Können Sie Web-Sicherheit?

"Für jeden erfolgreichen Angriff gibt es Punkte"

17.08.2016
Von 


Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.
IT-Security-Experten sind gefragt wie nie. Entsprechend boomen auch Security-Schulungsangebote für Entwickler und andere IT-Profis. Web Security ist ein besonders heißes Thema, wie uns Online-Schulungsanbieter Skytale verrät. Dazu: Testen Sie sich selbst!

Der Diplom-Informatiker Max Ziegler hat zusammen mit zwei Kollegen unter dem Dach der Lippstädter Audiocation GmbH die "Online-Akademie für IT-Sicherheit" Skytale gegründet und bietet dort eine Online-Ausbildung zum "Web Security Expert" an. Teilnehmer lernen unter anderem, wie Hacker über eine fehlerhafte Applikation ins Unternehmensnetz gelangen, wie sich Schwachstellen in Web-Anwendungen aufspüren und schließen lassen und wie sich typische Konfigurationsfehler von Web- und Applikationsservern vermeiden lassen.

Wie lassen sich Web-Anwendungen sicher machen? Diese und andere Fragen wollen Web-Security-Kurse beantworten.
Wie lassen sich Web-Anwendungen sicher machen? Diese und andere Fragen wollen Web-Security-Kurse beantworten.
Foto: u3d - shutterstock.com

Weitere Kurse sind in Vorbereitung: "Security Awareness" soll im Oktober folgen, "Network & Systems Security" im kommenden Jahr. Die Lerngeschwindigkeit wird vom Teilnehmer bestimmt, als Richtwert für den Web-Security-Kurs beispielweise setzt Skytale fünf Monate an - die Teilnahmekosten liegen bei 420 Euro pro Monat. Ziegler erklärt im Interview, wie die Online-Akademie funktioniert.

COMPUTERWOCHE: Wie kamen Sie dazu, die Skytale-Akademie zu gründen?

MAX ZIEGLER: Ich habe früher schon IT-Security-Schulungen abgehalten, das hat mir immer sehr viel Spaß gemacht. Vorher war ich lange als Berater und auch in Unternehmen im Bereich IT- und Informationssicherheit tätig. Ich habe immer wieder gemerkt, dass es einen großen Bedarf an Security-Know-How gibt. Gute Freunde von mir betreiben die OFG, die "Online-Schule für Gestaltung", die Kurse für Webdesign, Grafikdesign, Fotografie und 3D anbietet. So kam dann eins zum anderen. Gemeinsam haben wir die Idee ausgeheckt, eine neue Online-Akademie zu gründen.

Es ist also kein neues Konzept, sondern einfach eine neue Schule, eine neue Marke unter dem Dach der Audiocation GmbH - bestehend aus der Audiocation Audio Akademie mit Online-Kursen für Tontechnik und Musikproduktion, der schon erwähnten OFG und nun der Skytale-Akademie für IT-Security. Wir finanzieren uns rein aus Kursgebühren und sind herstellerunabhängig.

Web-Entwickler und Security-Teams

CW: Wer fragt die IT-Sicherheitskurse nach?

ZIEGLER: Wir erhalten viele Anfragen von Web-Entwicklern selbst, die ein Grundverständnis für Security erhalten müssen. Sie entwickeln schon jahrelang auf PHP, ASP, .Net oder ähnlichem, merken aber jetzt, dass ihnen noch Security-Wissen fehlt. Dazu kommen Anfragen seitens großer Unternehmen, die ihre Web-Entwickler schulen wollen und auch kleiner und mittlerer Unternehmen, die selbst Web-Applikationen als Service anbieten. Wir haben auch Anfragen von ganzen Security-Teams, die besonders in großen Unternehmen gerade gegründet oder erweitert werden, deren Mitglieder von Grund auf geschult werden sollen.

Max Ziegler ist Akademieleiter von Skytale.
Max Ziegler ist Akademieleiter von Skytale.
Foto: Skytale Akademie

CW: Was wollen Sie den Lernenden vermitteln?

ZIEGLER: Im-Web-Security-Kurs natürlich zum einen das Auge und den Spürsinn für klassische Schwachstellen wie SQL Injection, Cross Site Scripting usw. zu schärfen. Darüber hinaus zeigen wir häufige Konfigurationsfehler auf anderen Ebenen, durch die man Angreifern den Einstieg erleichtert.

Uns liegt aber besonders viel daran, den Spaß am Auditieren zu vermitteln. Am Ende ist alles - und so bauen wir auch unsere Kurse auf - mit einem Puzzle zu vergleichen. Schwachstellen, die zu Beginn eher unscheinbar sind, führen in Kombination mit anderen Schwachstellen zu großen Einfallstoren und am Ende zur Kompromittierung des Systems. Auch unser im Herbst startender Security-Awareness-Kurs ist mit vielen praktischen Beispielen gespickt, über die man am eigenen Leib erfährt, welche Konsequenzen ein falscher Klick oder unüberlegtes Verhalten haben können. Hier liegt uns am Herzen, den Teilnehmer wachzurütteln und ihm ein gesundes Grundverständnis und Misstrauen gegenüber Angriffen zu vermitteln.

Wir haben noch diverse Kurse in Planung - unter anderem auch einen Kurs zur Informationssicherheit auf Managementebene.

Auf der Skytale-Website können sich Interessierte für den "Web Security Expert"-Kurs anmelden.
Auf der Skytale-Website können sich Interessierte für den "Web Security Expert"-Kurs anmelden.

CW: Wie läuft solch ein Kurs genau ab?

ZIEGLER: Der Teilnehmer lädt sich unsere Web-Applikation herunter und greift diese im Verlauf des Kurses immer wieder an. Es handelt sich hier um einen "Kaffeeladen", einen Online-Shop für Kaffee, Kaffeemühlen und ähnliches - wir dachten uns, da steht wohl jeder IT'ler drauf. Diesen Shop gilt es dann, auf verschiedene Art und Weisen anzugreifen - beispielsweise gibt es die Anweisung "Lesen Sie die Kreditkartendaten aus der Datenbank aus". Für jeden erfolgreichen Angriff gibt es Punkte, indem der Teilnehmer die Lösung der Aufgabe online an unsere Datenbank schickt.

Automatisierte Punktevergabe

CW: Wie lösen Sie das mit der Punktevergabe technisch?

ZIEGLER: Das funktioniert automatisiert. Wir legen Wert darauf, dass wir unsere Prozesse sauber halten. Standardabläufe wie Teilnehmeranmeldungen, Rechnungslegungen, Kursunterbrechungen und auch das Einsenden der Übungsaufgaben laufen komplett automatisiert ab. Das schafft uns den Freiraum, besser auf konkrete Anliegen der Teilnehmer per Telefon oder E-Mail eingehen zu können.

CW: Wie zertifizieren Sie Ihre Absolventen?

ZIEGLER: Um ein Zertifikat zu erhalten, muss ein Kursteilnehmer in den Übungsaufgaben eine bestimmte Punktzahl erreichen. Je nach erreichter Punktzahl gibt es dann am Ende ein Zertifikat "bestanden", "erfolgreich bestanden" oder "mit Auszeichnung bestanden". Liegt der Punktewert unter dem Mindestlevel, gibt es nur ein Teilnahmezertifikat.

Die Kurse sind durch die Staatliche Zentralstelle für Fernunterricht (ZFU) zugelassen. Wir bieten dazu unsere eigenen Zertifikate an, mit dem Vermerk "staatlich zugelassener Kurs" - das ist etwas anderes als "staatlich geprüft", das es nur bei feststehenden Berufen wie beispielsweise Diplom-Betriebswirt gibt.

Das Unternehmen ist nach ISO 9001 zertifiziert und besitzt eine Trägerzulassung nach der Akkreditierungs- und Zulassungsverordnung Arbeitsförderung (AZAV). Kursteilnehmer können damit auch von Fördermaßnahmen öffentlicher Träger wie der Agentur für Arbeit profitieren.

CW: Welches Feedback erhalten Sie von den Kursteilnehmern?

ZIEGLER: Wir hören immer wieder, dass insbesondere die freie Zeiteinteilung den Teilnehmern wichtig ist. Es geht darum, auch einmal langsamer und häppchenweise im eigenen Tempo lernen zu können. Der eine braucht nur kurz, weil er gerade Luft hat - der andere macht es neben dem Beruf und braucht einfach mehr Zeit. Dazu kommt, dass die Reisekosten zu den Lernorten wegfallen und jeder die Möglichkeit hat, seinen Kurs zu pausieren, wenn es wirklich einmal eng werden sollte.

Die Idee, dass die Kursteilnehmer die Lösungen auf Aufgaben online abgeben müssen, gefällt vielen, da sie sofortiges Feedback erhalten und damit Punkte für das Abschlusszertifikat sammeln können. Nicht zuletzt haben wir in den Kurs die eine oder andere Überraschung eingebaut, die den Spaß am Lernen nicht zu kurz kommen lässt. Die positiven Rückmeldungen darauf machen auch uns viel Freude.

Testen Sie sich selbst!

Hier geht's zum Web-Security-Quiz

Wollen Sie testen, ob Sie Web-Security-Profi sind? Machen Sie mit bei unserem Quiz, das wir in Kooperation mit der Skytale-Akademie für COMPUTERWOCHE-Leser aufgesetzt haben!