Übersicht Security-Studiengänge

In der „<kes> Zeitschrift für Informationssicherheit“ ist eine Übersicht über Security-Studiengänge erschienen, die ich gerne teilen möchte:

Studium Securitatis

Aspekte der Informations-Sicherheit (ISi) sind heute glücklicherweise Bestandteil vieler Hochschul- Studiengänge. Sucht man nach Ausbildungen mit einem entsprechenden Schwerpunkt, wird es schon schwieriger. Unser Autor hat fünf Bachelor- und dreizehn Master-Studiengänge identifiziert, die eine vertiefte Security-Ausbildung versprechen.

Von Max Luber, Brandenburg

https://www.kes.info/archiv/leseproben/2015/sicherheits-studium/

Die c’t Security – mehr iX als c’t

Früher war ich c’t-Leser, heute stöbere ich manchmal noch in der iX. Der Heise-Verlag hat nun wieder ein Sonderheft herausgegeben. Dieses Mal zum Thema IT-Security – die Zeitschrift „c’t Security“. Ob ich hier für mich noch etwas Interessantes finden kann, wagte ich zu bezweifeln.

Nach einer halben Stunde querlesen bin ich doch positiv überrascht. Das Niveau der Themen ist irgendwo zwischen dem Anspruch der c’t und der iX angesiedelt. Wobei, vielleicht doch eher in Richtung iX. Die Themen sind überraschend breit gestreut: Passwort-Strategien, Forensik-Tools, Router-Sicherheit, DANE, Smartphones und vieles mehr. Die c’t Security hat es tatsächlich auf meinen Nachttisch geschafft.

Die Ausgabe wurde mir vom Verlag kostenlos zur Verfügung gestellt. Der Preis ist mit 9,90€ relativ hoch, wobei ich das Geld vermutlich auch dafür ausgegeben hätte. Wer sich für IT-Security interessiert, sollte im Bahnhofsladen zumindest das Inhaltsverzeichnis überfliegen. Der nächste Streik der GDL kommt bestimmt ;-).

Wirtschaftsminister Rösler sieht technischen Vorsprung bei Verschlüsselungstechnologien

Unser Wirtschaftsminister Philipp Rösler aus der FDP sieht einen technischen Vorsprung bei Verschlüsselungstechnologien. Im Morgenmagazin der ARD  sagt er: „Wir haben jetzt schon einen technischen Vorsprung bei Verschlüsselungstechnologien aber ein normaler Mittelständler, der kennt sich damit natürlich nicht so gut aus.“

Nicht nur, dass normale Mittelständler sich nicht mit Verschlüsselungstechnologien auskennen sollen, bei Rösler ist das vermutlich auch nicht der Fall. Wo haben „wir“ bei Verschlüsselungstechnologien einen technischen Vorsprung? Die aktuell sichersten kryptographischen Verfahren kommen nicht aus Deutschland, z.B. AES, RSA oder SHA-3. Und ich sehe auch keine Anwendungsfälle, in denen wir irgendwie führend sind. Was haben wir, was andere nicht haben… ach genau: DE-Mail. Warum ist DE-Mail sicher? Weil der Gesetzgeber das sagt. Und die Marketingkampagne „E-Mail Made in Germany“ hinkt technisch Google hinterher. Deutschland hat keinen technischen Vorsprung bei Verschlüsselungstechnologien.

Ist Google sicherer als „E-Mail Made in Germany“?

Heise Security hat E-Mail Provider auf die Unterstützung der Verschlüsselungsoption „Forward Secrecy“ untersucht. Forward Secrecy sorgt dafür, dass verschlüsselter Datenverkehr in SSL/TLS nachträglich nicht entschlüsselt werden kann, wenn man an den geheimen Schlüssel des Servers kommt. Ohne Forward Secrecy kann nachträglich unter Umständen der gesamte Datenverkehr im Nachhinein entschlüsselt werden.

Die Mail-Provider der „E-Mail Made in Germany“-Kampagne unterstützen laut heise security diese Option nicht durchgehend. Google hat bereits 2011 umgestellt. E-Mail Made in Germany hinkt also Google in diesem Punkt hinterher. Hier bietet Google ein höheres Sicherheitsniveau als deutsche Mail-Provider.

Marketing „E-Mail Made in Germany“

Das Projekt „E-Mail Made in Germany“ ist ein schönes Beispiel für gutes Marketing. Die größeren Provider nutzen nun TLS zur verschlüsselten Datenübertrag zwischen einzelnen Mail-Servern. Mich würde interessieren, ob es vorher auch so war oder ob es nun wirklich neu ist. Die Technik an sich ist zumindest gar nicht neu. Und die deutschen Provider sind nicht die einzigen, die sie nutzen. Die Darstellung „Made in Germany“ finde ich etwas verzerrend, da bisher nur Telekom, WEB.de und GMX beteiligt sind. Nicht einmal 1&1 als Tochter von United Internet ist dabei. Auch die Tochter Strato der Telekom ist nicht dabei. Der deutsche E-Mail-Verkehr wird nicht ausschließlich von den beteiligten drei Unternehmen bzw. Töchterunternehmen abgewickelt. Aber man nennt es „Made in Germany“.

Da auch bei diesem Projekt wie bei DE-Mail keine Ende-Zu-Ende-Verschlüsselung eingesetzt wird, kann der gesamte Mailverkehr weiterhin auf jedem beteiligten Mailserver mitgeschnitten werden. Das wird natürlich auf der Projekt-Website nicht näher erwähnt. Insgesamt ist es nun für die NSA etwas schwieriger geworden, deutschen Mailverkehr mitzulesen. So schlimm wird es aber für sie nicht kommen, da der deutsche Geheimdienst BND oder zumindest Vollzugsbehörden mit gerichtlicher Genehmigung weiter an jede deutsche E-Mail gelangen.

Besser wäre es grundsätzlich, wenn man nicht wieder die x-te deutsche Eigenbrötlerei (wie BSI Grundschutz, TISP) betreiben würde, sondern international das Thema zwischen verschiedenen Providern besprechen würde. Jetzt haben wir in Deutschland nicht nur DE-Mail, das keiner verwendet, sondern auch noch „E-Mail Made in Germany“. E-Mails sind bei Google sicher nicht unsicherer als bei GMX & Co. Bei einigen Nutzern wird bestimmt dennoch hängen bleiben, dass Mails bei der Telekom, GMX und WEB.de sicherer sind als bei anderen. Respekt vor dem Marketing.

Hacking in der FAZ

Respekt: Im Artikel „Verschlungene Wege für mehr Sicherheit am Rechner“ werden Metasploit und Blackhole als Sicherheitstools als „Rundum-sorglos-Pakete“ für Hacker vorgestellt. Es folgt zwar keine technische Beschreibung, allerdings bewegt sich die FAZ hier auf neuem Terrain. Hacking kommt in der konservativen Presse an. Das ist Fortschritt.

IT-Sicherheit à la Spiegel Online

Kürzlich gelesen:

„Doch am W-Lan hängen nicht nur Mailserver, sondern auch Scanner, mit denen Lieferungen ins System übertragen werden. Und damit Besucher das Würth-Lager nicht zum Stillstand bringen, gibt es [XXX XXX], der Daten verschlüsselt.“ Quelle: SPON

Diese Aussage ist für einen Sicherheitsspezialisten so peinlich, dass ich den Namen nicht aus dem Artikel von SPON übernehmen wollte. Laut SPON hat der Herr, der Daten verschlüsselt, seinen Abschluss an der Ruhr-Universität Bochum im Fernstudiengang IT-Security gemacht. Ich hoffe, dass der Herr Ilg als Autor des Artikels einfach nur ein paar Sachen missverstanden hat.

Grundsätzlich aber: Man lässt keine Besucher in einen Netzbereich, der für ein Unternehmen relevant bzw. produktionskritisch ist. Auch nicht wenn die Vertraulichkeit von Informationen durch Verschlüsselung gewährleistet werden kann. Ganz blöde Idee. Aber so wirklich. Wofür gibt es Firewalls, VLANs, Netzwerksegmentierung… Und falls die Unternehmensleitung kein Geld für ein zweites WLAN o.ä. bereitstellen wollte, dann ist sie auch selbst schuld, wenn etwas passiert. Egal wie, man sollte so etwas einfach nicht als  Beispiel für IT-Sicherheit in einem Artikel verwenden.