Warum kann das Gerüstlernen die Entwicklung sicherheitsbewusster Entwickler fördern?
Nach nur wenigen Minuten des Lesens von Technologie-Nachrichten wird schnell klar, wie gefährlich die Bedrohungslage geworden ist. Es scheint, als gäbe es täglich Berichte über schwerwiegende Sicherheitslücken, neue Schwachstellen oder ernsthafte Bedrohungen, die von Cyberangreifern und Kriminellen aktiv ausgenutzt werden. Und fast alle Branchenindikatoren und Berichte zeigen, dass die Zahl der Cyberbedrohungen immer gefährlicher wird. Die meisten Experten sagen voraus, dass sich dieser Trend in den kommenden Jahren fortsetzen wird.
Angesichts dieser neuen Bedrohungen sind die IT-Sicherheitsmitarbeiter an vorderster Front erschöpft und unterbesetzt. Trotz hoher Gehälter und ihrer Unverzichtbarkeit für fast jedes Unternehmen oder jede Organisation gibt es nie genug Sicherheitspersonal, um alle Bereiche abzudecken.In einer aktuellen Umfrage des Center for Strategic and International Studies gaben 82 % der IT-Entscheidungsträger an, dass in ihren Organisationen ein Mangel an Cybersicherheitskompetenzen besteht, und 71 % der Entscheidungsträger gaben an, dass dieser Mangel ihrer Organisation direkten und messbaren Schaden zufügt. Der Bericht stellt fest, dass allein in den USA in einem Bereich, in dem nur etwa 940.000 Menschen beschäftigt sind, mehr als 520.000 Stellen im Bereich Cybersicherheit unbesetzt sind.
Weltweit gibt es derzeit etwa 3,5 Millionen offene Stellen im Bereich Cybersicherheit. Das bedeutet, dass es selbst für Unternehmen, die bereit sind, hohe Summen für die Einstellung und Bindung von Spitzenkräften zu zahlen, schwierig ist, geeignete Kandidaten zu finden. Im Durchschnitt dauert es etwa 21 % länger, eine Stelle im Bereich Cybersicherheit zu besetzen als jede andere Stelle – sofern sie überhaupt besetzt werden kann.
Entwicklerunterstützung wurde viel zu lange vernachlässigt.
Wir haben festgestellt, dass viele frühere Blogs darauf hingewiesen haben, dass Entwickler dazu genutzt werden können, einige wichtige Lücken in der Cybersicherheitsabwehr zu schließen. Allerdings haben Entwickler traditionell nie eine Cybersicherheitsschulung erhalten. Ihre Arbeitsleistung hängt fast ausschließlich von der Geschwindigkeit und dem Zeitpunkt der Bereitstellung ab. Sicherheit ist die Aufgabe der zukünftigen AppSec-Teams.
Leider geht es hier nicht nur darum, einen Gang höher zu schalten und von den Entwicklern zu verlangen, dass sie plötzlich damit beginnen, ihre Anwendungen und Programme sicherer zu machen. Selbst wenn sie zu diesen Änderungen bereit sind – und Umfragen zeigen, dass viele von ihnen dazu bereit sind –, benötigen sie dennoch Schulungen, um dies zu erreichen. Sie brauchen auch die Ermutigung und Unterstützung der Führungskräfte, aber der erste und größte Stolperstein ist es, sinnvolle Schulungen zu erhalten.
Es gibt einen Grund dafür, dass weltweit Millionen hochbezahlte und sichere Stellen im Bereich IT-Sicherheit unbesetzt sind. Wenn die Arbeit einfach wäre, würde jeder in diesen Bereich einsteigen.Es ist schwierig zu lernen, wie man Bedrohungen bekämpft und Schwachstellen im Code beseitigt, und die Bedrohungslage ändert sich ständig. Der Versuch, Cybersicherheit zu vermitteln, kann selbst bei relativ technisch versierten Entwicklern mit statischen Schulungen nicht effizient durchgeführt werden, da diese schnell veraltet sind, nicht im Gedächtnis bleiben und nur einen geringen positiven Effekt haben, insbesondere wenn diese Anforderungen zu ihrem ohnehin schon überfüllten Zeitplan hinzukommen.
Errichte ein Gerüst, um höhere Stellen zu erreichen.
Das Unterrichten von Cybersicherheitskompetenzen mit traditionellen Methoden ist wie der Versuch, einen Wolkenkratzer zu bauen, ohne selbst Hand anzulegen. Das ist unmöglich, da den Schülern viele der grundlegenden Konzepte fehlen, die für komplexe Bereiche wie Cybersicherheit erforderlich sind. Um dies auszugleichen, kann das Konzept des „gerüstartigen Lernens” zum Einsatz kommen.
Bei der Verwendung von Gerüsten oder „Schichtungsmethoden“ zum Aufbau von Fähigkeiten werden größere Themen in der Regel in einzelne Lernerfahrungen oder Konzepte unterteilt. Auf diese Weise wird sichergestellt, dass die Schüler jedes Konzept durch geeignete Übungen und Anleitungen beherrschen und somit alle erforderlichen Unterstützungsmaßnahmen für jeden einzelnen Bestandteil erhalten. Auf den bereits beherrschten Konzepten bauen neuere, fortgeschrittenere Konzepte auf, ähnlich wie beim Bau eines physischen Gerüsts, das mit zunehmender Höhe des Gebäudes errichtet wird.Auf diese Weise erreichen die Schüler ein höheres Verständnis- und Kompetenzniveau, als sie es ohne Hilfe erreichen könnten.
Wie bei einem physischen Gerüst wird diese Unterstützung nach und nach entfernt, wenn sie nicht mehr benötigt wird. Mit zunehmender Kompetenz übernehmen die Schüler mehr Verantwortung.
Das Gerüstlernen wird hauptsächlich eingesetzt, um negative Emotionen und Selbstwahrnehmung zu reduzieren, die bei Schülern auftreten können, wenn sie ohne Hilfe versuchen, schwierige Aufgaben zu bewältigen, und sich dabei frustriert, eingeschüchtert oder entmutigt fühlen.Es kann jedoch auch von großem Wert sein, wenn es darum geht, äußerst schwierige Konzepte wie moderne Cybersicherheit zu verstehen. Es handelt sich dabei keineswegs um eine Art, Entwickler wie Kinder zu behandeln, sondern es ist besonders dann nützlich, wenn ihre Erfahrungen im Sicherheitsteam ebenso frustrierend und entmutigend sein können, insbesondere wenn ihre harte Arbeit durch Fehlerbehebungen und neue Kritik zunichte gemacht wird.
Wenn Entwicklern Tools zur Verfügung gestellt werden, mit denen sie die Grundlagen der sicheren Programmierung erlernen können (in der Regel anhand der OWASP Top 10), können sie mit eigenen Augen sehen, wie Sicherheitslücken entstehen, warum sie gefährlich sind und wie sie behoben werden können, bevor sie in die Produktion gelangen.Danach können sie ihr Wissen durch die Behebung komplexerer Schwachstellen erweitern und praktische Erfahrungen mit der Anwendung bewährter Korrekturen sammeln. Diese Ebenen bauen aufeinander auf, sodass fortgeschrittene Sicherheitsprobleme (z. B. unsichere Softwarearchitekturen oder die Beteiligung an Bedrohungsmodellierungen) weniger einschüchternd wirken und präzise gelöst werden können.
Als Branche sollten wir niemals erwarten, dass Entwickler zu Sicherheitsexperten werden, aber Unternehmen können neue Standards für die Entwicklerunterstützung einführen, damit diese qualitativ hochwertigere Software produzieren können. Als zusätzlicher Vorteil für Unternehmen, die ihre Kompetenzen verbessern möchten, führt jeder Schritt oder jede Ebene des Gerüsts direkt zu einer besseren Cybersicherheit während des Lernprozesses. Sie müssen nicht bis zum Ende des Kurses warten, um Ergebnisse zu sehen.
Das Erlernen von Cybersicherheit ist schwierig und ohne die richtige Hilfe und Anleitung fast unmöglich zu meistern. Die Kombination von Sicherheitsplänen mit dem Scaffolding-Lernen kann dabei helfen, ihr Potenzial voll auszuschöpfen, wobei sich die Vorteile fast sofort zeigen. Verbesserungen werden fast sofort einsetzen und sich im Laufe der Zeit kontinuierlich weiterentwickeln.
Beginnen Sie mit uns, sichere Entwickler auszubilden. Sehen Sie sich Folgendes an:
Kurse
Aufgaben
Entwicklerschulungen
... und vieles mehr!
Als Branche sollten wir niemals erwarten, dass Entwickler zu Sicherheitsexperten werden, aber Unternehmen können neue Standards für die Entwicklerunterstützung einführen, damit diese qualitativ hochwertigere Software produzieren können.
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Nach nur wenigen Minuten des Lesens von Technologie-Nachrichten wird schnell klar, wie gefährlich die Bedrohungslage geworden ist. Es scheint, als gäbe es täglich Berichte über schwerwiegende Sicherheitslücken, neue Schwachstellen oder ernsthafte Bedrohungen, die von Cyberangreifern und Kriminellen aktiv ausgenutzt werden. Und fast alle Branchenindikatoren und Berichte zeigen, dass die Zahl der Cyberbedrohungen immer gefährlicher wird. Die meisten Experten sagen voraus, dass sich dieser Trend in den kommenden Jahren fortsetzen wird.
Angesichts dieser neuen Bedrohungen sind die IT-Sicherheitsmitarbeiter an vorderster Front erschöpft und unterbesetzt. Trotz hoher Gehälter und ihrer Unverzichtbarkeit für fast jedes Unternehmen oder jede Organisation gibt es nie genug Sicherheitspersonal, um alle Bereiche abzudecken.In einer aktuellen Umfrage des Center for Strategic and International Studies gaben 82 % der IT-Entscheidungsträger an, dass in ihren Organisationen ein Mangel an Cybersicherheitskompetenzen besteht, und 71 % der Entscheidungsträger gaben an, dass dieser Mangel ihrer Organisation direkten und messbaren Schaden zufügt. Der Bericht stellt fest, dass allein in den USA in einem Bereich, in dem nur etwa 940.000 Menschen beschäftigt sind, mehr als 520.000 Stellen im Bereich Cybersicherheit unbesetzt sind.
Weltweit gibt es derzeit etwa 3,5 Millionen offene Stellen im Bereich Cybersicherheit. Das bedeutet, dass es selbst für Unternehmen, die bereit sind, hohe Summen für die Einstellung und Bindung von Spitzenkräften zu zahlen, schwierig ist, geeignete Kandidaten zu finden. Im Durchschnitt dauert es etwa 21 % länger, eine Stelle im Bereich Cybersicherheit zu besetzen als jede andere Stelle – sofern sie überhaupt besetzt werden kann.
Entwicklerunterstützung wurde viel zu lange vernachlässigt.
Wir haben festgestellt, dass viele frühere Blogs darauf hingewiesen haben, dass Entwickler dazu genutzt werden können, einige wichtige Lücken in der Cybersicherheitsabwehr zu schließen. Allerdings haben Entwickler traditionell nie eine Cybersicherheitsschulung erhalten. Ihre Arbeitsleistung hängt fast ausschließlich von der Geschwindigkeit und dem Zeitpunkt der Bereitstellung ab. Sicherheit ist die Aufgabe der zukünftigen AppSec-Teams.
Leider geht es hier nicht nur darum, einen Gang höher zu schalten und von den Entwicklern zu verlangen, dass sie plötzlich damit beginnen, ihre Anwendungen und Programme sicherer zu machen. Selbst wenn sie zu diesen Änderungen bereit sind – und Umfragen zeigen, dass viele von ihnen dazu bereit sind –, benötigen sie dennoch Schulungen, um dies zu erreichen. Sie brauchen auch die Ermutigung und Unterstützung der Führungskräfte, aber der erste und größte Stolperstein ist es, sinnvolle Schulungen zu erhalten.
Es gibt einen Grund dafür, dass weltweit Millionen hochbezahlte und sichere Stellen im Bereich IT-Sicherheit unbesetzt sind. Wenn die Arbeit einfach wäre, würde jeder in diesen Bereich einsteigen.Es ist schwierig zu lernen, wie man Bedrohungen bekämpft und Schwachstellen im Code beseitigt, und die Bedrohungslage ändert sich ständig. Der Versuch, Cybersicherheit zu vermitteln, kann selbst bei relativ technisch versierten Entwicklern mit statischen Schulungen nicht effizient durchgeführt werden, da diese schnell veraltet sind, nicht im Gedächtnis bleiben und nur einen geringen positiven Effekt haben, insbesondere wenn diese Anforderungen zu ihrem ohnehin schon überfüllten Zeitplan hinzukommen.
Errichte ein Gerüst, um höhere Stellen zu erreichen.
Das Unterrichten von Cybersicherheitskompetenzen mit traditionellen Methoden ist wie der Versuch, einen Wolkenkratzer zu bauen, ohne selbst Hand anzulegen. Das ist unmöglich, da den Schülern viele der grundlegenden Konzepte fehlen, die für komplexe Bereiche wie Cybersicherheit erforderlich sind. Um dies auszugleichen, kann das Konzept des „gerüstartigen Lernens” zum Einsatz kommen.
Bei der Verwendung von Gerüsten oder „Schichtungsmethoden“ zum Aufbau von Fähigkeiten werden größere Themen in der Regel in einzelne Lernerfahrungen oder Konzepte unterteilt. Auf diese Weise wird sichergestellt, dass die Schüler jedes Konzept durch geeignete Übungen und Anleitungen beherrschen und somit alle erforderlichen Unterstützungsmaßnahmen für jeden einzelnen Bestandteil erhalten. Auf den bereits beherrschten Konzepten bauen neuere, fortgeschrittenere Konzepte auf, ähnlich wie beim Bau eines physischen Gerüsts, das mit zunehmender Höhe des Gebäudes errichtet wird.Auf diese Weise erreichen die Schüler ein höheres Verständnis- und Kompetenzniveau, als sie es ohne Hilfe erreichen könnten.
Wie bei einem physischen Gerüst wird diese Unterstützung nach und nach entfernt, wenn sie nicht mehr benötigt wird. Mit zunehmender Kompetenz übernehmen die Schüler mehr Verantwortung.
Das Gerüstlernen wird hauptsächlich eingesetzt, um negative Emotionen und Selbstwahrnehmung zu reduzieren, die bei Schülern auftreten können, wenn sie ohne Hilfe versuchen, schwierige Aufgaben zu bewältigen, und sich dabei frustriert, eingeschüchtert oder entmutigt fühlen.Es kann jedoch auch von großem Wert sein, wenn es darum geht, äußerst schwierige Konzepte wie moderne Cybersicherheit zu verstehen. Es handelt sich dabei keineswegs um eine Art, Entwickler wie Kinder zu behandeln, sondern es ist besonders dann nützlich, wenn ihre Erfahrungen im Sicherheitsteam ebenso frustrierend und entmutigend sein können, insbesondere wenn ihre harte Arbeit durch Fehlerbehebungen und neue Kritik zunichte gemacht wird.
Wenn Entwicklern Tools zur Verfügung gestellt werden, mit denen sie die Grundlagen der sicheren Programmierung erlernen können (in der Regel anhand der OWASP Top 10), können sie mit eigenen Augen sehen, wie Sicherheitslücken entstehen, warum sie gefährlich sind und wie sie behoben werden können, bevor sie in die Produktion gelangen.Danach können sie ihr Wissen durch die Behebung komplexerer Schwachstellen erweitern und praktische Erfahrungen mit der Anwendung bewährter Korrekturen sammeln. Diese Ebenen bauen aufeinander auf, sodass fortgeschrittene Sicherheitsprobleme (z. B. unsichere Softwarearchitekturen oder die Beteiligung an Bedrohungsmodellierungen) weniger einschüchternd wirken und präzise gelöst werden können.
Als Branche sollten wir niemals erwarten, dass Entwickler zu Sicherheitsexperten werden, aber Unternehmen können neue Standards für die Entwicklerunterstützung einführen, damit diese qualitativ hochwertigere Software produzieren können. Als zusätzlicher Vorteil für Unternehmen, die ihre Kompetenzen verbessern möchten, führt jeder Schritt oder jede Ebene des Gerüsts direkt zu einer besseren Cybersicherheit während des Lernprozesses. Sie müssen nicht bis zum Ende des Kurses warten, um Ergebnisse zu sehen.
Das Erlernen von Cybersicherheit ist schwierig und ohne die richtige Hilfe und Anleitung fast unmöglich zu meistern. Die Kombination von Sicherheitsplänen mit dem Scaffolding-Lernen kann dabei helfen, ihr Potenzial voll auszuschöpfen, wobei sich die Vorteile fast sofort zeigen. Verbesserungen werden fast sofort einsetzen und sich im Laufe der Zeit kontinuierlich weiterentwickeln.
Beginnen Sie mit uns, sichere Entwickler auszubilden. Sehen Sie sich Folgendes an:
Kurse
Aufgaben
Entwicklerschulungen
... und vieles mehr!
Nach nur wenigen Minuten des Lesens von Technologie-Nachrichten wird schnell klar, wie gefährlich die Bedrohungslage geworden ist. Es scheint, als gäbe es täglich Berichte über schwerwiegende Sicherheitslücken, neue Schwachstellen oder ernsthafte Bedrohungen, die von Cyberangreifern und Kriminellen aktiv ausgenutzt werden. Und fast alle Branchenindikatoren und Berichte zeigen, dass die Zahl der Cyberbedrohungen immer gefährlicher wird. Die meisten Experten sagen voraus, dass sich dieser Trend in den kommenden Jahren fortsetzen wird.
Angesichts dieser neuen Bedrohungen sind die IT-Sicherheitsmitarbeiter an vorderster Front erschöpft und unterbesetzt. Trotz hoher Gehälter und ihrer Unverzichtbarkeit für fast jedes Unternehmen oder jede Organisation gibt es nie genug Sicherheitspersonal, um alle Bereiche abzudecken.In einer aktuellen Umfrage des Center for Strategic and International Studies gaben 82 % der IT-Entscheidungsträger an, dass in ihren Organisationen ein Mangel an Cybersicherheitskompetenzen besteht, und 71 % der Entscheidungsträger gaben an, dass dieser Mangel ihrer Organisation direkten und messbaren Schaden zufügt. Der Bericht stellt fest, dass allein in den USA in einem Bereich, in dem nur etwa 940.000 Menschen beschäftigt sind, mehr als 520.000 Stellen im Bereich Cybersicherheit unbesetzt sind.
Weltweit gibt es derzeit etwa 3,5 Millionen offene Stellen im Bereich Cybersicherheit. Das bedeutet, dass es selbst für Unternehmen, die bereit sind, hohe Summen für die Einstellung und Bindung von Spitzenkräften zu zahlen, schwierig ist, geeignete Kandidaten zu finden. Im Durchschnitt dauert es etwa 21 % länger, eine Stelle im Bereich Cybersicherheit zu besetzen als jede andere Stelle – sofern sie überhaupt besetzt werden kann.
Entwicklerunterstützung wurde viel zu lange vernachlässigt.
Wir haben festgestellt, dass viele frühere Blogs darauf hingewiesen haben, dass Entwickler dazu genutzt werden können, einige wichtige Lücken in der Cybersicherheitsabwehr zu schließen. Allerdings haben Entwickler traditionell nie eine Cybersicherheitsschulung erhalten. Ihre Arbeitsleistung hängt fast ausschließlich von der Geschwindigkeit und dem Zeitpunkt der Bereitstellung ab. Sicherheit ist die Aufgabe der zukünftigen AppSec-Teams.
Leider geht es hier nicht nur darum, einen Gang höher zu schalten und von den Entwicklern zu verlangen, dass sie plötzlich damit beginnen, ihre Anwendungen und Programme sicherer zu machen. Selbst wenn sie zu diesen Änderungen bereit sind – und Umfragen zeigen, dass viele von ihnen dazu bereit sind –, benötigen sie dennoch Schulungen, um dies zu erreichen. Sie brauchen auch die Ermutigung und Unterstützung der Führungskräfte, aber der erste und größte Stolperstein ist es, sinnvolle Schulungen zu erhalten.
Es gibt einen Grund dafür, dass weltweit Millionen hochbezahlte und sichere Stellen im Bereich IT-Sicherheit unbesetzt sind. Wenn die Arbeit einfach wäre, würde jeder in diesen Bereich einsteigen.Es ist schwierig zu lernen, wie man Bedrohungen bekämpft und Schwachstellen im Code beseitigt, und die Bedrohungslage ändert sich ständig. Der Versuch, Cybersicherheit zu vermitteln, kann selbst bei relativ technisch versierten Entwicklern mit statischen Schulungen nicht effizient durchgeführt werden, da diese schnell veraltet sind, nicht im Gedächtnis bleiben und nur einen geringen positiven Effekt haben, insbesondere wenn diese Anforderungen zu ihrem ohnehin schon überfüllten Zeitplan hinzukommen.
Errichte ein Gerüst, um höhere Stellen zu erreichen.
Das Unterrichten von Cybersicherheitskompetenzen mit traditionellen Methoden ist wie der Versuch, einen Wolkenkratzer zu bauen, ohne selbst Hand anzulegen. Das ist unmöglich, da den Schülern viele der grundlegenden Konzepte fehlen, die für komplexe Bereiche wie Cybersicherheit erforderlich sind. Um dies auszugleichen, kann das Konzept des „gerüstartigen Lernens” zum Einsatz kommen.
Bei der Verwendung von Gerüsten oder „Schichtungsmethoden“ zum Aufbau von Fähigkeiten werden größere Themen in der Regel in einzelne Lernerfahrungen oder Konzepte unterteilt. Auf diese Weise wird sichergestellt, dass die Schüler jedes Konzept durch geeignete Übungen und Anleitungen beherrschen und somit alle erforderlichen Unterstützungsmaßnahmen für jeden einzelnen Bestandteil erhalten. Auf den bereits beherrschten Konzepten bauen neuere, fortgeschrittenere Konzepte auf, ähnlich wie beim Bau eines physischen Gerüsts, das mit zunehmender Höhe des Gebäudes errichtet wird.Auf diese Weise erreichen die Schüler ein höheres Verständnis- und Kompetenzniveau, als sie es ohne Hilfe erreichen könnten.
Wie bei einem physischen Gerüst wird diese Unterstützung nach und nach entfernt, wenn sie nicht mehr benötigt wird. Mit zunehmender Kompetenz übernehmen die Schüler mehr Verantwortung.
Das Gerüstlernen wird hauptsächlich eingesetzt, um negative Emotionen und Selbstwahrnehmung zu reduzieren, die bei Schülern auftreten können, wenn sie ohne Hilfe versuchen, schwierige Aufgaben zu bewältigen, und sich dabei frustriert, eingeschüchtert oder entmutigt fühlen.Es kann jedoch auch von großem Wert sein, wenn es darum geht, äußerst schwierige Konzepte wie moderne Cybersicherheit zu verstehen. Es handelt sich dabei keineswegs um eine Art, Entwickler wie Kinder zu behandeln, sondern es ist besonders dann nützlich, wenn ihre Erfahrungen im Sicherheitsteam ebenso frustrierend und entmutigend sein können, insbesondere wenn ihre harte Arbeit durch Fehlerbehebungen und neue Kritik zunichte gemacht wird.
Wenn Entwicklern Tools zur Verfügung gestellt werden, mit denen sie die Grundlagen der sicheren Programmierung erlernen können (in der Regel anhand der OWASP Top 10), können sie mit eigenen Augen sehen, wie Sicherheitslücken entstehen, warum sie gefährlich sind und wie sie behoben werden können, bevor sie in die Produktion gelangen.Danach können sie ihr Wissen durch die Behebung komplexerer Schwachstellen erweitern und praktische Erfahrungen mit der Anwendung bewährter Korrekturen sammeln. Diese Ebenen bauen aufeinander auf, sodass fortgeschrittene Sicherheitsprobleme (z. B. unsichere Softwarearchitekturen oder die Beteiligung an Bedrohungsmodellierungen) weniger einschüchternd wirken und präzise gelöst werden können.
Als Branche sollten wir niemals erwarten, dass Entwickler zu Sicherheitsexperten werden, aber Unternehmen können neue Standards für die Entwicklerunterstützung einführen, damit diese qualitativ hochwertigere Software produzieren können. Als zusätzlicher Vorteil für Unternehmen, die ihre Kompetenzen verbessern möchten, führt jeder Schritt oder jede Ebene des Gerüsts direkt zu einer besseren Cybersicherheit während des Lernprozesses. Sie müssen nicht bis zum Ende des Kurses warten, um Ergebnisse zu sehen.
Das Erlernen von Cybersicherheit ist schwierig und ohne die richtige Hilfe und Anleitung fast unmöglich zu meistern. Die Kombination von Sicherheitsplänen mit dem Scaffolding-Lernen kann dabei helfen, ihr Potenzial voll auszuschöpfen, wobei sich die Vorteile fast sofort zeigen. Verbesserungen werden fast sofort einsetzen und sich im Laufe der Zeit kontinuierlich weiterentwickeln.
Beginnen Sie mit uns, sichere Entwickler auszubilden. Sehen Sie sich Folgendes an:
Kurse
Aufgaben
Entwicklerschulungen
... und vieles mehr!
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenDemo buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Nach nur wenigen Minuten des Lesens von Technologie-Nachrichten wird schnell klar, wie gefährlich die Bedrohungslage geworden ist. Es scheint, als gäbe es täglich Berichte über schwerwiegende Sicherheitslücken, neue Schwachstellen oder ernsthafte Bedrohungen, die von Cyberangreifern und Kriminellen aktiv ausgenutzt werden. Und fast alle Branchenindikatoren und Berichte zeigen, dass die Zahl der Cyberbedrohungen immer gefährlicher wird. Die meisten Experten sagen voraus, dass sich dieser Trend in den kommenden Jahren fortsetzen wird.
Angesichts dieser neuen Bedrohungen sind die IT-Sicherheitsmitarbeiter an vorderster Front erschöpft und unterbesetzt. Trotz hoher Gehälter und ihrer Unverzichtbarkeit für fast jedes Unternehmen oder jede Organisation gibt es nie genug Sicherheitspersonal, um alle Bereiche abzudecken.In einer aktuellen Umfrage des Center for Strategic and International Studies gaben 82 % der IT-Entscheidungsträger an, dass in ihren Organisationen ein Mangel an Cybersicherheitskompetenzen besteht, und 71 % der Entscheidungsträger gaben an, dass dieser Mangel ihrer Organisation direkten und messbaren Schaden zufügt. Der Bericht stellt fest, dass allein in den USA in einem Bereich, in dem nur etwa 940.000 Menschen beschäftigt sind, mehr als 520.000 Stellen im Bereich Cybersicherheit unbesetzt sind.
Weltweit gibt es derzeit etwa 3,5 Millionen offene Stellen im Bereich Cybersicherheit. Das bedeutet, dass es selbst für Unternehmen, die bereit sind, hohe Summen für die Einstellung und Bindung von Spitzenkräften zu zahlen, schwierig ist, geeignete Kandidaten zu finden. Im Durchschnitt dauert es etwa 21 % länger, eine Stelle im Bereich Cybersicherheit zu besetzen als jede andere Stelle – sofern sie überhaupt besetzt werden kann.
Entwicklerunterstützung wurde viel zu lange vernachlässigt.
Wir haben festgestellt, dass viele frühere Blogs darauf hingewiesen haben, dass Entwickler dazu genutzt werden können, einige wichtige Lücken in der Cybersicherheitsabwehr zu schließen. Allerdings haben Entwickler traditionell nie eine Cybersicherheitsschulung erhalten. Ihre Arbeitsleistung hängt fast ausschließlich von der Geschwindigkeit und dem Zeitpunkt der Bereitstellung ab. Sicherheit ist die Aufgabe der zukünftigen AppSec-Teams.
Leider geht es hier nicht nur darum, einen Gang höher zu schalten und von den Entwicklern zu verlangen, dass sie plötzlich damit beginnen, ihre Anwendungen und Programme sicherer zu machen. Selbst wenn sie zu diesen Änderungen bereit sind – und Umfragen zeigen, dass viele von ihnen dazu bereit sind –, benötigen sie dennoch Schulungen, um dies zu erreichen. Sie brauchen auch die Ermutigung und Unterstützung der Führungskräfte, aber der erste und größte Stolperstein ist es, sinnvolle Schulungen zu erhalten.
Es gibt einen Grund dafür, dass weltweit Millionen hochbezahlte und sichere Stellen im Bereich IT-Sicherheit unbesetzt sind. Wenn die Arbeit einfach wäre, würde jeder in diesen Bereich einsteigen.Es ist schwierig zu lernen, wie man Bedrohungen bekämpft und Schwachstellen im Code beseitigt, und die Bedrohungslage ändert sich ständig. Der Versuch, Cybersicherheit zu vermitteln, kann selbst bei relativ technisch versierten Entwicklern mit statischen Schulungen nicht effizient durchgeführt werden, da diese schnell veraltet sind, nicht im Gedächtnis bleiben und nur einen geringen positiven Effekt haben, insbesondere wenn diese Anforderungen zu ihrem ohnehin schon überfüllten Zeitplan hinzukommen.
Errichte ein Gerüst, um höhere Stellen zu erreichen.
Das Unterrichten von Cybersicherheitskompetenzen mit traditionellen Methoden ist wie der Versuch, einen Wolkenkratzer zu bauen, ohne selbst Hand anzulegen. Das ist unmöglich, da den Schülern viele der grundlegenden Konzepte fehlen, die für komplexe Bereiche wie Cybersicherheit erforderlich sind. Um dies auszugleichen, kann das Konzept des „gerüstartigen Lernens” zum Einsatz kommen.
Bei der Verwendung von Gerüsten oder „Schichtungsmethoden“ zum Aufbau von Fähigkeiten werden größere Themen in der Regel in einzelne Lernerfahrungen oder Konzepte unterteilt. Auf diese Weise wird sichergestellt, dass die Schüler jedes Konzept durch geeignete Übungen und Anleitungen beherrschen und somit alle erforderlichen Unterstützungsmaßnahmen für jeden einzelnen Bestandteil erhalten. Auf den bereits beherrschten Konzepten bauen neuere, fortgeschrittenere Konzepte auf, ähnlich wie beim Bau eines physischen Gerüsts, das mit zunehmender Höhe des Gebäudes errichtet wird.Auf diese Weise erreichen die Schüler ein höheres Verständnis- und Kompetenzniveau, als sie es ohne Hilfe erreichen könnten.
Wie bei einem physischen Gerüst wird diese Unterstützung nach und nach entfernt, wenn sie nicht mehr benötigt wird. Mit zunehmender Kompetenz übernehmen die Schüler mehr Verantwortung.
Das Gerüstlernen wird hauptsächlich eingesetzt, um negative Emotionen und Selbstwahrnehmung zu reduzieren, die bei Schülern auftreten können, wenn sie ohne Hilfe versuchen, schwierige Aufgaben zu bewältigen, und sich dabei frustriert, eingeschüchtert oder entmutigt fühlen.Es kann jedoch auch von großem Wert sein, wenn es darum geht, äußerst schwierige Konzepte wie moderne Cybersicherheit zu verstehen. Es handelt sich dabei keineswegs um eine Art, Entwickler wie Kinder zu behandeln, sondern es ist besonders dann nützlich, wenn ihre Erfahrungen im Sicherheitsteam ebenso frustrierend und entmutigend sein können, insbesondere wenn ihre harte Arbeit durch Fehlerbehebungen und neue Kritik zunichte gemacht wird.
Wenn Entwicklern Tools zur Verfügung gestellt werden, mit denen sie die Grundlagen der sicheren Programmierung erlernen können (in der Regel anhand der OWASP Top 10), können sie mit eigenen Augen sehen, wie Sicherheitslücken entstehen, warum sie gefährlich sind und wie sie behoben werden können, bevor sie in die Produktion gelangen.Danach können sie ihr Wissen durch die Behebung komplexerer Schwachstellen erweitern und praktische Erfahrungen mit der Anwendung bewährter Korrekturen sammeln. Diese Ebenen bauen aufeinander auf, sodass fortgeschrittene Sicherheitsprobleme (z. B. unsichere Softwarearchitekturen oder die Beteiligung an Bedrohungsmodellierungen) weniger einschüchternd wirken und präzise gelöst werden können.
Als Branche sollten wir niemals erwarten, dass Entwickler zu Sicherheitsexperten werden, aber Unternehmen können neue Standards für die Entwicklerunterstützung einführen, damit diese qualitativ hochwertigere Software produzieren können. Als zusätzlicher Vorteil für Unternehmen, die ihre Kompetenzen verbessern möchten, führt jeder Schritt oder jede Ebene des Gerüsts direkt zu einer besseren Cybersicherheit während des Lernprozesses. Sie müssen nicht bis zum Ende des Kurses warten, um Ergebnisse zu sehen.
Das Erlernen von Cybersicherheit ist schwierig und ohne die richtige Hilfe und Anleitung fast unmöglich zu meistern. Die Kombination von Sicherheitsplänen mit dem Scaffolding-Lernen kann dabei helfen, ihr Potenzial voll auszuschöpfen, wobei sich die Vorteile fast sofort zeigen. Verbesserungen werden fast sofort einsetzen und sich im Laufe der Zeit kontinuierlich weiterentwickeln.
Beginnen Sie mit uns, sichere Entwickler auszubilden. Sehen Sie sich Folgendes an:
Kurse
Aufgaben
Entwicklerschulungen
... und vieles mehr!
Verzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen下载Ressourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Sicherheitsschulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Softwareentwicklungslandschaft anzupassen und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für verschiedene Positionen geeignet, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Verschaffen Sie sich einen ersten Überblick nach Themen und Rollen und erfahren Sie, was unser Inhaltsverzeichnis zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025: Der Kampf gegen den Boss hat nun in SCW ganzjährig begonnen. Der Kampf um die Sicherheit von KI/LLM auf Stammesebene, die Entwicklung von Sicherheits-KI wird durch groß angelegte Modelle verstärkt.
Auslegung des Gesetzes zur Netzresilienz: Was bedeutet es, durch die Entwicklung von Design-Software Sicherheit zu erreichen?
Verstehen Sie die Anforderungen des EU-Gesetzes zur Netzresilienz (CRA), für wen es gilt und wie sich Ingenieurteams durch Designpraktiken, Schwachstellenprävention und Kompetenzaufbau für Entwickler darauf vorbereiten können.
Treibende Faktoren 1: Klare und messbare Erfolgskriterien
Enabler 1 ist der Auftakt zu unserer 10-teiligen Reihe über Erfolgsfaktoren. Er zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und schnellerer Reifung langfristiger Pläne in Verbindung gebracht werden kann.
