← Alle Schulungen

Compliance in der Softwareentwicklung

Mit dem EU Cyber Resilience Act (CRA), EU AI-Act, NIS-2 und dem IT-Sicherheitsgesetz 2.0 gelten für Herstellende und Betreibende vernetzter Software neue gesetzliche Anforderungen. Unser zwei- bis dreitägiger Kurs vermittelt das nötige Handwerkszeug, um diese Anforderungen dauerhaft in die eigene Entwicklungspraxis zu integrieren – mit Schwerpunkt auf praxisnahen Gruppen-Code-Reviews an produktionsnahem Code in Java und TypeScript.

Der Kurs ist bewusst zweigleisig aufgebaut: Entwickelnde erhalten technische Tiefe und Praxis-Übungen; Governance- und Compliance-Verantwortliche gewinnen den strukturierten Überblick, um regulatorische Anforderungen in ihrer Organisation zu steuern und nachzuweisen. Beide Perspektiven zusammen stärken das IT-Sicherheitsbewusstsein über einzelne Fachabteilungen hinaus – und schaffen die Grundlage für eine gelebte Sicherheitskultur im Unternehmen.

Zielgruppe: Softwareentwickelnde, Softwarearchitekt:innen und IT-Spezialist:innen, die an der Entwicklung oder dem Betrieb vernetzter Systeme beteiligt sind, sowie IT-Verantwortliche und Sicherheitsbeauftragte, die regulatorische Anforderungen strukturiert steuern und ein fundiertes IT-Sicherheitsbewusstsein in ihrer Organisation verankern möchten.

Dauer: 2–3 Tage

Ort: Vor Ort oder Remote/Online

Sprache: Deutsch (Englisch auf Anfrage)

Kontakt: training[at]datainmotion.com

Termine 2026

Für 2026 stehen zwei feste Kurstermine zur Verfügung. Die Plätze sind begrenzt – wir empfehlen eine frühzeitige Anmeldung.

Wir bieten drei Durchführungsformate an:

• Remote/Online — virtuelle Durchführung für verteilte Teams
• Vor-Ort beim Kunden — in den Räumlichkeiten Ihrer Organisation
• Vor-Ort in Jena — in unserem Büro (max. 10 Teilnehmende)

Mindestteilnehmendenanzahl: 5 Teilnehmende
Anmeldung: training[at]datainmotion.com

Kursinhalte

Tag 1 – Grundlagen, Governance und sichere Architektur

Tag 1 legt das Fundament: Teilnehmende durchdringen den regulatorischen Rahmen, verstehen die relevanten Standards und bauen – von Governance-Strukturen bis zur Codeebene – das Grundgerüst für Compliance-konforme Softwareentwicklung auf.

• Regulatorischer Rahmen: Cyber Resilience Act (EU CRA), KI-Verordnung (EU AI Act), Netz- und Informationssicherheitsrichtlinie (NIS-2), Datenschutz-Grundverordnung (DSGVO), IT-Sicherheitsgesetz (IT-SiG 2.0)
• Standards: IT-Grundschutz (BSI), Technische Richtlinien (BSI TR), Informationssicherheitsmanagement (ISO/IEC 27001), Anwendungssicherheitsstandard (OWASP ASVS)
• Governance-Strukturen: Verantwortlichkeiten, Meldeketten, Risikomanagement und Nachweis-Pflichten
• Secure Software Development Lifecycle (SSDLC): Security by Design, Bedrohungsmodellierung (STRIDE & LINDDUN)
• IT-Sicherheitsbewusstsein: Risikokultur, Meldeverhalten und Security-First-Mindset im Entwicklungsalltag
• Architektur: Zero Trust, Defense in Depth, IAM (OIDC, OAuth2), Kryptographie nach Kryptographieempfehlung (BSI TR-02102)
• Sichere Entwicklung: OWASP Top 10 mit Code-Beispielen (Java, TypeScript, Python, .NET)

Tag 2 – Lieferkette, Betrieb und aktuelle Risiken

Tag 2 sichert die gesamte Wertschöpfungskette ab: von der Software-Lieferkette über automatisierte Sicherheitsprüfungen in der Pipeline bis zum sicheren Betrieb – einschließlich der wachsenden Risiken durch KI-Komponenten im Produkt.

• Supply-Chain-Sicherheit: SBOM (CycloneDX, SPDX), Dependency-Scanning, SLSA, Lizenz-Compliance
• Testing und Verifikation: SAST (SpotBugs, SonarQube, Semgrep), DAST (OWASP ZAP), Secret-Scanning
• CI/CD-Sicherheit: Quality Gates, Container-Scanning (Trivy, Grype), Artifact-Signing
• Deployment und Schwachstellenmanagement: Patch-SLAs, koordinierte Offenlegung, NIS-2- und CRA-Meldepflichten
• KI im Entwicklungsalltag und als Softwareprodukt: KI-Anwendungssicherheit (OWASP LLM Top 10), KI-Verordnung (EU AI Act), KI-Managementsystem (ISO/IEC 42001)

Alle Module sind mit aktuellen Fallstudien und Bedrohungsszenarien verknüpft – und fördern so gezielt das IT-Sicherheitsbewusstsein aller Beteiligten.