Workshop IT-Sicherheit

Das Fraunhofer IGB bietet den Workshop »Angriffe auf Webapplikationen« erstmals auch für Externe an, der bisher exklusiv für Fraunhofer-Mitarbeitende durchgeführt wurde. In dem Workshop lernen die Teilnehmenden, wie eigene Webanwendungen effektiv geschützt werden können.

Um Angriffe auf die IGB-Website und diverse Projektwebsites optimal abwehren zu können, verfahren die IT-Experten des Instituts nach dem Prinzip »Kenne deinen Feind«. Konkret bedeutet dies, die unterschiedlichen Angriffsmöglichkeiten und -strategien und die gängigen Tools zu kennen, die dabei genutzt werden. Mit diesem Wissen lassen sich Sicherheitslücken frühzeitig erkennen, Risiken können so minimiert werden.

Im Rahmen des Workshops erläutert Michael Steinecke, wie man die Perspektive von Hackern einnimmt, um deren Umtrieben wirksam Einhalt gebieten zu können. Steinecke ist Systemadministrator und IT-Sicherheitsbeauftragter des IGB und am Institut für die Instandhaltung und Sicherheit von Servern und Applikationen verantwortlich.

»Um zu verstehen wie Hacker arbeiten, muss man selbst zum Hacker werden!«

Leider bietet das Internet nicht immer Anleitungen und Lösungsansätze für den Schutz von Webapplikationen, die auch wirklich effektiv für mehr Sicherheit sorgen.

Deshalb schlüpfen die Teilnehmenden in diesem Workshop in die Rolle eines Angreifers, um in einem vordefinierten Testszenario reelle Angriffe durchzuführen. Durch diesen Perspektivwechsel, lernen sie die Herangehensweise der Angreifer und die Funktionsweise der Tools, die sie nutzen, zu verstehen.

Der Workshop richtet sich in erster Linie an Systemadministratoren, das Testszenario wird auf einem Ubuntu/Debian stattfinden. Ein Grundverständnis für Linux und Websprachen (HTML, JavaScript, PHP, SQL) sollte daher vorhanden sein. Ein tiefergehendes Fachwissen ist nicht zwingend notwendig.

Zum Dozenten:

Michael Steinecke ist seit 2012 Sysadmin und IT-Sicherheitsbeauftragter am IGB und seit Anfang 2017 Mitglied im Fraunhofer-weiten Sprecherkreis der Informationssicherheitsbeauftragten, von dem die zentralen und strategischen Sicherheitsstrategien der Fraunhofer-Gesellschaft geprüft und bewertet werden.

Bereits seit 2003 beschäftigt er sich intensiv mit dem Thema Web-Security, meldete Sicherheitslücken in den Routern Speedport (Telekom), Linksys (Cisco) und DLINK, sowie bei etlichen Webapplikationen.

2008 stellte sich Michael Steinecke dem Swiss-Cyber-Storm II, einer Hacking-Meisterschaft in der Schweiz, bei dem sich insgesamt 235 Hacker an Sicherheitsaufgaben aus den Bereichen Reverse Engineering, Web-Applikationen, Windows- und Linuxsicherheit, Crypto und Lockpickung versuchten. Michael Steinecke beschränkte sich bei der Aufgabenstellung hauptsächlich auf den Bereich Web-Applikationen und schaffte es dennoch, den Wettbewerb als drittbester Deutscher zu bestehen und insgesamt den 8. Platz zu belegen.

Nebenberuflich bietet Michael Steinecke über seine eigene Firma www.ms-workshop.de Awareness-Kampagnen und Penetrationstests auf Webapplikationen an.