*Wir wissen, dass jedes Team seine eigenen Bedürfnisse und Anforderungen hat. Deshalb können wir den Schulungsplan je nach Bedarf anpassen.
Modul 1: Sicherheitsprinzipien für Architekturen
- Least Privilege, sichere Defaults, Aufgabentrennung, Defense in Depth
- Angriffsfläche durch Vereinfachung und sichere Voreinstellungen reduzieren
- Threat Modeling im Überblick Assets, Akteure, Eintrittspunkte, Missbrauchsfälle
- Entscheidungsprotokolle zur Begründung und Risikoabwägung
Modul 2: Vertrauensgrenzen und Datenfluss
- Kontextdiagramme und Data Flow Maps, die Kontrollen sichtbar machen
- Segmentierungsmuster Netzwerkteilung, Private Endpoints, Service Meshes
- Umgang mit Drittanbietern und SaaS mit gezieltem Zugriff und Verträgen
- Datenklassifizierung als Basis für Speicher, Übertragung und Aufbewahrung
Modul 3: Identity, Access und Secrets in der Breite
- Authentifizierungsmuster OIDC, OAuth2, mTLS, Plattformidentitäten
- Autorisierungsmodelle Rollenbasiert, Attributbasiert, Policy Engines
- Sitzungs- und Token-Lebenszyklen, Rotation und Widerruf
- Secrets in Code, Hosts und Cloud-Managern mit Audit
Modul 4: Datenschutz und Integrität
- Verschlüsselung in Übertragung und Speicherung, Schlüsselhierarchie, Rotation
- Schutz sensibler Felder mit Tokenisierung und selektiver Verschlüsselung
- Eingabevalidierung und Ausgabe-Encodierung als Architekturaufgabe
- Integrität Checksummen, Signaturen und sichere Artefaktablage
Modul 5: API- und Microservice-Muster
- Contract First, Schemaprüfung und positive Allow Lists
- Ratenbegrenzung, Quoten und Ressourcenlimits zur Missbrauchsbegrenzung
- Sichere Serialisierung, Paginierung und Schutz vor Mass Assignment
- Versionierung, Deprecation und rückwärtskompatible Sicherheitsänderungen
Modul 6: Cloud-native Sicherheit
- Basis-Hardening für Images, Nodes und Runtimes
- Isolationsmuster Namespaces, Accounts und minimale Berechtigungen
- Netzwerkrichtlinien, Private Links und Egress-Kontrolle
- Supply Chain Grundlagen Signaturen, Provenienz und Dependency Hygiene
Modul 7: Resilienz, Monitoring und Incident Readiness
- Für Ausfälle entwerfen Timeouts, Retries, Circuit Breaker, Bulkheads
- Logging zur Erkennung bei gleichzeitiger Wahrung der Privatsphäre
- Telemetrie und Alerts für Auth-Fehler, Policy-Verweigerungen und Exfiltration
- Sichere Runbooks, Schlüsselbereitschaft und Eindämmungs-Playbooks
Modul 8: Verifikation und kontinuierliche Absicherung
- Sicherheitsanforderungen in Tests Unit, Integration und Fuzzing Basics
- Policy as Code Leitplanken in CI oder CD und Umgebungen
- Schlanke Risiko-Reviews und Ausnahmen mit Ablaufdaten
- Verbesserungsfahrplan und Metriken zur Adoption
