Presse

10 12, 2015

Übersicht Security-Studiengänge

von |10. Dezember 2015|Presse|2 Kommentare|

In der „<kes> Zeitschrift für Informationssicherheit“ ist eine Übersicht über Security-Studiengänge erschienen, die ich gerne teilen möchte:

Studium Securitatis

Aspekte der Informations-Sicherheit (ISi) sind heute glücklicherweise Bestandteil vieler Hochschul- Studiengänge. Sucht man nach Ausbildungen mit einem entsprechenden Schwerpunkt, wird es schon schwieriger. Unser Autor hat fünf Bachelor- und dreizehn Master-Studiengänge identifiziert, die eine vertiefte Security-Ausbildung versprechen.

Von Max Luber, Brandenburg

https://www.kes.info/archiv/leseproben/2015/sicherheits-studium/

9 11, 2014

Die c’t Security – mehr iX als c’t

von |9. November 2014|Presse|1 Kommentar|

Früher war ich c’t-Leser, heute stöbere ich manchmal noch in der iX. Der Heise-Verlag hat nun wieder ein Sonderheft herausgegeben. Dieses Mal zum Thema IT-Security – die Zeitschrift „c’t Security“. Ob ich hier für mich noch etwas Interessantes finden kann, wagte ich zu bezweifeln.

Nach einer halben Stunde querlesen bin ich doch positiv überrascht. Das Niveau der Themen ist irgendwo zwischen dem Anspruch der c’t und der iX angesiedelt. Wobei, vielleicht doch eher in Richtung iX. Die Themen sind überraschend breit gestreut: Passwort-Strategien, Forensik-Tools, Router-Sicherheit, DANE, Smartphones und vieles mehr. Die c’t Security hat es tatsächlich auf meinen Nachttisch geschafft.

Die Ausgabe wurde mir vom Verlag kostenlos zur Verfügung gestellt. Der Preis ist mit 9,90€ relativ hoch, wobei ich das Geld vermutlich auch dafür ausgegeben hätte. Wer sich für IT-Security interessiert, sollte im Bahnhofsladen zumindest das Inhaltsverzeichnis überfliegen. Der nächste Streik der GDL kommt bestimmt ;-).

25 04, 2014

FAZ: Preissignal im Internet / Gegen die Gleichmacherei im Internet

von |25. April 2014|Presse|0 Kommentare|

Manchmal frage ich mich, warum ich die FAZ abonniere. Heute im Wirtschaftsteil in einer Kolumne von Patrick Welter wird die Aufhebung der Netzneutralität in Europa gefordert. Der Beitrag ist mit abgewandeltem Titel auch online einsehbar.

Ich muss mich wirklich fragen, warum ich um Statements wie diese zu lesen tatsächlich Geld bezahle:

„wird gerade die Differenzierung des Internetverkehrs das Netz lebendig und innovativ erhalten“

„erfordert [..] den Abschied vom romantischen Traum des Internets als Tummelplatz für ein wenig spinnerte Innovatoren.“

Ich bin halber BWLer und sehe durchaus die Notwendigkeit für Unternehmen, nicht nur finanzielle Investitionen in den Netzausbau zu treffen, sondern mit ihren Dienstleistungen auch Profit erwirtschaften zu dürfen. Dagegen spricht nichts. Allerdings sollte nicht vergessen werden, dass das Netz kein wirtschaftlicher Selbstzweck ist. Insbesondere besteht die historische und gesellschaftliche Bedeutung des Netzes nicht in der technischen Realisierung einer weltweiten Sendestation für neue TV-Kanäle.

17 03, 2014

FAZ zum Flug MH370: „Wo ist eigentlich die NSA, wenn man sie braucht?“

von |17. März 2014|Presse|0 Kommentare|

In der heutigen FAZ steht ein Kommentar zum verschollenen Flug MH370, den ich gerne teilen möchte:

„Wie kann es sein, dass in unserer angeblich so überkontrollierten Welt ein Flugzeug mehr als eine Woche lang verschwunden bleibt? […] Überspitzt gesagt: „Wo ist eigentlich die NSA, wenn man sie braucht?“

Richtig. Die NSA mag zwar Unmengen Daten & Informationen abgreifen, Untersehkabel anzapfen und die Größte Datenkrake vor oder nach Google und Facebook sein, aber wirklich effektiv ist sie nicht. Den Einmarsch Russlands in die Krim hat die NSA auch verpasst. Schlechte Performance für den weltweit größten Geheimdienst..

15 08, 2013

Wirtschaftsminister Rösler sieht technischen Vorsprung bei Verschlüsselungstechnologien

von |15. August 2013|Presse|0 Kommentare|

Unser Wirtschaftsminister Philipp Rösler aus der FDP sieht einen technischen Vorsprung bei Verschlüsselungstechnologien. Im Morgenmagazin der ARD  sagt er: „Wir haben jetzt schon einen technischen Vorsprung bei Verschlüsselungstechnologien aber ein normaler Mittelständler, der kennt sich damit natürlich nicht so gut aus.“

Nicht nur, dass normale Mittelständler sich nicht mit Verschlüsselungstechnologien auskennen sollen, bei Rösler ist das vermutlich auch nicht der Fall. Wo haben „wir“ bei Verschlüsselungstechnologien einen technischen Vorsprung? Die aktuell sichersten kryptographischen Verfahren kommen nicht aus Deutschland, z.B. AES, RSA oder SHA-3. Und ich sehe auch keine Anwendungsfälle, in denen wir irgendwie führend sind. Was haben wir, was andere nicht haben… ach genau: DE-Mail. Warum ist DE-Mail sicher? Weil der Gesetzgeber das sagt. Und die Marketingkampagne „E-Mail Made in Germany“ hinkt technisch Google hinterher. Deutschland hat keinen technischen Vorsprung bei Verschlüsselungstechnologien.

14 08, 2013

Ist Google sicherer als „E-Mail Made in Germany“?

von |14. August 2013|Presse|0 Kommentare|

Heise Security hat E-Mail Provider auf die Unterstützung der Verschlüsselungsoption „Forward Secrecy“ untersucht. Forward Secrecy sorgt dafür, dass verschlüsselter Datenverkehr in SSL/TLS nachträglich nicht entschlüsselt werden kann, wenn man an den geheimen Schlüssel des Servers kommt. Ohne Forward Secrecy kann nachträglich unter Umständen der gesamte Datenverkehr im Nachhinein entschlüsselt werden.

Die Mail-Provider der „E-Mail Made in Germany“-Kampagne unterstützen laut heise security diese Option nicht durchgehend. Google hat bereits 2011 umgestellt. E-Mail Made in Germany hinkt also Google in diesem Punkt hinterher. Hier bietet Google ein höheres Sicherheitsniveau als deutsche Mail-Provider.

12 08, 2013

Marketing „E-Mail Made in Germany“

von |12. August 2013|Presse|0 Kommentare|

Das Projekt „E-Mail Made in Germany“ ist ein schönes Beispiel für gutes Marketing. Die größeren Provider nutzen nun TLS zur verschlüsselten Datenübertrag zwischen einzelnen Mail-Servern. Mich würde interessieren, ob es vorher auch so war oder ob es nun wirklich neu ist. Die Technik an sich ist zumindest gar nicht neu. Und die deutschen Provider sind nicht die einzigen, die sie nutzen. Die Darstellung „Made in Germany“ finde ich etwas verzerrend, da bisher nur Telekom, WEB.de und GMX beteiligt sind. Nicht einmal 1&1 als Tochter von United Internet ist dabei. Auch die Tochter Strato der Telekom ist nicht dabei. Der deutsche E-Mail-Verkehr wird nicht ausschließlich von den beteiligten drei Unternehmen bzw. Töchterunternehmen abgewickelt. Aber man nennt es „Made in Germany“.

Da auch bei diesem Projekt wie bei DE-Mail keine Ende-Zu-Ende-Verschlüsselung eingesetzt wird, kann der gesamte Mailverkehr weiterhin auf jedem beteiligten Mailserver mitgeschnitten werden. Das wird natürlich auf der Projekt-Website nicht näher erwähnt. Insgesamt ist es nun für die NSA etwas schwieriger geworden, deutschen Mailverkehr mitzulesen. So schlimm wird es aber für sie nicht kommen, da der deutsche Geheimdienst BND oder zumindest Vollzugsbehörden mit gerichtlicher Genehmigung weiter an jede deutsche E-Mail gelangen.

Besser wäre es grundsätzlich, wenn man nicht wieder die x-te deutsche Eigenbrötlerei (wie BSI Grundschutz, TISP) betreiben würde, sondern international das Thema zwischen verschiedenen Providern besprechen würde. Jetzt haben wir in Deutschland nicht nur DE-Mail, das keiner verwendet, sondern auch noch „E-Mail Made in Germany“. E-Mails sind bei Google sicher nicht unsicherer als bei GMX & Co. Bei einigen Nutzern wird bestimmt dennoch hängen bleiben, dass Mails bei der Telekom, GMX und WEB.de sicherer sind als bei anderen. Respekt vor dem Marketing.

20 07, 2013

Der sinnlose Hype um E-Mail-Verschlüsselung gegen PRISM

von |20. Juli 2013|Presse|0 Kommentare|

Mittlerweile scheint allgemein bekannt zu sein, dass die NSA in der Lage ist große Datenmengen abzugreifen und zu analysieren. Und nun Achtung: Sie macht das wahrscheinlich auch. Was ist daran jetzt neu? Vorher dachte man es sich oder vermutete es, heute weiß man es mit höherer Wahrscheinlichkeit. Also eigentlich nichts neues.

In der Presse ist es nun ein Skandal, dass ein ausländischer Geheimdienst auf seinem Grund und Boden im Geheimen die Kommunikation anderer abhört. Als Resultat wird nun in der  Presse (z.B. in SPIEGEL Online) Verschlüsselungstools wie OpenPGP empfohlen. Damit soll man nun am besten seine Mails verschlüsseln, damit PRISM, TEMPORA & Co diese nicht mehr „mitlesen“ können. Der Sicherheitswelt frohlockt: Danke für die Security Awareness Maßnahme!

Leider wird nicht erwähnt, dass die ausreichend interessanten Verbindungsdaten nicht verschlüsselt werden. Das geht technisch ohnehin nicht. Damit wissen die Geheimdienste immer noch, wer mit wem wann E-Mail-Verkehr hat. Da hilft auch Krypto nicht. Richtig absurd wird das Thema, wenn man seine persönlichen Bilder weiterhin auf Facebook oder Google+ postet.

Tools wie OpenPGP sind top um wirklich vertrauenswürdige Daten auszutauschen. Die Einladung zur nächsten Feier zu verschlüsseln, die nebenbei noch auf Facebook gepostet wird, ist total sinnlos. E-Mails sind wie Postkarten. Niemand regt sich darüber auf, dass der Briefträger und viele andere die Urlaubsgrüße lesen können. Aber bei der E-Mail ist es ein Skandal.

14 04, 2013

Hacking in der FAZ

von |14. April 2013|Presse|0 Kommentare|

Respekt: Im Artikel „Verschlungene Wege für mehr Sicherheit am Rechner“ werden Metasploit und Blackhole als Sicherheitstools als „Rundum-sorglos-Pakete“ für Hacker vorgestellt. Es folgt zwar keine technische Beschreibung, allerdings bewegt sich die FAZ hier auf neuem Terrain. Hacking kommt in der konservativen Presse an. Das ist Fortschritt.

8 03, 2013

IT-Sicherheit à la Spiegel Online

von |8. März 2013|Presse|0 Kommentare|

Kürzlich gelesen:

„Doch am W-Lan hängen nicht nur Mailserver, sondern auch Scanner, mit denen Lieferungen ins System übertragen werden. Und damit Besucher das Würth-Lager nicht zum Stillstand bringen, gibt es [XXX XXX], der Daten verschlüsselt.“ Quelle: SPON

Diese Aussage ist für einen Sicherheitsspezialisten so peinlich, dass ich den Namen nicht aus dem Artikel von SPON übernehmen wollte. Laut SPON hat der Herr, der Daten verschlüsselt, seinen Abschluss an der Ruhr-Universität Bochum im Fernstudiengang IT-Security gemacht. Ich hoffe, dass der Herr Ilg als Autor des Artikels einfach nur ein paar Sachen missverstanden hat.

Grundsätzlich aber: Man lässt keine Besucher in einen Netzbereich, der für ein Unternehmen relevant bzw. produktionskritisch ist. Auch nicht wenn die Vertraulichkeit von Informationen durch Verschlüsselung gewährleistet werden kann. Ganz blöde Idee. Aber so wirklich. Wofür gibt es Firewalls, VLANs, Netzwerksegmentierung… Und falls die Unternehmensleitung kein Geld für ein zweites WLAN o.ä. bereitstellen wollte, dann ist sie auch selbst schuld, wenn etwas passiert. Egal wie, man sollte so etwas einfach nicht als  Beispiel für IT-Sicherheit in einem Artikel verwenden.