Bitte wählen Sie die Bereiche, die Sie exportieren möchten:
Schulung Python Desktop Application Security
Sichere Entwicklung, Härtung und Auslieferung von Python-Desktop-Anwendungen
Schulungsformen
Offene Schulung
- 3 Tage
- 6 gesicherte Termine
- Köln / Online
- 2.030,00 p. P. zzgl. MwSt.
- Dritter Mitarbeitende kostenfrei
- Learning & Networking in einem. Garantierte Durchführung ab 1 Teilnehmenden.
Inhouse-/Firmenschulung
- 3 Tage - anpassbar
- Termin nach Wunsch
- In Ihrem Hause oder bei der GFU
- Preis nach Angebot
- Lernumgebung in der Cloud
- Inhalte werden auf Wunsch an die Anforderungen Ihres Teams angepasst.
Individualschulung
- 3 Tage - anpassbar
- Termin nach Wunsch
- In Ihrem Hause oder bei der GFU
- Preis nach Angebot
- Lernumgebung in der Cloud
- 1 Teilnehmender = Fokus aufs Fachliche und maximaler Raum für individuelle Fragen.
Beschreibung
Schauen Sie sich auch diese Python Kurse an.
Schulungsziel
Nach Abschluss des Seminars sind die Teilnehmenden in der Lage, Sicherheitsrisiken in Python-Desktop-Anwendungen strukturiert zu analysieren und wirksame Schutzmaßnahmen umzusetzen. Sie können typische Schwachstellen in Eingabeverarbeitung, Datei- und Prozesszugriff, lokaler Datenspeicherung,Authentifizierung, Kryptographie und Software-Lieferkette erkennen, bewerten und priorisiert beheben.
Darüber hinaus verstehen sie, wie sichere Desktop-Anwendungen nicht nur im Code, sondern auch in Build, Packaging, Deployment, Update-Prozess und Betrieb abgesichert werden. Das Seminar versetzt die Teilnehmenden in die Lage, eigene Python-Clients sicherer zu entwerfen, vorhandene Anwendungen gezielt zu härten und Sicherheitsanforderungen frühzeitig in Entwicklungsprozesse zu integrieren.
Details
Inhalt
- Ziele und Erwartungen der Teilnehmenden
- Klärung individueller Lernziele und Erwartungen für ein praxisnahes und relevantes Seminar
- Sicherheitsgrundlagen für Python-Desktop-Anwendungen
- Schutzziele: Vertraulichkeit, Integrität, Verfügbarkeit, Nachvollziehbarkeit
- Bedrohungsmodell für Desktop-Software
- Typische Angreifer, Angriffspfade und Missbrauchsszenarien
- Unterschiede zwischen Desktop-, Web- und Backend-Sicherheit
- Angriffsfläche einer Desktop-Anwendung systematisch erfassen
- GUI-Eingaben, Dateiauswahl, Drag-and-drop, Clipboard und Importfunktionen
- Konfigurationsdateien, temporäre Dateien, Logs, lokale Datenbanken und Caches
- Betriebssystemnahe Schnittstellen, Umgebungsvariablen und Benutzerrechte
- Externe Programme, Shell-Aufrufe, URLs, Deep Links und Interprozesskommunikation
- Sichere Eingabeverarbeitung
- Validierung, Normalisierung und Canonicalization
- Positivlisten, strukturelle Validierung und fachliche Validierung
- Typische Fehler bei Regex, Parsing und Datentransformation
- Grenzen reiner Validierung und Zusammenspiel mit weiteren Schutzmaßnahmen
- Praxisübung: Eingaben und Dateipfade absichern
- Analyse einer absichtlich verwundbaren Python-Anwendung
- Absicherung von Benutzereingaben und Dateipfaden
- Nachvollziehbare Gegenüberstellung: unsicheres Muster und robuste Umsetzung
- Dateisystem- und Ressourcen-Sicherheit
- Path Traversal, unsichere Dateinamen, Verzeichniswechsel und symbolische Links
- Temporäre Dateien, Dateirechte, Race Conditions und TOCTTOU-Probleme
- Risiken bei Archiv- und Dokumentverarbeitung
- Sichere Ablage und Trennung von Benutzerdaten, Konfiguration und Secrets
- Prozess- und Betriebssystem-Interaktion
- Risiken durch subprocess, Shell=True, Kommandoverkettung und Parameterübergabe
- Sichere Nutzung systemnaher APIs statt Shell-Aufrufen
- Umgang mit externen Tools und Rückgabewerten
- Plattformunterschiede zwischen Windows und Linux
- Unsichere Python-Mechanismen und riskante Sprachmerkmale
- exec, eval, compile und dynamische Importe
- pickle, unsafe Deserialisierung und unsichere Objekt-Rekonstruktion
- Module Hijacking, Suchpfade und unbeabsichtigte Modulüberschattung
- Gefahren durch Monkey Patching und unkontrollierte Erweiterungspunkte
- Praxisübung: Unsichere Python-Konstrukte erkennen und ersetzen
- Entfernung dynamischer Codeausführung
- Austausch unsicherer Deserialisierung gegen sichere Formate und Parser
- Absicherung von Import- und Plugin-Mechanismen
- Authentifizierung und Sitzungsdaten in Desktop-Clients
- Welche Authentifizierung in den Client gehört und welche nicht
- Lokale Passwortspeicherung vermeiden
- Sichere Behandlung von Tokens, API-Schlüsseln und Sitzungsdaten
- MFA-Einbindung aus Sicht des Desktop-Clients
- Geheimnisverwaltung und Schutz sensibler Daten
- Grenzen lokaler Verschlüsselung bei Client-Software
- Betriebssystemnahe Secret Stores: z. B. DPAPI, Keychain, libsecret
- Speicherabbilder, Crash Dumps, Paging und Speicherreste
- Reduktion unnötiger Geheimnisse im Client
- Kryptographie in Python richtig einsetzen
- Sichere Zufallszahlen und kryptographisch geeignete Quellen
- Hashing, Passwort-Hashing und Integritätsschutz
- Symmetrische Verschlüsselung, AEAD und Nonce-Regeln
- Asymmetrische Verfahren, Schlüsselaustausch und Signaturen
- Häufige Fehlanwendungen und Scheinsicherheit im Desktop-Kontext
- Praxisübung: Sichere Nutzung von Kryptographie
- Zufallszahlen, Hashing und AEAD korrekt einsetzen
- Typische Implementierungsfehler identifizieren und korrigieren
- Bewertung: Was kryptographisch sinnvoll im Client lösbar ist und was nicht
- Sichere Netzwerkkommunikation
- TLS-Prüfung, Zertifikatsvalidierung und Fehlkonfigurationen
- Risiken bei deaktivierter Prüfung und unsicheren Test-Setups
- Umgang mit Proxies, Unternehmensnetzen und Zertifikatsketten
- Sichere API-Kommunikation aus Desktop-Anwendungen
- Sichere Update-Mechanismen
- Warum Auto-Update ein kritischer Sicherheitsbereich ist
- Signierung, Vertrauensanker und Integritätsprüfung
- Schutz gegen manipulierte Update-Quellen und Rollback-Angriffe
- Trennung von Release-, Test- und internen Kanälen
- Supply Chain Security und Build-Sicherheit
- Risiken durch abhängige Pakete und transitive Dependencies
- Typosquatting, Dependency Confusion und kompromittierte Updates
- Lockfiles, Hash-Pinning, SBOM und reproduzierbare Builds
- Sicherheitsprüfungen in CI/CD für Python-Projekte
- Praxisübung: Abhängigkeiten und Build-Prozess härten
- Analyse eines Python-Projekts auf riskante Abhängigkeiten
- Einbau technischer Kontrollpunkte in den Build-Prozess
- Bewertung von Maßnahmen nach Wirksamkeit und Umsetzbarkeit
- Native Erweiterungen und unsicherer Fremdcode
- Sicherheitsfolgen von ctypes, C-Extensions und eingebundenen Bibliotheken
- Speicherfehler außerhalb des Python-Schutzmodells
- Vertrauensgrenzen zwischen Python-Code und nativen Komponenten
- Strategien zur Reduktion und Kontrolle nativer Risiken
- Logging, Fehlerbehandlung und Information Exposure
- Vermeidung sensibler Daten in Logs, Tracebacks und Fehlermeldungen
- Sichere Fehlerbehandlung ohne Informationsabfluss
- Datenschutzgerechte Telemetrie und Diagnosedaten
- Trennung zwischen Entwicklerdiagnose und produktivem Verhalten
- Härtung von Packaging und Auslieferung
- Sicherheitsaspekte bei PyInstaller, Embedding und Distribution
- Code Signing und Vertrauenskette bei Releases
- Schutz gegen manipulierte Artefakte und inoffizielle Builds
- Sichere Verteilung interner Desktop-Anwendungen
- Prüfprozess und Sicherheitsqualität im Entwicklungsalltag
- Security Checklisten für Architektur, Code Review und Release
- Statische und dynamische Prüfungen für Python-Projekte
- Sicherheitsrelevante Tests mit vertretbarem Aufwand etablieren
- Priorisierung von Findings nach Risiko und Ausnutzbarkeit
- Praxisworkshop: Härtung einer Python-Desktop-Anwendung
- Gemeinsame Analyse einer Beispielanwendung mit mehreren Schwachstellen
- Schrittweise Umsetzung technischer Schutzmaßnahmen
- Ableitung eines praxistauglichen Härtungsplans für eigene Projekte
- Best Practices und Transfer in die Praxis
- Sicherheitsprinzipien für robuste Desktop-Software
- Typische Architekturentscheidungen und ihre Sicherheitsfolgen
- Leitlinien für neue und bestehende Python-Anwendungen
- Nächste Schritte für Team, Projekt und Organisation
Zielgruppe & Vorkenntnisse
Dieses Seminar richtet sich an Python-Entwickler, Software-Ingenieure, Application-Security-Verantwortliche, Architekten, Technical Leads und QA-/Test-Fachkräfte, die Python-basierte Desktop-Anwendungen entwickeln, prüfen oder betreiben.
Sinnvoll sind solide Grundkenntnisse in Python. Erfahrungen mit GUI-Frameworks, Packaging oder Client-Server-Kommunikation sind hilfreich, aber nicht zwingend erforderlich.
Ihre Schulung
In Präsenz | Online |
|---|---|
| Lernmethode | |
Ausgewogene Mischung aus Theorie und Praxis | Wie auch bei unseren Präsenz-Seminaren: Ausgewogene Mischung aus Theorie und praktischen Übungen. Trainer durchgehend präsent. |
| Unterlagen | |
Seminarunterlagen oder Fachbuch zum Seminar inklusive, das man nach Rücksprache mit dem Trainer individuell auswählen kann. | Seminarunterlagen oder Fachbuch inklusive (via DHL). Das Fachbuch wählt der Trainer passend zum Seminar aus - Ihren individuellen Buch-Wunsch berücksichtigen wir auf Nachfrage gerne. |
| Arbeitsplatz | |
| PC/VMs für jeden Teilnehmenden Hochwertige und performante Hardware Große, höhenverstellbare Bildschirme Zugang zu Ihrem Firmennetz erlaubt |
|
| Lernumgebung | |
Neu aufgesetzte Systeme für jeden Kurs in Abstimmung mit dem Seminarleiter. | |
| Arbeitsmaterialien | |
DIN A4 Block, Notizblock, Kugelschreiber, USB-Stick, Textmarker, Post-its | |
| Teilnahmezertifikat | |
Nach Abschluss des Seminars erhalten Sie das Teilnahmezertifikat inkl. Inhaltsverzeichnis per E-Mail als PDF. | |
Organisation
In Präsenz | Online | |
|---|---|---|
| Teilnehmendenzahl | ||
min. 1, max. 8 Personen | ||
| Garantierte Durchführung | ||
Ab 1 Teilnehmenden* | ||
| Schulungszeiten | ||
| ||
| Ort der Schulung | ||
 GFU SchulungszentrumAm Grauen Stein 27 51105 Köln-Deutz oder online im Virtual Classroom oder europaweit bei Ihnen als Inhouse-Schulung Um ein optimales Raumklima zu gewährleisten, haben wir das Schulungszentrum mit 17 hochmodernen Trotec TAC V+ Luftreinigern ausgestattet. Diese innovative Filtertechnologie (H14 zertifiziert nach DIN EN1822) sorgt dafür, dass die Raumluft mehrfach pro Stunde umgewälzt wird und Schadstoffe zu 99.995% im HEPA-Filter abgeschieden und infektiöse Aerosole abgetötet werden. Zusätzlich sind alle Räume mit CO2-Ampeln ausgestattet, um jederzeit eine hervorragende Luftqualität sicherzustellen. | ||
| Räumlichkeiten | ||
Helle und modern ausgestattete Räume mit perfekter Infrastruktur | Bequem aus dem Homeoffice von überall | |
| Preisvorteil | ||
Dritter Mitarbeitende nimmt kostenfrei teil. Eventuell anfallende Prüfungskosten für den dritten Teilnehmenden werden zusätzlich berechnet. Hinweis: Um den Erfolg der Schulung zu gewährleisten, sollte auch der dritte Teilnehmende die erwarteten Vorkenntnisse mitbringen. | ||
| KOMPASS — Förderung für Solo-Selbstständige | ||
Solo-Selbstständige können für dieses Seminar eine Förderung via KOMPASS beantragen. | ||
| All-Inclusive | ||
Gebäck, Snacks und Getränke ganztägig, Mittagessen im eigenen Restaurant, täglich 6 Menüs, auch vegetarisch | Eine Auswahl unserer Frühstücks-Snacks und Nervennahrungs-Highlights senden wir Ihnen mit den Seminarunterlagen via DHL zu. | |
| Barrierefreiheit | ||
Das GFU-Schulungszentrum (Am Grauen Stein 27) ist barrierefrei | - | |
Buchen ohne Risiko
| Rechnungsstellung |
Erst nach dem erfolgreichen Seminar. Keine Vorkasse. |
| Stornierung |
Kostenfrei bis zum Vortag des Seminars |
| Vormerken statt buchen |
Sichern Sie sich unverbindlich Ihren Seminarplatz schon vor der Buchung - auch wenn Sie selbst nicht berechtigt sind zu buchen |
Kostenfreie Services
In Präsenz | Online |
|---|---|
|
|
Buchungsmöglichkeiten
Online oder in Präsenz teilnehmen
Sie können sowohl Online als auch in Präsenz am Seminar teilnehmen. Klicken Sie bei Ihrer Buchung oder Anfrage einfach die entsprechende Option an.
Gesicherte offene Termine
| Termin | Ort | Preis | ||
|---|---|---|---|---|
| 19.10.-21.10.2026 Plätze vorhanden Online 2.030,00 | Online | 2.030,00 | Buchen Vormerken | |
| 07.12.-09.12.2026 Plätze vorhanden Online 2.030,00 | Online | 2.030,00 | Buchen Vormerken | |
| 2027 | ||||
| 08.03.-10.03.2027 Plätze vorhanden Köln / Online 2.030,00 | Köln / Online | 2.030,00 | Buchen Vormerken | |
| 12.05.-14.05.2027 Plätze vorhanden Köln / Online 2.030,00 | Köln / Online | 2.030,00 | Buchen Vormerken | |
| 02.08.-04.08.2027 Plätze vorhanden Köln / Online 2.030,00 | Köln / Online | 2.030,00 | Buchen Vormerken | |
| 04.10.-06.10.2027 Plätze vorhanden Köln / Online 2.030,00 | Köln / Online | 2.030,00 | Buchen Vormerken | |
- Lernumgebung in der Cloud
- Inhalte werden auf Wunsch an die Anforderungen Ihres Teams angepasst.
- Lernumgebung in der Cloud
- 1 Teilnehmender = Fokus aufs Fachliche und maximaler Raum für individuelle Fragen.
Unterstützung nach der Schulung durch
individuelle Nachbetreuung
- Alle folgenden Schulungsformen können auch Online als Virtual Classroom durchgeführt werden.
- Eine Offene Schulung findet zu einem festgelegten Zeitpunkt im voll ausgestatteten Schulungszentrum oder Online/Remote statt. Sie treffen auf Teilnehmende anderer Unternehmen und profitieren vom direkten Wissensaustausch.
- Eine Inhouse-/Firmen-Schulung geht auf die individuellen Bedürfnisse Ihres Unternehmens ein. Sie erhalten eine kostenfreie Beratung von Ihrem Seminarleiter und können Inhalte und Dauer auf Ihren Schulungsbedarf anpassen. Inhouse-Schulungen können Europaweit durchgeführt werden.
- Bei einer Individual-Schulung erhalten Sie eine 1-zu-1 Betreuung und bestimmen Inhalt, Zeit und Lerntempo. Der Dozent passt sich Ihren Wünschen und Bedürfnissen an.
Sie können unsere Schulungen auch als Remote Schulung im Virtual Classroom anfragen.
In drei Schritten zum Online Seminar im Virtual Classroom:
- Seminar auswählen und auf "Buchen" klicken
- Wählen Sie bei "Wie möchten Sie teilnehmen?" einfach "Online" aus.
- Formular ausfüllen und über den Button "Jetzt buchen" absenden.
Unser Kundenservice meldet sich bei Ihnen mit der Buchungsbestätigung.
Unsere Online Schulungen finden im Virtual Classroom statt. Ein Virtual Classroom bündelt mehrere Werkzeuge, wie Audio-Konferenz, Text-Chat, Interaktives Whiteboard, oder Application Sharing.
Vorteile von Virtual Classroom:
- Sie erhalten 1 zu 1 die gleiche Lernumgebung, die Sie auch vor Ort bei uns vorfinden
- Die technische Vorbereitung wird von den GFU-Technikern vorgenommen
- Sie erhalten remote Zugriff auf Ihren persönlichen Schulungs-PC im GFU-Seminarraum
- Die Virtual Classroom Lösung lässt sich auch im Browser betreiben
- Die GFU-Technik leistet wie gewohnt Soforthilfe bei Problemen
- Die Schulungsunterlagen bekommen Sie via DHL zugeschickt
- Sie sparen Reisekosten und Zeit
- 19. Okt. - 21. Okt. ✓ Noch einige Plätze frei ▶ Köln + Online/Remote
- 07. Dez. - 09. Dez. ✓ Noch einige Plätze frei ▶ Köln + Online/Remote
- 08. Mär. - 10. Mär. ✓ Noch einige Plätze frei ▶ Köln + Online/Remote
- 12. Mai - 14. Mai ✓ Noch einige Plätze frei ▶ Köln + Online/Remote
- 02. Aug. - 04. Aug. ✓ Noch einige Plätze frei ▶ Köln + Online/Remote
- Auch als Inhouse-Schulung, bundesweit mit Termin nach Wunsch und individuellen Inhalten
- Buchen ohne Risiko! Kostenfreie Stornierung bis zum Vortag des Seminars
Die Seminare der GFU finden in angenehmer Atmosphäre statt und sind perfekt organisiert. Profitieren Sie von dem Rundum-Service der GFU!
Machen Sie sich keinen Kopf um die Anreise! Unser Shuttle fährt Sie. Oder Sie parken einfach auf einem extra für Sie reservierten Parkplatz.
Hotelzimmer gesucht? Wir organisieren Ihnen eins. Ihr Vorteil: Sie sparen Zeit und Geld!
Stornierung bei offenen Seminaren kostenfrei bis einen Tag vor Schulungsbeginn.
Unsere Techniker sind immer zur Stelle, egal ob online oder vor Ort.