Archiv für den Monat: August 2013

9 08, 2013

Blog-Umzug

von |9. August 2013|Allgemein|0 Kommentare|

Mein Blog ist umgezogen und nun unter http://blog.patricksauer.net erreichbar.

9 08, 2013

Erfahrungen zum Studiengang Master of Science in Security Management an der FH Brandenburg – Teil 2: 1. Semester

von |9. August 2013|Studium|0 Kommentare|

Im ersten Semester gab es folgende Veranstaltungen:

  • Grundlagen sicherer Kommunikation
  • Kryptographie
  • Netzwerksicherheit
  • Recht
  • Grundlagen Security Management
  • Semesterarbeit 1

Als Wahlpflichtfächer habe ich IT-Forensik und Non-Proliferation gehört. Besonders gut gefallen haben mir davon die beiden Wahlpflichtfächer sowie Grundlagen Security Management. Die restlichen Vorlesungen waren nicht schlecht, stachen aber auch nicht hervor. Von allen Vorlesungen war der Arbeitsaufwand für Recht mit Abstand am höchsten. Die meisten anderen vielen mir aufgrund meines Erfahrungsschatzes relativ leicht.

Die Vorlesungen Kryptographie, Netzwerksicherheit, Grundlagen sicherer Kommunikation vermitteln solide Grundkenntnisse in diesen Bereichen. Der mathematische Umfang in Kryptographie war sehr beschränkt. Die vermittelten Inhalte waren durch alle Fächer hinweg für einen „Security Manager“ sicherlich ausreichend. Pentester sind hier verkehrt. Die Studenten wissen danach z.B. warum ein DES unsicher ist und wofür man LDAP benötigt. Für Studenten ohne nennenswerte Berufserfahrung und umfangreiche IT- sowie Security-Kenntnisse ist das dennoch viel gewesen. Es hilft sicherlich, wenn man mit tcp, nmap, gpg usw. schon Erfahrungen gesammelt hat. Von 0 auf 100 ist ansonsten hart.

Grundlagen Security Management hielt Prof. Dr. Sachar Paulus, der ohne Zweifel zu einem der besten Professoren in diesem Gebiet zählt. Er kommt aus der Praxis (SAP) und hat eine sehr gute didaktische Art und Weise Inhalte ansprechend zu vermitteln. Das möchte ich an dieser Stelle nochmals explizit lobend erwähnen.

Die Vorlesung IT-Forensik hatte einen sehr hohen praktischen Anteil und war sehr lehrreich. Als Abschlussarbeit bekamen wir ein ISO-Image eines Windows-Clients und mussten eine forensische Untersuchung durchführen sowie den dazugehörigen Report erstellen. Top!

Die Vorlesung Non-Proliferation handelt thematisch von den Bemühungen die Verbreitung von nuklearem, waffenfähigem Material zu kontrollieren. Thematisch etwas außergewöhnlich, war die Vorlesung dennoch interessant. Es war übrigens auch die einzige, die ausschließlich in Englisch gehalten wurde. Als Dozentin wurde Elena K. Sokova eingeflogen. Ich kann diese Veranstaltung nur empfehlen, insbesondere wenn man seinen Horizont erweitern möchte.

8 08, 2013

PCI DSS: Wie die Änderung der Benutzerpasswörter alle 90 Tage indirekt regelmäßig umgangen wird.

von |8. August 2013|PCI DSS|0 Kommentare|

Der Payment Card Industry Data Security Standard 2.0 schreibt die Änderung von Benutzerpasswörtern alle 90 Tage vor: “8.5.9 Change user passwords at least every 90 days.” Meistens sehe ich in der Praxis folgende Typen von Nutzern:

  1. Der Nutzer benutzt einen Password-Safe wie z.B. Keepass und er generiert regelmäßig neue Passwörter.
  2. Der Nutzer muss sich das Password tatsächlich merken und iteriert Zahlen durch.

Nutzer von Password-Safes haben aber noch das Problem, dass die Nutzung erst nach der Anmeldung an einen Arbeitsplatz möglich ist. Somit fallen die meisten beim Passwort für den Login am Arbeitsplatz in die Kategorie 2 zurück: Passwörteränderungen werden so realisiert, dass sich der Nutzer ein Schema merkt. Damit ergeben sich sinnlose Passwortänderungen wie z.B.

  • Passwort-01, Passwort-02, Passwort-03, …
  • Passwort!2012-04, Passwort!2013-01, Passwort!2013-02, …

Damit wird in der Praxis die erzwungene Änderung von Passwörtern alle 90 Tage umgangen. „Compliant“ im Sinne von PCI DSS sind diese Passwörter und die damit verbundenen Änderungen dennoch. Ich finde es wäre hilfreich, wenn man die regelmäßige Änderung von Passwörtern beibehält, allerdings die Fristen risikogewichtet und damit flexibler gestaltet. Wenn eine Sicherheitsmaßnahme zu aufwendig ist (hier das Merken neuer Passwörter), und sie umgangen werden kann, wird sie auch umgangen werden.

4 08, 2013

Erfahrungen zum Studiengang Master of Science in Security Management an der FH Brandenburg – Teil 1: Einführung und Kosten

von |4. August 2013|Studium|0 Kommentare|

Ich stehe kurz vor dem Abschluss Master of Science in Security Management und warte nur noch auf den Termin zur Verteidigung meiner Master-Thesis. Ich möchte in mehreren Blog-Einträgen meine gemachten Erfahrungen und Empfehlungen weitergeben.

Den Studiengang Security Management gibt es an der Fachhochschule Brandenburg seit dem Wintersemester 2006/2007 und ist in Deutschland auch 2013 immer noch der einzige Studiengang für diesen speziellen Querschnittsbereich zwischen IT, Management und Sicherheit. Er ist ein Vollzeitstudium in 3 Semestern, wobei Teilzeit in 6 in Semestern mittlerweile auch möglich ist. Das Studium ist ein Präsensstudium. Im Gegensatz zu vielen anderen Präsensstudiengängen finden Vorlesungen in der Regel freitags, samstags und montags statt, sodass man den Studiengang neben einer eigentlichen Vollzeitberufstätigkeit besuchen kann, auch wenn man nicht aus dem Land Brandenburg oder Berlin kommt. Das setzt natürlich ein sehr gutes Zeitmanagement und eine selbstquälerische Einstellung voraus. Die meisten Studenten kommen daher auch aus dem geographischen Umfeld wie z.B. aus Potsdam. Es gibt innerhalb des Studiums folgende Profilrichtungen:

  • Informationssicherheit
  • Business Continuity und Krisenmanagement
  • Forensik
  • Anlagen- und Reaktorsicherheit
  • Cyberwar und Cybersecurity

Die Kosten liegen bei etwa 450€ / Semester. Für einen Studium an einer staatlichen Hochschule ist das recht viel. Auf der anderen Seite kosten private Master-Studiengänge gerne ein Vielfaches.  In den Semestergebühren ist wie üblich ein Semesterticket enthalten, dass die kostenlose Nutzung öffentlicher Verkehrsinfrastruktur im Bereich Brandenburg / Berlin ermöglicht. Nachdem der Studiengang kein Fernstudium sondern ein Präsenzstudium ist, fallen je nach eigenem Wohnort natürlich erhebliche Reisekosten an. Anfallende Hotel- und Fahrtkosten sind schnell wesentlich höher als der eigentliche Semesterbeitrag. Allein ein Zugticket nach Brandenburg von Frankfurt/Main (2. Klasse, Bahncard 50) kostet Hin- und Zurück 100€. Muss man dazu noch in einem Hotel Unterkunft suchen, ist man bei mehreren Hundert Euro pro Studienwochenende (Freitag, Samstag, Sonntag, Montag). Immerhin kann man die Kosten von der Steuer absetzen, sodass sich das wieder etwas reduziert. Günstig ist das Studium somit aber auch nur, wenn man dort aus der Umgebung kommt.

Für offizielle Informationen: www.security-management.de