Zum Hauptinhalt springen
Passwork LogoPasswork LogoSecurity champion course

Von der ersten Verteidigungslinie zur Sicherheitskultur

Kleine Unternehmen werden ständig angegriffen. Automatisierte Scanner interessiert Ihre Unternehmensgröße nicht — sie suchen nach offenen Ports, veralteter Software und geleakten Zugangsdaten. Und wenn Angreifer eine Schwachstelle finden, trifft es kleine Unternehmen härter. Kein Incident-Response-Team. Keine Cyberversicherung. Keine dedizierte Person, die überhaupt bemerkt, wenn etwas schiefläuft.

Ein Sicherheitsingenieur einzustellen ist jedoch nicht realistisch. Sie werden keine sechsstellige Summe für einen Spezialisten ausgeben, wenn Sie noch den Product-Market-Fit suchen. Und Ihr CTO trägt bereits zu viele Hüte.

Das Security-Champion-Modell funktioniert anders. Sie nehmen jemanden, der bereits im Team ist — einen Entwickler, einen DevOps-Ingenieur, einen Systemadministrator — und geben dieser Person die Werkzeuge und das Wissen, um die grundlegenden Sicherheitsaufgaben zu übernehmen. Nicht als Vollzeitjob, sondern als zusätzliche Verantwortung. Wenige Stunden pro Woche. Keine neuen Einstellungen. Kein großes Budget.

Genau das vermittelt Ihnen dieser Kurs.

Für wen dieser Kurs gedacht ist

Für Führungskräfte: CEOs, CTOs, Gründer

Sie wissen, dass Sicherheit wichtig ist, aber eine vollständige Sicherheitsabteilung aufzubauen ist teuer, dauert lange und erfordert Fachwissen, das Sie noch nicht haben. Einen dedizierten CISO einzustellen macht irgendwann Sinn — aber nicht heute.

Dieser Kurs zeigt Ihnen einen praktischen Weg, jetzt sofort zu starten. Sie lernen, wie Sie einen Security Champion in Ihrem bestehenden Team benennen, was Sie von dieser Person erwarten können, wie Sie die Rolle ohne großes Budget unterstützen und wie ein realistischer Fahrplan von „keine Sicherheit" zu „Sicherheitskultur" aussieht.

Betrachten Sie es als die Etappe vor der Sicherheitsabteilung. Zuerst bauen Sie die Gewohnheiten, Prozesse und das Bewusstsein auf. Wenn Sie bereit sind einzustellen, wissen Sie genau, was Sie brauchen und warum.

Für Spezialisten: Entwickler, DevOps, Systemadministratoren, Teamleiter

Sie möchten wachsen. Sicherheitswissen macht Sie wertvoller — für Ihr aktuelles Unternehmen und für jeden zukünftigen Arbeitgeber. Sie sehen bereits die Lücken darin, wie Ihr Team mit Secrets, Zugriffsrechten, Deployments und Incidents umgeht. Sie wissen nur nicht, wo Sie anfangen sollen.

Dieser Kurs gibt Ihnen die Werkzeuge, um dort anzufangen, wo Sie sind. Keine formale Autorität erforderlich. Kein dediziertes Budget. Sie implementieren Sicherheitspraktiken als Teil Ihrer bestehenden Arbeit — bessere CI/CD-Pipelines, sauberere Zugriffsrichtlinien, realistische Backup-Gewohnheiten — und bauen schrittweise Glaubwürdigkeit als die Person im Team auf, die die Dinge sicherer macht.

Sie werden zum Security Champion nicht, weil jemand Sie dazu ernannt hat, sondern weil Sie die Verantwortung übernommen haben.

Was Sie mitnehmen werden

Nach Abschluss dieses Kurses wissen Sie, wie Sie:

  • MFA, Zugriffskontrollen und Backups in einer Woche einrichten
  • Sicherheits-Scans zu Ihrem CI/CD hinzufügen, ohne Releases zu verlangsamen
  • Richtlinien schreiben, die die Leute tatsächlich lesen (eine Seite, nicht zwanzig)
  • Sicherheitsrisiken Ihrem CEO erklären, ohne dass die Augen glasig werden
  • Incidents ohne Panik bewältigen
  • Gewohnheiten aufbauen, die Bestand haben, nicht nur Checklisten, die Staub sammeln

Kursstruktur

Fünf Module. Jedes baut auf dem vorherigen auf.

1: Die Rolle des Security Champions. Wie die Arbeit in der Praxis aussieht. Wie Sie sie dem Management präsentieren. Was Sie tun werden und was nicht. Erstellen Ihres Rollenprofils und Entwicklungsplans.

2: Schnelle Erfolge. MFA überall. Passwort-Manager. SaaS-Inventar. Zugriffsaudits. E-Mail-Sicherheit. Backups, die wirklich funktionieren. Dinge, die Sie in Tagen erledigen können und die einen echten Unterschied machen.

3: Sicherheit in der Entwicklung. OWASP Top 10 ohne akademischen Ballast. Secrets Management. SAST/SCA in CI/CD. Container-Scanning. Infrastructure-as-Code-Sicherheit. Praktisches Material für kleine Teams.

4: Schulung und Kultur. Awareness-Sessions durchführen, die niemanden langweilen. Richtlinien schreiben, die Menschen verstehen. Incidents bewältigen. Messen, ob das alles funktioniert.

5: Strategie. Grundlagen der Risikobewertung. Compliance ohne Berater. Anbieter bewerten. Von einem Champion zu einem echten Programm wachsen.

Wie dieser Kurs funktioniert

Jedes Kapitel endet mit etwas, das Sie morgen bei der Arbeit nutzen können. Eine Checkliste. Eine Vorlage. Ein konfiguriertes Tool. Ein Richtliniendokument.

Alle Empfehlungen gehen davon aus, dass Sie kein Sicherheitsbudget, kein Sicherheitsteam, viel SaaS und ständig stattfindende Releases haben. Lösungen auf Enterprise-Niveau, die Enterprise-Ressourcen erfordern, werden hier nicht behandelt.

Sie beginnen mit schnellen Erfolgen, die schnell Wert beweisen. Wenn Sie Glaubwürdigkeit aufgebaut haben, gehen Sie die schwierigeren Themen an.

Zeitaufwand

  • 8–10 Wochen insgesamt
  • 5–7 Stunden pro Woche
  • Im eigenen Tempo, mit praktischen Aufgaben

Jedes Kapitel umfasst etwa 30–60 Minuten Lektüre plus 1–2 Stunden praktische Arbeit.

Was drin ist

1: Die Rolle des Security Champions — was die Rolle im Alltag tatsächlich beinhaltet, wie Sie den Umfang definieren, wie Sie sie dem Management präsentieren und echte Unterstützung erhalten, und wie Karrierewachstum aussieht, wenn Sie Verantwortung für Sicherheit übernehmen.

2: Schnelle Erfolge — die Dinge, die Sie diese Woche implementieren können. Passwort-Manager und MFA. Ein ordentliches Benutzerverzeichnis und SSO. Ein SaaS-Inventar, damit Sie wissen, welche Tools Ihr Unternehmen tatsächlich verwendet. E-Mail-Sicherheit und Phishing-Bewusstsein. Patch-Management, das kein Ticketsystem erfordert. Website-Schutz über Cloudflare. Eine Backup-Strategie, die Sie tatsächlich getestet haben.

3: Sicherheit in der Entwicklung — wie Sie Sicherheit zu einem Teil der Art machen, wie Ihr Team Software baut. Grundlagen sicherer Codierung ohne Lehrbuchbehandlung. Sicherheitsanforderungen im Entwicklungsprozess. SAST und Dependency-Scanning in CI/CD. Secrets Management, damit Zugangsdaten nicht mehr in Slack leben. Container- und Cloud-Infrastruktursicherheit. Logging und Monitoring, das Ihnen tatsächlich sagt, wenn etwas schiefläuft.

4: Sicherheitskultur — die schwierigere Arbeit, Sicherheit nachhaltig zu verankern. Ein Awareness-Programm aufbauen, das die Leute nicht zu Tode langweilt. Sicherheitsschulungen für Entwickler durchführen. Kompetenz über die Zeit bewerten und nachverfolgen. Richtlinien schreiben, die die Leute tatsächlich befolgen können. Wie Sie über Sicherheit kommunizieren, ohne die Person zu sein, die alle meiden. Incidents bewältigen und in Lektionen umwandeln. Messen, ob das Programm funktioniert.

5: Strategie — das langfristige Spiel. Risikomanagement und Priorisierung ohne eine Tabelle in der Größe eines Hauses. Compliance-Grundlagen für DSGVO, ISO 27001, SOC 2. Bewertung und Verwaltung von Drittanbietern. Threat Intelligence, die für ein kleines Team nutzbar ist. Angriffsflächen-Management. Aufbau einer Security-Champions-Community über Teams hinweg. Und schließlich — wie Sie von einem Champion zu einer vollständigen Sicherheitsfunktion wachsen.

Voraussetzungen

Sie sollten wissen:

  • Git-Grundlagen und wie CI/CD-Pipelines funktionieren
  • Wie man ein Terminal verwendet
  • Wie man eine Konfigurationsdatei liest
  • Genug über AWS/GCP/Azure, um etwas zu deployen

Keine Sicherheitszertifizierungen. Keine Vorerfahrung in Sicherheit. Wenn Sie Code ausliefern können, können Sie das hier.

Hier starten

Nächstes Kapitel: Was ist ein Security Champion und warum brauchen kleine Unternehmen einen.

Lesen Sie die Kapitel beim ersten Mal in der richtigen Reihenfolge. Sie bauen aufeinander auf. Danach verwenden Sie, was Sie als Referenz benötigen.

Überspringen Sie die Übungen nicht. Über Sicherheit zu lesen macht Sie nicht besser darin. Die Arbeit zu tun schon.

© 2014–2025 «Passwork»
Unternehmen
Über unsDatenschutzrichtlinieISO 27001-ZertifikatVersionshinweiseRoadmapBlog
Browser-Erweiterung
Google ChromeMozilla FirefoxMicrosoft EdgeApple Safari
Mobile Anwendung
App StoreGoogle Play
Für Unternehmen
TeamsKleine UnternehmenUnternehmen und KonzerneEnterpriseOn-Premise-LösungPasswort-FreigabetoolSecret Management
Hilfe
BenutzerhandbuchTechnische DokumentationHilfezentrum