Web Security Bootcamp

Praxisnahe Defense-Skills, die Ihre Entwickler wirklich einsetzen

Dauer
2 oder 3 Tage
Art
Course
Wo
Vor Ort oder Remote
Sprache
Deutsch oder Englisch

Alle Trainingsinfos auf einen Blick: One-Pager (PDF) herunterladen.

Praxisnahe Angriffs- & Verteidigungsübungen

Vor der Durchführung des Trainings mit Ihrem Team findet ein Scoping-Gespräch statt. Dieses Gespräch dient dazu, den Kurs auf Ihre spezifischen Anforderungen zuzuschneiden und gemeinsam die geeignetste Vorgehensweise und Schwerpunkte festzulegen.

In meinem vollgepackten praxisorientierten Bootcamp-Training erleben Sie, wie Hacker eine typische Webanwendung angreifen, und lernen dabei die Sicherheitslücken kennen, die in vielen Webanwendungen und Backends/APIs vorkommen.

Außerdem wechseln wir während des Trainings häufig die Perspektive auf die Verteidigerseite, um zu lernen, wie primäre und sekundäre Gegenmaßnahmen die Sicherheitslage heutiger Anwendungen und Backends im Sinne einer Defense-in-Depth-Strategie stärken.

Alle Übungen werden gegen eine teilnehmerindividuelle Trainingsumgebung ausgeführt, die ich für jeden Teilnehmer in meiner Cloud vorbereite und individuell bereitstelle. Es wird lediglich ein Webbrowser benötigt — Vorinstallationen auf den Rechnern der Teilnehmer sind nicht erforderlich. Um die praktischen Übungen nachbereiten zu können, erhalten die Teilnehmer nach dem Kurs Docker-Container mit der Trainingsumgebung und allen Übungen, die sie lokal auf ihren Rechnern ausführen können.

Um die Interaktivität und das Engagement zu steigern, egal ob remote oder vor Ort, nutzen meine Trainings Live-Engagement-Elemente über Workshop Board, die die praktischen Übungen durch Echtzeit-Teilnehmer-Input, kollaborative Brainstorming-Wände, Fragen, Wissenstests und gemeinsame Diskussionen ergänzen.

Das Material und die praktischen Übungen decken die OWASP Top 10:2025 und die OWASP API Security Top 10 ab. Optional kann das Training auch die OWASP Top 10 for LLM Applications und die OWASP Top 10 for Agentic AI Security umfassen — mit Angriffs- und Verteidigungsszenarien für moderne KI-gestützte Systeme wie RAG-Pipelines, MCP-Tool-Integrationen und agentenbasierte Architekturen.

AI-Generated Code Security

KI-Coding-Assistenten wie GitHub Copilot, Claude Code, Codex oder Cursor können die Produktivität Ihres Teams erheblich steigern. Aber diese Geschwindigkeit hat einen Haken: Studien zeigen, dass ein großer Anteil des KI-generierten Codes Sicherheitslücken enthält — von Injection-Schwachstellen und XSS bis hin zu fehlerhaften kryptografischen Implementierungen. Entwickler, die sich auf diese Tools verlassen, ohne zu wissen, worauf sie achten müssen, vertrauen am Ende Vorschlägen, denen sie nicht vertrauen sollten.

Um dennoch das Beste aus diesen Tools herauszuholen, behandelt das Bootcamp AI-Generated Code Security als zusätzliches Modul: wie man KI-geschriebenen Code reviewt und validiert, sichere Prompting-Techniken, die sichereren Output erzeugen, und den Aufbau eines Bewusstseins für Automation Bias — die Tendenz, KI-Vorschläge ungeprüft zu übernehmen.

Schwachstellen und Abwehrmaßnahmen

Mein praxisnahes Web Security Bootcamp behandelt zahlreiche Schwachstellen und ihre Abwehrmaßnahmen, darunter:

  • Injection Vulnerabilities, einschließlich Post-Exploitation bis hin zu Remote Code Execution (RCE)
  • XML External Entity Attacks (XXE)
  • Path-Traversals (einschließlich ClassPath-Traversals)
  • Cross-Site Scripting (XSS): Reflected, Persistent, DOM-based und verschiedene Kontexte
  • Session Attacks, etc.
  • Authentication Bypass
  • Information Disclosures
  • Server-Side Request Forgery (SSRF), insbesondere in Cloud-basierten Umgebungen
  • Angriffe auf File-Uploads und -Downloads
  • Angriffe auf WebSockets
  • Java Deserialization Vulnerabilities & Attacks
  • Advanced XML Attacks (die zu RCEs führen)
  • JSON Attacks (die zu RCEs führen)
  • GenAI Attack Surfaces: Prompt Injection, RAG Corpus Poisoning, MCP Tool Attacks, Agentic AI Goal Hijacking
  • AI-Generated Code Security: Review von KI-geschriebenem Code auf Injection-Schwachstellen, XSS und kryptografische Fehler; sichere Prompting-Techniken; Awareness für Automation Bias
  • und viele mehr

Dieses Bootcamp-Training stellt die genannten Schwachstellen vor und legt dabei auch den Fokus auf defensive Aspekte, um diese Schwachstellen im Sinne einer Defense-in-Depth-Strategie zu beheben. Wenn Sie eher offensiv orientiert sind und sich für die Kunst der Ausnutzung dieser Schwachstellen interessieren statt für die defensiven Ansätze, ist das Pentesting Training möglicherweise interessanter für Sie.

Als vollwertiges Bootcamp-Training werden auch DevSecOps-Scan-Automatisierungstechniken vorgestellt. Wenn Sie sich für die Automatisierung von Security-Scans in CI/CD-Build-Pipelines interessieren, könnte das DevSecOps Coaching für Sie interessanter sein — entweder als Ergänzung oder als Alternative.

Was die Teilnehmer erhalten

Alle meine Trainings können auf Deutsch (Muttersprache) oder Englisch (verhandlungssicher) durchgeführt werden.

Teilnehmer erhalten zusätzlich zum Training:

  • Zugriff auf cloudbasierte Trainingsumgebungen (individuell pro Teilnehmer bereitgestellt).
  • Alle Folien und Workshop-Materialien als PDFs.
  • Lebenslangen Zugriff auf GitHub- und DockerHub-Repositories mit meinen Trainingsumgebungen, um alle Übungen mit einem lauffähigen Setup nachzuvollziehen (einschließlich künftig neu hinzugefügter Inhalte).
  • Support per E-Mail für Setup und Übungsdurchführung im Nachgang.
  • Ein gedrucktes und unterschriebenes Teilnahmezertifikat mit den Trainingsinhalten.

Interesse an einem individuellen Angebot für Ihre Organisation? Lassen Sie uns sprechen

Dieser Service unterstützt auch technische Security-Anforderungen, die häufig in modernen Cybersecurity-Regulierungen referenziert werden.

Verschiedene Optionen

Wie so oft gibt es keine Einheitslösung für alle. Für die konkrete Gestaltung und Durchführung meiner Trainings und Workshops können Sie daher zwischen verschiedenen Optionen und Varianten wählen.

Vollständig anpassbare Trainingsagenda

Wenn Sie bestimmte Aspekte Ihres Technologie-Stacks oder spezifische interne Prozesse bzw. Tools im Training behandeln möchten, kann die Agenda gezielt auf Ihre Anforderungen zugeschnitten werden.

Vor Ort oder remote? – Sie entscheiden!

Meine Trainings und Workshops koennen vor Ort (direkt bei Ihnen oder an einem meiner Trainingsstandorte) sowie komplett remote durchgeführt werden. Auch hybride Varianten sind möglich: Einige Teilnehmer sind remote zugeschaltet, während ich den Kurs für die Mehrheit vor Ort durchführe. Ich habe bereits zahlreiche Online-Varianten meiner Trainings durchgeführt, auch für größere Gruppen.

In allen Fällen benötigen Teilnehmer lediglich einen Browser. Lokale Installationen sind nicht erforderlich, da das Training mit individuell bereitgestellten Umgebungen in meiner Cloud läuft.

Alternative Option: Professionelle Trainingsaufzeichnung

Wenn Sie eine individuell für Ihr Unternehmen aufgezeichnete Version als Kapitel- und Lektionen-Set für Ihre interne videobasierte E-Learning-Plattform möchten: Lassen Sie uns sprechen

Ich kann eine individualisierte Trainingssession (ohne Teilnehmer) aufzeichnen und Ihnen professionell geschnittene Kapitel liefern, exportiert als SCORM (nützlich für den Import in LMS-Systeme), MPEG und weitere Formate. Das Paket umfasst digitale Trainingsfolien und die lauffähige Trainingsumgebung für lokales Offline-Training. Wenn Sie und alle Teilnehmer ein Live-Training während der Durchführung aufzeichnen möchten, ist auch das möglich und ergibt ein Video-Handout des gesamten Kurses.

So haben bereits mehrere Unternehmen ihr internes videobasiertes Trainingsangebot erfolgreich mit meinen praxisnahen Security-Workshops erweitert, die in die eigene E-Learning-Plattform integriert wurden.

Professionelle Trainingsaufzeichnung

Selbstgesteuertes Training bevorzugt? — kein Problem

Mein Live-Web-Security-Bootcamp ist auch als Set von selbstgesteuerten Trainingsvideos verfügbar, zusammen mit dem Trainingsmaterial und einer cloudbasierten Trainingsumgebung für die Übungen. Dieses Paket umfasst über 25 hochwertige Modulvideos mit einer Länge von jeweils 30 bis 60 Minuten, damit die Teilnehmer in ihrem eigenen Tempo lernen können.

Wenn die Teilnehmer in ihrer personalisierten Cloud-Umgebung den Kurs durcharbeiten, können Fragen oder Klärungsbedarf zu bestimmten Themen auftreten. Daher können Lernende an regelmäßigen Q&A-Sessions mit mir teilnehmen (z. B. wöchentlich oder zweiwöchentlich angeboten), um ihre Fragen zu besprechen und tiefer in bestimmte Interessensgebiete einzusteigen. Teilnehmer können mir auch per E-Mail schreiben, um individuelle Unterstützung zum aktuell bearbeiteten Modul zu erhalten — für ein interaktives und begleitendes Lernerlebnis.

Als Unternehmen können Sie optionale Themen-Update-Module in das Abonnement integrieren. Diese Module sind so konzipiert, dass sie die neuesten Trends und Entwicklungen im Bereich Web Security abdecken und Ihre Mitarbeiter über die sich ständig weiterentwickelnde Cybersecurity-Welt auf dem Laufenden halten.

Dieses Abonnementmodell ist ideal für größere Gruppen, die die Freiheit des selbstgesteuerten Lernens mit den Vorteilen der Live-Interaktion mit mir als Trainer und fortlaufendem Support verbinden möchten. Nach erfolgreichem Abschluss der Kurseinheiten erhalten die Lernenden ein Teilnahmezertifikat, das ihr Engagement und ihre Expertise im Bereich Web Security dokumentiert.

Lassen Sie uns die Details besprechen und eine Lösung maßschneidern, die am besten zu Ihren Bedürfnissen im Bereich Web-Security-Training passt.

Weiterführende Optionen

Nach Abschluss des Kurses möchten Sie vielleicht die Security-Expertise Ihres Teams vertiefen oder erweitern. Je nach Ihren Zielen und Interessen stehen verschiedene Anschlussmöglichkeiten zur Verfügung:

  • Review & Reflect Workshop: Moderierter, teambasierter Security-Review, bei dem Ihr Team Architekturen, Codebasen und Betriebsabläufe auf konkrete Verbesserungsmöglichkeiten analysiert
  • Custom Focus Sessions: Kurze, fokussierte Sessions, um bestimmte Themen aus dem Workshop zu vertiefen
  • DevSecOps Pipeline Coaching: Unterstützung bei der Implementierung von Security-Automatisierung für Erkenntnisse rund um CI/CD- und Build-Prozesse
  • Security Sparring Partner: Fortlaufende Unterstützung bei der Umsetzung von Architekturempfehlungen und anderen Security-Themen

Bereit, Security-Wissen auf Ihre eigenen Systeme anzuwenden? Kontaktieren Sie mich, um Ihre Workshop-Anforderungen zu besprechen.

Stimmen

Was Kunden sagen

Ein tolles Seminar. Inhalte und Methodik bitte unverändert lassen!

Trainingsteilnehmer

Fachlich sehr fit, ist sehr gut auf Rückfragen eingegangen.

Workshop-Teilnehmer

Thank you very much for your training! It was very interesting and bit too short though for such a pile of knowledge :-) People of the team have learnt a lot and talk positively about it.

Trainingsteilnehmer

Von meiner Seite nochmals vielen Dank für die Durchführung des Trainings. Die Rückmeldungen der Teilnehmenden war in allen Belangen positiv und auch immer mit dem Vermerk, dass das Training zu unserem Unternehmen passt.

Trainingsorganisator

Thank you so much for such a interactive session really enjoyed and learned alot.

Trainingsteilnehmer

Fachlich sehr gut — sehr gute Präsentation

Trainingsteilnehmer

Thank you so much for the valuable input. Especially the insights about agentic AI security were very helpful.

Trainingsteilnehmer

Auf diesem Wege noch einmal Feedback zu den vergangenen drei Tagen: Die Schulung entsprach absolut meinen Vorstellungen. Die Themen die behandelt wurden sowie die Mischung zwischen praktischen und theoretischen Teilen waren absolut passend. Da merkt man deine jahrelange Erfahrung.

Trainingsteilnehmer

Time well spent! Thanks a lot, I thoroughly enjoyed the training and depth of content.

Trainingsteilnehmer

Your passion for security is contagious :)

Trainingsteilnehmer

Vielen Dank für die tolle Schulung, das war genau wie ich es mir für mein Team vorgestellt hatte! Ich gehe davon aus, dass wir das mit anderen Mitarbeitern bald wiederholen.

Product Security Manager

Super spannend & abwechslungsreich! Vielen Dank!

Trainingsteilnehmer

Nochmals vielen, vielen Dank für den Termin heute! Ich muss einfach sagen, ich finde es jedes Mal aufs Neue beeindruckend, wie schnell du dich in komplexe Themen hineindenkst, kritisch hinterfragst und wertvolle Impulse gibst. Wirklich faszinierend!

Threat-Modeling-Kunde
Alternative zur individuellen Session
Besonders für kleinere Teams — nehmen Sie an meinem öffentlichen Web Security Bootcamp teil:
11. – 12. June 2026 (Klick für Termine und Buchung)