Sichere Anwendungen mit C und C++
Speicherfehler, Eingaben und Compiler-Härtung praxisnah beherrschen und C/C++ Code absichern
Die wichtigsten Themen
Schwachstellen in C und C++ erkennen
Speicherfehler systematisch vermeiden
Eingaben sicher validieren
Compiler-Härtung gezielt einsetzen
Fuzzing und Sanitizer anwenden
Sichere APIs und Datenstrukturen nutzen
Überblick Eine lauffähige Anwendung in C oder C++ ist noch keine sichere Anwendung. Gerade in systemnaher Software, performanten Backend-Komponenten, Embedded-Systemen, Treibern oder nativen Bibliotheken können Speicherfehler,...
Eine lauffähige Anwendung in C oder C++ ist noch keine sichere Anwendung. Gerade in systemnaher Software, performanten Backend-Komponenten, Embedded-Systemen, Treibern oder nativen Bibliotheken können Speicherfehler, unzureichend geprüfte Eingaben und falsche Annahmen über Laufzeitverhalten erhebliche Sicherheitsrisiken verursachen.
Diese 3-tägige Schulung vermittelt, wie Schwachstellen in C/C++ Code entstehen, wie Angriffe technisch funktionieren und welche Maßnahmen in Architektur, Implementierung, Build-Prozess und Test eingesetzt werden. Behandelt werden unter anderem Buffer Overflows, Use-after-free, Integer Overflows, unsichere APIs, Injection-Risiken, Compiler-Härtung, Sanitizer, Fuzzing und statische Analyse.
Die Teilnehmerinnen und Teilnehmer arbeiten mit praxisnahen Beispielen, analysieren fehlerhaften Code und leiten konkrete Gegenmaßnahmen ab. Wer C in systemnahen Umgebungen einsetzt, findet ergänzende Vertiefungen in der Windows Treiberentwicklung mit C oder im C Training für die Linux / UNIX Netzwerk-Entwicklung. Für grafische C++ Anwendungen passt das C++ Training mit Qt als fachliche Ergänzung.
Die Themen Tag 1: Grundlagen sicherer C/C++ Entwicklung Sicherheitsprinzipien für native Anwendungen Angriffsflächen in systemnaher Software erkennen · Unterschied zwischen Fehler, Schwachstelle und Exploit einordnen...
- Tag 1: Grundlagen sicherer C/C++ Entwicklung
- Sicherheitsprinzipien für native Anwendungen
- Angriffsflächen in systemnaher Software erkennen
- Unterschied zwischen Fehler, Schwachstelle und Exploit einordnen
- Defense-in-Depth für C/C++ Anwendungen anwenden
- Secure Coding im Entwicklungsprozess verankern
- Typische Schwachstellenklassen
- Buffer Overflows, Stack Overflows und Heap Overflows analysieren
- Out-of-bounds Read und Out-of-bounds Write bewerten
- Use-after-free, Double-free und Null Pointer Dereference vermeiden
- Integer Overflow, Signedness-Fehler und Type Confusion erkennen
- Eingaben, Datenformate und Schnittstellen
- Benutzereingaben und externe Daten konsequent validieren
- Grenzwerte, Längen, Zeichensätze und Wertebereiche prüfen
- SQL Injection und Command Injection in nativen Anwendungen verhindern
- Fehlerbehandlung ohne Informationsabfluss gestalten
- Sicherheitsprinzipien für native Anwendungen
- Tag 2: Exploit-Verständnis und Code-Analyse
- Exploit-Prinzipien verstehen
- Stack-Layout, Heap-Verhalten und Speicherbereiche nachvollziehen
- Return-Address-Overwrite und SEH-basierte Angriffe einordnen
- Heap Spray, ROP und Kontrollfluss-Manipulation konzeptionell verstehen
- Auswirkungen fehlerhafter Speicherverwaltung realistisch bewerten
- Sichere Implementierung in C und C++
- Unsichere Standardfunktionen ersetzen
- RAII, Smart Pointer und Container gezielt einsetzen
- Lebensdauer, Ownership und Ressourcenfreigabe sauber modellieren
- Thread-Sicherheit und Race Conditions berücksichtigen
- Werkzeuge zur Schwachstellenerkennung
- Compiler-Warnungen und statische Analyse sinnvoll konfigurieren
- AddressSanitizer, UndefinedBehaviorSanitizer und ThreadSanitizer einsetzen
- Fuzzing für Parser, Schnittstellen und Datenformate nutzen
- Findings priorisieren und Fehlalarme fachlich bewerten
- Exploit-Prinzipien verstehen
- Tag 3: Härtung, Schutzmaßnahmen und sichere Auslieferung
- Compiler- und Plattform-Härtung
- Stack Canaries, ASLR, DEP/NX und PIE einordnen
- Control Flow Integrity und Fortify-Optionen bewerten
- Build-Flags für GCC, Clang und MSVC praxisnah auswählen
- Debug-Informationen, Symbole und Release-Builds sicher handhaben
- Schutz sensibler Daten
- Hashing, Verschlüsselung und Schlüsselmaterial korrekt einordnen
- Zufallszahlen und Initialisierungsvektoren sicher verwenden
- Geheimnisse nicht hart codieren
- Speicherinhalte mit sensiblen Daten bewusst behandeln
- Integration in Entwicklung und Qualitätssicherung
- Secure-Code-Reviews strukturiert durchführen
- SAST, DAST, Fuzzing und Tests in CI/CD-Prozesse integrieren
- Abhängigkeiten und native Bibliotheken sicher verwalten
- Maßnahmenplan für bestehende C/C++ Codebasen erstellen
- Compiler- und Plattform-Härtung
Wer hier richtig ist
- Softwareentwicklerinnen und Softwareentwickler, die Anwendungen, Bibliotheken oder Systemkomponenten in C oder C++ entwickeln
- C/C++ Entwicklerinnen und Entwickler in Embedded-, Industrie-, Automotive-, Netzwerk- oder Sicherheitsprojekten
- Entwicklungsteams, die bestehende native Codebasen härten und technische Schulden im Sicherheitsbereich reduzieren möchten
- Architektinnen und Architekten, die Sicherheitsanforderungen für performante oder systemnahe Software definieren
- Quality Engineers und Security Engineers, die Code-Reviews, statische Analysen, Fuzzing oder Build-Härtung für C/C++ Projekte betreuen
- Technische Projektverantwortliche, die Risiken in nativen Anwendungen besser bewerten und Gegenmaßnahmen planen müssen
Das lernst du
- Typische Sicherheitslücken in C und C++ Code erkennen, erklären und nach Risiko priorisieren
- Speicherfehler wie Buffer Overflow, Use-after-free, Double-free und Out-of-bounds Access gezielt vermeiden
- Eingaben, Datenformate und Schnittstellen mit geeigneten Prüfregeln absichern
- Sichere C/C++ Idiome, geeignete Standardbibliotheksfunktionen und robuste Datenstrukturen auswählen
- Compiler-Warnungen, Hardening-Flags, Sanitizer und Analysewerkzeuge in den Entwicklungsalltag integrieren
- Exploit-Grundprinzipien nachvollziehen und daraus wirksame Gegenmaßnahmen ableiten
- Bestehende Codebasen anhand einer praxisnahen Checkliste sicherheitsorientiert verbessern
So arbeiten wir
Die Schulung verbindet technische Grundlagen mit praktischer Codearbeit. Ziel ist nicht nur das Erkennen einzelner Fehler, sondern ein belastbares Vorgehen für sichere C/C++ Entwicklung im Projektalltag.
- Trainergeführte Erläuterungen mit direktem Bezug zu realen Schwachstellenklassen
- Live-Demos zu Speicherfehlern, Exploit-Abläufen und Schutzmechanismen
- Praktische Übungen mit fehlerhaftem und gehärtetem C/C++ Code
- Code-Reviews und Diskussion typischer Entscheidungsfehler in Entwicklungsprojekten
- Einsatz von Compiler-Warnungen, Sanitizern, statischer Analyse und Fuzzing-Werkzeugen
- Transfer auf eigene Projektkontexte durch Checklisten, Maßnahmenpläne und Best Practices
Empfohlene Vorkenntnisse
- Gute praktische Kenntnisse in C oder C++
- Erfahrung mit Zeigern, Speicherverwaltung, Funktionen, Klassen oder Modulen
- Grundverständnis von Compiler, Linker, Build-Prozess und Debugging
- Grundkenntnisse zu Betriebssystemen, Prozessen und Speicherbereichen sind hilfreich
- Für aktuelle C++ Sprachmittel kann vorab oder anschließend das Training C++ - Neue Features (aktuell für C++23) sinnvoll sein
Dein Fahrplan
Der erste Tag behandelt Sicherheitsprinzipien für native Anwendungen, typische Angriffsflächen und die wichtigsten Schwachstellenklassen in C und C++. Dazu gehören Buffer Overflows, Out-of-bounds-Zugriffe, Integer Overflows, unsichere APIs und fehlerhafte Eingabevalidierung.
- Security-Grundlagen für C/C++ Anwendungen
- Speicherlayout, Stack, Heap und typische Fehlerursachen
- Eingaben, Datenformate und Schnittstellen sicher prüfen
- Risiken bewerten und Gegenmaßnahmen ableiten
Organisatorisches
Lernformate
Unsere Seminare bieten dir maximale Flexibilität: Du kannst zwischen Live-Online und Vor Ort in unseren modernen Schulungszentren im D-A-CH Raum wählen. Beide Formate garantieren dir die gleiche hohe Qualität und interaktive Lernerfahrung.
Schulungsarten
Wir bieten dir verschiedene Schulungsarten: Offene Seminare, Firmenseminare für Teams und Inhouse-Schulungen direkt bei dir vor Ort. So findest du genau das Format, das zu deinen Bedürfnissen passt.
Aktuelle Software
In unseren offenen Kursen arbeiten wir mit der aktuellsten Software-Version. So lernst du direkt mit den Tools und Features, die du auch in deinem Arbeitsalltag verwendest - praxisnah und zukunftsorientiert. Bei Inhouse- und Firmenschulungen bestimmt ihr die Version.
Deine Vorteile
Zufriedenheitsgarantie
Wir sind von unserer Qualität überzeugt. Sollte ein Training einmal nicht deinen Erwartungen entsprechen, bieten wir dir an, den Kurs kostenlos zu wiederholen oder ein anderes Training zu besuchen. Ohne Risiko, ohne Diskussion.
Inklusivleistungen
Deine Teilnahme beinhaltet: Schulungsmaterial, Zertifikat, Verpflegung (bei Präsenzveranstaltungen) und persönliche Betreuung durch unsere Trainer und unser Orga-Team. Alles aus einer Hand - keine versteckten Kosten.
Lernen von Experten
Unsere Trainer sind zertifizierte und erfahrene Profis mit jahrelanger Berufserfahrung. Sie vermitteln dir in den Kursen nicht nur theoretisches Wissen, sondern teilen ihre Erfahrungen aus realen Projekten und helfen dir, das Gelernte direkt in deiner täglichen Arbeit anzuwenden. Das ist kein Werbeversprechen, sondern unser Anspruch. Am besten siehst du das in unseren Bewertungen, z.B. auch bei Google.
Keine Vorkasse
Du zahlst erst nach dem Seminar. Keine Vorkasse, keine Vorauszahlung - so kannst du sicher sein, dass du nur für das bezahlst, was du auch wirklich erhalten hast. Die Rechnung erhältst du erst nach Kursbeginn.
Max. 8 Teilnehmende
Wir setzen auf kleine Gruppen, damit du die Aufmerksamkeit bekommst, die du verdienst. So haben wir mehr Zeit für deine individuellen Fragen und können gezielt auf deine Bedürfnisse eingehen.
Termine & Buchung
Vor Ort
Online
Nicht der passende Termin dabei?
Wir finden eine Lösung: anderer Termin, mehrere Teilnehmer, Inhouse-Schulung oder individuelle Beratung.
Lieber gleich das ganze Team schulen?
Diese Schulung gibt es auch exklusiv für dein Unternehmen, bei euch vor Ort, an unseren Standorten oder Live-Online. Inhalte und Termine nach Maß.
Inhouse-Schulung
Wir kommen zu euch: diese Schulung maßgeschneidert in euren Räumen, für Unternehmen und Behörden.
- Inhalte exakt auf euch zugeschnitten
- Termine nach euren Bedürfnissen
- Günstiger ab mehreren Teilnehmern
- Vertraute Umgebung, kein Reiseaufwand
Firmen-Seminar
Exklusiv für dein Team an einem unserer Standorte oder Live-Online, individuell angepasst.
- Geschlossene Gruppe aus eurem Haus
- Individuelle Terminplanung
- An unseren Standorten oder Live-Online
- Angepasste Inhalte
Fragen und Antworten zu Sichere Anwendungen mit C und C++
Was lernt man in der Schulung Sichere Anwendungen mit C und C++?
Die Schulung vermittelt, wie Sicherheitslücken in C/C++ Code entstehen, wie Angriffe technisch ausgenutzt werden und wie Code, Build-Prozess und Tests dagegen gehärtet werden. Behandelt werden Speicherfehler, Eingabevalidierung, unsichere APIs, Compiler-Optionen, Sanitizer, Fuzzing und Secure-Code-Reviews.
Geht es in der Schulung mehr um C oder um C++?
Beide Sprachen werden berücksichtigt. C-spezifische Risiken wie manuelle Speicherverwaltung und unsichere Bibliotheksfunktionen werden ebenso behandelt wie C++ Themen rund um RAII, Smart Pointer, Container, Lebensdauer, Ownership und sichere Sprachidiome.
Werden Buffer Overflows praktisch behandelt?
Ja. Buffer Overflows, Stack Overflows, Heap-bezogene Fehler und Out-of-bounds-Zugriffe werden anhand nachvollziehbarer Beispiele analysiert. Dabei geht es nicht um Angriffsanleitungen, sondern um das technische Verständnis der Ursache und um wirksame Gegenmaßnahmen im Code und im Build-Prozess.
Welche Vorkenntnisse sind erforderlich?
Erforderlich sind gute Kenntnisse in C oder C++. Erfahrung mit Zeigern, dynamischer Speicherverwaltung, Debugging und dem Build-Prozess erleichtert den Einstieg. Security-Vorwissen ist hilfreich, aber nicht zwingend erforderlich.
Ist die Schulung für Embedded- und Systementwicklung geeignet?
Ja. Die Inhalte passen besonders gut zu nativer, systemnaher und performancekritischer Software. Für Linux-nahe Treiber- und Kernel-Themen kann ergänzend die Schulung Linux Kernel-Modul Entwicklung mit C sinnvoll sein.
Welche Werkzeuge werden in der Schulung behandelt?
Behandelt werden typische Werkzeugklassen wie Compiler-Warnungen, statische Analyse, AddressSanitizer, UndefinedBehaviorSanitizer, ThreadSanitizer, Fuzzing und ausgewählte Hardening-Optionen. Die konkrete Toolauswahl kann je nach Plattform und eingesetztem Compiler variieren.
Gibt es eine offizielle Zertifizierung für diese Schulung?
Für diese Schulung ist keine offizielle Herstellerzertifizierung vorgesehen. Der Nutzen liegt im direkten Praxistransfer: Die Teilnehmerinnen und Teilnehmer können C/C++ Code sicherer entwickeln, prüfen und bestehende Anwendungen gezielt härten.
Weitere häufig gestellte Fragen und Antworten findest du in den FAQs .
Unser Qualitätsversprechen: Wissen, das in der Praxis funktioniert
Aus der Praxis für die Praxis
Schluss mit theoretischem Ballast. Wir trainieren dich für reale IT-Herausforderungen, nicht für Multiple-Choice-Tests. Unsere Trainer vermitteln dir genau das Wissen, das am nächsten Montagmorgen im Job wirklich funktioniert.
Individuell statt "Schema F"
Deine Fragen passen nicht ins Standard-Skript? Bei uns schon. Wir verzichten auf starre Lehrpläne und geben deinen konkreten Projekt-Fragen Raum. Unsere Trainer passen die Inhalte flexibel an das an, was dich und dein Team aktuell weiterbringt.
Maximale Freiheit: Remote oder vor Ort
Lerne so, wie es in deinen Alltag passt - ohne Reise-Stress und Zeitverlust. Egal ob remote, hybrid oder präsent vor Ort: Wir garantieren dir ein nahtloses und effektives Lernerlebnis, egal von wo du dich zuschaltest.
Mit Zufriedenheitsgarantie
Wir sind von unserer Qualität überzeugt - und wollen, dass du es auch bist. Sollte ein Training einmal nicht deinen Erwartungen entsprechen, bieten wir dir an, den Kurs kostenlos zu wiederholen oder ein anderes Training zu besuchen. Ohne Risiko, ohne Diskussion.
Über 20.000 Unternehmen und Behörden vertrauen auf uns
