Beschreibung
Die Teilnahme am iSAQB® CPSA-A-Kurs „Web Security (WEBSEC)” bringt den Teilnehmenden 20 Credit Points in der Technischen Kompetenz (TC) und 10 Credit Points in der Methodischen Kompetenz (MC) ein – anrechenbar auf die insgesamt 70 erforderlichen Credit Points für die Zulassung zur CPSA-A-Prüfung bei Brightest. Bitte beachten Sie, dass Sie im Rahmen der Zulassung zur CPSA-A-Prüfung bei Brightest in jedem der folgenden Kompetenzbereiche mindestens zehn Credit Points nachweisen müssen:
- Technische Kompetenz (TC)
- Methodische Kompetenz (MC)
- Kommunikative Kompetenz (CC)
Das akkreditierte iSAQB®-Training WEBSEC – Web Security (CPSA-A) basiert auf dem aktuellen iSAQB®-Lehrplan:
Teil 1 – Analyse der Web-Sicherheit
- Risiken und Modelle
- Grundlegende Sicherheitsziele
- Asset-Identifikation und Zugriffskonzepte
- Kriterien für Abnahme und Audits identifizieren
- Abwägung zwischen Sicherheit und anderen Qualitätsmerkmalen
- Sicherheit als Prozess verstehen, nicht als Einzelmaßnahme
- Sicherheit als Verantwortung aller Beteiligten verstehen
- Gängige Richtlinien, Standards und Empfehlungen kennen
- Gängige Klassifikationssysteme für Sicherheitsprobleme kennen
- Gängige Zertifizierungen kategorisieren können
Teil 2 – Sicherer Entwurfs- und Entwicklungsprozess
- Das Prinzip „alle Eingaben validieren, alle Ausgaben escapen“
- Prinzipien wie Sicherheitstore, Reviews und „Vertraue niemandem“
- Indikatoren für sicheres Applikationsdesign
- Grundmuster für sichere Programmierleitlinien
- Inhalte eines sicheren Entwicklungsprozesses und Beispiel-Framework
- Zugriffskonzepte für Systemlandschaft, Artefakte und Quellcode
- Werkzeuge und Infrastrukturen, die sichere Entwicklung unterstützen
- Abgrenzung zu analytischen Methoden
- Incident Management
Teil 3 – Kryptographie
- Grundlagen der Kryptografie
- Hashing
- Verschlüsselungsverfahren
- Vertrauenskonstrukte
- Praktische Anwendung
Teil 4 – Web: Technische Grundlagen
- Gängige „Good Practices“
- Authentifizierungsarten
- „Security through Obscurity“-Maßnahmen
- Sicherheitsrelevante Protokolle (z. B. TLS)
- Gängige Autorisierungskonzepte und relevante Implementierungen
- Unterstützende Tools
Teil 5 – Web: Bekannte Angriffe und Angriffsvektoren
- Angriffsvektoren und Klassifikation
- Spezielle Gefahren von Social Engineering in Webanwendungen
- Injection-Angriffe
- Bedeutung und Funktionsweise von DoS- und DDoS-Angriffen
- Angriffe über Laufzeitumgebung oder Anwendungsplattform
- Sicherheitslücken durch Fuzzing identifizieren
- Man-in-the-Middle-Angriffe
- Wichtige Quellen zu aktuellen Bedrohungen und Angriffen
Teil 6 – Web: Sicherheit und Infrastruktur
- Funktion und Prozesse von Firewalls
- Web Application Firewalls
- Intrusion Detection / Prevention Systeme
- Validierung durch Feedback aus dem Betrieb
- Nutzung von TLS (Transport Layer Security)
Zielpublikum
Das CPSA-A-Seminar „Web Security“ ist besonders wertvoll für Fachleute, die Sicherheit in den Analyse- und Entwicklungszyklus integrieren möchten – mit einem technischen Fokus auf webbasierten Systemen.
Voraussetzungen
Um an einem iSAQB® CPSA - Advanced Level Kurs teilzunehmen, müssen Sie das iSAQB® Zertifikat „Certified Professional for Software Architecture – Foundation Level (CPSA-F)” besitzen.
Wissensvoraussetzungen:
Teilnehmende sollten über folgendes Vorwissen verfügen:
- Grundkenntnisse der Netzwerkommunikation
- Grundkenntnisse in Webtechnologien wie HTML, CSS und JavaScript
- Grundkenntnisse in der Erstellung von Webanwendungen
Für Informationssysteme und eingebettete Systeme gelten weitere Anforderungen. Grundkenntnisse in Architektur und Implementierung solcher Systeme sind jedoch ausreichend.
Lehrpläne und Musterprüfungen demnächst erhältlich!
