Nachdem ich letztens wieder eine Stellenanzeige für einen Penetration Tester gesehen habe, die eine CISSP-Zertifizierung fordert, möchte ich dazu ein paar Worte verlieren. Die Kurzform: Der CISSP hat nichts mit Penetration Testing oder Ethical Hacking zu tun. Absolut nichts. Im Gegensatz zum CISM (Certified Information Security Manager) ist der CISSP (Certified Information Systems Security Professional) … [Read more…]
PCI DSS besteht primär aus sinnvollen Best Practices, wenn man mit sensiblen Informationen arbeitet. Dennoch hat er keinen guten Ruf. Er kann Prozesse verkomplizieren, er fordert Investitionen und kostet in Augen vieler Verantwortlicher erst einmal Geld. Aber wo würde die Industrie ohne den Standard stehen? Ich vermute ohne PCI DSS wäre die Zahlung per Kreditkarte … [Read more…]
Ich bin fertig. War es viel Aufwand? Ja! Hat es sich gelohnt? Ja! Ich kann das Studium empfehlen. Die Atmosphäre ist erfrischend gut und die Jahrgänge waren bisher überschaubar klein. Als einzigartig empfand ich das Miteinander zwischen Studenten und Professoren. Gab es auch schlechte Seiten? Natürlich. Nichts ist perfekt und Hochschulen sind manchmal eben Hochschulen. … [Read more…]
Nach der Abgabe der Thesis kommt die Verteidigung. Der Ablauf war relativ simpel: Eine Präsentation und danach kritische Fragen beantworten. Und kritische Fragen stellen können sie. Im Gegensatz zur Verteidigung meiner Diplomarbeit durfte ich ein kleines Publikum begrüßen. Ich war positiv überrascht, dass sich doch ein paar Interessierte neben den beiden Gutachtern eingefunden haben. Für … [Read more…]
Juchu, fertig! Die letzten Jahre wurden belohnt und ich habe nun nach meinem Diplom einen weiteren akademischen Grad, den „Master of Science in Security Management“.
In den Medien verbreitet sich die Meldung, dass selbst Verschlüsselung gegen die Überwachung der NSA nicht hilft. Das ist falsch. Mal abgesehen davon, dass genaue Informationen gar nicht bekannt sind, wird auch die NSA als sicher anerkannte kryptographische Verfahren nicht brechen können. Die Verfahren auf dem Niveau von RSA und AES sind weiterhin sicher und … [Read more…]
Heute wurde ich vom TÜV Süd als „Datenschutzbeauftragter DSB-TÜV“ zertifiziert. Die vorherige Schulung war interessant und sehr gut. Obwohl der Stoff – das BDSG – sehr trocken ist, wurden die relevanten Inhalte gut vermittelt. Ich bin zufrieden und kann den Kurs uneingeschränkt weiterempfehlen.
Sicherheit kostet Geld. Es gibt leider nur wenige Ausnahmen. Entweder kosten Maßnahmen direkt Geld oder sie reduzieren die Effizienz eines Unternehmens. Dabei spielt es weniger eine Rolle, ob es sich um organisatorische oder technische Maßnahmen handelt. Die Einführung und Einhaltung von Prozessen wie zum Beispiel Code-Reviews verbessern zwar die Software-Qualität, erhöhen aber auch den Aufwand. … [Read more…]
Seit diesem Monat sind Hinweise zu den Änderungen von PCI DSS 2.0 zu PCI DSS 3.0 online. Ankündigungen von gravierenden Änderungen konnte ich dort nicht lesen, auch wenn der Standard selbst noch nicht final veröffentlicht wurde. Es sollen ein paar neue Anforderungen aufgenommen werden. Zudem wird PCI DSS 3.0 zukünftig in ein paar Punkten mehr … [Read more…]
Im dritten Semester steht die Abschlussarbeit an: Die Master-Thesis. Ansonsten war das Semester unspektakulär und ohne Vorlesungen. Ich konnte mich mit einem Thema beschäftigen, das ich immer noch spannend finde: „Messung von Informationssicherheit“ Wann ist etwas sicher und wie kann ich es messen?
