Compliance in der Softwareentwicklung — Inhouse-Schulung
Praxisschulung für Entwicklungsteams — 3 Tage, modular auf 2 straffbar. Von der ersten Idee bis zum End-of-Life: Wie Teams Software bauen, die heutigen Sicherheits- und Regulierungsanforderungen standhält — ohne die Entwicklungsgeschwindigkeit zu verlieren.
Neue europäische Vorgaben (Cyber Resilience Act, NIS-2, DSGVO) nehmen Herstellende und Entwicklungsteams direkt in die Verantwortung, und Angriffe verlagern sich zunehmend in die Software Supply Chain (Log4Shell, xz, SolarWinds). Die meisten Vorfälle entstehen dabei nicht durch böse Absicht, sondern durch fehlende Awareness — genau hier setzt diese Schulung an.
Wer nach ISO 27001 oder BSI IT-Grundschutz zertifiziert ist (oder es werden will), muss regelmäßige, dokumentierte Awareness-Schulungen nachweisen. Branchenspezifische Regularien wie DORA (Finanzsektor) oder MDR (Medizinprodukte) verschärfen die Anforderungen je nach Markt zusätzlich. Eine praxisnahe Schulung wie diese deckt genau diesen Nachweis ab.
Zielgruppe:
- Softwareentwickelnde — die wissen wollen, wie sicheres, regelkonformes Entwickeln im Alltag konkret aussieht
- Architekt:innen & Tech Leads — die Security by Design und tragfähige Entscheidungen verankern wollen
- IT- und Team-Verantwortliche — die einschätzen müssen, wo ihr Team und ihr Unternehmen bei den neuen Anforderungen stehen
Keine Security-Vorkenntnisse nötig. Besonders relevant für Teams, die Software herstellen oder betreiben, die unter die neuen EU-Regeln fällt — Produkt- und SaaS-Anbietende, Zuliefernde für KRITIS und öffentliche Verwaltung, oder Häuser mit Verantwortung für ihre eigene Software-Lieferkette.
Dauer: 3 Tage — modular, auf 2 Tage straffbar (abgestimmt auf Ihren Schwerpunkt)
Preis: auf Anfrage — richtet sich nach Umfang und Inhalt der Schulung
Gruppengröße: 10–15 Teilnehmende
Format: Vor Ort beim Kunden oder in unserem Büro in Jena
Sprache: Deutsch (Englisch auf Anfrage)
Kontakt: training[at]datainmotion.com
Buchung
Die Schulung wird individuell auf Ihr Team zugeschnitten — Umfang, Schwerpunkte und Termin stimmen wir in einem Vorgespräch gemeinsam ab. Sprechen Sie uns für einen unverbindlichen Erstkontakt an.
Anmeldung: training[at]datainmotion.com
Kursinhalte
Wir starten mit den regulatorischen Grundlagen — was gilt, wer haftet, was heißt „Stand der Technik”? Von dort hangeln wir uns am Software-Lebenszyklus entlang: Planung & Architektur → Entwicklung → Test → Build → Release → Betrieb → End-of-Life. So sieht jede Rolle, an welcher Stelle der täglichen Arbeit welche Anforderung greift.
| Tag | Schwerpunkt | Themen |
|---|---|---|
| Tag 1 | Grundlagen & Planung | Die regulatorische Landschaft auf einen Blick · Security by Design · Threat Modeling · sichere Architektur (Zero Trust, Least Privilege, IAM) |
| Tag 2 | Entwicklung & Tooling | Secure Coding (OWASP Top 10) · Secrets Management · Supply Chain Security & SBOM (Software-Stückliste) · automatisierte Security-Tests · CI/CD-Pipeline als Schutzwall (DevSecOps, Shift-Left) |
| Tag 3 | Release, Betrieb & Synthese | Signierte Releases & Provenance · Vulnerability- & Patch-Management · Lehren aus realen Vorfällen · KI in Entwicklung & Produkt · Schutzmaßnahmen kompakt |
Praxis statt Folien-Marathon
- Echter Code & CI/CD-Beispiele: verwundbaren Code und Pipeline-Konfigurationen gemeinsam erkennen — in Java und TypeScript
- Detektivaufgabe über mehrere Tage: Schwachstellen selbst finden, bewerten und priorisieren (Finding → Triage)
- DSGVO-Use-Case zum Durchspielen: ein realistisches Fallbeispiel von vorne bis hinten durchlaufen
- Anatomie eines Vorfalls: reale Sicherheitsvorfälle bis auf die technische Ebene heruntergebrochen — was genau ist passiert, und warum?
Schwerpunkt KI
Ein eigener Block widmet sich der Frage, die jedes Team gerade beschäftigt: KI-gestützte Entwicklung (Coding-Assistenten, „Vibe Coding”) und KI als Feature im Produkt. Welche neuen Risiken entstehen, wer haftet für KI-generierten Code, und wie behält man die Kontrolle? Flexibel vertiefbar je nach Arbeitsschwerpunkt.
Nutzen
Für das Unternehmen
- Risiko & Haftung senken: Anforderungen aus CRA, NIS-2 & Co. werden greifbar — bevor sie zum Audit-, Haftungs- oder Reputationsthema werden
- Stand der Technik nachweisbar machen: belastbare Argumente und Prozesse statt Bauchgefühl
- Standortbestimmung: klares Bild davon, wo das eigene Team heute steht und was die nächsten sinnvollen Schritte sind
- Schneller liefern, nicht langsamer: Sicherheit als automatisierter Teil der Pipeline statt als Bremse am Ende
Für das Team
- Gemeinsames Vokabular und ein geteiltes Verständnis über Rollen hinweg
- Sofort anwendbares Handwerkszeug — konkrete Patterns, Tools und Checklisten statt abstrakter Regeln
- Mehr Sicherheit im Alltag: weniger „das haben wir nicht bedacht”, mehr Souveränität bei Architektur-, Abhängigkeits- und Pipeline-Entscheidungen
- Security-Champion-Denke im Team verankern
Ihr Trainer
Mark Hoffmann — Compliance aus der Praxis, nicht aus dem Lehrbuch: über 20 Jahre als Softwareentwickler, davon 15 Jahre als Architekt.
- TÜV-zertifizierter Datenschutzbeauftragter
- iSAQB® Certified Professional for Software Architecture — Foundation Level
- BSI IT-Grundschutz-Praktiker
Beratend als Architekt in mehreren kommunalen Vorhaben (u. a. im Smart-City-Umfeld) und in großen Unternehmen — aus dieser Praxis ist die Schulung entstanden. Fachlicher Schwerpunkt: verteilte, modulare und dynamische Systemarchitekturen.
Lieber kompakt und planbar?
Unser Online-Kompaktkurs (2 Tage, 870 € pro Person) vermittelt die Awareness-Basis ortsunabhängig und mit Teilnahmenachweis — ideal als wiederkehrender ISMS-Baustein.
Sprechen Sie uns an: training[at]datainmotion.com