Sicherheit kostet Geld. Es gibt leider nur wenige Ausnahmen. Entweder kosten Maßnahmen direkt Geld oder sie reduzieren die Effizienz eines Unternehmens. Dabei spielt es weniger eine Rolle, ob es sich um organisatorische oder technische Maßnahmen handelt. Die Einführung und Einhaltung von Prozessen wie zum Beispiel Code-Reviews verbessern zwar die Software-Qualität, erhöhen aber auch den Aufwand. … [Read more…]
Seit diesem Monat sind Hinweise zu den Änderungen von PCI DSS 2.0 zu PCI DSS 3.0 online. Ankündigungen von gravierenden Änderungen konnte ich dort nicht lesen, auch wenn der Standard selbst noch nicht final veröffentlicht wurde. Es sollen ein paar neue Anforderungen aufgenommen werden. Zudem wird PCI DSS 3.0 zukünftig in ein paar Punkten mehr … [Read more…]
Im dritten Semester steht die Abschlussarbeit an: Die Master-Thesis. Ansonsten war das Semester unspektakulär und ohne Vorlesungen. Ich konnte mich mit einem Thema beschäftigen, das ich immer noch spannend finde: „Messung von Informationssicherheit“ Wann ist etwas sicher und wie kann ich es messen?
Wer kein „CISSP-Bootcamp“ für mehrere Tausend Euro besuchen möchte, dem empfehle ich folgende Vorbereitung: 1. Kaufen, Lesen und Verstehen von den beiden Büchern: CISSP All-in-One Exam Guide von Shon Harris CISSP: Certified Information Systems Security Professional Study Guide von James M. Stewart 2. Zusätzlich finde ich die offiziellen Testfragen vom Isc² absolut lohnenswert: https://www.expresscertifications.com/ISC2/Catalog.aspx. Der … [Read more…]
Um Audits erfolgreich und möglichst schnell abzuwickeln, benötigt man einen guten Auditor, der viel Erfahrung im Bereich Security besitzt und auch vor technischen Diskussionen nicht zurückschreckt. eine interne zuständige Person, die PCI DSS kennt, versteht und ausreichend Erfahrung mit dem Standard hat. Idealerweise einen CISO mit sehr starkem technischen Hintergrund. Alternativ einfach das Know-How von … [Read more…]
Wer PCI DSS nicht kennt, aber plötzlich davon betroffen ist, sollte sich das Dokument Navigating PCI DSS von der offiziellen Website des PCI Security Standards Council herunterladen. Es lohnt sich. Im eigentlichen PCI DSS Dokument werden nur Anforderungen und Testprozeduren definiert. In Navigating PCI DSS wird erklärt, was überhaupt mit den einzelnen Anforderungen erreicht werden … [Read more…]
Wie schreibt man unsichere Software? Nichts einfacher als das: Anforderungen an die Software nicht schriftlich festhalten. Somit kann man auch gar nicht in die Verlegenheit kommen, Sicherheitsanforderungen definieren zu müssen. Tests sind etwas für Weicheier. Ohne Sicherheitsanforderungen braucht man Sicherheit ohnehin nicht zu testen. Sie ist schließlich kein zwingender Bestandteil einer Software. Code-Review ist viel … [Read more…]
Ob sich das Studium lohnt, hängt natürlich vom individuellen Fall ab. Ich versuche die Fragestellung von der anderen Seite anzugehen. Für wen lohnt es sich nicht? Für alle, die einen CISSP, CISM, CISA, TISP usw. besitzen und keinen Master als weiteren Abschluss benötigen. Es ist ganz klar, auch ein aufbauendes Studium richtet sich nicht an … [Read more…]
Im Studium werden bei den Studenten keine speziellen Vorkenntnisse voraus gesetzt. In allen Vorlesungen steigt man inhaltlich am Anfang ein und steigert sich mal mehr, mal weniger schnell. Soweit entspricht das auch den üblichen Erwartungen an ein Studium. Security Management ist vom Schwierigkeitsgrad ähnlich mit Wirtschaftsinformatik zu vergleichen. Security Management wird an der FH Brandenburg … [Read more…]
Nachdem Whistle.im ein gutes Beispiel dafür ist, wie man Verschlüsselungstechniken nicht in der Praxis umsetzt, scheint es hingegen bei Threema gelungen zu sein: Threema setzt eine Ende-zu-Ende-Verschlüsselung ein, bei der die kryptographischen Schlüssel auf dem Endgerät des Benutzers liegen. Die Entwickler von Whistle.im sind im Gegensatz dazu auf die wahnsinnige Idee gekommen, alle Schlüssel zentral … [Read more…]
