Information Security Blog

21 02, 2019

BACSCP: Die Entstehung des Secure Coding Trainings

von |21. Februar 2019|binsec academy GmbH|0 Kommentare|

Jedes Semester schließen Tausende Informatikstudenten erfolgreich ihr Studium ab – leider meist ohne oder mit nur geringen Kenntnissen in sicherer Softwareentwicklung. Wen wunderts, dass dann altbekannte Schwachstellen wie Cross-Site-Scripting (XSS) noch immer nicht der Vergangenheit angehören. Als Folge stehen Unternehmen selbst in der Verantwortung, ihre Entwickler zu schulen und für Sicherheitsmaßnahmen in deren Softwareprodukten zu sorgen.

Die Geschichte unserer neuartigen Online-Schulung begann vor ein paar Jahren mit einer Kundenanfrage bezüglich einer OWASP-Entwicklerschulung zu sicherer Softwareentwicklung. Als PCI-DSS-zertifiziertes Unternehmen musste unser Kunde jährlich nachweisen, dass sich seine Softwareentwickler im Rahmen der aktuellen Techniken zur sicheren Programmierung fortbilden. Natürlich hätte als Nachweis auch eine Bescheinigung darüber genügt, ein Buch gelesen oder an einem Vortrag (passiv) teilgenommen zu haben… So etwas kann aber weder im Sinne des PCI DSS noch im Sinne der Softwareentwickler sein.

So kam es dazu, dass wir als binsec einen 2-Tages-Workshop konzipierten, zu gleichen Teilen aus Theorie- und aus Praxiselementen aufgebaut. Während wir am ersten Tag auf die Anforderungen des PCI-DSS an Softwareentwickler und auf die OWASP Top 10 eingingen, musste jeder Schulungsteilnehmer am zweiten Tag eine verwundbare Webanwendung härten und anschließend versuchen, die in den Anwendungen seiner Kollegen verbliebenen Schwachstellen auszunutzen. Mit jedem erfolgreichen Angriff sammelten die Teilnehmer Punkte und kamen damit dem Gewinn der Siegesprämie – eines Amazon Gutscheins – Schritt für Schritt näher. Unterm Strich verlief der erste Teil des Trainings durchaus erfolgreich, doch stach das positive Feedback zum zweiten Abschnitt deutlich hervor. Die Teilnehmer waren fokussiert und engagiert sich gegenseitig „auszuspielen“, weshalb ihre Rückmeldung für uns nicht überraschend kam: „Weniger Theorie, mehr Praxis, bitte.“

Wir begannen parallel zu dieser Entwicklerschulung, diverse Lehrveranstaltungen an Hochschulen zu halten, in denen wir sukzessive den Praxisanteil in den Vordergrund rückten. Wie schon bei unserer Vorlesung zu Penetration-Testing, aus der unser Zertifizierungslehrgang „Binsec Academy Certified Pentest Professional (BACPP)“ hervorgegangen ist, entschieden wir als binsec uns auch bei unserer Entwicklerschulung „Secure Software Development Training“ dazu, sie zur Basis von etwas Neuem zu machen: Es schlug die Geburtsstunde des „Secure Coding Trainings“ der binsec academy:

In dieser Online-Schulung zu Secure Coding schlüpft der Teilnehmer in die Rolle eines Teamleiters, dem die Aufgabe zuteilwird, in einer verwundbaren REST-API die am meisten verbreiteten Schwachstellen (OWASP TOP 10) zu identifizieren und diese im Programmcode zu beheben. Der Clou dabei ist: Der Teilnehmer kann als Programmiersprache PHP, Java, Python, Perl, Go, Ruby oder Node.js wählen und wird mit unserem BACSCP-Zertifikat (Binsec Academy Certified Secure Coding Professional) belohnt, wenn mindestens acht von insgesamt zehn Sicherheitslücken erfolgreich entfernt wurden. Zertifizierte BACSCPler können

  • die am meisten verbreiteten Schwachstellen in Webanwendungen identifizieren und Sicherheitslösungen entwerfen,
  • eine Webanwendung gemäß OWASP und PCI DSS sicher entwickeln, sowie
  • einen Secure-Code-Review strukturiert durchführen.

Nach den ersten Betatests erweiterten wir die Kooperation mit Hochschulen, um Studierenden der Informatik die Inhalte sicherer Softwareentwicklung zu vermitteln. Wir hoffen hiermit einen wesentlichen Beitrag zur anwendungsorientierten IT-Sicherheit leisten zu können.

25 01, 2019

20% Studentenrabatt auf Kurse der binsec academy GmbH

von |25. Januar 2019|binsec academy GmbH|0 Kommentare|

Ab sofort erhalten Studenten 20% Preisnachlass auf alle Online-Schulungen der binsec academy GmbH: Einfach unter https://binsec-academy.com/de/promo/student/ (unverbindlich) mit der studentischen E-Mail-Adresse der Hochschule registrieren und automatisch einen 20%-Gutschein erhalten. Der Gutschein ist nach der Registrierung 30 Tage gültig.

19 10, 2018

Tipps zum Anfertigen wissenschaftlicher Arbeiten

von |19. Oktober 2018|Wissenschaft|0 Kommentare|

Als Dozent begegne ich vielen Studierenden, die während der Anfertigung ihrer Abschlussarbeit unter Ratlosigkeit und Zeitproblemen leiden. Die Wurzel allen Übels ist meist eine oberflächliche Vorbereitung, die zu einer unwissenschaftlichen Vorgehensweise geführt hat. Wie würden Sie beispielsweise vorgehen, wenn Sie acht Stunden Zeit hätten, einen Baum zu fällen? Die Mehrheit würde wahrscheinlich sofort die Axt ergreifen und gegen den Baum schwingen, statt die ersten sechs Stunden mit dem Schärfen ihrer Axt zuzubringen. Diese Analogie von Abraham Lincoln zeigt auf sehr einfache Art und Weise, wie bedeutsam eine intensive Einarbeitung in das Wunschthema beim wissenschaftlichen Arbeiten ist.

Den Kern einer Abschlussarbeit stellt eine wissenschaftliche Fragestellung dar. Diese leitet sich üblicherweise aus einem komplexen Problem ab, welches zu bewältigen war oder ist. In anderen Worten: Eine Thesis spiegelt lediglich einen reproduzierbaren Lösungsweg wider – nicht mehr, aber auch nicht weniger.

Die erste Hürde beim wissenschaftlichen Arbeiten ist es, die Fragestellung auf das Wesentliche einzugrenzen. Wenn beispielsweise der Raum zu weit aufgespannt wird, entstehen Formulierungen wie „[…] wurde im Rahmen dieser Arbeit nicht untersucht“. Solche Ausdrücke implizieren, dass der Autor einer solchen Abschlussarbeit entweder zu wenig Zeit in die Arbeit investiert hat oder nicht im Besitz der notwendigen Kompetenzen war. Beide Fälle werfen unnötigerweise ein schlechtes Bild auf das Werk. Zudem unterstützt eine zentrale Fragestellung die Herleitung einer stringenten Argumentation.

Worin unterscheidet sich aber eine wissenschaftliche Arbeit von einem Referat bzw. was verbirgt sich hinter dem Begriff der Wissenschaftlichkeit? Grundsätzlich ist das Fundament einer wissenschaftlichen Ausarbeitung ein breiter Literaturüberblick. Durch den Bezug auf diverse Autoren (und/oder auch Abgrenzungen) werden die eigenen Ausführungen zu einer abschließenden Erkenntnis übergeleitet. Diese sollte – in irgendeiner Form – mit den Ergebnissen anderer Forschender in Verbindung gesetzt werden, welche sich mit einer ähnlichen Thematik befasst haben. Einen Mehrwert liefert eine wissenschaftliche Arbeit jedoch nur, wenn die Ergebnisse von anderen Personen reproduziert werden können.

Um wissenschaftliche „Schwächen“ bereits in der Anfangsphase erkennen zu können, sollte vorab immer ein Exposé zu einer anvisierten Fragestellung angefertigt werden. Dieses beinhaltet neben der Problemstellung und der damit verbundenen Zielsetzung auch eine Darlegung der wissenschaftlichen Herangehensweise (inkl. der Ergebnisse einer vorab durchgeführten Literaturrecherche). Auch wenn die Erstellung eines solchen Schriftstücks einen hohen Aufwand mit sich bringt, ist dieser doch nicht verloren: Das Exposé kann eins zu eins als das erste Kapitel der Thesis wiederverwendet werden. Darüber hinaus ist mit ihm ein Leitfaden entstanden, welcher alle weiteren Bearbeitungsschritte vorgibt.

Informatiker werden feststellen, dass sich eine wissenschaftliche Vorgehensweise nicht allzu sehr von den Phasen des Software Development Life Cycle (SDLC) unterscheidet. Zumindest lassen sich die meisten Thesen – analog zum SDLC – zur folgenden Struktur abstrahieren:

  1. Einführung („Planning“)
  2. Related Work („Analysis“)
  3. Konzeption („Design“)
  4. Umsetzung („Implementierung“)
  5. Evaluation („Test“)
  6. Fazit und Ausblick („Maintenance“)

Selbstverständlich können für die eigene Thesis andere Kapitelüberschriften gewählt werden. Im Folgenden werden (persönliche) Tipps und Tricks zum wissenschaftlichen Schreiben aufgezeigt:

  • Grundsätzlich muss jede Aussage bzw. jede These belegt werden, da sie sonst eine Behauptung darstellt. Wörter wie „beispielsweise“ stellen Auswege dar, um eine Entscheidung aus mehreren Möglichkeiten unkommentiert zu lassen. Hierbei sollte aber beachtet werden, dass die Verwendung solcher Wörter die Qualität einer wissenschaftlichen Arbeit nicht fördert.
  • Die Auswahl von Kriterien sowie deren Gewichtung erfordern ebenfalls eine Begründung – außer die Kriterien wurden vorgegeben, z. B. von einer Partnerfirma. (Dieses „Schlupfloch“ sollte vermieden werden.)
  • Es sollten erst alle Stichpunkte zu jedem Kapitel niedergeschrieben werden, bevor man anfängt, Texte auszuformulieren. Mit hoher Wahrscheinlichkeit wird man in dieser Phase die Gliederung der Arbeit mehrmals anpassen müssen, um den nötigen „roten Faden“ zu gewinnen und zu bewahren. Generell wird die initiale Gliederung einer Thesis nicht in Stein gemeißelt sein.
  • Jedes Kapitel sollte eigenständig gelesen werden können, weshalb immer ein Einführungstext vorangestellt werden sollte.

Abschließend sollte die finale Version einer wissenschaftlichen Ausarbeitung einmal wie folgt begutachtet werden: Zuerst sollte die Einführung gelesen werden, danach das Fazit und zuletzt eine zufällige Seite. Falls sich zwischen den genannten Kapiteln kein Zusammenhang erkennen lässt, sollte dieser nachträglich eingearbeitet werden. Zudem sollte der Kern einer wissenschaftlichen Thematik auch von fachfremden Lesern nachvollzogen werden können, weshalb es empfehlenswert ist, die Arbeit von unterschiedlichen Personen Korrektur lesen zu lassen.

17 10, 2018

OpenSSH nicht betroffen: CVE-2018-10933 Bypass SSH Authentication – libssh

von |17. Oktober 2018|IT-Sicherheit|0 Kommentare|

Eine kürzlich entdeckte Schwachstelle in libssh ermöglicht es Angreifern, sich ohne Authentifizierung mit einem Server zu verbinden. Dazu muss im SSH-Protokoll nur SSH2_MSG_USERAUTH_SUCCESS anstelle vom eigentlichen SSH2_MSG_USERAUTH_REQUEST geschickt werden. Der Client sagt dem Server im Prinzip, dass er erfolgreich authentifiziert wurde und der Server akzeptiert es. Der Bug existiert seit libssh 0.6, d.h. seit Januar 2014.

Es gab bzw. gibt immer noch viel Verwirrung darüber, ob man sich nun einfach an jedem Open-SSH-Server ohne Zugangsdaten anmelden kann, wodurch praktisch das Rückgrat der meisten Linux-Server verwundbar wäre. Allerdings ist dies nicht der Fall:

OpenSSH ist nicht vom CVE-2018-10933 der libssh betroffen: libssh ist eine eigenständige SSH-Implementierung und wird von OpenSSH nicht verwendet.

26 09, 2018

Hacking vs. Penetration Testing – die Geburtsstunde des BACPP

von |26. September 2018|binsec academy GmbH|0 Kommentare|

Als Dozent für „Penetration Testing“ kenne ich den ausschlaggebenden Beweggrund meiner Studentinnen und Studenten für ihre Teilnahme am Wahlpflichtfach nur zu gut. Die Rede ist von „Hacking“. Bereits in jungen Jahren für viele ein spannendes Thema – brennt sich das Hacken von IT-Systemen doch durch seine Darstellung in Film und Fernsehen schon früh als aufregend in die Köpfe der Zuschauer ein. Es ist somit kein Wunder, dass ein beruflicher Weg hin zum Penetrationstester mehr als verlockend klingt. Was viele dabei nicht wissen: Hacking stellt „nur“ den technischen Part eines Pentests dar, weshalb sich auch die Suche nach einer geeigneten Personenzertifizierung als schwierig gestaltet(e).

Im Allgemeinen versuchen Hacker Sicherungsmechanismen zu umgehen oder zu brechen, um einen unbefugten Datenzugriff zu erhalten. Das Aufgabengebiet Penetration-Testing entstand deshalb mehr oder weniger als eine Art Gegenmaßnahme seitens der IT-Sicherheit im Wettrüsten mit den Angreifern: Potenzielle Auftraggeber bitten bzw. beauftragen Pentester mit der Identifizierung der Schwachstellen ihrer IT-Systeme, um diese am Ende härten bzw. schließen zu können.

Hierbei wendet ein Pentester konsequenterweise dieselben technischen Verfahren an wie ein böswilliger Angreifer. Aber nicht nur das. Zusätzlich wird eine strukturierte Vorgehensweise benötigt, um reproduzierbare Ergebnisse zu erzielen. Ohne eine solche Vorgehensweise können (offensichtliche) Schwachstellen unentdeckt bleiben. Im Gegensatz zu einem Hacker genügt dem Pentester nicht ein einziger Einstiegspunkt in das IT-System, sondern er will alle aufdecken. Ebenso müssen die identifizierten Schwachstellen dem Auftraggeber mitgeteilt werden. Dies geschieht üblicherweise in einem abschließenden Bericht oder in einer Präsentation, wobei die Schwachstellen nicht nur aufzulisten, sondern auch nach ihrem Risiko zu priorisieren sind. Folglich stellt Hacking „nur“ den technischen Part in einem Pentest dar.

Bis dato existiert weder eine staatlich anerkannte Ausbildung noch ein solcher Studiengang zum Penetration-Testing, weshalb es im Informationssicherheitssektor üblich ist, solche speziellen Fähigkeiten und Fertigkeiten über Zertifizierungsprogramme zu erlangen und/oder nachzuweisen. Im Hinblick auf Penetration Testing sind insbesondere die Zertifikate CEH von EC-Council und OSCP von Offensive Security weit verbreitet – unterscheiden sich in der Prüfung der Teilnehmenden jedoch wie Schwarz und Weiß. Während die Zertifizierung als CEH mittels einer theoretischen Prüfung – konkret Multiple-Choice-Aufgaben – erlangt werden kann, muss der zukünftige OSCPler eine 24-stündige praktische Prüfung, in welcher 5 IT-Systeme vollständig kompromittiert werden sollen, absolvieren. Unabhängig davon sehe ich bei beiden Zertifizierungen den Fokus auf dem technischen Verständnis, welches zwar das Fundament eines Penetrationstests darstellt, aber noch zu keinem befähigt; für mich ein Kritikpunkt, ohne den Schwierigkeitsgrad beider Prüfungen infrage stellen zu wollen.

Zumindest mir fiel der Übergang von der OSCP-Prüfungsumgebung in die Realität schwer. Am spürbarsten war dies in Bezug auf die Anfälligkeit von IT-Systemen für Sicherheitslücken. Im Vergleich zum Übungslabor von Offensive Security sind in der Praxis oftmals (härtere) Sicherheitsmaßnahmen anzutreffen, wodurch die vollständige Kompromittierung eines IT-Systems nicht immer gewährleistet werden kann. Zudem wünscht sich der Auftraggeber eines Pentests im Regelfall die Identifikation sämtlicher Schwachstellen in seinen IT-Systemen, weshalb die Prüfung nicht mit dem Aufdecken des erstbesten Einfallstors endet. Auch die Berichterstellung steht in einem ganz anderen Licht, da dies das einzige Dokument ist, welches der Auftraggeber in seinen Händen halten wird. Kurzum: Das Spielparadies des OSCP nahm ein Ende und die Realität brach ein. Leider kam dies unerwartet, da keine der zahlreichen zurate gezogenen Rezensionen im Internet die Unterschiede zum realen Tätigkeitsfeld eines Penetrationstesters erwähnt hatte.

Nachdem ich mit meinem B.Sc. in Informatik an der Hochschule Darmstadt (h_da) und mit meiner als Pentester der binsec GmbH gesammelten Berufserfahrung die formelle Eignung erworben hatte, eine Lehrveranstaltung zu halten, wollte ich mein Wissen rund um Penetration Testing weitergeben. Personen mit einem Hang zur IT-Sicherheit sollten künftig einen „leichteren“ Einstieg in die Materie erhalten als ich zu meiner Zeit. Unter Zustimmung der Fachgruppe „IT-Sicherheit“ an der h_da konzipierte ich das Wahlpflichtmodul „Penetration Testing“, in welchem die Studierenden das „Pentest-Einmaleins“ – von der Klassifikation eines Pentests, über das eigentliche Hacking, bis hin zur Berichterstellung – am Beispiel eines fiktiven Firmennetzwerks erlernen und anwenden können. Dies geschah anfänglich noch mithilfe von Amazon AWS; doch aufgrund der großen Nachfrage und positiven Resonanz meiner Studierenden entschlossen wir als binsec uns dazu, ein globales Online-Zertifizierungsprogramm zu entwerfen: die Qualifizierung zum BACPP (Binsec Academy Certified Pentest Professional), die sich aus einer Online-Prüfung, dem „Pentest Exam“, und einer optionalen Online-Schulung, dem „Pentest Training“, zusammensetzt.

Während sich die Online-Schulung historisch aus meiner Hochschullehrveranstaltung heraus entwickelt hat, können IT-Spezialisten im „Pentest Exam“ ihre Expertise unter neu konzipierten, realen Bedingungen unter Beweis stellen. So können zertifizierte BACPPler

  • IT-Systeme kompromittieren und Zero-Day-Exploits entwickeln,
  • Netzwerke und Anwendungen nach einer reproduzierbaren Vorgehensweise auf Schwachstellen hin untersuchen,
  • all ihre Findings in einem strukturierten Bericht für den Auftraggeber niederlegen und sie nach ihrem Risiko priorisieren,
  • einen mehrtägigen Penetrationstest professionell durchführen.

Rückblickend scheint sich meine (zeitintensive) interdisziplinäre Arbeit gelohnt zu haben: Das situierte Lernen in der Informationssicherheit einzusetzen hat nicht nur die Begeisterung vieler Studierender geweckt, sondern auch die ersten BACPP-Zertifizierten angesprochen. Die Theorie des situierten Lernens setzt in der Wissensvermittlung auf realistische Anwendungssituationen, welche das primäre Kennzeichen meiner Lehrveranstaltungen und meiner Trainings sind. Analog wurde der BACPP konzipiert und setzt auf den Nachweis praktischer und realer Erfahrung.

18 07, 2018

binsec academy GmbH: Pentest Training

von |18. Juli 2018|binsec academy GmbH|3 Kommentare|

Mein Team und ich haben lange daran gearbeitet, aber seit März 2018 ist das „Pentest Training“ sowie das „Pentest Exam“ der binsec academy GmbH öffentlich verfügbar.

https://binsec-academy.com/de/courses/p/ (Privatkunden)

https://binsec-academy.com/de/courses/c/ (Firmenkunden)

Historisch ist das „Pentest Training“ dabei durch die von Dominik Sauer an der Hochschule Darmstadt gehaltene Vorlesung zu „Penetration Testing“ entstanden. Das Training fokussiert sich auf Penetration Testing und nicht nur auf reines Hacking, wie z.B. der bekannte OSCP-Kurs von „Offensive Security“. Wir haben auch ein System implementiert, bei dem man sich Tipps zu Maschinen oder Problemen besorgen kann. Garniert wird das ganze Konzept durch eine realistischere Laborumgebung: Das fiktive Firmennetzwerk der „Dubius Payment Ltd.“ inklusive Story. Wer möchte und es sich fachlich zutraut, kann im zusätzlichen „Pentest Exam“ die Zertifizierung zum BACPP (Binsec Academy Certified Pentest Professional) in Angriff nehmen.

Privatkunden, die sich über den folgenden Link registrieren, erhalten automatisch einen 25%-Rabattgutschein im System hinterlegt:
https://binsec-academy.com/promo/security_sauer_ninja_c2VjdXJ/

(Gültig nur für Privatkunden. Aktion und Gutschein gültig bis 31.12.2018. Solange Vorrat reicht.)

25 02, 2018

Ich halte keine Vorlesungen, ich halte Lehrveranstaltungen!

von |25. Februar 2018|Vorlesung|0 Kommentare|

Ich habe Physik, Wirtschaftsinformatik und Security Management studiert. Ich saß in wenigen sehr guten und in vielen durchschnittlichen Vorlesungen – und ab und zu in einer katastrophalen Vorlesung. Der Tiefpunkt war einmal erreicht, als in einer Vorlesung zu „Netzwerken“ der Professor sein öffentliches PDF an die Wand warf und draus vor las. Ich erinnere mich noch sehr gut daran, leider nur an überhaupt gar keine Inhalte aus dieser Vorlesung.

Warum heißt Vorlesung Vorlesung? Weil vorgelesen wird, ganz klar. In Zeiten ohne Computer, Kopierer usw. macht das natürlich auch zur Vervielfältigung von Lehrinhalten Sinn. Heute möchte ich den Sinn davon einmal in Frage stellen. In der Regel werden Vorlesungen durch Übungen oder Praktika ergänzt. Das geht natürlich in die richtige Richtung, allerdings schaffen es weiterhin nur sehr wenige Dozenten über 90 Minuten die Aufmerksamkeitsspanne der Teilnehmer aufrecht zu erhalten.

Wenn ich zurück denke an welche Inhalte von Vorlesungen ich mich erinnern kann, die ich als Student damals genieße durfte, bleiben primär diejenigen übrig, in denen ich mir etwas selbst erarbeitet habe. Der reine passive Konsum von Lerninhalten hingegen war mehr oder weniger Zeitverschwendung.

Aus diesen Gründen halte ich keine Vorlesungen, sondern Lehrveranstaltungen. Haarspalterei? Ja, mag sein. Aber ich lehre Inhalte und lese sie nicht vor. Bei meinen Lehrveranstaltungen müssen sich die Teilnehmer die Inhalte selbst erarbeiten. Ich leite sie, leiste Unterstützung und stelle den Erfolg sicher – Starthilfe und kontinuierliche Betreuung inklusive. Die eigentliche Umsetzung dieses Ansatzes unterscheidet sich je nach Themengebiet, aber das Konzept bleibt das gleiche. Wichtig ist dabei natürlich die Teilnehmer zu fordern, aber nicht zu überfordern und möglichst viel Praxis einzubinden.

Dieses Grundkonzept zieht sich durch meine Vorlesung Lehrveranstaltung „PCI DSS“ an der Technischen Hochschule Brandenburg, durch mein kurzes Intermezzo bei der IHK als Dozent im „Zertifikatslehrgang zum Informationssicherheitsbeauftragter“ und auch durch meine Lehrveranstaltung „IT-Sicherheitsmanagement & Compliance“ an der Hochschule Darmstadt. In gewisser Weise findet sich das Konzept – Inhalte unter Anleitung selbst erarbeiten kombiniert mit maximaler Praxis – auch in den Online-Trainings der binsec academy GmbH wieder.

Warum ich dieses Statement zu meinen Hochschulveranstaltungen so deutlich ausdrücke: Damit die studentischen Teilnehmer genau wissen, worauf sie sich einlassen. Raus aus der studentischen Komfortzone: Schlafen* ist nicht! Wer Inhalte nur passiv konsumieren möchte, sollte besser in eine andere Veranstaltung gehen..

*Kam früher als Student auch bei mir vor.

27 01, 2018

Werbeshit & Co

von |27. Januar 2018|Netzpolitik|1 Kommentar|

Früher war alles besser. Subjektiv besteht das Internet nur noch aus:

  • Aggressive Werbung: Ton. Videos im Hintergrund. Pop-Up-Werbung auf dem Handy, dessen „X-Button“ kaum zu treffen ist ohne auf die Werbung zu klicken.
  • Adblocker-Schranken, die eine Selbstverteidigung gegen das obige unterbinden.
  • Absolut sinnlose Datenschutz-Cookie-Erklärungen, die jeder im Schlaf wegklickt – primär ein Feature zur Einnahmensteigerung für Anwälte.
  • Fakebewertungsportale sowie gekaufte Fake-Rezensionen in seriösen Portalen und Shops.
  • Sozialen Netzwerk-Müll: Timelines bestehen nur noch aus „Schaut wie geil ich bin“-Posts, Werbung und Propaganda. Schaut euch einmal die Fähigkeiten für Firmen an bei Facebook-Werbung zu schalten, primär die gigantischen Auswahlmöglichkeiten der Zielgruppe. Für den Vertrieb genial, ansonsten eher abartig.
  • Amazon-Abzocke: Produkte per Default-Einstellung direkt im Abo zu beziehen.
  • Fake-Beiträge in Foren als zweiter Beitrag: Du suchst nach XYZ? Andere wurden hier (Link zum Shop) fündig.
  • Bashing gegen AfD. Bashing gegen Linke. Bashing hin, bashing her..

So langsam macht surfen keinen Spaß mehr. Ich verstehe ja die Notwendigkeit, Werbung zu schalten und Einnahmen zu generieren, aber die Inhalte im Netz waren – gefühlt – noch nie so hirnlos wie heute. Erst kam das Hartz 4-TV, jetzt schwappt der Scheiss ins Netz.

Irgendwann schaue ich nur noch Netflix, lese tagesschau.de und Print-Zeitung. Echt schade…

 

 

24 10, 2017

Hacker vs. Pentester: Hinterlassen Sie die gleichen Spuren? – Vortrag beim CAST-Workshop Forensik und Internetkriminalität 14.12.2017

von |24. Oktober 2017|Vorträge|0 Kommentare|

Ich wurde vor ein paar Wochen seitens der HDA bzw. dem CAST e.V angefragt, ob ich am 14.12.2017 beim CAST-Workshop „Forensik und Internetkriminalität“ einen Vortrag zu Pentesting halten möchte. Aber gerne doch! Jetzt steht der Titel fest:

Hacker vs. Pentester: Hinterlassen Sie die gleichen Spuren?

Böswillige Hacker greifen IT-Systeme an, professionelle Penetrationstester ebenso. Natürlich unterscheidet sich die Motivation hinter den Angriffen, aber hinterlassen Hacker und Pentester eigentlich die gleichen IT-forensischen Spuren? Wir gehen der Frage auf den Grund.

https://www.cast-forum.de/workshops/infos/245

20 10, 2017

Wahlpflichtfach PCI DSS an der Technischen Hochschule Brandenburg – Danke & Tschüss

von |20. Oktober 2017|THB|0 Kommentare|

Seit 2014 bin ich Dozent bzw. Lehrbeauftragter an der Technischen Hochschule Brandenburg (THB, ehemals Fachhochschule Brandenburg) für das Wahlpflichtfach PCI DSS im Master-Studiengang „Security Management“. Die Blockveranstaltung für dieses Semester ist vorbei und es stehen nur noch die Hausarbeiten an.

Ich habe die Zusammenarbeit mit den Studenten dort sehr genossen. Es hat Spaß gemacht sich in diesem einzigartigen Studiengang in der akademischen Lehre zu engagieren. Meine Vorlesung kam – den abschließenden Feedbackrunden nach – sehr gut bei den Studenten an. Insbesondere der Verzicht auf den typischen Frontalunterricht mit nur ~ 20 Slides zur Einführung in das Thema überhaupt war aus meiner Sicht erfolgreich und hat auch alle meine weiteren Vorträge, Lehraufträge oder Dozentenaufträge geprägt.

Nichtsdestotrotz habe ich mich entschlossen, der THB als Dozent nicht mehr zur Verfügung zu stehen. Die Gründ sind vielfältig:

  • Die Lehre im SecMan-Master dort erfolgt unentgeltlich bzw. ehrenamtlich. Das ist dem besonderen Konzept und der Finanzierung dieses Studiengangs geschuldet. Grundsätzlich störte mich das nicht, aber mit der Öffnung der Fächer für Master-Wirtschaftsinformatiker beteiligte ich mich plötzlich an der Lehre in anderen Studiengängen. Hochschulen zahlen Dozenten zumindest eine „Aufwandsentschädigung“. Ich bin insgesamt nicht mehr bereit, für die THB einen 0€-Job zu erledigen und noch für meine Reisekosten selbst aufzukommen. Ich bin mit dem Studiengang verbunden, nicht mit der Hochschule oder dem Land Brandenburg, welches die Hochschule finanziert.
  • Der Studiengang hat nicht soo viele Studenten, dafür gefühlt unendlich viele Wahlpflichtfächer. Während ein Student mindestens 3 WPF besuchen muss, werden laut SecMan-Website stolze 14 WPF angeboten. Klar, kostet den Studiengang nichts – und man kann sein Angebot breit aufstellen. Aber dafür sinken die Studizahlen pro WPF drastisch. Dazu finden sich in der Liste in meinen Augen – sorry, falls das jetzt jemand von der Studiengangsleitung liest – blödsinnige WPFs: Entweder passen sie nicht zu Security Management oder sollten eigentlich Kernbestandteil der Grundlagenvorlesung sein. Das war früher nicht so.
  • Meine persönlichen Bezugspersonen sind alle weg. Die ehemalige Studiengangsleitung (Prof. Dr. Sachar Paulus & Prof. Dr. Friedrich Holl) sowie der ehemalige langjährige Studiengangskoordinator sind geangen.
  • Ich möchte mein Engagement an der THB bzw. im SecMan auf die jährlichen Alumni-Treffen der ehemaligen Absolventen konzentrieren.

An alle meine ehemaligen Studis: Vielen Dank an euch, hat Spaß gemacht!