Zurück

Mit Gamification und Storytelling zur sicheren Anwendung

Workshop am 6. Mai 2024, ca. 9 - 17 Uhr
Um Security systematisch zu betrachten, müssen die Expertinnen und Experten verstehen, welche fachlichen Assets schützenswert sind und das Entwicklungsteam die Security-Fachsprache verstehen. Unzureichend ist es, wenn nur Security-Experten Anforderungen diktieren und Lösungen vorgeben. Auch Entwicklungsteam und zum Beispiel Datenschutz oder Fachseite können wertvolle Beiträge leisten.

Folgende Schritte zur sicheren Software nutzen wir im Workshop, um mit Gamification und Kollaboration ein Sicherheitskonzept schrittweise zu entwickeln und aus unterschiedlichsten Perspektiven zu prägen:

Sichere Software muss geplant werden!
  • Was haben wir gebaut/wollen wir bauen?
  • Hier zeigen wir, wie kollaborativ mit Freeware-Tools die statische Systemsicht entwickelt werden kann.

Schutzbedarfsanalyse: Was ist schützenswert?
  • Wir ermitteln aus dem Domänenwissen die schützenswerten Dinge ("Assets") der Anwendung und analysieren ihren Schutzbedarf.
  • Dabei berücksichtigen wir mindestens die drei primären Schutzziele der Vertraulichkeit, Integrität und Verfügbarkeit.
  • Der kollaborative Ansatz hilft uns dabei, in der Analyse von Schutzbedarf und Risiken die Meinungen von verschiedenen Stakeholdern zu berücksichtigen.

Was kann schon schief gehen?
  • Das Kartenspiel "Cornucopia" nutzen wir für den Einstieg in die Entwicklung der Bedrohungsszenarien.
  • Konkrete Angriffsszenarien werden mit Domain Storytelling kollaborativ visualisiert, um die Erfahrungen aller Stakeholder einzubeziehen und die Lösungsfindung zu erleichtern.
  • Die Szenarien helfen gegenseitigen Know-how-Transfer von Security-Wissen, aber auch der Fachdomäne bei allen Beteiligten zu unterstützen und fokussiert Gegenmaßnahmen zu finden.

Neben einem unserer Projekte, an dem wir das Vorgehen beispielhaft erläutern, werden wir entweder eine weitere Fallstudie mitbringen und gemeinsam auseinandernehmen oder (noch besser!) wir erkunden einen Problemraum von euch!

Vorkenntnisse

  • Keine – es wird als Einstieg gezeigt, wie kollaborativ mit Freeware-Tools die statische Systemsicht entwickelt werden kann und fachliche Assets gefunden werden.
  • Die OWASP-Cornucopia-Karten werden erläutert.
  • Domain Storytelling (szenariobasiert) wird erklärt und direkt genutzt, um Beispiele mit konkreten Angriffsszenarien zu modellieren.

Lernziele

  • Kennenlernen eines pragmatischen Vorgehens zu den komplexen Herausforderungen im Bereich Security
  • Erfahren, wie Teams für schwierige Fragestellungen wie Security eine einfache, verständliche und zielorientierte Methodik nutzen können, wie kollaborative Techniken sie bieten können
  • Security ist Teamwork und braucht Know-how von allen Stakeholdern
  • Sich über Security Gedanken machen, kann wirklich Spaß machen!

Agenda

Diese Agenda ist nur ein grober Rahmen und wird je nach Vorwissen und Interessen in der Gruppe angepasst. Wir planen das vorgestellte Vorgehen in euren Problemräumen anzuwenden und zusammen mit Euch konkrete Lösungsideen bzw. Verbesserungsvorschläge zu erarbeiten.

In Praxisteilen sind euer Input/Fragen/Ideen maßgeblich, damit wir gemeinsam gestalten können.

Start ist um 9.00 Uhr.

09.00 - 09.30 Ankommen und persönliche Vorstellung
09.30 - 10.45 Vortrag Grundlagen mit interaktiven Beispielen
10.45 - 11.00 Pause
11.00 - 11.30 Brainstorming – Vorstellung von Problemräumen – Vorauswahl Fallstudie bzw. euer Beispiel
11.30 - 12.00 Einstieg in die Fallstudie
12.00 - 13.00 Mittagspause
13.00 - 16.30 Gamification und Storytelling im Praxiseinsatz
16.30 - 17.00 Fazit und Feedback

 

Technische Anforderungen

  • Laptop, um direkt das Modellieren von Ergebnissen in Egon.io auszuprobieren oder Stickies zu kleben, falls wir uns entscheiden, Miro (wird ggf. durch uns gestellt) zu nutzen
  • Wenn ihr einen Problemraum habt, der sich als Praxisbeispiel eigenen könnte, bitte gerne ein paar "Folien" (z. B. anonymisierte Skizzen der Makroarchitektur oder Deployment-Diagramme) mitbringen!

Speaker

 

Carsten Lill
Carsten Lill interessiert sich für das Finden und Umsetzen von smarten Lösungen für die Softwareentwicklung in komplexen Umgebungen. Dabei setzt er auf agile Ansätze und umfangreiche Kollaboration mit allen Stakeholdern in der Softwareentwicklung. Eine seiner Lieblingsdomänen ist Aviation.

Markus Geiger
Markus Geiger ist Projektleiter, Trainer und Architekt bei der WPS – Workplace Solutions. Markus hat mehr als 25 Jahre Erfahrung als Softwareentwickler, Softwarearchitekt und Coach in vielen erfolgreichen Projekten im Umfeld von Industrie, Logistik und Handel. Neben der Software-Architektur gilt sein besonderes Interesse der IT-Security und dem Secure Development Lifecycle.

 

Jetzt Tickets sichern

enterJS-Newsletter

Du möchtest über die enterJS
auf dem Laufenden gehalten werden?

 

Anmelden