System-Penetrationstests sind ein wichtiger Prozess, um Schwachstellen in IT-Systemen zu finden und deren Behebung zu unterstützen, bevor Angreifer sie ausnutzen können. Aus diesem Grund setzen viele Organisationen solche "Pentester" oder ethische Hacker ein, um ihre Software- und Hardwarebasis (einschließlich Konnektivität) zu testen und die gefundenen Sicherheitsprobleme zu beheben. Dies ist zu einem Eckpfeiler moderner Sicherheitskonzepte geworden. Um bei diesem Unterfangen erfolgreich zu sein, ist jedoch eine gute Kenntnis der verschiedenen Arten von anvisierten IT-Systemen erforderlich. Wir beziehen uns auf Hosts, Netzwerke, Web Apps und sogar Cloud Computing. In diesem Kurs stellen wir die grundlegenden Aspekte von IT-Systemen sowie die Prozesse, Hilfsmittel und Techniken vor, die die industrielle Praxis der Penetrationstests ausmachen. Ausgerüstet mit diesem Wissen werden die Studierenden die Mechanismen eines bestimmten Angriffs verstehen und sich auf den Weg eigener Penetration Tests begeben.

1. Ziele von Penetrationstests und industrielle Perspektive
   1. Organisatorischer Nutzen
   2. Rahmenbedingungen für Ethical Hacking
   3. Rechtliche Aspekte
   4. Verantwortungsvolle Offenlegung von Schwachstellen
   5. Professionelle Penetrationstest-Dienstleistungen und Zertifizierungen
2. Hintergrundkonzepte
   1. Betriebssysteme
   2. Hardware-Architekturen
   3. Netzwerke und Protokolle
   4. Web-basierte Anwendungen
   5. Cloud-Computing
3. Ablauf von Penetrationstests
   1. Planung und Erkundung
   2. Whitebox-, Blackbox- und Graybox-Scanning
   3. Zugang erhalten
   4. Aufrechterhaltung des Zugangs
   5. Analyse und Berichterstattung
   6. Härtung und Entschärfung
4. Betriebssystembasierte Penetrationstests
   1. Häufige Fehlkonfigurationen
   2. Shellcode-Angriffe
   3. Speicherkorruption und Pufferüberlauf-Schwachstellen
   4. Metasploit und Kali-Tools
   5. Härtung des Betriebssystems
5. Netzwerk-Penetrationstests
   1. Scoping und Recon der Netzwerkinfrastruktur
   2. Ausnutzen von Netzwerkdiensten
   3. Seitliche Bewegung im Netzwerk
   4. Kerberos-Angriffe
   5. Werkzeugsatz: Nmap, PowerShell, Bloodhound und Tcpdump
   6. Entwickeln von Korrekturmaßnahmen
6. Web-App-Penetrationstests
   1. Die OWASP-Methodik
   2. Open-Source-Intelligenz (OSINT)
   3. Häufig ausgenutzte Web-App-Schwachstellen
   4. Ausnutzungs-Toolset: BurpSuite, sqlmap, BeEF und ExploitDB
   5. Berichterstattung über Ergebnisse und Abhilfemaßnahmen
7. Spezialisierte Penetrationstests auf einen Blick
   1. Ausnutzungs-Entwicklung
   2. Ethisches Hacking
   3. Penetrationstests für drahtlose und mobile Geräte
   4. Bewertung von Cloud-Bedrohungen und Schwachstellen

Moderne Organisationen sind bis zu einem gewissen Grad von Software abhängig. In vielen Fällen ist es die kundenspezifische Software in Geschäftsprozessen oder Produkten, die das Hauptunterscheidungsmerkmal darstellt. Aber auch Unternehmen, die keine eigene Entwicklung betreiben, sind auf Software angewiesen, und das Verständnis von Software-Schwachstellen ist für ihren Betrieb lebenswichtig, wie die jüngsten Ransomware-Angriffe gezeigt haben.

In diesem Kurs beschäftigen wir uns mit moderner Software-Entwicklung und Lebenszyklus-Prozessen. Seit den Anfängen mit Extremer Programmierung hat es eine Verlagerung weg vom linearen Wasserfallmodell hin zu einem agilen Entwicklungsprozess gegeben. In jüngerer Zeit hat sich die „Shift-Left“-Entwicklung dafür eingesetzt, dass Sicherheit von Anfang an und nicht erst im Nachhinein berücksichtigt wird.

Um sichere Software zu entwerfen, ist es natürlich wichtig zu verstehen, wie sich Schwachstellen in den Code einschleichen. Wir sehen uns die wichtigsten Aufzählungen von Softwarefehlern an: OWASP und die CWEs von Mitre. Schließlich ist das Patch-Management zum wichtigsten Abwehrinstrument für eine Organisation geworden. Wir betrachten dieses Thema sowohl aus der Perspektive der Softwareentwicklung als auch aus der Sicht des Kunden.

1. Einführung in den Software-Entwicklungsprozess
   1. Traditionelle Software-Entwicklung: Wasserfall-Methodik
   2. Iterativer Entwurf
   3. Agile Software-Entwicklung
   4. Operationen als separater Prozess
   5. Infrastruktur als Code
   6. Zusammenlegung von Entwicklung und Betrieb: DevOps
2. Bewährte Praktiken von DevOps
   1. Codierung: Code-Entwicklung und -Überprüfung, Quellcode-Verwaltungstools, Code-Zusammenführung.
   2. Build: kontinuierliche Integrationswerkzeuge, Build-Status.
   3. Tests: Instrumente für kontinuierliche Tests, die ein schnelles und zeitnahes Feedback zu Geschäftsrisiken liefern.
   4. Paketierung: Artefakt-Repository, Staging vor der Bereitstellung der Anwendung.
   5. Freigabe: Änderungsmanagement, Freigabegenehmigungen, Freigabeautomatisierung.
   6. Konfigurieren: Konfiguration und Verwaltung der Infrastruktur, Infrastruktur als Code-Tools.
   7. Überwachung: Überwachung der Anwendungsleistung, Endbenutzer-Erfahrung.
3. Quellen von Sicherheitsfehlern
   1. Allgemeine Klassen von Fehlern
   2. Ein Blick auf die OWASP-Top Ten
   3. Blick auf die Mitra CWE™
4. DevSecOps
   1. Schutzziele
   2. Modellierung von Bedrohungen
   3. Wahl der Programmiersprache, Werkzeugkette und Infrastruktur
   4. Linting bei Fragen der Codesicherheit
   5. Prüfung auf Sicherheit
   6. Sicherheit durch Design/Shifting Left
   7. Der Mensch als ein Problem der Sicherheit
   8. Entwerfen in einem Fehlerbericht- und Antwortprozess
   9. Steuern eines Bug-Bounty-Programms
5. Patch-Verwaltung
   1. Dilemma: Auslassen von Software-Update- vs. Sicherheit
   2. Offenlegung von Schwachstellen und der Mitre CVE™ Prozess
   3. Koordinierte Offenlegung von Schwachstellen
   4. Programmsicherheit vs. Software-as-a-Service-Patching
   5. Einsatzstrategien für das frühzeitige Abfangen von Bugs
6. Zusammenfassung und Forschungsprobleme

Der Kurs vermittelt den Studierenden einen umfassenden Einblick in die agile Softwareentwicklung. Hierbei werden sowohl die grundlegenden agilen Prinzipien dargestellt als auch deren Anwendung im Kontext von kleinen und großen Softwareentwicklungsprojekten. Anhand praktischer Beispiele lernen die Studierenden agile Techniken zur Durchführung der Kernaktivitäten im Software-Engineering kennen. Als besonderer Schwerpunkt wird dabei auch auf den Ansatz des Continuous Delivery eingegangen und dessen Methoden und Werkzeuge vorgestellt.

1. Merkmale und Prinzipien von Agilität
   1. Merkmale und Herausforderungen von Softwareprojekten
   2. Klassifikationen von Unsicherheit
   3. Gegenüberstellung von agiler und klassischer Softwareentwicklung
   4. Prinzipien der Agilität
2. Agile Softwareentwicklung mit Scrum
   1. Grundlagen und allgemeiner Aufbau von Scrum
   2. Zentrales Managementartefakt: Product Backlog
   3. Weitere Scrum-Artefakte und Managementwerkzeuge
3. Agiles Portfolio- und Projektmanagement
   1. Planungsebenen im agilen Projektmanagement
   2. Agiles Portfoliomanagement
   3. Organisation mehrerer Teams in einem Projekt
   4. Produkt- und Release-Planung
4. Requirements Engineering und agiles Architekturmanagement
   1. Requirements Engineering in agilen Projekten
   2. Architekturmanagement in agilen Projekten
5. Agiles Testen
   1. Grundlagen des agilen Testens und Anforderungen an die Qualitätssicherungsorganisation
   2. Teststufen und Agilität
   3. Testautomatisierung
6. Continuous Delivery
   1. Grundlagen und Continuous Delivery Pipeline
   2. Continuous Build und Continuous Integration
   3. Akzeptanztests, Lasttests und Continuous Deployment

Trotz der breiten Akzeptanz von DevOps in der Industrie ist die Integration von Sicherheitsprinzipien in dieses Paradigma (d.h. DevSecOps) für e viele IT-Fachleute immer noch eine große Herausforderung. In diesem Kurs lernen die KursteilnehmerInnen grundlegende DevSecOps-Konzepte kennen, wie z.B. die Modellierung von Bedrohungen, die Definition von Sicherheitsgrundsätzen, die kontinuierliche Überwachung der Einhaltung und die Integration der Automatisierung von IT-Sicherheitsprozessen in DevOps.

• Dieser Kurs behandelt die grundlegenden Sicherheitsprinzipien zur Nutzung des DevSecOps-Ansatzes in Softwaretechnologie Szenarien. Der Inhalt dieses Kurses veranschaulicht die Anwendung von DevSecOps, um die Sicherheit einer Organisation kontinuierlich und ganzheitlich zu verbessern, anstatt sich nur auf den Schutz der zugrundeliegenden Software-Infrastruktur zu konzentrieren (wie im Fall traditioneller, nicht-agiler Methoden). Durch die Präsentation von DevSecOps-Prinzipien wie Bedrohungsmodellierung, Definition von Sicherheitsgrundsätzen, Werkzeuge der Automatisierung von IT-Sicherheitsprozessen und kontinuierliche Überwachung der Einhaltung von Vorschriften wird dieser Kurs vermitteln, wie Sicherheit bei der Entwicklung eines Softwaretechnologie Produkts integriert werden kann.