Information Security Blog

27 08, 2016

Zertifikatslehrgang Informationssicherheitsbeauftragter (IHK)

von |27. August 2016|Zertifizierung|0 Kommentare|

Im Juni 2016 hat die DIHK den bundeseinheitlichen IHK-Zertifikatslehrgang Informationssicherheitsbeauftragter veröffentlicht. Die IHK Gießen-Friedberg aus Hessen ist eine der ersten, wenn nicht die erste IHK, die diesen Zertifikatslehrgang anbietet. Die Inhalte sind:

  • Modul 1: Grundlagen Informationssicherheit (16 LStd.) – 28.09.2016
  • Modul 2: Gesetzliche Vorgaben zur IT-Sicherheit und deren Bedeutung für Unternehmen (8 LStd.) – 29.09.2016 – 30.09.2016
  • Modul 3: Schutzmaßnahmen zur Informationssicherheit (14 LStd.) – 06.10.2016 – 07.10.2016
  • Modul 4: Entwicklung eines Informationssicherheitskonzeptes (42 LStd.)- 16.11.2016 – 18.11.2016 u. – 23.11.2016 – 24.11.2016
  • Modul 5: Entwicklung eines Notfallmanagement-Konzeptes (8 LStd.) – 25.11.2016

Ich selbst werde als Dozent das größte Modul 4 übernehmen: „Entwicklung eines Informationssicherheitskonzeptes“.

Link: Mehr Informationen der IHK Gießen-Friedberg zum Zertifikatslehrgang Informationssicherheitsbeauftragter.

19 07, 2016

Fazit zum 1. SecMan-Alumni-Treffen des M.Sc. Security Management der FH BRB / THB

von |19. Juli 2016|SecMan|Kommentare deaktiviert für Fazit zum 1. SecMan-Alumni-Treffen des M.Sc. Security Management der FH BRB / THB|

Am Samstag war das erste Alumni-Treffen des Masters Security Management der Technischen Hochschule Brandenburg (ehemals Fachhochschule Brandenburg). Seit 10 Jahren existiert dieser Studiengang in Brandenburg, ich hatte dort selbst studiert und war am Samstag vor Ort.

Es gibt vielleicht 100 Alumnis des Master-Studiengangs – von mir über den Daumen gepeilt. Auch wenn die Mehrheit das erste mal zu Hause blieb, konnte man alte Kontakte und Freundschaften auffrischen sowie Alumnis anderer Jahrgänge kennen lernen.

Es gab ein kleines Vortragsprogramm, das im Schnitt qualitativ deutlich hochwertiger war als Vorträge bei anderen Security-Events. Zudem gab es ausreichend Zeit zum Netzwerken. Durch das von der binsec GmbH gesponsorte Catering war auch für das leibliche Wohl gesorgt. Nur Kleinigkeiten waren nicht optimal: Die Zusammenführung der Alumnis und dem aktuellen Studenten-Jahrgang hätte besser gestaltet werden können und die sehr spontan wirkende Gründungsversammlung zum SecMan e.V. hätte den Alumnis seitens der Hochschule ein wenig früher angekündigt werden können. Hochschule eben. Ansonsten war die Organisation top.

Das Alumnitreffen soll nun jährlich wiederholt werden, wobei die neu gegründete Alumnivereinigung SecMan e.V. die Organisationsverantwortung von der Hochschule übernehmen wird. Ich wurde zum stellvertretenden Vorsitzenden gewählt, den Vorsitz hat Silya Wörn und die Position des Kassenwarts Dr. jur. Raoul Kirmes übernommen.

Als Fazit kann ich nur sagen: Hat sich gelohnt, ich war positiv überrascht von dem Event und ich freue mich auf nächstes Jahr!

5 07, 2016

Es war einmal: Bei uns ist bisher noch nie etwas passiert…

von |5. Juli 2016|Informationssicherheit|Kommentare deaktiviert für Es war einmal: Bei uns ist bisher noch nie etwas passiert…|

IT-Sicherheit? Kostet nur Geld, bringt keinen Umsatz und verkompliziert im schlimmsten Fall noch die Arbeitsabläufe. Und außerdem: Bei uns ist bisher noch nie etwas passiert! Punkt. Aus. Ende der Diskussion.

Es ist gar nicht so lange her, da war die Wahrscheinlichkeit sehr hoch bei Unternehmern diese Aussage zu bekommen. Vielleicht 3-4 Jahre? In letzter Zeit, hat sich die Situation aber gewandelt. Während vor ein paar Jahren ein lokaler Virenbefall noch das höchste der Gefühle war, sieht die Welt heute anders aus.

Die de facto Währung der Cyberkriminellen – Bitcoins – hat die Professionalisierung der kriminellen Industrie auf einem hohen Niveau erst möglich gemacht. Habe ich jetzt wirklich das Unwort Cyber in den Mund genommen ? Ich muss kurz duschen… fertig, zurück zum Thema: Natürlich gab es vorher auch Script Kiddies und Hacker, die Unternehmen einen  Schaden zufügen konnten und dies auch taten. Die Dimension der Kriminalität ist heute aber eine andere. Heute bekommt man von Unternehmen unter 4-Augen erzählt, dass man schon 1-2mal einen Krypto-Trojaner im Haus hatte oder sich gleich mit DDoS-Erpressungen und -Attacken auseinander setzen musste.

IT-Sicherheit kostet immer noch Geld, bringt immer noch keinen Umsatz und manchmal verkompliziert es im schlimmsten Fall tatsächlich noch die Arbeitsabläufe. Aber den Satz „Bei uns ist bisher noch nie etwas passiert!“ habe ich länger nicht mehr gehört. In gewisser Weise vermisse ich die alte Zeit, in der man als Sicherheitsspezialist noch einen Geschäftsführer von der Notwendigkeit überzeugen musste, in Sicherheit Geld zu investieren. Denn wo geht die Reise hin?

Ich möchte eigentlich nicht erleben, wie in ein paar Jahren fahrende Autos gehackt werden, und man dann während der Fahrt als GF eines Unternehmens per „Neues-Super-Mobile-Zahlungsmittel 6.0“ den Erpressern Geld überweist, damit das Auto nicht „autonom“ gegen die nächste Wand fährt. Oder halt gegen den nächsten LKW, je nach aktuellem Geolocation-Tracking.

23 06, 2016

Vorlesung Penetration Testing an der Hochschule Darmstadt

von |23. Juni 2016|Pentest|Kommentare deaktiviert für Vorlesung Penetration Testing an der Hochschule Darmstadt|

Ab dem Wintersemester 2016/2017 gibt es an der Hochschule Darmstadt die Vorlesung „Penetration Testing“. Lehrbeauftragter ist der Pentester der binsec GmbH – Dominik Sauer. Die Lerninhalte sind:

  1. Unterschiede zwischen Hacking und Penetration Testing
  2. Klassifizierung eines Penetrationstests (White-, Gray- und Blackboxtest)
  3. Penetration Testing Standards, z.B. OWASP (Open Web Application Security Project), OSSTMM (Open Source Security Testing Methodology Manual)
  4. Anatomie eines Angriffes – von der Informationsbeschaffung bis zur Ausnutzung einer Schwachstelle
  5. Risikobewertung von identifizierten Schwachstellen
  6. Aufbau Dokumentation und Berichterstellung

Link zur hda: Modulbeschreibung

1 06, 2016

Erstes SecMan Alumnitreffen am 16. Juli 2016

von |1. Juni 2016|SecMan|Kommentare deaktiviert für Erstes SecMan Alumnitreffen am 16. Juli 2016|

Am 16. Juli 2016 findet das erste Alumnitreffen der Absolventen des Masters Security Management (Hochschule Brandenburg) statt:

16. Juli = SecMan-Sommerfest!
Ab ca. 16:00 Uhr. Im Innenhof vor dem Rittersaal.

Selber Tag: Erstes SecMan Alumni-Treffen ab 10:30

Geplant ist eine Vortragsreihe von Alumni für Alumni. Vorläufige Programmpunkte:

  • Holl / Keller: „10 Jahre SecMan- SecMan die nächsten 10 Jahre
  • Klose: Vidoeüberwachung – aktuelle technische Entwicklungen
  • Zimmer: Advanced persisten Threats – erkennen und reagieren
  • Kirsch: Threat Intelligence
  • Niefindt: Messbare Sicherheit in agiler SW-Entwicklung
  • Sauer: Penetrationstest – Aussagekraft und Grenzen

Kostenlose Anmeldung unter:

Anmeldung zum Alumni-Tag

23 04, 2016

Übersicht Penetrationstest-Dienstleistungsunternehmen in Deutschland

von |23. April 2016|Pentest|Kommentare deaktiviert für Übersicht Penetrationstest-Dienstleistungsunternehmen in Deutschland|

Aus einer Marktanalyse heraus hatte ich eine Liste deutscher Dienstleistungsunternehmen für Penetrationstests bzw. IT-Sicherheitsanalysen zusammengestellt. Diese Liste der Pentest-Dienstleister ist das Ergebnis von persönlicher Erfahrung mit Anbietern, der geschalteten Anzeigen durch Google AdWords sowie normale Google-Suchergebnisse. Falls ein Unternehmen fehlt, das die unten genannten Kriterien erfüllt, nehme ich es gerne zusätzlich auf. An dieser Stelle möchte ich erwähnen, dass ich selbst Gesellschafter eines dieser Unternehmen bin, der binsec GmbH aus Frankfurt am Main. Die Liste in alphabetischer Reihenfolge ist:

  • binsec GmbH aus Frankfurt am Main
  • cirosec GmbH aus Heilbronn
  • it.sec GmbH & Co. KG aus Ulm
  • RedTeam Pentesting GmbH aus Aachen
  • Secorvo Security Consulting GmbH aus Karlsruhe
  • secuvera GmbH aus Gäufelden
  • SRC Security Research & Consulting GmbH aus Bonn
  • SySS GmbH aus Tübingen
  • usd AG aus Neu-Isenburg

Die Kriterien zur Auswahl waren:

  • Nur Unternehmen mit Stammsitz in Deutschland.
  • Nur Unternehmen, die speziell auf Informations- oder IT-Sicherheit spezialisiert sind.
  • Nur Unternehmen, mit einem expliziten Fokus auf Penetration Testing.
  • Keine Freelancer sowie keine Ein-Personen-GmbHs.
21 04, 2016

Apache2-CipherSuite-Konfiguration für A+ Rating beim Qualys SSL Labs Server Test

von |21. April 2016|IT-Sicherheit|Kommentare deaktiviert für Apache2-CipherSuite-Konfiguration für A+ Rating beim Qualys SSL Labs Server Test|

Der Blog hat nun ein A+ Rating beim SSL Server Test von Qualys. Die CipherSuite-Konfiguration des Apache2 dazu sieht wie folgt aus:

SSLProtocol All -SSLv2 -SSLv3
SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4
SSLHonorCipherOrder On

16 04, 2016

Übersicht QSA-Unternehmen für PCI DSS Audits in Deutschland

von |16. April 2016|PCI DSS|Kommentare deaktiviert für Übersicht QSA-Unternehmen für PCI DSS Audits in Deutschland|

PCI DSS Audits dürfen ausschließlich vom PCI Council zugelassene Unternehmen mit als QSA zertifizierte Auditoren durchführen. Unter [1] kann man sich die komplette Liste ansehen. Filtert man auf Unternehmen, die als „Place of Business“ Deutschland und als Sprache „Deutsch“ anbieten, ergibt sich eine Liste mit 8 Unternehmen:

  • Adsigo AG
  • Internet Security Systems a wholly owned IBM Company
  • NTT Com Security (UK) Ltd.
  • Protiviti
  • SRC Security Research & Consulting GmbH
  • TUV SUD Management Service GmbH
  • usd AG
  • Verizon/CyberTrust

Als „deutsche Unternehmen“ (mit deutscher Rechtsform) bleiben nur noch

  • Adsigo AG
  • SRC Security Research & Consulting GmbH
  • TUV SUD Management Service GmbH
  • usd AG

Zu drei dieser Unternehmen hatte ich bisher in irgendeiner Art und Weise Kontakt. Wer gerne eine persönliche Empfehlung haben möchte, darf mich gerne kontaktieren. Aus eigener Erfahrung weiß ich, wie wichtig ein kompetenter und erfahrener QSA für die erfolgreiche und effiziente Durchführung eines PCI DSS Audits ist.

[1] https://de.pcisecuritystandards.org/assessors_and_solutions/qualified_security_assessors

15 04, 2016

Die Grenzen von Antivirus-Software – Gegen Scriptkiddie top, gegen Hacker relativ nutzlos

von |15. April 2016|IT-Sicherheit|Kommentare deaktiviert für Die Grenzen von Antivirus-Software – Gegen Scriptkiddie top, gegen Hacker relativ nutzlos|

Eigentlich dachte ich, dass Antivirus-Software unverzichtbar in der Abwehr von Schadsoftware ist. Dieser Glaube wurde durch die Bachelorarbeit  „Das Schutzpotential von Antivirenprogrammen“ von Dominik Sauer erschüttert. Bei individuell entwickelter Schadsoftware beißt sich Antivirus-Software regelrecht die Zähne aus. Dominik Sauer zeigte in seiner Arbeit sehr anschaulich, dass jeder Hacker in der Lage ist, seinen bösartigen Schadcode mit relativ einfachen Mitteln vor jeder relevanten Antivirus-Engine zu verstecken. Dabei beschreibt er eine generische Vorgehensweise, wie man dieses reproduzieren kann. In seinem Fazit schreibt er dazu:

„Nach dieser Bachelorthesis und meiner professionellen Meinung als Penetration Tester nach sind Antivirenprogramme dennoch nicht obselet geworden. Antivirus-Software ist erforderlich um breite Malware-Angriffe zu erkennen, aber weitgehend nutzlos in der Abwehr zielgerichteter Angriffe.“

Die Verhaltenserkennungen von Antivirussoftware ist leider nicht optimal und kann durch relativ einfache Mittel ausgetrickst werden. Die Signaturerkennung ist zwar sehr gut, allerdings muss dafür erst ein Schädling als solcher identifiziert und geeignete Signaturen erstellt werden. Wird eine Schadsoftware nur bei einem oder sehr wenigen Zielen eingesetzt, passiert dieses vielleicht nie.

Insgesamt muss man die Grenzen von Antivirus-Software kennen: Gegen breite Angriffe oder gegen mit Scriptkiddie-Tools erzeugter Schadcode helfen Antivirus-Software sehr gut, wenn im Zweifel auch erst zeitverzögert. Gegen zielgerichtete Angriffe von einem Hacker sind sie absolut nutzlos.

6 04, 2016

binsec GmbH

von |6. April 2016|Allgemein|Kommentare deaktiviert für binsec GmbH|

Seit diesem Monat ist der Firmenname „binsec – binary security UG (haftungsbeschränkt)“ Geschichte, das Unternehmen firmiert nun unter „binsec GmbH“. Nach der erfolgreichen Testierung der Bilanz des Vorjahres wurde das Stammkapital aus Gesellschaftsmitteln auf GmbH-Niveau erhöht und im gleichen Zug der Firmenname zu binsec verkürzt.