Patrick Sauer - Pentesting Blog | Patrick Sauer & Dominik Sauer

Tipps zur Vorbereitung auf die CISSP-Prüfung

24. August 2013 by Patrick Sauer 5 Comments

Wer kein „CISSP-Bootcamp“ für mehrere Tausend Euro besuchen möchte, dem empfehle ich folgende Vorbereitung: 1. Kaufen, Lesen und Verstehen von den beiden Büchern: CISSP All-in-One Exam Guide von Shon Harris CISSP: Certified Information Systems Security Professional Study Guide von James M. Stewart 2. Zusätzlich finde ich die offiziellen Testfragen vom Isc² absolut lohnenswert: https://www.expresscertifications.com/ISC2/Catalog.aspx. Der … [Read more…]

Erfolgsfaktoren für den PCI DSS Audit und die Zertifizierung

22. August 2013 by Patrick Sauer Leave a Comment

Um Audits erfolgreich und möglichst schnell abzuwickeln, benötigt man einen guten Auditor, der viel Erfahrung im Bereich Security besitzt und auch vor technischen Diskussionen nicht zurückschreckt. eine interne zuständige Person, die PCI DSS kennt, versteht und ausreichend Erfahrung mit dem Standard hat. Idealerweise einen CISO mit sehr starkem technischen Hintergrund. Alternativ einfach das Know-How von … [Read more…]

Navigating PCI DSS

22. August 2013 by Patrick Sauer Leave a Comment

Wer PCI DSS nicht kennt, aber plötzlich davon betroffen ist, sollte sich das Dokument Navigating PCI DSS von der offiziellen Website des PCI Security Standards Council herunterladen. Es lohnt sich. Im eigentlichen PCI DSS Dokument werden nur Anforderungen und Testprozeduren definiert. In Navigating PCI DSS wird erklärt, was überhaupt mit den einzelnen Anforderungen erreicht werden … [Read more…]

Wie man unsichere Software schreibt

21. August 2013 by Patrick Sauer Leave a Comment

Wie schreibt man unsichere Software? Nichts einfacher als das: Anforderungen an die Software nicht schriftlich festhalten. Somit kann man auch gar nicht in die Verlegenheit kommen, Sicherheitsanforderungen definieren zu müssen. Tests sind etwas für Weicheier. Ohne Sicherheitsanforderungen braucht man Sicherheit ohnehin nicht zu testen. Sie ist schließlich kein zwingender Bestandteil einer Software. Code-Review ist viel … [Read more…]

Erfahrungen zum Studiengang Master of Science in Security Management an der FH Brandenburg – Teil 9: Lohnt sich das Studium?

21. August 2013 by Patrick Sauer Leave a Comment

Ob sich das Studium lohnt, hängt natürlich vom individuellen Fall ab. Ich versuche die Fragestellung von der anderen Seite anzugehen. Für wen lohnt es sich nicht? Für alle, die einen CISSP, CISM, CISA, TISP usw. besitzen und keinen Master als weiteren Abschluss benötigen. Es ist ganz klar, auch ein aufbauendes Studium richtet sich nicht an … [Read more…]

Erfahrungen zum Studiengang Master of Science in Security Management an der FH Brandenburg – Teil 8: Vorkenntnisse

20. August 2013 by Patrick Sauer Leave a Comment

Im Studium werden bei den Studenten keine speziellen Vorkenntnisse voraus gesetzt. In allen Vorlesungen steigt man inhaltlich am Anfang ein und steigert sich mal mehr, mal weniger schnell. Soweit entspricht das auch den üblichen Erwartungen an ein Studium. Security Management ist vom Schwierigkeitsgrad ähnlich mit Wirtschaftsinformatik zu vergleichen. Security Management wird an der FH Brandenburg … [Read more…]

Threema: Sichere Alternative zu WhatsApp

20. August 2013 by Patrick Sauer 1 Comment

Nachdem Whistle.im ein gutes Beispiel dafür ist, wie man Verschlüsselungstechniken nicht in der Praxis umsetzt, scheint es hingegen bei Threema gelungen zu sein: Threema setzt eine Ende-zu-Ende-Verschlüsselung ein, bei der die kryptographischen Schlüssel auf dem Endgerät des Benutzers liegen. Die Entwickler von Whistle.im sind im Gegensatz dazu auf die wahnsinnige Idee gekommen, alle Schlüssel zentral … [Read more…]

Whistle.im ist unsicher

19. August 2013 by Patrick Sauer Leave a Comment

Whistle.im soll eine sichere Alternative zu WhatsApp sein. Whistle wirbt mit der Aussage: „Sichere Sofortnachrichten. Made in Germany.“ Wir wissen ja auch dank Wirtschaftsminister Rösler, dass wir bei Verschlüsselungstechnologien einen technischen Vorsprung besitzen. Leider ist es total blöd, dass sich jemand mit Know-How Whistle angesehen hat: Die Jungs vom CCC Hannover. Sofern die beschriebene Analyse … [Read more…]

PCI DSS Requirement 8.5.9 bei Endkundenzugängen

19. August 2013 by Patrick Sauer Leave a Comment

Die PCI DSS Anforderung 8.5.9 besagt, dass Benutzerpasswörter mindestens alle 90 Tage gewechselt werden müssen. Unter Requirement 8 existiert jedoch eine Notiz im Standard, die den Umfang der Anwendbarkeit präzisiert: „Note: These requirements are applicable for all accounts, including point of sale accounts, with administrative capabilities and all accounts used to view or access cardholder … [Read more…]

Erfahrungen zum Studiengang Master of Science in Security Management an der FH Brandenburg – Teil 7: Der E-Mail-Verteiler

18. August 2013 by Patrick Sauer Leave a Comment

Ich bekomme eigentlich genug E-Mails, privat sowie beruflich. Auch über SPAM kann ich mich nicht beschweren, meine Filter haben genug zu tun. Sobald man an der FH Brandenburg studiert, erhöht sich das Mailaufkommen nochmals. Und zwar subjektiv gefühlt enorm. Es kommen regelmäßig Mails in das eigene Postfach, z.B. über: AStA-Sitzung am xx.xx.2013 um 13:00 Uhr … [Read more…]

Experten aus dem binsec-Universum

Author: Patrick Sauer