Archiv für den Monat: September 2013

16 09, 2013

Neue Xing-Gruppe „Measuring Information Security”

von |16. September 2013|Informationssicherheit|0 Kommentare|

Ich hatte meine Masterthesis über das Thema „Messung von Informationssicherheit“ geschrieben. Da sich das Thema in der kompletten Tiefe nicht einfach behandeln lässt, habe ich in Xing die Gruppe „Measuring Information Security” erstellt. Ich erhoffe mir fachlich interessante Diskussionen über die Frage, wie man Informationssicherheit besser messen kann.

15 09, 2013

Die Piratenpartei während dem NSA-Skandal: Wo sind die Piraten?

von |15. September 2013|Netzpolitik|0 Kommentare|

Die Bundestagswahl steht an. Die Piratenpartei liegt in den Umfragen bei unter 5 Prozent und das während dem immer noch diskutierten NSA/PRISM-Skandal. Da kommt der größte Datenskandal überhaupt und die Partei schafft es nicht dieses Thema erfolgreich aufzugreifen. Klar, es gibt ein paar Plakate zu diesem Thema. Aber sie machen in den Medien weder mit Fachkenntnis noch mit Lösungen auf sich aufmerksam. Eine bessere Vorlage hätte es gar nicht geben können! Das sagt meiner Meinung nach sehr viel über die Erfolgschancen in der Zukunft aus: Nahe null. Schade.

14 09, 2013

Das Image von PCI DSS

von |14. September 2013|PCI DSS|0 Kommentare|

PCI DSS besteht primär aus sinnvollen Best Practices, wenn man mit sensiblen Informationen arbeitet. Dennoch hat er keinen guten Ruf. Er kann Prozesse verkomplizieren, er fordert Investitionen und kostet in Augen vieler Verantwortlicher erst einmal Geld. Aber wo würde die Industrie ohne den Standard stehen? Ich vermute ohne PCI DSS wäre die Zahlung per Kreditkarte im Internet nicht so weit verbreitet. Keine Endkunde würde mehr der Kreditkarte als Online-Zahlungsmittel vertrauen, wenn er regelmäßig von seinem Issuer eine neue Karte erhalten würde, nachdem die vorherige kompromittiert wurde.

Der Standard scheint sein Ziel der Vertraulichkeit von Karteninhaberdaten gut zu erreichen: So wurden erst kürzlich bei Vodafone personenbezogene Daten gestohlen, auch Kontodaten. Aber keine Kreditkartendaten.

Der PCI DSS benötigt ein besseres Image.

12 09, 2013

Erfahrungen zum Studiengang Master of Science in Security Management an der FH Brandenburg – Teil 12: Fertig!

von |12. September 2013|Studium|0 Kommentare|

Ich bin fertig. War es viel Aufwand? Ja! Hat es sich gelohnt? Ja!

Ich kann das Studium empfehlen. Die Atmosphäre ist erfrischend gut und die Jahrgänge waren bisher überschaubar klein. Als einzigartig empfand ich das Miteinander zwischen Studenten und Professoren.

Gab es auch schlechte Seiten? Natürlich. Nichts ist perfekt und Hochschulen sind manchmal eben Hochschulen. Aber in diesem Studiengang können sich ohnehin keine frischen Erstsemester einschreiben, somit sollte es für niemanden eine Überraschung sein. Ich habe mit den anderen Studiengängen der FH Brandenburg keine Erfahrung gesammelt, aber die Professoren vom SecMan (Master of Science in Security Management) setzten sich stets für ihre Studenten ein. Das ist leider nicht selbstverständlich.

Zum Abschluss möchte ich noch Prof. Dr. Friedrich Holl für die Betreuung meiner Abschlussarbeit sowie Prof. Dr. Sachar Paulus für die exzellenten Vorlesungen danken: Danke!

11 09, 2013

Erfahrungen zum Studiengang Master of Science in Security Management an der FH Brandenburg – Teil 11: Die Verteidigung

von |11. September 2013|Studium|0 Kommentare|

Nach der Abgabe der Thesis kommt die Verteidigung. Der Ablauf war relativ simpel: Eine Präsentation und danach kritische Fragen beantworten. Und kritische Fragen stellen können sie. Im Gegensatz zur Verteidigung meiner Diplomarbeit durfte ich ein kleines Publikum begrüßen. Ich war positiv überrascht, dass sich doch ein paar Interessierte neben den beiden Gutachtern eingefunden haben. Für eine interne Diskussion zogen sich die beiden zurück und teilten mir dann die Bewertungen mit.

9 09, 2013

Master of Science in Security Management

von |9. September 2013|Allgemein|0 Kommentare|

Juchu, fertig! Die letzten Jahre wurden belohnt und ich habe nun nach meinem Diplom einen weiteren akademischen Grad, den „Master of Science in Security Management“.

6 09, 2013

Sichere Verschlüsselung kann die NSA nicht knacken

von |6. September 2013|IT-Sicherheit|0 Kommentare|

In den Medien verbreitet sich die Meldung, dass selbst Verschlüsselung gegen die Überwachung der NSA nicht hilft. Das ist falsch. Mal abgesehen davon, dass genaue Informationen gar nicht bekannt sind, wird auch die NSA als sicher anerkannte kryptographische Verfahren nicht brechen können. Die Verfahren auf dem Niveau von RSA und AES sind weiterhin sicher und nicht zu knacken. Die Möglichkeiten auch der NSA sind begrenzt. Hunderte oder Tausende Mathematiker und Kryptologen irren nicht. Eher scheitern die Medien an einer sachlichen Berichterstattung bei diesem schwierigen Thema.

Dennoch sind die Möglichkeiten der NSA enorm. Sie werden mindestens auf folgende Möglichkeiten besitzen:

  • Einholung kryptographischer Schlüssel von Firmen in den USA
  • Brechen unsicherer kryptographischen Verfahren
  • Aufkauf und Suche nach Sicherheitslücken

Die drei Punkte haben natürlich weittragende Konsequenzen, sind aber in Kreisen der IT-Security auch nichts neues. Der erste Punkt ist nur eine logische Konsequenz und dass man unsichere Verschlüsselungsverfahren brechen kann, ist nun wirklich keine Nachricht wert. Man kann natürlich auch Sicherheitslücken in Software suchen und/oder auf dem Schwarzmarkt einkaufen. Das ist auch nichts neues und es wäre eher verwunderlich, wenn Geheimdienste diese Möglichkeit nicht nutzen würden.

Offen bleibt jedoch die Frage, ob die NSA über bewusste Backdoors in Betriebssystemen und Software verfügt. Möglich ist alles. Ob es wahrscheinlich ist? Ich persönlich bezweifle es. Sicherheitslücken und Backdoors lassen sich in Open-Source-Software schwer verstecken und selbst bei reinen Closed-Source-Software-Produkten wie Windows können Sie sich finden lassen. Schwierig, aber nicht unmöglich. Bisher wurde von keinem Fall bekannt, der auch bestätigt ist. Sodass man eigentlich davon ausgehen muss, dass man bei einem Einsatz von z.B. Windows weiterhin auf der sicheren Seite ist.

Anders sehe ich es bei dem Themenfeld HSM (Hardware Security Modul), bei denen Verschlüsselung in Hardwarekomponenten durchgeführt wird. Hier gestalten sich die Analyse und der Nachweis von bewussten Lücken noch schwieriger.  Wer ausreichend Paranoid ist, sollte den Einsatz von amerikanischen HSM-Produkten überdenken. Für den Privatmenschen spielt dieser Bereich jedoch keine Rolle.

Verschlüsselung ist sinnvoll. Daran kann auch die NSA nichts ändern.

6 09, 2013

Zertifizierung als Datenschutzbeauftragter DSB-TÜV

von |6. September 2013|Zertifizierung|0 Kommentare|

Heute wurde ich vom TÜV Süd als „Datenschutzbeauftragter DSB-TÜV“ zertifiziert. Die vorherige Schulung war interessant und sehr gut. Obwohl der Stoff – das BDSG – sehr trocken ist, wurden die relevanten Inhalte gut vermittelt. Ich bin zufrieden und kann den Kurs uneingeschränkt weiterempfehlen.