Fraunhofer-Institut für
Entwurfstechnik Mechatronik
Fraunhofer-Institut für
Entwurfstechnik Mechatronik
Software Security Hackathon
© Thaut Images / Adobe Stock

© Thaut Images / Adobe Stock

Software Security Hackathon

Break it, Fix it, Review it – Testen Sie Ihre Software Security Kompetenzen

Die Bedrohung durch Sicherheitslücken in Softwareprodukten stellt eine zunehmende Gefahr für den Erfolg von Unternehmen aller Größen und Branchen dar. Umso wichtiger ist es, dass Softwareentwickler:innen die notwendigen Fähigkeiten besitzen, ihr Produkt abzusichern und somit zur Stärkung der Cyber-Resilienz beitragen.

In unserem innovativen Hackathon „Break it, Fix it, Review it“ werden Sie herausgefordert, Ihre Software Security Skills in einem Team-Wettbewerb unter Beweis zu stellen. In einem praxisnahen Setting trainieren Sie Sicherheitslücken zu erkennen, zu bewerten und zu beheben. Außerdem schlüpfen Sie in die Rolle des Reviewers und üben die Arbeit von Ihren Kolleg:innen zu bewerten, um anschließend mit ihnen ins Gespräch zu kommen und gemeinsam sichere Lösungen zu entwickeln.

Dieses Training richtet sich an Entwickler:innen, die bereits Software Security Grundwissen besitzen. Unter anderem stellt es einen idealen Übergang zwischen dem Certified Security Champion Training und dem Arbeitsalltag der künftigen Security Champions dar. Ebenfalls ist es eine passende Fortsetzung zu unserem 2-tägigen Software Security Training für Entwickler:innen.

Ablauf und Inhalt des Software Security Hackathons

Der Hackathon wird als Team-basierter Wettbewerb durchgeführt: Mindestens zwei Teams bestehend aus 3-5 Personen treten gegeneinander an und stellen ihre Software Security Skills unter Beweis. Anhand einer von uns zur Verfügung gestellten unsicheren Anwendung werden drei Phasen durchlaufen (siehe Abbildung).

Um den Hackathon zu gewinnen, muss ein Team am Ende mehr Punkte als die anderen Teams gesammelt haben. In den ersten beiden Phasen können die Teams Punkte sammeln, indem Schwachstellen gefunden, bewertet und behoben werden. In der letzten Phase, dem „Review it“, können diese Punkte aber von einem gegnerischen Team “gestohlen” werden, sofern es nachweisen kann, dass die Punkte zu Unrecht verdient wurden, z.B. weil eine Schwachstelle falsch bewertet oder ein Fix inkorrekt durchgeführt wurde. 

Während des Hackathons werden die Teams von unseren erfahrenen Trainer:innen begleitet, die jederzeit für Fragen und Tipps zur Verfügung stehen. So ist sichergestellt, dass keine Langeweile aufkommt und die Teams einen kontinuierlichen Fortschritt erzielen. Zu Beginn und Abschluss eines Tages treffen sich die Teams einzeln mit den Trainer:innen, diskutieren erreichte Ergebnisse und koordinieren das weitere Vorgehen. Zum Abschluss des Hackathons werden die erzielten Punkte pro Team berechnet und im Rahmen einer Siegerehrung bekannt gegeben.

Unsere unsicheren Apps

Derzeit stehen für den Hackathon zwei Applikationen zur Verfügung. Beide zeichnen sich durch folgende Eigenschaften aus:  

  • WebApp mit Java Spring im Backend
  • Voll funktionsfähig, aber hochgradig unsicher
  • Beinhalten jeweils mehr als 50 verschiedene ausnutzbare Schwachstellen
  • Schwachstellen lassen sich manuell und mit Tools finden
  • Closed Source: Die Schwachstellen sind öffentlich nicht bekannt – dadurch ist der Hackathon eine echte realistische Herausforderung, da es keine öffentliche Musterlösung gibt! 

Sprechen Sie uns gerne an, falls Sie individuelle Wünsche bezüglich der Domäne und der verwendeten Technologie haben. Wir finden eine individuelle Lösung!

Die BiFiRi-Anwendung für Teilnehmende

Ihr Nutzen

Durch die Teilnahme am Security Hackathon können Sie als Softwareentwickler:in Ihre Software Security Skills testen und verbessern. Die eingesetzten Anwendungen sind anspruchsvoll gestaltet und bieten eine Vielzahl von Schwachstellen – manche sind einfach zu finden, andere wiederum sind gut versteckt. Durch den Wettbewerbscharakter und die Arbeit im Team kommt auch der Spaß nicht zu kurz. 

Ihre Vorteile auf einen Blick:   

  • Sie trainieren das Finden, Bewerten und Priorisieren von Schwachstellen inkl. des Einsatzes von Security-Tools. 
  • Sie lernen, Cyber-Resilienz in Ihren Produkten zu stärken und so auf zukünftige Cyber-Bedrohungen vorbereitet zu sein.
  • Erfahrene Trainer:innen unterstützen Sie mit Tipps und Antworten auf Ihre Fragen.  
  • In einem klassischen Training müssen Sie in den Übungen nur eine Schwachstelle innerhalb einer A4-Seite Code finden – bei uns erhalten Sie eine realistisch große Anwendung. 
  • Sie üben, die Arbeit Ihrer Kolleg:innen zu reviewen und mit Ihnen darüber zu diskutieren.  
  • Ihre Begeisterung, eine Cybersecurity-Herausforderung zu meistern, überträgt sich auf Ihren Berufsalltag und Sie sind motiviert, regelmäßig Schwachstellen zu beheben. 
  • Der Zusammenhalt und das Vertrauen innerhalb des Entwicklerteams wachsen – so wird die Weiterentwicklung von Security-Kompetenzen zur Team-Building-Maßnahme! 

Ihre Trainer

Academy Trainer Sebastian Leuer
© Fraunhofer IEM

Sebastian Leuer

Sebastian Leuer ist wissenschaftlicher Mitarbeiter in der Abteilung „Sichere Services und Apps“ des Fraunhofer IEM. Seine Expertise umfasst u.a. die statische Codenanalyse sowie die sichere Entwicklung in C# und .NET. Er ist Certified Scientific Trainer (Foundational Level).

Zum LinkedIn Profil

Dr. Thorsten Koch

Dr. Thorsten Koch ist Senior Researcher in der Abteilung „Sichere IoT-Systeme“ des Fraunhofer IEM. Als Certified Scientific Trainer (Foundational Level) hat er in den letzten Jahren eine Vielzahl an Schulungen für Unternehmen konzipiert, angepasst und durchgeführt. Zudem ist er ISA/IEC 62443 Cybersecurity Risk Assessment Specialist und ISA/IEC 62443 Cybersecurity Design Specialist.

Zum LinkedIn Profil

Academy Trainer Thorsten Koch
© Fraunhofer IEM

Das könnte Sie auch interessieren: