Patrick Sauer – Seite 17 – InfoSec Blog | Patrick Sauer & Dominik Sauer

Das Image von PCI DSS

14. September 2013 by Patrick Sauer Leave a Comment

PCI DSS besteht primär aus sinnvollen Best Practices, wenn man mit sensiblen Informationen arbeitet. Dennoch hat er keinen guten Ruf. Er kann Prozesse verkomplizieren, er fordert Investitionen und kostet in Augen vieler Verantwortlicher erst einmal Geld. Aber wo würde die Industrie ohne den Standard stehen? Ich vermute ohne PCI DSS wäre die Zahlung per Kreditkarte im Internet nicht so weit verbreitet. Keine Endkunde würde mehr der Kreditkarte als Online-Zahlungsmittel vertrauen, wenn er regelmäßig von seinem Issuer eine neue Karte erhalten würde, nachdem die vorherige kompromittiert wurde.

Der Standard scheint sein Ziel der Vertraulichkeit von Karteninhaberdaten gut zu erreichen: So wurden erst kürzlich bei Vodafone personenbezogene Daten gestohlen, auch Kontodaten. Aber keine Kreditkartendaten.

Der PCI DSS benötigt ein besseres Image.

Erfahrungen zum Studiengang Master of Science in Security Management an der FH Brandenburg – Teil 12: Fertig!

12. September 2013 by Patrick Sauer Leave a Comment

Ich bin fertig. War es viel Aufwand? Ja! Hat es sich gelohnt? Ja!

Ich kann das Studium empfehlen. Die Atmosphäre ist erfrischend gut und die Jahrgänge waren bisher überschaubar klein. Als einzigartig empfand ich das Miteinander zwischen Studenten und Professoren.

Gab es auch schlechte Seiten? Natürlich. Nichts ist perfekt und Hochschulen sind manchmal eben Hochschulen. Aber in diesem Studiengang können sich ohnehin keine frischen Erstsemester einschreiben, somit sollte es für niemanden eine Überraschung sein. Ich habe mit den anderen Studiengängen der FH Brandenburg keine Erfahrung gesammelt, aber die Professoren vom SecMan (Master of Science in Security Management) setzten sich stets für ihre Studenten ein. Das ist leider nicht selbstverständlich.

Zum Abschluss möchte ich noch Prof. Dr. Friedrich Holl für die Betreuung meiner Abschlussarbeit sowie Prof. Dr. Sachar Paulus für die exzellenten Vorlesungen danken: Danke!

Erfahrungen zum Studiengang Master of Science in Security Management an der FH Brandenburg – Teil 11: Die Verteidigung

11. September 2013 by Patrick Sauer Leave a Comment

Nach der Abgabe der Thesis kommt die Verteidigung. Der Ablauf war relativ simpel: Eine Präsentation und danach kritische Fragen beantworten. Und kritische Fragen stellen können sie. Im Gegensatz zur Verteidigung meiner Diplomarbeit durfte ich ein kleines Publikum begrüßen. Ich war positiv überrascht, dass sich doch ein paar Interessierte neben den beiden Gutachtern eingefunden haben. Für eine interne Diskussion zogen sich die beiden zurück und teilten mir dann die Bewertungen mit.

Master of Science in Security Management

9. September 2013 by Patrick Sauer Leave a Comment

Juchu, fertig! Die letzten Jahre wurden belohnt und ich habe nun nach meinem Diplom einen weiteren akademischen Grad, den „Master of Science in Security Management“.

Sichere Verschlüsselung kann die NSA nicht knacken

6. September 2013 by Patrick Sauer Leave a Comment

In den Medien verbreitet sich die Meldung, dass selbst Verschlüsselung gegen die Überwachung der NSA nicht hilft. Das ist falsch. Mal abgesehen davon, dass genaue Informationen gar nicht bekannt sind, wird auch die NSA als sicher anerkannte kryptographische Verfahren nicht brechen können. Die Verfahren auf dem Niveau von RSA und AES sind weiterhin sicher und nicht zu knacken. Die Möglichkeiten auch der NSA sind begrenzt. Hunderte oder Tausende Mathematiker und Kryptologen irren nicht. Eher scheitern die Medien an einer sachlichen Berichterstattung bei diesem schwierigen Thema.

Dennoch sind die Möglichkeiten der NSA enorm. Sie werden mindestens auf folgende Möglichkeiten besitzen:

Einholung kryptographischer Schlüssel von Firmen in den USA
Brechen unsicherer kryptographischen Verfahren
Aufkauf und Suche nach Sicherheitslücken

Die drei Punkte haben natürlich weittragende Konsequenzen, sind aber in Kreisen der IT-Security auch nichts neues. Der erste Punkt ist nur eine logische Konsequenz und dass man unsichere Verschlüsselungsverfahren brechen kann, ist nun wirklich keine Nachricht wert. Man kann natürlich auch Sicherheitslücken in Software suchen und/oder auf dem Schwarzmarkt einkaufen. Das ist auch nichts neues und es wäre eher verwunderlich, wenn Geheimdienste diese Möglichkeit nicht nutzen würden.

Offen bleibt jedoch die Frage, ob die NSA über bewusste Backdoors in Betriebssystemen und Software verfügt. Möglich ist alles. Ob es wahrscheinlich ist? Ich persönlich bezweifle es. Sicherheitslücken und Backdoors lassen sich in Open-Source-Software schwer verstecken und selbst bei reinen Closed-Source-Software-Produkten wie Windows können Sie sich finden lassen. Schwierig, aber nicht unmöglich. Bisher wurde von keinem Fall bekannt, der auch bestätigt ist. Sodass man eigentlich davon ausgehen muss, dass man bei einem Einsatz von z.B. Windows weiterhin auf der sicheren Seite ist.

Anders sehe ich es bei dem Themenfeld HSM (Hardware Security Modul), bei denen Verschlüsselung in Hardwarekomponenten durchgeführt wird. Hier gestalten sich die Analyse und der Nachweis von bewussten Lücken noch schwieriger. Wer ausreichend Paranoid ist, sollte den Einsatz von amerikanischen HSM-Produkten überdenken. Für den Privatmenschen spielt dieser Bereich jedoch keine Rolle.

Verschlüsselung ist sinnvoll. Daran kann auch die NSA nichts ändern.

Zertifizierung als Datenschutzbeauftragter DSB-TÜV

6. September 2013 by Patrick Sauer Leave a Comment

Heute wurde ich vom TÜV Süd als „Datenschutzbeauftragter DSB-TÜV“ zertifiziert. Die vorherige Schulung war interessant und sehr gut. Obwohl der Stoff – das BDSG – sehr trocken ist, wurden die relevanten Inhalte gut vermittelt. Ich bin zufrieden und kann den Kurs uneingeschränkt weiterempfehlen.

Sicherheit kostet Geld

31. August 2013 by Patrick Sauer Leave a Comment

Sicherheit kostet Geld. Es gibt leider nur wenige Ausnahmen. Entweder kosten Maßnahmen direkt Geld oder sie reduzieren die Effizienz eines Unternehmens. Dabei spielt es weniger eine Rolle, ob es sich um organisatorische oder technische Maßnahmen handelt. Die Einführung und Einhaltung von Prozessen wie zum Beispiel Code-Reviews verbessern zwar die Software-Qualität, erhöhen aber auch den Aufwand. Technische Maßnahmen wie Firewalls müssen nicht nur angeschafft werden, sondern auch betreut werden. Auch möglichen Maßnahmen im Bereich Security Awareness stehen direkte und indirekte Kosten entgegen. Sicherheit gibt es nicht kostenlos.

Die Frage ist letztendlich nur, wie viel ein Unternehmen in Sicherheit investieren muss, damit es sich in einer akzeptierbaren Risikosituation befindet. Die Entscheidung obliegt hier immer der Geschäftsleitung. Ein offener Umgang mit dem Thema von direkten und indirekten Kosten möglicher Sicherheitsmaßnahmen sorgt für eine transparentere Entscheidungsvorlage. Wer dies als Sicherheitsspezialist verschweigt, wird es später als Bumerang zurückbekommen.

PCI DSS 3.0 steht vor der Tür

25. August 2013 by Patrick Sauer Leave a Comment

Seit diesem Monat sind Hinweise zu den Änderungen von PCI DSS 2.0 zu PCI DSS 3.0 online. Ankündigungen von gravierenden Änderungen konnte ich dort nicht lesen, auch wenn der Standard selbst noch nicht final veröffentlicht wurde. Es sollen ein paar neue Anforderungen aufgenommen werden. Zudem wird PCI DSS 3.0 zukünftig in ein paar Punkten mehr Erläuterungen und Klarstellungen enthalten, sowie Veränderungen der Bedrohungslage aufnehmen. Interessant finde ich die Ankündigung, dass die Regelungen zur Passwortkomplexität etwas flexibler werden sollen:

„Provided increased flexibility in password strength and complexity to allow for variations that are equivalent”

Der neue PCI DSS 3.0 soll im November veröffentlicht werden. Für Unternehmen wird eine Zertifizierung nach dem alten Standard noch bis Ende 2014 möglich sein, sodass ausreichend Zeit vorhanden ist, um eventuelle Änderungen an Prozessen und Infrastruktur vorzunehmen.

Erfahrungen zum Studiengang Master of Science in Security Management an der FH Brandenburg – Teil 10: 3. Semester, die Master-Thesis.

24. August 2013 by Patrick Sauer Leave a Comment

Im dritten Semester steht die Abschlussarbeit an: Die Master-Thesis. Ansonsten war das Semester unspektakulär und ohne Vorlesungen. Ich konnte mich mit einem Thema beschäftigen, das ich immer noch spannend finde: „Messung von Informationssicherheit“ Wann ist etwas sicher und wie kann ich es messen?

Tipps zur Vorbereitung auf die CISSP-Prüfung

24. August 2013 by Patrick Sauer 5 Comments

Wer kein „CISSP-Bootcamp“ für mehrere Tausend Euro besuchen möchte, dem empfehle ich folgende Vorbereitung:

1. Kaufen, Lesen und Verstehen von den beiden Büchern:

CISSP All-in-One Exam Guide von Shon Harris
CISSP: Certified Information Systems Security Professional Study Guide von James M. Stewart

2. Zusätzlich finde ich die offiziellen Testfragen vom Isc² absolut lohnenswert: https://www.expresscertifications.com/ISC2/Catalog.aspx. Der Zugang zu allen Testfragen kostet zwar insgesamt $289, dafür sind sie aber auf demselben Niveau wie die Fragen in der Prüfung. Fragen aus Büchern sind meiner Meinung nach damit nicht vergleichbar.

Mein Tipp: Die Fragen ordern und durcharbeiten. Danach die beiden Bücher lesen und den Stoff bearbeiten. Abschließend die Fragen so oft durchgehen, bis man zumindest dort alle richtig beantworten kann.

Blog - IT Security - Pentest - Fun

Author: Patrick Sauer