Information Security Blog

20 09, 2016

Regelmäßige Passwortänderungen alle 90 Tage – sinnvoll oder kontraproduktiv? Eine Kritik an der gängigen Praxis!

von |20. September 2016|Informationssicherheit|0 Kommentare|

Regelmäßige Passwortänderungen alle 90 Tage bzw. alle 3 Monate ist eine gängige Praxis in der IT-Sicherheit und wird auch von diversen Sicherheitsstandards wie zum Beispiel dem PCI DSS oder auch etwas allgemeiner von der ISO 27002 vorgeschrieben. Für diese Praxis sprechen zwei Gründe:

  1. Wird ein Passwort „geklaut“, d.h. ist ein Benutzeraccount kompromittiert worden und es wurde nicht gemerkt, kann ein Angreifer mit dem „geklauten“ Passwort nur einen überschaubaren Zeitraum lang etwas anfangen. Danach wird es ohnehin wieder geändert.
  2. Werden gehashte Passwörter von einem System abgezogen, kann es je nach verwendetem Hashalgorithmus und Passwort deutlich länger als 90 Tage dauern, bis ein Passwort rekonstruiert werden kann.

Die Vorteile einer Richtlinie zu regelmäßigen Passwortänderungen sind damit klar. Sie erhöhen das Sicherheitsniveau. Natürlich ist es für Nutzer etwas unbequem, regelmäßig die eigenen Passwörter zu ändern und vor allem neu zu merken, aber natürlich sind sie bereit ganz im Sinne der Sicherheit dieses zu tun und zeigen sogar Verständnis dafür. Diese spezielle Sicherheitsmaßnahme muss Nutzern zwar erklärt werden, aber sind die Einführungsschwierigkeiten erst einmal überwunden und wird das Thema regelmäßig über Security Awareness Kampagnen behandelt, ist alles kein Problem.

Blödsinn.

Die Wahrheit sie wie folgt aus: Ein Teil der IT-Nutzer ist grundsätzlich und stets mit der regelmäßigen Änderung überfordert und vergisst das Passwort in gewohnter Regelmäßigkeit. Und der Rest? Der hat die Intention dieser Richtlinie einfach dezent umgangen, z.B. mit „Buxtehude-2016Q1“. Es ist schon ein super Passwort: Groß- und Kleinschreibung, Sonderzeichen, Zahlen, in diesem Fall sogar 16 Zeichen lang. Top. Alternativ kann man auch das Passwort unter die Tastatur kleben – ein alter Witz aus der IT-Sicherheit: Woran merkt man, dass ein Password Change durchgesetzt wurde? Die Bestellungen für Post-its steigen rasant an! Natürlich gibt es ein paar Security-Enthusiasten, die eine solche Passwortrichtlinie ganz in dem eigentlichen Sinne umsetzen. Das sind aber nur Einzelfälle.

Wie geht man nun damit um? Sofern dem keine Compliancevorschriften o.ä. entgegenstehen, empfehle ich grundsätzlich auf häufige erzwungene Passwortänderungen zu verzichten. Sie sind kontraproduktiv und erfüllen in der Regel nicht den Zweck. Es macht viel mehr Sinn den Nutzern zu erklären, wie sie sich starke Passwörter ausdenken und merken kann. Eine jährliche Passwortänderung o.ä. kann man immer noch erzwingen, man sollte nur dafür sorgen, dass alle Nutzer ausreichend sensibilisiert sind und nicht wieder mit der Iteration von Passwörter beginnen.

Leider vertrete ich mit meiner Kritik an der gängigen Praxis immer noch eine Minderheit unter den Sicherheitsexperten, auch wenn sich die Situation langsam verbessert. So erscheinen zum Beispiel immer mehr Untersuchungen und Empfehlungen, die auch kritisch gegenüber regelmäßigen Passwortänderungen sind:

„Using this framework, we confirm previous conjectures
that the effectiveness of expiration in
meeting its intended goal is weak.“

The Security of Modern Password Expiration: An Algorithmic Framework and Empirical Analysis, University of North Carolina, https://www.cs.unc.edu/~reiter/papers/2010/CCS.pdf

„[..] the burden appears to shift to those who continue to
support password aging policies, to explain why, and in which
specific circumstances, a substantiating benefit is evident.“

Quantifying the Security Advantage of Password Expiration Policies, School of Computer Science, Carleton University, Canada, http://people.scs.carleton.ca/~paulv/papers/expiration-authorcopy.pdf

„Regular password changing harms rather than improves security, so avoid placing this burden on users“

Communications-Electronics Security Group, a group within the UK Government Communications Headquarters (GCHQ), https://www.cesg.gov.uk/content/files/document_files/Password_guidance_-_simplifying_your_approach_back_cover.pdf

„Generally, password expiration periods are not of much help
in mitigating cracking because they have such a small effect on
the amount of effort an attacker would need to expend,
as compared to the effect of other password policy elements.“

NIST Special Publication (SP) 800-118 (DRAFT), http://csrc.nist.gov/publications/drafts/800-118/draft-sp800-118.pdf

3 09, 2016

Beratung im gesetzlichen Datenschutz? Der Markt ist kaputt!

von |3. September 2016|Datenschutz|0 Kommentare|

Den Markt für Datenschutzberatung bzw. für die Leistung des externen Datenschutzbeauftragten ist kaputt. Dabei ist das Angebot und die Nachfrage gleichzeitig gestört.

Die angebotenen Zertifizierungen und Prüfungen zum „externen Datenschutzbeauftragten (DSB)“ sind oftmals nur ein schlechter Witz, sodass Unmengen zertifizierter Datenschutzbeauftragter den Markt überfluten. Ihr Qualifizierung? Oftmals durchwachsen. Einzelne Perlen stehen einer Masse an schlecht qualifizierten Beratern entgegen. Die fachgerechte Beurteilung ob vorhandene Datenschutzrisiken durch die im Einzelfall getroffenen technischen oder organisatorischen Maßnahmen ausreichend und angemessen adressiert sind, findet zu oft nicht statt. Dafür unterbietet man sich gegenseitig in den Stundensätzen, sodass im Markt externe DSBs zu Schleuderpreisen auftreten, die noch relativ wenig arbeiten. Jahrespauschale für die Ernennung zum DSB, ein bisschen Papierkram erstellen und einmal im Jahr die Mitarbeiter schulen. Fertig – einfach und kostengünstig. Rent your 08/15-DSB.

Und die Kunden?

Die nehmen das Angebot gerne an. Freuen sich, dass sie kostengünstig ihre gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten nachkommen. Und sind beruhigt, dass ihr DSB ihre betrieblichen Prozesse und IT-Abläufe nicht stört, sodass man in Ruhe schlafen kann – während der Vertrieb die eigenen Kundendaten per Exceldatei in die Cloud sichert.

Schöne heile Datenschutzwelt…

1 09, 2016

Ein Fazit nach 8 Jahren PCI DSS – Gute vs. miserable PCI Auditoren (QSAs)

von |1. September 2016|PCI DSS|0 Kommentare|

Heute wieder einmal einen erfolgreichen PCI DSS Onsite Audit für einen Kunden über die Bühne gebracht. Nahezu reibungslos. Der QSA (Qualified Security Assessor) war zufrieden, der Kunde – ein Zahlungsdienstleister – war zufrieden. Keine Diskussionen. Keine Missverständnisse. Super Ergebnis.

Aber ein wenig nachdenklich macht mich dieser letzte Audit. Was waren die Erfolgsfaktoren? Vorbereitung ist alles! Denkste… das ist nicht immer so. Ein riesiger Erfolgsfaktor ist der Auditor selbst. Ich habe schon ein paar hinter mir:

(sorry Jungs, meine Meinung)

Schnarchnasen. Unvorbereitet. Überfordert. Unsicher im PCI Standard. Verrückte oder absurde Interpretationen. Keine Ahnung von iptables. Man kann Two Factor Authentication auch missverstehen. Philosophische Interpretationen von „all traffic“… uvm.. WTF!

Man kann den CISSP, CISM, CISA bzw. wohl auch die QSA-Lizenz schaffen und so grundsätzlich von Sicherheitskonzepten nicht viel verinnerlicht haben. Wie oft habe ich Auditoren für Kunden „eingefangen“, die Diskussion zurück auf den PCI DSS bezogen und Interpretationen korrigiert.

Es gibt hervorragende QSAs. Und es gibt viele schlechte. Erfolgsfaktor für die eigene PCI Compliance? Die richtige QSA Company mit dem richtigen Auditor wählen. Die falsche Wahl kann Auswirkungen auf die IT und auf die betrieblichen Prozesse haben. Die richtige Wahl macht PCI DSS auch nicht einfacher, aber schützt vor Überraschungen – sowie vor grauen Haaren und Buthochdruck.

27 08, 2016

Zertifikatslehrgang Informationssicherheitsbeauftragter (IHK)

von |27. August 2016|Zertifizierung|Kommentare deaktiviert für Zertifikatslehrgang Informationssicherheitsbeauftragter (IHK)|

Im Juni 2016 hat die DIHK den bundeseinheitlichen IHK-Zertifikatslehrgang Informationssicherheitsbeauftragter veröffentlicht. Die IHK Gießen-Friedberg aus Hessen ist eine der ersten, wenn nicht die erste IHK, die diesen Zertifikatslehrgang anbietet. Die Inhalte sind:

  • Modul 1: Grundlagen Informationssicherheit (16 LStd.) – 28.09.2016
  • Modul 2: Gesetzliche Vorgaben zur IT-Sicherheit und deren Bedeutung für Unternehmen (8 LStd.) – 29.09.2016 – 30.09.2016
  • Modul 3: Schutzmaßnahmen zur Informationssicherheit (14 LStd.) – 06.10.2016 – 07.10.2016
  • Modul 4: Entwicklung eines Informationssicherheitskonzeptes (42 LStd.)- 16.11.2016 – 18.11.2016 u. – 23.11.2016 – 24.11.2016
  • Modul 5: Entwicklung eines Notfallmanagement-Konzeptes (8 LStd.) – 25.11.2016

Ich selbst werde als Dozent das größte Modul 4 übernehmen: „Entwicklung eines Informationssicherheitskonzeptes“.

Link: Mehr Informationen der IHK Gießen-Friedberg zum Zertifikatslehrgang Informationssicherheitsbeauftragter.

19 07, 2016

Fazit zum 1. SecMan-Alumni-Treffen des M.Sc. Security Management der FH BRB / THB

von |19. Juli 2016|SecMan|Kommentare deaktiviert für Fazit zum 1. SecMan-Alumni-Treffen des M.Sc. Security Management der FH BRB / THB|

Am Samstag war das erste Alumni-Treffen des Masters Security Management der Technischen Hochschule Brandenburg (ehemals Fachhochschule Brandenburg). Seit 10 Jahren existiert dieser Studiengang in Brandenburg, ich hatte dort selbst studiert und war am Samstag vor Ort.

Es gibt vielleicht 100 Alumnis des Master-Studiengangs – von mir über den Daumen gepeilt. Auch wenn die Mehrheit das erste mal zu Hause blieb, konnte man alte Kontakte und Freundschaften auffrischen sowie Alumnis anderer Jahrgänge kennen lernen.

Es gab ein kleines Vortragsprogramm, das im Schnitt qualitativ deutlich hochwertiger war als Vorträge bei anderen Security-Events. Zudem gab es ausreichend Zeit zum Netzwerken. Durch das von der binsec GmbH gesponsorte Catering war auch für das leibliche Wohl gesorgt. Nur Kleinigkeiten waren nicht optimal: Die Zusammenführung der Alumnis und dem aktuellen Studenten-Jahrgang hätte besser gestaltet werden können und die sehr spontan wirkende Gründungsversammlung zum SecMan e.V. hätte den Alumnis seitens der Hochschule ein wenig früher angekündigt werden können. Hochschule eben. Ansonsten war die Organisation top.

Das Alumnitreffen soll nun jährlich wiederholt werden, wobei die neu gegründete Alumnivereinigung SecMan e.V. die Organisationsverantwortung von der Hochschule übernehmen wird. Ich wurde zum stellvertretenden Vorsitzenden gewählt, den Vorsitz hat Silya Wörn und die Position des Kassenwarts Dr. jur. Raoul Kirmes übernommen.

Als Fazit kann ich nur sagen: Hat sich gelohnt, ich war positiv überrascht von dem Event und ich freue mich auf nächstes Jahr!

5 07, 2016

Es war einmal: Bei uns ist bisher noch nie etwas passiert…

von |5. Juli 2016|Informationssicherheit|Kommentare deaktiviert für Es war einmal: Bei uns ist bisher noch nie etwas passiert…|

IT-Sicherheit? Kostet nur Geld, bringt keinen Umsatz und verkompliziert im schlimmsten Fall noch die Arbeitsabläufe. Und außerdem: Bei uns ist bisher noch nie etwas passiert! Punkt. Aus. Ende der Diskussion.

Es ist gar nicht so lange her, da war die Wahrscheinlichkeit sehr hoch bei Unternehmern diese Aussage zu bekommen. Vielleicht 3-4 Jahre? In letzter Zeit, hat sich die Situation aber gewandelt. Während vor ein paar Jahren ein lokaler Virenbefall noch das höchste der Gefühle war, sieht die Welt heute anders aus.

Die de facto Währung der Cyberkriminellen – Bitcoins – hat die Professionalisierung der kriminellen Industrie auf einem hohen Niveau erst möglich gemacht. Habe ich jetzt wirklich das Unwort Cyber in den Mund genommen ? Ich muss kurz duschen… fertig, zurück zum Thema: Natürlich gab es vorher auch Script Kiddies und Hacker, die Unternehmen einen  Schaden zufügen konnten und dies auch taten. Die Dimension der Kriminalität ist heute aber eine andere. Heute bekommt man von Unternehmen unter 4-Augen erzählt, dass man schon 1-2mal einen Krypto-Trojaner im Haus hatte oder sich gleich mit DDoS-Erpressungen und -Attacken auseinander setzen musste.

IT-Sicherheit kostet immer noch Geld, bringt immer noch keinen Umsatz und manchmal verkompliziert es im schlimmsten Fall tatsächlich noch die Arbeitsabläufe. Aber den Satz „Bei uns ist bisher noch nie etwas passiert!“ habe ich länger nicht mehr gehört. In gewisser Weise vermisse ich die alte Zeit, in der man als Sicherheitsspezialist noch einen Geschäftsführer von der Notwendigkeit überzeugen musste, in Sicherheit Geld zu investieren. Denn wo geht die Reise hin?

Ich möchte eigentlich nicht erleben, wie in ein paar Jahren fahrende Autos gehackt werden, und man dann während der Fahrt als GF eines Unternehmens per „Neues-Super-Mobile-Zahlungsmittel 6.0“ den Erpressern Geld überweist, damit das Auto nicht „autonom“ gegen die nächste Wand fährt. Oder halt gegen den nächsten LKW, je nach aktuellem Geolocation-Tracking.

23 06, 2016

Vorlesung Penetration Testing an der Hochschule Darmstadt

von |23. Juni 2016|Pentest|Kommentare deaktiviert für Vorlesung Penetration Testing an der Hochschule Darmstadt|

Ab dem Wintersemester 2016/2017 gibt es an der Hochschule Darmstadt die Vorlesung „Penetration Testing“. Lehrbeauftragter ist der Pentester der binsec GmbH – Dominik Sauer. Die Lerninhalte sind:

  1. Unterschiede zwischen Hacking und Penetration Testing
  2. Klassifizierung eines Penetrationstests (White-, Gray- und Blackboxtest)
  3. Penetration Testing Standards, z.B. OWASP (Open Web Application Security Project), OSSTMM (Open Source Security Testing Methodology Manual)
  4. Anatomie eines Angriffes – von der Informationsbeschaffung bis zur Ausnutzung einer Schwachstelle
  5. Risikobewertung von identifizierten Schwachstellen
  6. Aufbau Dokumentation und Berichterstellung

Link zur hda: Modulbeschreibung

1 06, 2016

Erstes SecMan Alumnitreffen am 16. Juli 2016

von |1. Juni 2016|SecMan|Kommentare deaktiviert für Erstes SecMan Alumnitreffen am 16. Juli 2016|

Am 16. Juli 2016 findet das erste Alumnitreffen der Absolventen des Masters Security Management (Hochschule Brandenburg) statt:

16. Juli = SecMan-Sommerfest!
Ab ca. 16:00 Uhr. Im Innenhof vor dem Rittersaal.

Selber Tag: Erstes SecMan Alumni-Treffen ab 10:30

Geplant ist eine Vortragsreihe von Alumni für Alumni. Vorläufige Programmpunkte:

  • Holl / Keller: „10 Jahre SecMan- SecMan die nächsten 10 Jahre
  • Klose: Vidoeüberwachung – aktuelle technische Entwicklungen
  • Zimmer: Advanced persisten Threats – erkennen und reagieren
  • Kirsch: Threat Intelligence
  • Niefindt: Messbare Sicherheit in agiler SW-Entwicklung
  • Sauer: Penetrationstest – Aussagekraft und Grenzen

Kostenlose Anmeldung unter:

Anmeldung zum Alumni-Tag

23 04, 2016

Übersicht Penetrationstest-Dienstleistungsunternehmen in Deutschland

von |23. April 2016|Pentest|Kommentare deaktiviert für Übersicht Penetrationstest-Dienstleistungsunternehmen in Deutschland|

Aus einer Marktanalyse heraus hatte ich eine Liste deutscher Dienstleistungsunternehmen für Penetrationstests bzw. IT-Sicherheitsanalysen zusammengestellt. Diese Liste der Pentest-Dienstleister ist das Ergebnis von persönlicher Erfahrung mit Anbietern, der geschalteten Anzeigen durch Google AdWords sowie normale Google-Suchergebnisse. Falls ein Unternehmen fehlt, das die unten genannten Kriterien erfüllt, nehme ich es gerne zusätzlich auf. An dieser Stelle möchte ich erwähnen, dass ich selbst Gesellschafter eines dieser Unternehmen bin, der binsec GmbH aus Frankfurt am Main. Die Liste in alphabetischer Reihenfolge ist:

  • binsec GmbH aus Frankfurt am Main
  • cirosec GmbH aus Heilbronn
  • it.sec GmbH & Co. KG aus Ulm
  • RedTeam Pentesting GmbH aus Aachen
  • Secorvo Security Consulting GmbH aus Karlsruhe
  • secuvera GmbH aus Gäufelden
  • SRC Security Research & Consulting GmbH aus Bonn
  • SySS GmbH aus Tübingen
  • usd AG aus Neu-Isenburg

Die Kriterien zur Auswahl waren:

  • Nur Unternehmen mit Stammsitz in Deutschland.
  • Nur Unternehmen, die speziell auf Informations- oder IT-Sicherheit spezialisiert sind.
  • Nur Unternehmen, mit einem expliziten Fokus auf Penetration Testing.
  • Keine Freelancer sowie keine Ein-Personen-GmbHs.
21 04, 2016

Apache2-CipherSuite-Konfiguration für A+ Rating beim Qualys SSL Labs Server Test

von |21. April 2016|IT-Sicherheit|Kommentare deaktiviert für Apache2-CipherSuite-Konfiguration für A+ Rating beim Qualys SSL Labs Server Test|

Der Blog hat nun ein A+ Rating beim SSL Server Test von Qualys. Die CipherSuite-Konfiguration des Apache2 dazu sieht wie folgt aus:

SSLProtocol All -SSLv2 -SSLv3
SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4
SSLHonorCipherOrder On