Patrick Sauer - InfoSec Blog

Problem Driven Project Management: Agil war gestern!

7. August 2014 by Patrick Sauer Leave a Comment

Problem Driven Project Management ist eine moderne alternative zu agilen Projektmanagement-Methoden. Während im Wasserfallmodell noch alles von oben herab durchgeplant werden muss und selbst bei agilen Methoden noch iterative Planungen durchgeführt werden müssen, fällt der Punkt Planung beim problemgetriebenen Projektmanagement einfach weg. Durch die fehlende Planungsphase ergeben sich enorme Ressourcen- und damit auch Kosten-Einsparungen und … [Read more…]

Google, Du hast gewonnen: Ich nutze ab sofort Google Drive für meine Daten

6. August 2014 by Patrick Sauer Leave a Comment

Der Security-Spezialist in mir weigerte sich jahrelang Cloud-Dienste in größerem Umfang zu nutzen. Gibt man schließlich private Daten in die Cloud, gibt man die absolute Kontrolle darüber ab. Meine Meinung darüber hat sich nicht wesentlich geändert, ich habe nur kapituliert. Gegen die Geheimdienste bin ich ohnehin weitgehend machtlos und Krypto ist einfach für gewöhnliche private … [Read more…]

Wie wird man eigentlich Penetration Tester? (Update 2022)

1. August 2014 by Patrick Sauer 15 Comments

Einführung Ich wurde nun schon mehrmals gefragt, wie man eigentlich Penetration Tester wird und welche Vorgehensweise ich dazu empfehlen kann. Es gibt weder eine darauf spezialisierte Ausbildung noch ein darauf spezialisierter Studiengang. Ich möchte die Beantwortung der Frage von hinten aufziehen und zuerst die Frage beantworten, was ein guter Penetration Tester denn überhaupt können und … [Read more…]

Der Zertifikats-Kürzel-Irrsinn hinter dem Nachnamen

27. Juli 2014 by Patrick Sauer Leave a Comment

Aus Marketing-Gründen bin ich z.B. bei LinkedIn selbst nicht besser, trotzdem nervt es so etwas in Fachzeitschriften zu lesen (fiktives Beispiel): Der IT-Sicherheitsexperte Patrick Sauer, MSc, Diplom(FH), CISSP, CISM, OSCP, TISP, CPSSE, DSB-TÜV hat gestern mit seinem Kollegen Max Mustermann, PhD, MSc, CISSP, CISA, CISM und Frau Maxi Musterfrau, CISA, ISMS Auditor/Lead Auditor nach ISO/IEC … [Read more…]

Penetration Testing von IPv6-Netzwerken

26. Juli 2014 by Patrick Sauer Leave a Comment

Ein gewöhnliches IPv4-Netzwerk besteht nicht aus sonderlich vielen IP-Adressen. Ein /24er Block besteht aus 256 Adresse. Selbst bei einem wesentlich größerem /22 existieren nur 1.024 Adressen. Auch wenn nicht alle nutzbar sind (Network, Broadcast) bleiben wir einmal bei diesen Zahlen. Relativ am Anfang eines Penetrationstests einer IT-Infrastruktur bzw. einem Netzwerk steht die Identifizierung der Live-Hosts, … [Read more…]

Der Schwachpunkt PCI Compliance über SAQs

23. Juli 2014 by Patrick Sauer Leave a Comment

Grundsätzlich müssen alle Unternehmen PCI DSS erfüllen, die Kreditkartendaten bzw. Karteninhaberdaten weiterleiten, speichern oder in irgendeiner anderen Art und Weise verarbeiten. Dies bezieht sich insbesondere auf die vollständige PAN (Personal Account Number), d.h. der Kreditkartennummer sowie auf die weiteren Authentifizierungsdaten des Karteninhabers wie z.B. Prüfsumme und PIN. Die Anforderungen sind grundsätzlich für alle Unternehmen gleich. … [Read more…]

Deutschland entdeckt die Spionageabwehr

21. Juli 2014 by Patrick Sauer Leave a Comment

Wir schreiben das Jahr 1999. Die deutsche Regierung möchte ihre nachrichtendienstliche Abwehr aufrüsten: Jetzt soll in IT-Sicherheit investiert werden. Unser Außenministerium, unser Verteidigungsministerium und unser Justizministerium sollen ihre interne Kommunikation auf Sicherheitsmängel prüfen lassen. Und als besondere Maßnahme will der NSA-Ausschuss eine Schreibmaschine zur Spionageabwehr nutzen. Moment. NSA-Ausschuss? Wir sind ja schon in 2014. Macht … [Read more…]

Wahlpflichtfach „PCI DSS“ an der FH Brandenburg im Studiengang Security Management

26. Juni 2014 by Patrick Sauer Leave a Comment

Ich hatte vor einigen Monaten der Studiengangsleitung vom Master-Studiengang Security Management (Fachhochschule Brandendburg) angeboten, ein Wahlpflichtfach über den Payment Card Industry Data Security Standard (PCI DSS) zu halten. Das wurde nun angenommen und so wie es aussieht, soll es im nächsten Wintersemester im Dezember als Blockveranstaltung stattfinden. Ich hoffe, dass es klappt und freue mich … [Read more…]

Nervige Personalagenturen: Projektangebote als PHP- oder Python-Entwickler bei IT-Sicherheitsexperten

17. Juni 2014 by Patrick Sauer Leave a Comment

Liebe Personalagenturen, ich bin Information Security Consultant. Ich bin kein PHP- und/oder Python-Entwickler. Wie viele andere IT-Professionals kann ich Software programmieren bzw. entwickeln. Auch in den Programmiersprachen PHP und Python. Ich bin dennoch kein Entwickler. Trotzdem bekomme ich regelmäßig per E-Mail-Anfragen als Freelancer für PHP bzw. Python, nur weil ich diese in meinem Profil unter … [Read more…]

Vortrag beim T.I.S.P Community Meeting 2014 in Berlin

13. Juni 2014 by Patrick Sauer Leave a Comment

Ich hatte einen Vortrag für das T.I.S.P Community Meeting 2014 in Berlin eingereicht. Er wurde akzeptiert und ist nun auch im offiziellen Programm. Ich werde über die Schwächen im PCI DSS (Payment Card Industry Data Security Standard) referieren. Am Montag 03.11.14 um 14:00 Uhr auf dem T.I.S.P. Community Meeting 2014. Ich hoffe auf zahlreiche Zuhörer … [Read more…]

Patrick Sauer & Dominik Sauer

Author: Patrick Sauer