Month: August 2013

Sicherheit kostet Geld

Leave a Comment

Sicherheit kostet Geld. Es gibt leider nur wenige Ausnahmen. Entweder kosten Maßnahmen direkt Geld oder sie reduzieren die Effizienz eines Unternehmens. Dabei spielt es weniger eine Rolle, ob es sich um organisatorische oder technische Maßnahmen handelt. Die Einführung und Einhaltung von Prozessen wie zum Beispiel Code-Reviews verbessern zwar die Software-Qualität, erhöhen aber auch den Aufwand. Technische Maßnahmen wie Firewalls müssen nicht nur angeschafft werden, sondern auch betreut werden. Auch möglichen Maßnahmen im Bereich Security Awareness stehen direkte und indirekte Kosten entgegen. Sicherheit gibt es nicht kostenlos.

Die Frage ist letztendlich nur, wie viel ein Unternehmen in Sicherheit investieren muss, damit es sich in einer akzeptierbaren Risikosituation befindet. Die Entscheidung obliegt hier immer der Geschäftsleitung. Ein offener Umgang mit dem Thema von direkten und indirekten Kosten möglicher Sicherheitsmaßnahmen sorgt für eine transparentere Entscheidungsvorlage. Wer dies als Sicherheitsspezialist verschweigt, wird es später als Bumerang zurückbekommen.

PCI DSS 3.0 steht vor der Tür

Leave a Comment

Seit diesem Monat sind Hinweise zu den Änderungen von PCI DSS 2.0 zu PCI DSS 3.0 online. Ankündigungen von gravierenden Änderungen konnte ich dort nicht lesen, auch wenn der Standard selbst noch nicht final veröffentlicht wurde. Es sollen ein paar neue Anforderungen aufgenommen werden. Zudem wird PCI DSS 3.0 zukünftig in ein paar Punkten mehr Erläuterungen und Klarstellungen enthalten, sowie Veränderungen der Bedrohungslage aufnehmen. Interessant finde ich die Ankündigung, dass die Regelungen zur Passwortkomplexität etwas flexibler werden sollen:

„Provided increased flexibility in password strength and complexity to allow for variations that are equivalent”

Der neue PCI DSS 3.0 soll im November veröffentlicht werden. Für Unternehmen wird eine Zertifizierung nach dem alten Standard noch bis Ende 2014 möglich sein, sodass ausreichend Zeit vorhanden ist, um eventuelle Änderungen an Prozessen und Infrastruktur vorzunehmen.

Erfahrungen zum Studiengang Master of Science in Security Management an der FH Brandenburg – Teil 10: 3. Semester, die Master-Thesis.

Leave a Comment

Im dritten Semester steht die Abschlussarbeit an: Die Master-Thesis. Ansonsten war das Semester unspektakulär und ohne Vorlesungen. Ich konnte mich mit einem Thema beschäftigen, das ich immer noch spannend finde: „Messung von Informationssicherheit“ Wann ist etwas sicher und wie kann ich es messen?

Tipps zur Vorbereitung auf die CISSP-Prüfung

5 Comments

Wer kein „CISSP-Bootcamp“ für mehrere Tausend Euro besuchen möchte, dem empfehle ich folgende Vorbereitung:

1. Kaufen, Lesen und Verstehen von den beiden Büchern:

  • CISSP All-in-One Exam Guide von Shon Harris
  • CISSP: Certified Information Systems Security Professional Study Guide von James M. Stewart

2. Zusätzlich finde ich die offiziellen Testfragen vom Isc² absolut lohnenswert: https://www.expresscertifications.com/ISC2/Catalog.aspx. Der Zugang zu allen Testfragen kostet zwar insgesamt $289, dafür sind sie aber auf demselben Niveau wie die Fragen in der Prüfung. Fragen aus Büchern sind meiner Meinung nach damit nicht vergleichbar.

Mein Tipp: Die Fragen ordern und durcharbeiten. Danach die beiden Bücher lesen und den Stoff bearbeiten. Abschließend die Fragen so oft durchgehen, bis man zumindest dort alle richtig beantworten kann.

Erfolgsfaktoren für den PCI DSS Audit und die Zertifizierung

Leave a Comment

Um Audits erfolgreich und möglichst schnell abzuwickeln, benötigt man

  • einen guten Auditor, der viel Erfahrung im Bereich Security besitzt und auch vor technischen Diskussionen nicht zurückschreckt.
  • eine interne zuständige Person, die PCI DSS kennt, versteht und ausreichend Erfahrung mit dem Standard hat. Idealerweise einen CISO mit sehr starkem technischen Hintergrund. Alternativ einfach das Know-How von außen einkaufen und dabei auf eine CISSP-Zertifizierung achten. Der Berater muss aber nicht nur PCI DSS verstehen, sondern auch Security mit Business kombinieren können.
  • eine Reduzierung des Scopes. In der Regel ist es sehr ungünstig, wenn alle Bereiche eines Unternehmens unter PCI DSS fallen. Das erhöht nicht nur den Dokumentationsaufwand, sondern verringert auch die allgemeine Produktivität.
  • Unterstützung vom Management. Ohne Unterstützung von oben geht es nicht. Eine PCI-Zertifizierung kostet nicht nur Geld, sondern wird im Unternehmen am Anfang garantiert unbequem sein. PCI DSS hat in der Praxis nicht den besten Ruf und es gibt zugegeben angenehmere Zertifizierungen. Insbesondere Softwareentwickler scheinen PCI DSS schnell als Feindbild zu sehen. Das muss nicht sein.
  • Sicherheit als kontinuierlichen Prozess. Vor dem Audit ist nach dem Audit. PCI DSS hört nicht nach dem Audit auf, und fängt nicht zum nächsten Audit wieder an. Beim ersten Audit muss man weniger nachweisen, dass man „pci lebt“. Beim zweiten sollte man besser nicht wieder von vorne anfangen. Hierzu werden Prozesse notwendig sein. Mitarbeiter müssen mitgenommen werden. Ohne eine Person, die hierfür explizit die Zuständigkeit besitzt, wird der nächst Audit meist so schwierig wie der erste.
  • eine gute Vorbereitung. Man sollte bereits vor dem eigentlichen Audit wissen, ob alles compliant ist und wenn nicht, wo die eigenen Schwachstellen liegen.

Navigating PCI DSS

Leave a Comment

Wer PCI DSS nicht kennt, aber plötzlich davon betroffen ist, sollte sich das Dokument Navigating PCI DSS von der offiziellen Website des PCI Security Standards Council herunterladen. Es lohnt sich. Im eigentlichen PCI DSS Dokument werden nur Anforderungen und Testprozeduren definiert. In Navigating PCI DSS wird erklärt, was überhaupt mit den einzelnen Anforderungen erreicht werden soll. PCI DSS zu verstehen ist das A und O bei einem Audit: Das Dokument Navigating PCI DSS hilft dabei.

Wie man unsichere Software schreibt

Leave a Comment

Wie schreibt man unsichere Software? Nichts einfacher als das:

  1. Anforderungen an die Software nicht schriftlich festhalten. Somit kann man auch gar nicht in die Verlegenheit kommen, Sicherheitsanforderungen definieren zu müssen.
  2. Tests sind etwas für Weicheier. Ohne Sicherheitsanforderungen braucht man Sicherheit ohnehin nicht zu testen. Sie ist schließlich kein zwingender Bestandteil einer Software.
  3. Code-Review ist viel zu aufwendig und kostet nur Arbeitszeit. Echte Männer und Frauen schreiben sofort guten und sicheren Code. Alle anderen sind einfach unfähig.
  4. Penetration Tests sind zu teuer. Wer schon einmal einen in Auftrag gegeben hat, weiß das. Software reift ohnehin beim Kunden. Die Penetration Tests übernehmen somit die Angreifer kostenlos.
  5. Weiterbildungen im Bereich sicherer Softwareentwicklung braucht niemand. Know-how hat man, oder man hat es nicht. Basta.

Die Umsetzung der fünf Punkte erfolgt auf eigene Gefahr ;-).

Erfahrungen zum Studiengang Master of Science in Security Management an der FH Brandenburg – Teil 9: Lohnt sich das Studium?

Leave a Comment

Ob sich das Studium lohnt, hängt natürlich vom individuellen Fall ab. Ich versuche die Fragestellung von der anderen Seite anzugehen. Für wen lohnt es sich nicht? Für alle, die einen CISSP, CISM, CISA, TISP usw. besitzen und keinen Master als weiteren Abschluss benötigen. Es ist ganz klar, auch ein aufbauendes Studium richtet sich nicht an Professionals. Im Umkehrschluss kann es sich für alle lohnen, die nach einem Diplom oder Bachelor noch einen Master machen möchten und eine formale Qualifikation im Bereich Security Management  anstreben.

Dennoch muss man klar sagen, dass man im Sicherheitsumfeld Berufserfahrung benötigt. Ein Abschluss kann helfen, muss aber nicht. Ich halte es für unwahrscheinlich, dass ein Absolvent des Studiums Security Management ohne mindestens ein paar Jahre Berufserfahrung in die Position eines CISOs mit Verantwortung kommt. Ausnahmen bestätigen sicherlich die Regel. Und es gibt immer noch genug Unternehmen in Deutschland, bei denen „Studierte“ höher angesehen werden als „Praktiker“. Für realistischer halte ich eher eine fachliche Mitarbeit in einer größeren Security-Abteilung. Aber auch für einen tieferen Einstieg in den Bereich IT-Security wie z.B. Penetration Testing kann das Studium sinnvoll sein. Man sollte dann eben seine Semesterarbeiten, die Projektarbeit und die Master-Thesis geschickt wählen.

Ich selbst trug bereits zu meinem Beginn des Studiums die Verantwortung für den Bereich Security & PCI-Compliance bei einem internationalen Internet Payment Service Provider in Frankfurt. Fachlich hat mir das Studium dennoch weitergeholfen und ich würde es nochmal machen. Einzig negativ ist der mit einem Studium verbundene extrem hohe Aufwand. Dagegen ist die Vorbereitung für die CISSP-Prüfung ein Witz. Den persönlichen Aufwand sollte man am besten vor der Immatrikulation abschätzen. Einen Master gibt es weder ohne großen Aufwand noch umsonst. Wer neben einer Vollzeitstelle einen Master of Science in Security Management anstrebt, kann seiner Freizeit für einige Zeit lebe wohl sagen. Lohnen kann es sich natürlich trotzdem ;-).

Erfahrungen zum Studiengang Master of Science in Security Management an der FH Brandenburg – Teil 8: Vorkenntnisse

Leave a Comment

Im Studium werden bei den Studenten keine speziellen Vorkenntnisse voraus gesetzt. In allen Vorlesungen steigt man inhaltlich am Anfang ein und steigert sich mal mehr, mal weniger schnell. Soweit entspricht das auch den üblichen Erwartungen an ein Studium. Security Management ist vom Schwierigkeitsgrad ähnlich mit Wirtschaftsinformatik zu vergleichen.

Security Management wird an der FH Brandenburg ganzheitlich gelehrt, d.h. es handelt sich im Studium nicht primär um IT-Security. So werden alle Aspekte von IT-Security bis Gebäudesicherheit behandelt. Komplett ohne grundlegende IT-Kenntnisse wird es dennoch schwierig, bei Vorlesungen wie Netzwerksicherheit mitzuhalten. Wer z.B. den Unterschied von tcp zu udp kennt, wird in ein paar Fächern einen Vorteil besitzen. Voraussetzung für das Studium ist es aber nicht. Ich habe Studenten gesehen, die nicht wie viele aus der IT-Ecke kamen und das Studium trotzdem erfolgreich abgeschlossen haben. Man sollte sich also davon nicht abschrecken lassen.

Abgesehen von IT gibt es noch einen Bereich, in dem Vorkenntnisse helfen: Wissenschaftliches Arbeiten. Anscheinend – und ich nehme mein vorheriges Studium nicht aus – scheint das Schreiben wissenschaftlicher Arbeiten an manchen Hochschulen bzw. Studiengängen keine große Relevanz zu besitzen. Schlimm. In diesem Master-Studium muss man mindestens zwei wissenschaftliche Arbeiten schreiben: Semesterarbeit 1 und 2. Dazu kommt noch die Projektarbeit und bei mir eine umfangreiche Arbeit für die Vorlesung Recht. Man muss sich hier schon anstrengen, um bei seiner Master-Thesis immer noch grundlegende Fehler beim wissenschaftlichen Arbeiten zu machen. Wenn man das wissenschaftliche Schreiben bereits bei seinem Diplom oder Bachelor gelernt hat, wird das von Vorteil sein. Leider ist das meiner Erfahrung nach nicht die Regel.

Threema: Sichere Alternative zu WhatsApp

1 Comment

Nachdem Whistle.im ein gutes Beispiel dafür ist, wie man Verschlüsselungstechniken nicht in der Praxis umsetzt, scheint es hingegen bei Threema gelungen zu sein: Threema setzt eine Ende-zu-Ende-Verschlüsselung ein, bei der die kryptographischen Schlüssel auf dem Endgerät des Benutzers liegen. Die Entwickler von Whistle.im sind im Gegensatz dazu auf die wahnsinnige Idee gekommen, alle Schlüssel zentral auf ihren eigenen Servern zu speichern.

Threema ist leider nicht Open Source, sodass man nicht wie bei Whistle.im zur Analyse den kompletten Zugriff auf den  Quelltexts besitzt. Ausgehend von den offiziellen Informationen von Threema scheint das Sicherheitskonzept durchdacht zu sein. Threema generiert das eigene Schlüsselpaar lokal und geheime Schlüssel werden niemals übertragen. Besonders gut finde ich die drei verschiedenen Stufen, in denen die Echtheit des Absenders eingeteilt wird. Die höchste Sicherheitsstufe erreicht man, wenn man dem Absender zuvor persönlich begegnet ist und die beiden beteiligten Smartphones sich per QR-Code verifiziert haben. Ein persönliches Treffen ist jedoch nicht zwingend Voraussetzung für eine verschlüsselte Kommunikation.

Die verwendeten kryptographischen Verfahren dürften als sicher angesehen werden. Die schlimmsten Fehler entstehen im Einsatz von Krypto wie bei Whistle.im eher im grundsätzlichen Design einer Anwendung. Solange man nicht auf die blöde Idee kommt, kryptographische Verfahren selbst zu implementieren, sollte man auf der sicheren Seite sein. Das ist ohnehin weder bei Whistle.im noch bei Threema der Fall. Dafür ist die Sicherheit in Whistle.im broken by design.

Ausgehend von den vorliegenden Informationen, kann man Threema als sicher betrachten. Die Verschlüsselung wird eher nicht angreifbar sein. Der einzige offensichtlich mögliche Angriffsvektor besteht in der Applikation selbst: Ist sie nicht Open Source, lässt sich nur sehr schwer nachvollziehen, was im Hintergrund passiert. In wie weit man ihr vertraut, muss jeder selbst wissen. Sicherer als WhatsApp oder das security broken by design Whistle.im wird es sein.