Warum das Scaffolding-Lernen die Sicherheit von Entwicklern erhöht
Nach nur wenigen Minuten beim Durchsehen der Technologie-Nachrichten werden Sie schnell verstehen, wie gefährlich die Bedrohungslage geworden ist. Jeden Tag scheint es Meldungen über schwerwiegende Sicherheitsverletzungen, neue Schwachstellen oder ernsthafte Bedrohungen durch aktive Cyberangriffe und Kriminelle zu geben. Und fast alle Branchenindikatoren und -berichte weisen auf eine zunehmende Zahl von Cyberbedrohungen hin, wobei die meisten Experten davon ausgehen, dass sich dieser Trend in den kommenden Jahren fortsetzen wird.
Angesichts dieser neuen Bedrohungen sind die für die IT-Sicherheit zuständigen Mitarbeiter an vorderster Front erschöpft und unterbesetzt. Obwohl die Gehälter hoch sind und sie für jedes Unternehmen oder jede Organisation fast unverzichtbar sind, gibt es nie genug Sicherheitspersonal für alle. In einer kürzlich vom Center for Strategic and International Studies durchgeführten Umfrage gaben 82 % der IT-Entscheidungsträger an, dass ihre Organisation unter einem Mangel an Fachkräften im Bereich Cybersicherheit leidet, und 71 % gaben an, dass dieser Mangel zu direkten und messbaren Schäden für ihre Organisationen geführt hat. Allein in den Vereinigten Staaten gab es laut dem Bericht mehr als 520.000 offene Stellen im Bereich Cybersicherheit, während in diesem Bereich nur 940.000 Menschen beschäftigt sind.
Weltweit gibt es derzeit etwa 3,5 Millionen unbesetzte Stellen im Bereich Cybersicherheit, was bedeutet, dass selbst Unternehmen, die bereit sind, enorme Summen für die Anwerbung und Bindung hochqualifizierter Fachkräfte zu zahlen, Schwierigkeiten haben, geeignete Kandidaten zu finden. Im Durchschnitt dauert es etwa 21 % länger, eine Stelle im Bereich Cybersicherheit zu besetzen als jede andere Stelle, sofern sie überhaupt besetzt werden kann.
Die Aktivierung der Entwickler wurde viel zu lange ignoriert.
Wir haben in zahlreichen früheren Blogs festgestellt, dass Entwickler aufgefordert werden können, einige dieser kritischen Lücken in der Cybersicherheit zu schließen. Es ist nur so, dass Entwickler traditionell nie in Cybersicherheit geschult wurden. Ihre berufliche Leistung basierte fast ausschließlich auf der Geschwindigkeit und den Fristen der Bereitstellung. Die Sicherheit wurde den weiter entfernten AppSec-Teams anvertraut.
Leider geht es nicht einfach darum, einen Gang höher zu schalten und die Entwickler aufzufordern, plötzlich damit zu beginnen, die Sicherheit ihrer Anwendungen und Programme zu verbessern. Selbst wenn sie bereit sind, diese Änderungen vorzunehmen – und Umfragen haben gezeigt, dass viele von ihnen dazu bereit sind –, benötigen sie dennoch Schulungen, um dies zu erreichen. Sie brauchen auch die Ermutigung und Unterstützung der Geschäftsleitung, aber die Möglichkeit, von sinnvollen Schulungen zu profitieren, ist die erste und oft die größte Hürde.
Es ist kein Zufall, dass weltweit Millionen gut bezahlter und hochsicherer Stellen im Bereich IT-Sicherheit unbesetzt bleiben. Wäre diese Arbeit einfach, würde sich jeder darauf stürzen. Es ist schwierig zu lernen, wie man Bedrohungen bekämpft und Schwachstellen im Code beseitigt, und die Bedrohungslandschaft verändert sich ständig. Der Versuch, Cybersicherheit zu vermitteln, selbst an relativ technikaffine Entwickler, kann nicht effektiv mit statischen Schulungen erreicht werden, die schnell veralten, nicht einprägsam sind und nur minimale positive Auswirkungen haben, insbesondere wenn diese Anforderungen zu ihren bereits überfüllten Terminkalendern hinzukommen.
Bauen Sie ein Gerüst, um eine höhere Stelle zu erreichen.
Das Unterrichten von Cybersicherheitskompetenzen mit traditionellen Methoden ist wie der Versuch, einen Wolkenkratzer zu bauen, ohne jemals die Füße vom Boden zu nehmen. Das ist nicht möglich, da die Studierenden nicht über die notwendigen Grundlagen verfügen, um die zahlreichen fortgeschrittenen Konzepte eines komplexen Bereichs wie der Cybersicherheit zu beherrschen. Um dies auszugleichen, kann das Konzept des „Scaffolded Learning” (gestütztes Lernen ) angewendet werden.
Bei einem schrittweisen oder „geschichteten” Ansatz zur Verbesserung der Kompetenzen werden allgemeinere Themen in der Regel in einzelne Lernerfahrungen oder -konzepte unterteilt. So wird sichergestellt, dass die Studierenden jedes Konzept mithilfe geeigneter Übungen und Anweisungen beherrschen können, wobei für jede Komponente die erforderliche Unterstützung bereitgestellt wird. Neuere und fortgeschrittenere Konzepte werden zu den bereits beherrschten hinzugefügt, so wie ein Gerüst gebaut wird, während ein Gebäude in die Höhe wächst. Auf diese Weise können die Lernenden ein höheres Verständnis- und Kompetenzniveau erreichen, als sie es ohne Unterstützung erreichen könnten.
Und genau wie physische Gerüste wird diese Unterstützung nach und nach abgebaut, wenn sie nicht mehr benötigt wird, wobei die Verantwortung gegenüber den Studierenden zunimmt, je kompetenter sie werden.
Das Scaffolding-Lernen wird hauptsächlich eingesetzt, um negative Emotionen und die Selbstwahrnehmung der Schüler zu reduzieren, die sie empfinden können, wenn sie frustriert, eingeschüchtert oder entmutigt sind, wenn sie eine schwierige Aufgabe ohne Hilfe versuchen. Es kann aber auch sehr nützlich sein, wenn es darum geht, ein äußerst schwieriges Konzept wie die moderne Cybersicherheit anzugehen. Es handelt sich dabei keineswegs um eine Methode, Entwickler wie Kinder zu behandeln, sondern es ist äußerst hilfreich, wenn ihre Erfahrungen mit dem Sicherheitsteam denselben frustrierenden und entmutigenden Effekt haben können, insbesondere wenn ihre harte Arbeit mit Fehlerbehebungen und neuer Kritik belohnt wird.
Wenn Entwickler über Tools verfügen, mit denen sie die Grundlagen der sicheren Programmierung verstehen können (in der Regel beginnend mit den Top 10 der OWASP), können sie selbst erkennen, wie Sicherheitslücken entstehen, warum sie gefährlich sind und wie sie behoben werden können, bevor sie in die Produktion gelangen. Auf dieser Grundlage können sie ihre Kenntnisse vertiefen, indem sie sich mit komplexeren Schwachstellen befassen und praktische Erfahrungen mit der Anwendung geeigneter Korrekturen sammeln. Die Schichten werden nach und nach größer, und wenn es um fortgeschrittene Sicherheitsprobleme wie unsichere Softwarearchitektur oder Bedrohungsmodellierung geht, erscheinen diese Fortschritte nicht mehr so einschüchternd und können präzise angegangen werden.
Als Branche dürfen wir niemals erwarten, dass Entwickler zu Sicherheitsexperten werden, aber Unternehmen können neue Standards einführen, um Entwicklern dabei zu helfen, qualitativ hochwertigere Software zu produzieren. Als Bonus für Unternehmen, deren Ingenieure ihre Fähigkeiten weiterentwickeln, wird jeder Schritt des Prozesses oder jede Stufe des Gerüstbaus direkt zu einer besseren Cybersicherheit führen, während sie lernen. Es ist nicht notwendig, bis zum Ende eines Kurses zu warten, um Ergebnisse zu sehen.
Es ist schwierig, sich über Cybersicherheit zu informieren, und ohne die richtige Hilfe und Anleitung ist es fast unmöglich, sie zu beherrschen. Die Einführung eines Sicherheitsprogramms in Verbindung mit einer strukturierten Schulung kann Ihnen helfen, das Beste daraus zu machen, wobei die Vorteile fast sofort sichtbar werden. Die Verbesserungen werden fast sofort einsetzen und sich im Laufe der Zeit kontinuierlich weiter verbessern.
Beginnen Sie mit uns, leistungsstarke Entwickler im Bereich Sicherheit auszubilden; entdecken Sie:
Kurse
Missions
Schulung für Entwickler
... und vieles mehr!
Als Branche dürfen wir niemals erwarten, dass Entwickler zu Sicherheitsexperten werden, aber Unternehmen können neue Standards einführen, um Entwicklern dabei zu helfen, qualitativ hochwertigere Software zu produzieren.
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Nach nur wenigen Minuten beim Durchsehen der Technologie-Nachrichten werden Sie schnell verstehen, wie gefährlich die Bedrohungslage geworden ist. Jeden Tag scheint es Meldungen über schwerwiegende Sicherheitsverletzungen, neue Schwachstellen oder ernsthafte Bedrohungen durch aktive Cyberangriffe und Kriminelle zu geben. Und fast alle Branchenindikatoren und -berichte weisen auf eine zunehmende Zahl von Cyberbedrohungen hin, wobei die meisten Experten davon ausgehen, dass sich dieser Trend in den kommenden Jahren fortsetzen wird.
Angesichts dieser neuen Bedrohungen sind die für die IT-Sicherheit zuständigen Mitarbeiter an vorderster Front erschöpft und unterbesetzt. Obwohl die Gehälter hoch sind und sie für jedes Unternehmen oder jede Organisation fast unverzichtbar sind, gibt es nie genug Sicherheitspersonal für alle. In einer kürzlich vom Center for Strategic and International Studies durchgeführten Umfrage gaben 82 % der IT-Entscheidungsträger an, dass ihre Organisation unter einem Mangel an Fachkräften im Bereich Cybersicherheit leidet, und 71 % gaben an, dass dieser Mangel zu direkten und messbaren Schäden für ihre Organisationen geführt hat. Allein in den Vereinigten Staaten gab es laut dem Bericht mehr als 520.000 offene Stellen im Bereich Cybersicherheit, während in diesem Bereich nur 940.000 Menschen beschäftigt sind.
Weltweit gibt es derzeit etwa 3,5 Millionen unbesetzte Stellen im Bereich Cybersicherheit, was bedeutet, dass selbst Unternehmen, die bereit sind, enorme Summen für die Anwerbung und Bindung hochqualifizierter Fachkräfte zu zahlen, Schwierigkeiten haben, geeignete Kandidaten zu finden. Im Durchschnitt dauert es etwa 21 % länger, eine Stelle im Bereich Cybersicherheit zu besetzen als jede andere Stelle, sofern sie überhaupt besetzt werden kann.
Die Aktivierung der Entwickler wurde viel zu lange ignoriert.
Wir haben in zahlreichen früheren Blogs festgestellt, dass Entwickler aufgefordert werden können, einige dieser kritischen Lücken in der Cybersicherheit zu schließen. Es ist nur so, dass Entwickler traditionell nie in Cybersicherheit geschult wurden. Ihre berufliche Leistung basierte fast ausschließlich auf der Geschwindigkeit und den Fristen der Bereitstellung. Die Sicherheit wurde den weiter entfernten AppSec-Teams anvertraut.
Leider geht es nicht einfach darum, einen Gang höher zu schalten und die Entwickler aufzufordern, plötzlich damit zu beginnen, die Sicherheit ihrer Anwendungen und Programme zu verbessern. Selbst wenn sie bereit sind, diese Änderungen vorzunehmen – und Umfragen haben gezeigt, dass viele von ihnen dazu bereit sind –, benötigen sie dennoch Schulungen, um dies zu erreichen. Sie brauchen auch die Ermutigung und Unterstützung der Geschäftsleitung, aber die Möglichkeit, von sinnvollen Schulungen zu profitieren, ist die erste und oft die größte Hürde.
Es ist kein Zufall, dass weltweit Millionen gut bezahlter und hochsicherer Stellen im Bereich IT-Sicherheit unbesetzt bleiben. Wäre diese Arbeit einfach, würde sich jeder darauf stürzen. Es ist schwierig zu lernen, wie man Bedrohungen bekämpft und Schwachstellen im Code beseitigt, und die Bedrohungslandschaft verändert sich ständig. Der Versuch, Cybersicherheit zu vermitteln, selbst an relativ technikaffine Entwickler, kann nicht effektiv mit statischen Schulungen erreicht werden, die schnell veralten, nicht einprägsam sind und nur minimale positive Auswirkungen haben, insbesondere wenn diese Anforderungen zu ihren bereits überfüllten Terminkalendern hinzukommen.
Bauen Sie ein Gerüst, um eine höhere Stelle zu erreichen.
Das Unterrichten von Cybersicherheitskompetenzen mit traditionellen Methoden ist wie der Versuch, einen Wolkenkratzer zu bauen, ohne jemals die Füße vom Boden zu nehmen. Das ist nicht möglich, da die Studierenden nicht über die notwendigen Grundlagen verfügen, um die zahlreichen fortgeschrittenen Konzepte eines komplexen Bereichs wie der Cybersicherheit zu beherrschen. Um dies auszugleichen, kann das Konzept des „Scaffolded Learning” (gestütztes Lernen ) angewendet werden.
Bei einem schrittweisen oder „geschichteten” Ansatz zur Verbesserung der Kompetenzen werden allgemeinere Themen in der Regel in einzelne Lernerfahrungen oder -konzepte unterteilt. So wird sichergestellt, dass die Studierenden jedes Konzept mithilfe geeigneter Übungen und Anweisungen beherrschen können, wobei für jede Komponente die erforderliche Unterstützung bereitgestellt wird. Neuere und fortgeschrittenere Konzepte werden zu den bereits beherrschten hinzugefügt, so wie ein Gerüst gebaut wird, während ein Gebäude in die Höhe wächst. Auf diese Weise können die Lernenden ein höheres Verständnis- und Kompetenzniveau erreichen, als sie es ohne Unterstützung erreichen könnten.
Und genau wie physische Gerüste wird diese Unterstützung nach und nach abgebaut, wenn sie nicht mehr benötigt wird, wobei die Verantwortung gegenüber den Studierenden zunimmt, je kompetenter sie werden.
Das Scaffolding-Lernen wird hauptsächlich eingesetzt, um negative Emotionen und die Selbstwahrnehmung der Schüler zu reduzieren, die sie empfinden können, wenn sie frustriert, eingeschüchtert oder entmutigt sind, wenn sie eine schwierige Aufgabe ohne Hilfe versuchen. Es kann aber auch sehr nützlich sein, wenn es darum geht, ein äußerst schwieriges Konzept wie die moderne Cybersicherheit anzugehen. Es handelt sich dabei keineswegs um eine Methode, Entwickler wie Kinder zu behandeln, sondern es ist äußerst hilfreich, wenn ihre Erfahrungen mit dem Sicherheitsteam denselben frustrierenden und entmutigenden Effekt haben können, insbesondere wenn ihre harte Arbeit mit Fehlerbehebungen und neuer Kritik belohnt wird.
Wenn Entwickler über Tools verfügen, mit denen sie die Grundlagen der sicheren Programmierung verstehen können (in der Regel beginnend mit den Top 10 der OWASP), können sie selbst erkennen, wie Sicherheitslücken entstehen, warum sie gefährlich sind und wie sie behoben werden können, bevor sie in die Produktion gelangen. Auf dieser Grundlage können sie ihre Kenntnisse vertiefen, indem sie sich mit komplexeren Schwachstellen befassen und praktische Erfahrungen mit der Anwendung geeigneter Korrekturen sammeln. Die Schichten werden nach und nach größer, und wenn es um fortgeschrittene Sicherheitsprobleme wie unsichere Softwarearchitektur oder Bedrohungsmodellierung geht, erscheinen diese Fortschritte nicht mehr so einschüchternd und können präzise angegangen werden.
Als Branche dürfen wir niemals erwarten, dass Entwickler zu Sicherheitsexperten werden, aber Unternehmen können neue Standards einführen, um Entwicklern dabei zu helfen, qualitativ hochwertigere Software zu produzieren. Als Bonus für Unternehmen, deren Ingenieure ihre Fähigkeiten weiterentwickeln, wird jeder Schritt des Prozesses oder jede Stufe des Gerüstbaus direkt zu einer besseren Cybersicherheit führen, während sie lernen. Es ist nicht notwendig, bis zum Ende eines Kurses zu warten, um Ergebnisse zu sehen.
Es ist schwierig, sich über Cybersicherheit zu informieren, und ohne die richtige Hilfe und Anleitung ist es fast unmöglich, sie zu beherrschen. Die Einführung eines Sicherheitsprogramms in Verbindung mit einer strukturierten Schulung kann Ihnen helfen, das Beste daraus zu machen, wobei die Vorteile fast sofort sichtbar werden. Die Verbesserungen werden fast sofort einsetzen und sich im Laufe der Zeit kontinuierlich weiter verbessern.
Beginnen Sie mit uns, leistungsstarke Entwickler im Bereich Sicherheit auszubilden; entdecken Sie:
Kurse
Missions
Schulung für Entwickler
... und vieles mehr!
Nach nur wenigen Minuten beim Durchsehen der Technologie-Nachrichten werden Sie schnell verstehen, wie gefährlich die Bedrohungslage geworden ist. Jeden Tag scheint es Meldungen über schwerwiegende Sicherheitsverletzungen, neue Schwachstellen oder ernsthafte Bedrohungen durch aktive Cyberangriffe und Kriminelle zu geben. Und fast alle Branchenindikatoren und -berichte weisen auf eine zunehmende Zahl von Cyberbedrohungen hin, wobei die meisten Experten davon ausgehen, dass sich dieser Trend in den kommenden Jahren fortsetzen wird.
Angesichts dieser neuen Bedrohungen sind die für die IT-Sicherheit zuständigen Mitarbeiter an vorderster Front erschöpft und unterbesetzt. Obwohl die Gehälter hoch sind und sie für jedes Unternehmen oder jede Organisation fast unverzichtbar sind, gibt es nie genug Sicherheitspersonal für alle. In einer kürzlich vom Center for Strategic and International Studies durchgeführten Umfrage gaben 82 % der IT-Entscheidungsträger an, dass ihre Organisation unter einem Mangel an Fachkräften im Bereich Cybersicherheit leidet, und 71 % gaben an, dass dieser Mangel zu direkten und messbaren Schäden für ihre Organisationen geführt hat. Allein in den Vereinigten Staaten gab es laut dem Bericht mehr als 520.000 offene Stellen im Bereich Cybersicherheit, während in diesem Bereich nur 940.000 Menschen beschäftigt sind.
Weltweit gibt es derzeit etwa 3,5 Millionen unbesetzte Stellen im Bereich Cybersicherheit, was bedeutet, dass selbst Unternehmen, die bereit sind, enorme Summen für die Anwerbung und Bindung hochqualifizierter Fachkräfte zu zahlen, Schwierigkeiten haben, geeignete Kandidaten zu finden. Im Durchschnitt dauert es etwa 21 % länger, eine Stelle im Bereich Cybersicherheit zu besetzen als jede andere Stelle, sofern sie überhaupt besetzt werden kann.
Die Aktivierung der Entwickler wurde viel zu lange ignoriert.
Wir haben in zahlreichen früheren Blogs festgestellt, dass Entwickler aufgefordert werden können, einige dieser kritischen Lücken in der Cybersicherheit zu schließen. Es ist nur so, dass Entwickler traditionell nie in Cybersicherheit geschult wurden. Ihre berufliche Leistung basierte fast ausschließlich auf der Geschwindigkeit und den Fristen der Bereitstellung. Die Sicherheit wurde den weiter entfernten AppSec-Teams anvertraut.
Leider geht es nicht einfach darum, einen Gang höher zu schalten und die Entwickler aufzufordern, plötzlich damit zu beginnen, die Sicherheit ihrer Anwendungen und Programme zu verbessern. Selbst wenn sie bereit sind, diese Änderungen vorzunehmen – und Umfragen haben gezeigt, dass viele von ihnen dazu bereit sind –, benötigen sie dennoch Schulungen, um dies zu erreichen. Sie brauchen auch die Ermutigung und Unterstützung der Geschäftsleitung, aber die Möglichkeit, von sinnvollen Schulungen zu profitieren, ist die erste und oft die größte Hürde.
Es ist kein Zufall, dass weltweit Millionen gut bezahlter und hochsicherer Stellen im Bereich IT-Sicherheit unbesetzt bleiben. Wäre diese Arbeit einfach, würde sich jeder darauf stürzen. Es ist schwierig zu lernen, wie man Bedrohungen bekämpft und Schwachstellen im Code beseitigt, und die Bedrohungslandschaft verändert sich ständig. Der Versuch, Cybersicherheit zu vermitteln, selbst an relativ technikaffine Entwickler, kann nicht effektiv mit statischen Schulungen erreicht werden, die schnell veralten, nicht einprägsam sind und nur minimale positive Auswirkungen haben, insbesondere wenn diese Anforderungen zu ihren bereits überfüllten Terminkalendern hinzukommen.
Bauen Sie ein Gerüst, um eine höhere Stelle zu erreichen.
Das Unterrichten von Cybersicherheitskompetenzen mit traditionellen Methoden ist wie der Versuch, einen Wolkenkratzer zu bauen, ohne jemals die Füße vom Boden zu nehmen. Das ist nicht möglich, da die Studierenden nicht über die notwendigen Grundlagen verfügen, um die zahlreichen fortgeschrittenen Konzepte eines komplexen Bereichs wie der Cybersicherheit zu beherrschen. Um dies auszugleichen, kann das Konzept des „Scaffolded Learning” (gestütztes Lernen ) angewendet werden.
Bei einem schrittweisen oder „geschichteten” Ansatz zur Verbesserung der Kompetenzen werden allgemeinere Themen in der Regel in einzelne Lernerfahrungen oder -konzepte unterteilt. So wird sichergestellt, dass die Studierenden jedes Konzept mithilfe geeigneter Übungen und Anweisungen beherrschen können, wobei für jede Komponente die erforderliche Unterstützung bereitgestellt wird. Neuere und fortgeschrittenere Konzepte werden zu den bereits beherrschten hinzugefügt, so wie ein Gerüst gebaut wird, während ein Gebäude in die Höhe wächst. Auf diese Weise können die Lernenden ein höheres Verständnis- und Kompetenzniveau erreichen, als sie es ohne Unterstützung erreichen könnten.
Und genau wie physische Gerüste wird diese Unterstützung nach und nach abgebaut, wenn sie nicht mehr benötigt wird, wobei die Verantwortung gegenüber den Studierenden zunimmt, je kompetenter sie werden.
Das Scaffolding-Lernen wird hauptsächlich eingesetzt, um negative Emotionen und die Selbstwahrnehmung der Schüler zu reduzieren, die sie empfinden können, wenn sie frustriert, eingeschüchtert oder entmutigt sind, wenn sie eine schwierige Aufgabe ohne Hilfe versuchen. Es kann aber auch sehr nützlich sein, wenn es darum geht, ein äußerst schwieriges Konzept wie die moderne Cybersicherheit anzugehen. Es handelt sich dabei keineswegs um eine Methode, Entwickler wie Kinder zu behandeln, sondern es ist äußerst hilfreich, wenn ihre Erfahrungen mit dem Sicherheitsteam denselben frustrierenden und entmutigenden Effekt haben können, insbesondere wenn ihre harte Arbeit mit Fehlerbehebungen und neuer Kritik belohnt wird.
Wenn Entwickler über Tools verfügen, mit denen sie die Grundlagen der sicheren Programmierung verstehen können (in der Regel beginnend mit den Top 10 der OWASP), können sie selbst erkennen, wie Sicherheitslücken entstehen, warum sie gefährlich sind und wie sie behoben werden können, bevor sie in die Produktion gelangen. Auf dieser Grundlage können sie ihre Kenntnisse vertiefen, indem sie sich mit komplexeren Schwachstellen befassen und praktische Erfahrungen mit der Anwendung geeigneter Korrekturen sammeln. Die Schichten werden nach und nach größer, und wenn es um fortgeschrittene Sicherheitsprobleme wie unsichere Softwarearchitektur oder Bedrohungsmodellierung geht, erscheinen diese Fortschritte nicht mehr so einschüchternd und können präzise angegangen werden.
Als Branche dürfen wir niemals erwarten, dass Entwickler zu Sicherheitsexperten werden, aber Unternehmen können neue Standards einführen, um Entwicklern dabei zu helfen, qualitativ hochwertigere Software zu produzieren. Als Bonus für Unternehmen, deren Ingenieure ihre Fähigkeiten weiterentwickeln, wird jeder Schritt des Prozesses oder jede Stufe des Gerüstbaus direkt zu einer besseren Cybersicherheit führen, während sie lernen. Es ist nicht notwendig, bis zum Ende eines Kurses zu warten, um Ergebnisse zu sehen.
Es ist schwierig, sich über Cybersicherheit zu informieren, und ohne die richtige Hilfe und Anleitung ist es fast unmöglich, sie zu beherrschen. Die Einführung eines Sicherheitsprogramms in Verbindung mit einer strukturierten Schulung kann Ihnen helfen, das Beste daraus zu machen, wobei die Vorteile fast sofort sichtbar werden. Die Verbesserungen werden fast sofort einsetzen und sich im Laufe der Zeit kontinuierlich weiter verbessern.
Beginnen Sie mit uns, leistungsstarke Entwickler im Bereich Sicherheit auszubilden; entdecken Sie:
Kurse
Missions
Schulung für Entwickler
... und vieles mehr!
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenDemo buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Nach nur wenigen Minuten beim Durchsehen der Technologie-Nachrichten werden Sie schnell verstehen, wie gefährlich die Bedrohungslage geworden ist. Jeden Tag scheint es Meldungen über schwerwiegende Sicherheitsverletzungen, neue Schwachstellen oder ernsthafte Bedrohungen durch aktive Cyberangriffe und Kriminelle zu geben. Und fast alle Branchenindikatoren und -berichte weisen auf eine zunehmende Zahl von Cyberbedrohungen hin, wobei die meisten Experten davon ausgehen, dass sich dieser Trend in den kommenden Jahren fortsetzen wird.
Angesichts dieser neuen Bedrohungen sind die für die IT-Sicherheit zuständigen Mitarbeiter an vorderster Front erschöpft und unterbesetzt. Obwohl die Gehälter hoch sind und sie für jedes Unternehmen oder jede Organisation fast unverzichtbar sind, gibt es nie genug Sicherheitspersonal für alle. In einer kürzlich vom Center for Strategic and International Studies durchgeführten Umfrage gaben 82 % der IT-Entscheidungsträger an, dass ihre Organisation unter einem Mangel an Fachkräften im Bereich Cybersicherheit leidet, und 71 % gaben an, dass dieser Mangel zu direkten und messbaren Schäden für ihre Organisationen geführt hat. Allein in den Vereinigten Staaten gab es laut dem Bericht mehr als 520.000 offene Stellen im Bereich Cybersicherheit, während in diesem Bereich nur 940.000 Menschen beschäftigt sind.
Weltweit gibt es derzeit etwa 3,5 Millionen unbesetzte Stellen im Bereich Cybersicherheit, was bedeutet, dass selbst Unternehmen, die bereit sind, enorme Summen für die Anwerbung und Bindung hochqualifizierter Fachkräfte zu zahlen, Schwierigkeiten haben, geeignete Kandidaten zu finden. Im Durchschnitt dauert es etwa 21 % länger, eine Stelle im Bereich Cybersicherheit zu besetzen als jede andere Stelle, sofern sie überhaupt besetzt werden kann.
Die Aktivierung der Entwickler wurde viel zu lange ignoriert.
Wir haben in zahlreichen früheren Blogs festgestellt, dass Entwickler aufgefordert werden können, einige dieser kritischen Lücken in der Cybersicherheit zu schließen. Es ist nur so, dass Entwickler traditionell nie in Cybersicherheit geschult wurden. Ihre berufliche Leistung basierte fast ausschließlich auf der Geschwindigkeit und den Fristen der Bereitstellung. Die Sicherheit wurde den weiter entfernten AppSec-Teams anvertraut.
Leider geht es nicht einfach darum, einen Gang höher zu schalten und die Entwickler aufzufordern, plötzlich damit zu beginnen, die Sicherheit ihrer Anwendungen und Programme zu verbessern. Selbst wenn sie bereit sind, diese Änderungen vorzunehmen – und Umfragen haben gezeigt, dass viele von ihnen dazu bereit sind –, benötigen sie dennoch Schulungen, um dies zu erreichen. Sie brauchen auch die Ermutigung und Unterstützung der Geschäftsleitung, aber die Möglichkeit, von sinnvollen Schulungen zu profitieren, ist die erste und oft die größte Hürde.
Es ist kein Zufall, dass weltweit Millionen gut bezahlter und hochsicherer Stellen im Bereich IT-Sicherheit unbesetzt bleiben. Wäre diese Arbeit einfach, würde sich jeder darauf stürzen. Es ist schwierig zu lernen, wie man Bedrohungen bekämpft und Schwachstellen im Code beseitigt, und die Bedrohungslandschaft verändert sich ständig. Der Versuch, Cybersicherheit zu vermitteln, selbst an relativ technikaffine Entwickler, kann nicht effektiv mit statischen Schulungen erreicht werden, die schnell veralten, nicht einprägsam sind und nur minimale positive Auswirkungen haben, insbesondere wenn diese Anforderungen zu ihren bereits überfüllten Terminkalendern hinzukommen.
Bauen Sie ein Gerüst, um eine höhere Stelle zu erreichen.
Das Unterrichten von Cybersicherheitskompetenzen mit traditionellen Methoden ist wie der Versuch, einen Wolkenkratzer zu bauen, ohne jemals die Füße vom Boden zu nehmen. Das ist nicht möglich, da die Studierenden nicht über die notwendigen Grundlagen verfügen, um die zahlreichen fortgeschrittenen Konzepte eines komplexen Bereichs wie der Cybersicherheit zu beherrschen. Um dies auszugleichen, kann das Konzept des „Scaffolded Learning” (gestütztes Lernen ) angewendet werden.
Bei einem schrittweisen oder „geschichteten” Ansatz zur Verbesserung der Kompetenzen werden allgemeinere Themen in der Regel in einzelne Lernerfahrungen oder -konzepte unterteilt. So wird sichergestellt, dass die Studierenden jedes Konzept mithilfe geeigneter Übungen und Anweisungen beherrschen können, wobei für jede Komponente die erforderliche Unterstützung bereitgestellt wird. Neuere und fortgeschrittenere Konzepte werden zu den bereits beherrschten hinzugefügt, so wie ein Gerüst gebaut wird, während ein Gebäude in die Höhe wächst. Auf diese Weise können die Lernenden ein höheres Verständnis- und Kompetenzniveau erreichen, als sie es ohne Unterstützung erreichen könnten.
Und genau wie physische Gerüste wird diese Unterstützung nach und nach abgebaut, wenn sie nicht mehr benötigt wird, wobei die Verantwortung gegenüber den Studierenden zunimmt, je kompetenter sie werden.
Das Scaffolding-Lernen wird hauptsächlich eingesetzt, um negative Emotionen und die Selbstwahrnehmung der Schüler zu reduzieren, die sie empfinden können, wenn sie frustriert, eingeschüchtert oder entmutigt sind, wenn sie eine schwierige Aufgabe ohne Hilfe versuchen. Es kann aber auch sehr nützlich sein, wenn es darum geht, ein äußerst schwieriges Konzept wie die moderne Cybersicherheit anzugehen. Es handelt sich dabei keineswegs um eine Methode, Entwickler wie Kinder zu behandeln, sondern es ist äußerst hilfreich, wenn ihre Erfahrungen mit dem Sicherheitsteam denselben frustrierenden und entmutigenden Effekt haben können, insbesondere wenn ihre harte Arbeit mit Fehlerbehebungen und neuer Kritik belohnt wird.
Wenn Entwickler über Tools verfügen, mit denen sie die Grundlagen der sicheren Programmierung verstehen können (in der Regel beginnend mit den Top 10 der OWASP), können sie selbst erkennen, wie Sicherheitslücken entstehen, warum sie gefährlich sind und wie sie behoben werden können, bevor sie in die Produktion gelangen. Auf dieser Grundlage können sie ihre Kenntnisse vertiefen, indem sie sich mit komplexeren Schwachstellen befassen und praktische Erfahrungen mit der Anwendung geeigneter Korrekturen sammeln. Die Schichten werden nach und nach größer, und wenn es um fortgeschrittene Sicherheitsprobleme wie unsichere Softwarearchitektur oder Bedrohungsmodellierung geht, erscheinen diese Fortschritte nicht mehr so einschüchternd und können präzise angegangen werden.
Als Branche dürfen wir niemals erwarten, dass Entwickler zu Sicherheitsexperten werden, aber Unternehmen können neue Standards einführen, um Entwicklern dabei zu helfen, qualitativ hochwertigere Software zu produzieren. Als Bonus für Unternehmen, deren Ingenieure ihre Fähigkeiten weiterentwickeln, wird jeder Schritt des Prozesses oder jede Stufe des Gerüstbaus direkt zu einer besseren Cybersicherheit führen, während sie lernen. Es ist nicht notwendig, bis zum Ende eines Kurses zu warten, um Ergebnisse zu sehen.
Es ist schwierig, sich über Cybersicherheit zu informieren, und ohne die richtige Hilfe und Anleitung ist es fast unmöglich, sie zu beherrschen. Die Einführung eines Sicherheitsprogramms in Verbindung mit einer strukturierten Schulung kann Ihnen helfen, das Beste daraus zu machen, wobei die Vorteile fast sofort sichtbar werden. Die Verbesserungen werden fast sofort einsetzen und sich im Laufe der Zeit kontinuierlich weiter verbessern.
Beginnen Sie mit uns, leistungsstarke Entwickler im Bereich Sicherheit auszubilden; entdecken Sie:
Kurse
Missions
Schulung für Entwickler
... und vieles mehr!
Inhaltsverzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Schulung zum sicheren Code
Unsere hochmodernen Inhalte werden ständig weiterentwickelt, um mit den ständigen Veränderungen in der Softwareentwicklungslandschaft Schritt zu halten und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für eine Vielzahl von Positionen konzipiert, von Architekten über Ingenieure bis hin zu Produktmanagern und Qualitätssicherungsmitarbeitern. Verschaffen Sie sich einen Überblick über die Inhalte unseres Katalogs, sortiert nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die missions „Beat the Boss“ sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzen Sie fortschrittliche Sicherheitsherausforderungen im Zusammenhang mit KI und LLM ein, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet das für die Entwicklung sicherer Software bereits ab der Konzeption?
Entdecken Sie, was das europäische Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams durch Sicherheitsmaßnahmen bereits in der Entwurfsphase, durch die Vermeidung von Schwachstellen und durch die Stärkung der Fähigkeiten der Entwickler darauf vorbereiten können.
Moderator 1: Definierte und messbare Erfolgskriterien
Enabler 1 gibt den Startschuss für unsere 10-teilige Serie mit dem Titel „Enablers of Success“ und zeigt, wie sichere Codierung mit geschäftlichen Ergebnissen wie Risikominderung und Schnelligkeit kombiniert werden kann, um die langfristige Reife von Programmen sicherzustellen.
