähigkeiten vor und nach der Schulungsphase getestet und im Vergleich zu einer Gruppe von Hunderten von Entwicklern eine Steigerung der Fähigkeit zum sicheren Programmieren um 60 % festgestellt. Das bedeutet weniger Ressourcen für die Erkennung und Behebung von Sicherheitslücken zu einem späteren Zeitpunkt im Lebenszyklus und erhebliche langfristige Einsparungen. Das bedeutet, dass Hacker Ihren Code nicht dazu nutzen können, die Daten Ihres Unternehmens zu kompromittieren.
Laut einer Studie von IDC gab es 2014 weltweit 11 Millionen professionelle Entwickler. Im Jahr 2015 stellte Burning Glass fest, dass nicht weniger als 7 Millionen Berufe Programmierkenntnisse erforderten und dass die Zahl der Arbeitsplätze im Bereich Programmierung im Durchschnitt um 12 % schneller wuchs als der Markt.
Es gibt viele Stellenangebote im Bereich Software. Nehmen Sie also Stellung und wählen Sie Arbeitgeber, die sich für Ihre Sicherheit, die ihrer Kunden und die ihrer Mitarbeiter einsetzen. Wählen Sie Unternehmen, die in Sie investieren.
Jeder Entwickler muss sich eine Frage stellen, egal ob Sie gerade Ihren Abschluss gemacht haben oder bereits ein Veteran sind. Und die Antwort ist wichtig. In einer agilen Welt ist dies noch wichtiger geworden, da es einen direkten Einfluss auf Ihren Erfolg in der Softwareentwicklung und Ihren Wert für Ihren nächsten Arbeitgeber hat.
Das ist die Millionenfrage. Eigentlich ist es sogar eine Frage von mehreren Millionen Dollar!
Sind Sie entschlossen, mir dabei zu helfen, sicher zu programmieren?
Jeder Entwickler muss sich eine Frage stellen, egal ob Sie gerade Ihren Abschluss gemacht haben oder bereits ein Veteran sind. Und die Antwort ist wichtig.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Jeder Entwickler muss sich eine Frage stellen, egal ob Sie gerade Ihren Abschluss gemacht haben oder bereits ein Veteran sind. Und die Antwort ist wichtig. In einer agilen Welt ist dies noch wichtiger geworden, da es einen direkten Einfluss auf Ihren Erfolg in der Softwareentwicklung und Ihren Wert für Ihren nächsten Arbeitgeber hat.
Das ist die Millionenfrage. Eigentlich ist es sogar eine Frage von mehreren Millionen Dollar!
Sind Sie entschlossen, mir dabei zu helfen, sicher zu programmieren?
Die durchschnittlichen Kosten einer Datenverletzung belaufen sich mittlerweile auf 3,6 Millionen US-Dollar. Die Wahrscheinlichkeit, dass Ihr Unternehmen in diesem Jahr gehackt wird, liegt bei eins zu vier. Angesichts dieser Tatsachen teile ich die Frustration vieler Menschen darüber, dass Entwickler ihr Studium nicht mit Kenntnissen in sicherer Programmierung und Sicherheit abschließen, die ihnen in die Wiege gelegt sind.
Warum? Softwareentwicklung ist noch ein relativ junger Berufszweig. Der Schwerpunkt lag darauf, den Anwendern beizubringen, wie man schnell Code erstellt, ihn elegant und funktional gestaltet, aber es wurde nur sehr wenig Wert auf die Sicherheit des Codes gelegt. Das Tempo, mit dem sich Methoden, Technologien, Sprachen und Möglichkeiten weiterentwickeln, verschärft diese grundlegenden Qualifikationslücken nur noch.
Wir werden das Hochschulsystem nicht so schnell ändern können. Entwickler und Unternehmen müssen sich daher darauf einstellen, dass Entwickler sich ihre Kenntnisse im Bereich sicheres Programmieren in der Praxis aneignen. In manchen Berufen kann man durch Fehler lernen, in anderen ist dies jedoch keine Option. Das Gleiche gilt für die Cybersicherheit.
Die Fakten zeigen, dass wir auch bei der Fortbildung von Entwicklern im Bereich Sicherheit keine besonders guten Ergebnisse erzielt haben. Die meisten der weltweit größten Sicherheitslücken sind auf Programmierfehler zurückzuführen, die es Hackern ermöglichen, sich Zugriff auf Computernetzwerke zu verschaffen und so an wertvolle Daten zu gelangen und diese zu sammeln. Der Bericht von Verizon über Datenverstöße (DBIR) 2017 zeigt, dass 30 % aller Verstöße direkt auf Schwachstellen in der Sicherheit von Webanwendungen zurückzuführen sind, und diese Schlussfolgerung ist seit 2013 im DBIR-Bericht konstant.
Die im August 2017 veröffentlichte weltweite Umfrage zu DevSecOps-Kompetenzen bestätigte, was wir bereits wussten: Während 65 % der DevOps-Fachleute der Meinung sind, dass es sehr wichtig ist, sich mit DevSecOps auszukennen, wenn man in die IT-Branche einsteigt, glauben 70 %, dass sie im Rahmen einer offiziellen Ausbildung nicht die erforderliche Schulung erhalten, um in der heutigen DevSecOps-Welt erfolgreich zu sein.
Fast 40 % der befragten Personalverantwortlichen gaben an, dass die am schwierigsten zu findenden Mitarbeiter vielseitige High-End-Entwickler mit ausreichenden Kenntnissen im Bereich Sicherheitstests seien. 70 % der Befragten gaben an, dass die Sicherheitsschulungen, die sie erhalten hatten, nicht auf ihre aktuellen Positionen zugeschnitten waren. Tatsächlich gaben weniger als 4 % an, überhaupt eine solche Schulung erhalten zu haben.
Ich habe das mit eigenen Augen gesehen, als ich fast zehn Jahre lang mit mehreren Teams professioneller Hacker zusammengearbeitet habe. Mit tragischer Regelmäßigkeit sind wir in große Unternehmen, Start-ups und Ministerien eingedrungen und haben immer wieder dieselben Schwachstellen gefunden.
Deshalb sollten Entwickler sich äußern, wenn Sie eingestellt werden. Wenn Ihr potenzieller Arbeitgeber Ihre Ausbildung in Entwicklersicherheit nicht ernst nimmt, sollten Sie darüber nachdenken, bei welcher Art von Unternehmen Sie arbeiten möchten.
Die zweite Frage, die Sie sich stellen sollten, ist, wie sie dies umsetzen wollen. Wird es praktisch und interaktiv sein? Es ist unwahrscheinlich, dass eine Sicherheitsschulung für Entwickler zu Schwachstellen mithilfe von Folienpräsentationen, Videos, anklickbaren Animationen oder abstrakten Diskussionen Ihnen direkt beim Programmieren hilft. Werden sie dafür sorgen, dass Sie ständig über die neuesten Schwachstellen auf dem Laufenden gehalten werden? Gibt es eine Gilde oder eine Sicherheitsgemeinschaft, von der Sie lernen können? Gibt es Sicherheitsspezialisten, an die Sie sich wenden können, wenn Sie Hilfe benötigen?
Ein Engagement für Ihre Kompetenzen im Bereich der sicheren Programmierung erfordert kontinuierliches Lernen durch praktische Herausforderungen in spezifischen Programmierumgebungen und die Auseinandersetzung mit verschiedenen Schwachstellen in vielfältigen Szenarien. Sie können SQL-Injektionen nicht anhand eines einzigen Beispiels erlernen. Sie müssen mit vielen verschiedenen Beispielen konfrontiert werden, um diese gefährlichen Programmiermuster erkennen zu lernen.
Einer unserer Kunden hat seine Entwickler gebeten, zwei Monate lang täglich eine einzige Herausforderung (5 Minuten) zu bewältigen. Er hat ihre Fähigkeiten vor und nach der Schulungsphase getestet und im Vergleich zu einer Gruppe von Hunderten von Entwicklern eine Steigerung der Fähigkeit zum sicheren Programmieren um 60 % festgestellt. Das bedeutet weniger Ressourcen für die Erkennung und Behebung von Sicherheitslücken zu einem späteren Zeitpunkt im Lebenszyklus und erhebliche langfristige Einsparungen. Das bedeutet, dass Hacker Ihren Code nicht dazu nutzen können, die Daten Ihres Unternehmens zu kompromittieren.
Laut einer Studie von IDC gab es 2014 weltweit 11 Millionen professionelle Entwickler. Im Jahr 2015 stellte Burning Glass fest, dass nicht weniger als 7 Millionen Berufe Programmierkenntnisse erforderten und dass die Zahl der Arbeitsplätze im Bereich Programmierung im Durchschnitt um 12 % schneller wuchs als der Markt.
Es gibt viele Stellenangebote im Bereich Software. Nehmen Sie also Stellung und wählen Sie Arbeitgeber, die sich für Ihre Sicherheit, die ihrer Kunden und die ihrer Mitarbeiter einsetzen. Wählen Sie Unternehmen, die in Sie investieren.
Jeder Entwickler muss sich eine Frage stellen, egal ob Sie gerade Ihren Abschluss gemacht haben oder bereits ein Veteran sind. Und die Antwort ist wichtig. In einer agilen Welt ist dies noch wichtiger geworden, da es einen direkten Einfluss auf Ihren Erfolg in der Softwareentwicklung und Ihren Wert für Ihren nächsten Arbeitgeber hat.
Das ist die Millionenfrage. Eigentlich ist es sogar eine Frage von mehreren Millionen Dollar!
Sind Sie entschlossen, mir dabei zu helfen, sicher zu programmieren?
Jeder Entwickler muss sich eine Frage stellen, egal ob Sie gerade Ihren Abschluss gemacht haben oder bereits ein Veteran sind. Und die Antwort ist wichtig. In einer agilen Welt ist dies noch wichtiger geworden, da es einen direkten Einfluss auf Ihren Erfolg in der Softwareentwicklung und Ihren Wert für Ihren nächsten Arbeitgeber hat.
Das ist die Millionenfrage. Eigentlich ist es sogar eine Frage von mehreren Millionen Dollar!
Sind Sie entschlossen, mir dabei zu helfen, sicher zu programmieren?
Die durchschnittlichen Kosten einer Datenverletzung belaufen sich mittlerweile auf 3,6 Millionen US-Dollar. Die Wahrscheinlichkeit, dass Ihr Unternehmen in diesem Jahr gehackt wird, liegt bei eins zu vier. Angesichts dieser Tatsachen teile ich die Frustration vieler Menschen darüber, dass Entwickler ihr Studium nicht mit Kenntnissen in sicherer Programmierung und Sicherheit abschließen, die ihnen in die Wiege gelegt sind.
Warum? Softwareentwicklung ist noch ein relativ junger Berufszweig. Der Schwerpunkt lag darauf, den Anwendern beizubringen, wie man schnell Code erstellt, ihn elegant und funktional gestaltet, aber es wurde nur sehr wenig Wert auf die Sicherheit des Codes gelegt. Das Tempo, mit dem sich Methoden, Technologien, Sprachen und Möglichkeiten weiterentwickeln, verschärft diese grundlegenden Qualifikationslücken nur noch.
Wir werden das Hochschulsystem nicht so schnell ändern können. Entwickler und Unternehmen müssen sich daher darauf einstellen, dass Entwickler sich ihre Kenntnisse im Bereich sicheres Programmieren in der Praxis aneignen. In manchen Berufen kann man durch Fehler lernen, in anderen ist dies jedoch keine Option. Das Gleiche gilt für die Cybersicherheit.
Die Fakten zeigen, dass wir auch bei der Fortbildung von Entwicklern im Bereich Sicherheit keine besonders guten Ergebnisse erzielt haben. Die meisten der weltweit größten Sicherheitslücken sind auf Programmierfehler zurückzuführen, die es Hackern ermöglichen, sich Zugriff auf Computernetzwerke zu verschaffen und so an wertvolle Daten zu gelangen und diese zu sammeln. Der Bericht von Verizon über Datenverstöße (DBIR) 2017 zeigt, dass 30 % aller Verstöße direkt auf Schwachstellen in der Sicherheit von Webanwendungen zurückzuführen sind, und diese Schlussfolgerung ist seit 2013 im DBIR-Bericht konstant.
Die im August 2017 veröffentlichte weltweite Umfrage zu DevSecOps-Kompetenzen bestätigte, was wir bereits wussten: Während 65 % der DevOps-Fachleute der Meinung sind, dass es sehr wichtig ist, sich mit DevSecOps auszukennen, wenn man in die IT-Branche einsteigt, glauben 70 %, dass sie im Rahmen einer offiziellen Ausbildung nicht die erforderliche Schulung erhalten, um in der heutigen DevSecOps-Welt erfolgreich zu sein.
Fast 40 % der befragten Personalverantwortlichen gaben an, dass die am schwierigsten zu findenden Mitarbeiter vielseitige High-End-Entwickler mit ausreichenden Kenntnissen im Bereich Sicherheitstests seien. 70 % der Befragten gaben an, dass die Sicherheitsschulungen, die sie erhalten hatten, nicht auf ihre aktuellen Positionen zugeschnitten waren. Tatsächlich gaben weniger als 4 % an, überhaupt eine solche Schulung erhalten zu haben.
Ich habe das mit eigenen Augen gesehen, als ich fast zehn Jahre lang mit mehreren Teams professioneller Hacker zusammengearbeitet habe. Mit tragischer Regelmäßigkeit sind wir in große Unternehmen, Start-ups und Ministerien eingedrungen und haben immer wieder dieselben Schwachstellen gefunden.
Deshalb sollten Entwickler sich äußern, wenn Sie eingestellt werden. Wenn Ihr potenzieller Arbeitgeber Ihre Ausbildung in Entwicklersicherheit nicht ernst nimmt, sollten Sie darüber nachdenken, bei welcher Art von Unternehmen Sie arbeiten möchten.
Die zweite Frage, die Sie sich stellen sollten, ist, wie sie dies umsetzen wollen. Wird es praktisch und interaktiv sein? Es ist unwahrscheinlich, dass eine Sicherheitsschulung für Entwickler zu Schwachstellen mithilfe von Folienpräsentationen, Videos, anklickbaren Animationen oder abstrakten Diskussionen Ihnen direkt beim Programmieren hilft. Werden sie dafür sorgen, dass Sie ständig über die neuesten Schwachstellen auf dem Laufenden gehalten werden? Gibt es eine Gilde oder eine Sicherheitsgemeinschaft, von der Sie lernen können? Gibt es Sicherheitsspezialisten, an die Sie sich wenden können, wenn Sie Hilfe benötigen?
Ein Engagement für Ihre Kompetenzen im Bereich der sicheren Programmierung erfordert kontinuierliches Lernen durch praktische Herausforderungen in spezifischen Programmierumgebungen und die Auseinandersetzung mit verschiedenen Schwachstellen in vielfältigen Szenarien. Sie können SQL-Injektionen nicht anhand eines einzigen Beispiels erlernen. Sie müssen mit vielen verschiedenen Beispielen konfrontiert werden, um diese gefährlichen Programmiermuster erkennen zu lernen.
Einer unserer Kunden hat seine Entwickler gebeten, zwei Monate lang täglich eine einzige Herausforderung (5 Minuten) zu bewältigen. Er hat ihre Fähigkeiten vor und nach der Schulungsphase getestet und im Vergleich zu einer Gruppe von Hunderten von Entwicklern eine Steigerung der Fähigkeit zum sicheren Programmieren um 60 % festgestellt. Das bedeutet weniger Ressourcen für die Erkennung und Behebung von Sicherheitslücken zu einem späteren Zeitpunkt im Lebenszyklus und erhebliche langfristige Einsparungen. Das bedeutet, dass Hacker Ihren Code nicht dazu nutzen können, die Daten Ihres Unternehmens zu kompromittieren.
Laut einer Studie von IDC gab es 2014 weltweit 11 Millionen professionelle Entwickler. Im Jahr 2015 stellte Burning Glass fest, dass nicht weniger als 7 Millionen Berufe Programmierkenntnisse erforderten und dass die Zahl der Arbeitsplätze im Bereich Programmierung im Durchschnitt um 12 % schneller wuchs als der Markt.
Es gibt viele Stellenangebote im Bereich Software. Nehmen Sie also Stellung und wählen Sie Arbeitgeber, die sich für Ihre Sicherheit, die ihrer Kunden und die ihrer Mitarbeiter einsetzen. Wählen Sie Unternehmen, die in Sie investieren.
Jeder Entwickler muss sich eine Frage stellen, egal ob Sie gerade Ihren Abschluss gemacht haben oder bereits ein Veteran sind. Und die Antwort ist wichtig. In einer agilen Welt ist dies noch wichtiger geworden, da es einen direkten Einfluss auf Ihren Erfolg in der Softwareentwicklung und Ihren Wert für Ihren nächsten Arbeitgeber hat.
Das ist die Millionenfrage. Eigentlich ist es sogar eine Frage von mehreren Millionen Dollar!
Sind Sie entschlossen, mir dabei zu helfen, sicher zu programmieren?
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenDemo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Jeder Entwickler muss sich eine Frage stellen, egal ob Sie gerade Ihren Abschluss gemacht haben oder bereits ein Veteran sind. Und die Antwort ist wichtig. In einer agilen Welt ist dies noch wichtiger geworden, da es einen direkten Einfluss auf Ihren Erfolg in der Softwareentwicklung und Ihren Wert für Ihren nächsten Arbeitgeber hat.
Das ist die Millionenfrage. Eigentlich ist es sogar eine Frage von mehreren Millionen Dollar!
Sind Sie entschlossen, mir dabei zu helfen, sicher zu programmieren?
Die durchschnittlichen Kosten einer Datenverletzung belaufen sich mittlerweile auf 3,6 Millionen US-Dollar. Die Wahrscheinlichkeit, dass Ihr Unternehmen in diesem Jahr gehackt wird, liegt bei eins zu vier. Angesichts dieser Tatsachen teile ich die Frustration vieler Menschen darüber, dass Entwickler ihr Studium nicht mit Kenntnissen in sicherer Programmierung und Sicherheit abschließen, die ihnen in die Wiege gelegt sind.
Warum? Softwareentwicklung ist noch ein relativ junger Berufszweig. Der Schwerpunkt lag darauf, den Anwendern beizubringen, wie man schnell Code erstellt, ihn elegant und funktional gestaltet, aber es wurde nur sehr wenig Wert auf die Sicherheit des Codes gelegt. Das Tempo, mit dem sich Methoden, Technologien, Sprachen und Möglichkeiten weiterentwickeln, verschärft diese grundlegenden Qualifikationslücken nur noch.
Wir werden das Hochschulsystem nicht so schnell ändern können. Entwickler und Unternehmen müssen sich daher darauf einstellen, dass Entwickler sich ihre Kenntnisse im Bereich sicheres Programmieren in der Praxis aneignen. In manchen Berufen kann man durch Fehler lernen, in anderen ist dies jedoch keine Option. Das Gleiche gilt für die Cybersicherheit.
Die Fakten zeigen, dass wir auch bei der Fortbildung von Entwicklern im Bereich Sicherheit keine besonders guten Ergebnisse erzielt haben. Die meisten der weltweit größten Sicherheitslücken sind auf Programmierfehler zurückzuführen, die es Hackern ermöglichen, sich Zugriff auf Computernetzwerke zu verschaffen und so an wertvolle Daten zu gelangen und diese zu sammeln. Der Bericht von Verizon über Datenverstöße (DBIR) 2017 zeigt, dass 30 % aller Verstöße direkt auf Schwachstellen in der Sicherheit von Webanwendungen zurückzuführen sind, und diese Schlussfolgerung ist seit 2013 im DBIR-Bericht konstant.
Die im August 2017 veröffentlichte weltweite Umfrage zu DevSecOps-Kompetenzen bestätigte, was wir bereits wussten: Während 65 % der DevOps-Fachleute der Meinung sind, dass es sehr wichtig ist, sich mit DevSecOps auszukennen, wenn man in die IT-Branche einsteigt, glauben 70 %, dass sie im Rahmen einer offiziellen Ausbildung nicht die erforderliche Schulung erhalten, um in der heutigen DevSecOps-Welt erfolgreich zu sein.
Fast 40 % der befragten Personalverantwortlichen gaben an, dass die am schwierigsten zu findenden Mitarbeiter vielseitige High-End-Entwickler mit ausreichenden Kenntnissen im Bereich Sicherheitstests seien. 70 % der Befragten gaben an, dass die Sicherheitsschulungen, die sie erhalten hatten, nicht auf ihre aktuellen Positionen zugeschnitten waren. Tatsächlich gaben weniger als 4 % an, überhaupt eine solche Schulung erhalten zu haben.
Ich habe das mit eigenen Augen gesehen, als ich fast zehn Jahre lang mit mehreren Teams professioneller Hacker zusammengearbeitet habe. Mit tragischer Regelmäßigkeit sind wir in große Unternehmen, Start-ups und Ministerien eingedrungen und haben immer wieder dieselben Schwachstellen gefunden.
Deshalb sollten Entwickler sich äußern, wenn Sie eingestellt werden. Wenn Ihr potenzieller Arbeitgeber Ihre Ausbildung in Entwicklersicherheit nicht ernst nimmt, sollten Sie darüber nachdenken, bei welcher Art von Unternehmen Sie arbeiten möchten.
Die zweite Frage, die Sie sich stellen sollten, ist, wie sie dies umsetzen wollen. Wird es praktisch und interaktiv sein? Es ist unwahrscheinlich, dass eine Sicherheitsschulung für Entwickler zu Schwachstellen mithilfe von Folienpräsentationen, Videos, anklickbaren Animationen oder abstrakten Diskussionen Ihnen direkt beim Programmieren hilft. Werden sie dafür sorgen, dass Sie ständig über die neuesten Schwachstellen auf dem Laufenden gehalten werden? Gibt es eine Gilde oder eine Sicherheitsgemeinschaft, von der Sie lernen können? Gibt es Sicherheitsspezialisten, an die Sie sich wenden können, wenn Sie Hilfe benötigen?
Ein Engagement für Ihre Kompetenzen im Bereich der sicheren Programmierung erfordert kontinuierliches Lernen durch praktische Herausforderungen in spezifischen Programmierumgebungen und die Auseinandersetzung mit verschiedenen Schwachstellen in vielfältigen Szenarien. Sie können SQL-Injektionen nicht anhand eines einzigen Beispiels erlernen. Sie müssen mit vielen verschiedenen Beispielen konfrontiert werden, um diese gefährlichen Programmiermuster erkennen zu lernen.
Einer unserer Kunden hat seine Entwickler gebeten, zwei Monate lang täglich eine einzige Herausforderung (5 Minuten) zu bewältigen. Er hat ihre Fähigkeiten vor und nach der Schulungsphase getestet und im Vergleich zu einer Gruppe von Hunderten von Entwicklern eine Steigerung der Fähigkeit zum sicheren Programmieren um 60 % festgestellt. Das bedeutet weniger Ressourcen für die Erkennung und Behebung von Sicherheitslücken zu einem späteren Zeitpunkt im Lebenszyklus und erhebliche langfristige Einsparungen. Das bedeutet, dass Hacker Ihren Code nicht dazu nutzen können, die Daten Ihres Unternehmens zu kompromittieren.
Laut einer Studie von IDC gab es 2014 weltweit 11 Millionen professionelle Entwickler. Im Jahr 2015 stellte Burning Glass fest, dass nicht weniger als 7 Millionen Berufe Programmierkenntnisse erforderten und dass die Zahl der Arbeitsplätze im Bereich Programmierung im Durchschnitt um 12 % schneller wuchs als der Markt.
Es gibt viele Stellenangebote im Bereich Software. Nehmen Sie also Stellung und wählen Sie Arbeitgeber, die sich für Ihre Sicherheit, die ihrer Kunden und die ihrer Mitarbeiter einsetzen. Wählen Sie Unternehmen, die in Sie investieren.
Jeder Entwickler muss sich eine Frage stellen, egal ob Sie gerade Ihren Abschluss gemacht haben oder bereits ein Veteran sind. Und die Antwort ist wichtig. In einer agilen Welt ist dies noch wichtiger geworden, da es einen direkten Einfluss auf Ihren Erfolg in der Softwareentwicklung und Ihren Wert für Ihren nächsten Arbeitgeber hat.
Das ist die Millionenfrage. Eigentlich ist es sogar eine Frage von mehreren Millionen Dollar!
Sind Sie entschlossen, mir dabei zu helfen, sicher zu programmieren?
Inhaltsverzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Schulung zum sicheren Code
Unsere hochmodernen Inhalte werden ständig weiterentwickelt, um mit den ständigen Veränderungen in der Softwareentwicklungslandschaft Schritt zu halten und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für eine Vielzahl von Positionen konzipiert, von Architekten über Ingenieure bis hin zu Produktmanagern und Qualitätssicherungsmitarbeitern. Verschaffen Sie sich einen Überblick über die Inhalte unseres Katalogs, sortiert nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die missions „Beat the Boss“ sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzen Sie fortschrittliche Sicherheitsherausforderungen im Zusammenhang mit KI und LLM ein, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet das für die Entwicklung sicherer Software bereits ab der Konzeption?
Entdecken Sie, was das europäische Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams durch Sicherheitsmaßnahmen bereits in der Entwurfsphase, durch die Vermeidung von Schwachstellen und durch die Stärkung der Fähigkeiten der Entwickler darauf vorbereiten können.
Moderator 1: Definierte und messbare Erfolgskriterien
Enabler 1 gibt den Startschuss für unsere 10-teilige Serie mit dem Titel „Enablers of Success“ und zeigt, wie sichere Codierung mit geschäftlichen Ergebnissen wie Risikominderung und Schnelligkeit kombiniert werden kann, um die langfristige Reife von Programmen sicherzustellen.
