Ich finde das Video „Benefits of being a CISSP” ist eine schöne selbstironische Darstellung und Kritik an der CISSP-Zertifizierung. Sehenswert! Insbesondere für alle CISSP, die sich selbst zu wichtig nehmen. Der CISSP ist eine gute Zertifizierung zum Nachweis der eigenen Kompetenz und Erfahrung im Sicherheitsumfeld. Aber auch nicht mehr.
Heise Security hat E-Mail Provider auf die Unterstützung der Verschlüsselungsoption „Forward Secrecy“ untersucht. Forward Secrecy sorgt dafür, dass verschlüsselter Datenverkehr in SSL/TLS nachträglich nicht entschlüsselt werden kann, wenn man an den geheimen Schlüssel des Servers kommt. Ohne Forward Secrecy kann nachträglich unter Umständen der gesamte Datenverkehr im Nachhinein entschlüsselt werden. Die Mail-Provider der „E-Mail Made … [Read more…]
An vielen Universitäten und Fachhochschulen wird das Thema IT-Security in Informatikstudiengängen vernachlässigt. Man kann heute immer noch Informatik oder Wirtschaftsinformatik studieren, ohne eine Vorlesung in IT-Security oder Security Management gehört zu haben. Die Hochschulen verschlafen die steigende Bedrohungslage. Dafür produzieren sie immer noch Studenten, die PHP-Anwendungen schreiben, die keine grundlegende Eingabevalidierung besitzen. Die üblichen Schwachstellen … [Read more…]
Das Projekt „E-Mail Made in Germany“ ist ein schönes Beispiel für gutes Marketing. Die größeren Provider nutzen nun TLS zur verschlüsselten Datenübertrag zwischen einzelnen Mail-Servern. Mich würde interessieren, ob es vorher auch so war oder ob es nun wirklich neu ist. Die Technik an sich ist zumindest gar nicht neu. Und die deutschen Provider sind … [Read more…]
In einem gewöhnlichen IPv4-Netz existieren nicht sehr viele IP-Adressen. Ein paar Hundert. Vielleicht auch ein paar Tausend. Es ist relativ unproblematisch diese kleinen Mengen an möglichen Adressen innerhalb eines Netzwerks auf die Erreichbarkeit von verschiedenen Diensten zu prüfen. Für einen Black Box Penetration Test reicht es also aus, wenn der Penetration Tester nur den Netzbereich … [Read more…]
Auditoren für PCI DSS werden als QSA (Qualified Security Assessor) bezeichnet. Um QSA zu werden und PCI Audits durchzuführen, müssen die jeweiligen Personen verschiedene Anforderungen erfüllen. Zwingend benötigen sie ausreichend Berufserfahrung und in der Regel eine Zertifizierung als CISSP, CISA oder CISM. Ich bin in den letzten Jahren einigen Auditoren begegnet, ehemaligen und aktiven. Teilweise … [Read more…]
Im ersten Semester gab es folgende Veranstaltungen: Grundlagen sicherer Kommunikation Kryptographie Netzwerksicherheit Recht Grundlagen Security Management Semesterarbeit 1 Als Wahlpflichtfächer habe ich IT-Forensik und Non-Proliferation gehört. Besonders gut gefallen haben mir davon die beiden Wahlpflichtfächer sowie Grundlagen Security Management. Die restlichen Vorlesungen waren nicht schlecht, stachen aber auch nicht hervor. Von allen Vorlesungen war der … [Read more…]
Der Payment Card Industry Data Security Standard 2.0 schreibt die Änderung von Benutzerpasswörtern alle 90 Tage vor: “8.5.9 Change user passwords at least every 90 days.” Meistens sehe ich in der Praxis folgende Typen von Nutzern: Der Nutzer benutzt einen Password-Safe wie z.B. Keepass und er generiert regelmäßig neue Passwörter. Der Nutzer muss sich das … [Read more…]
Ich stehe kurz vor dem Abschluss Master of Science in Security Management und warte nur noch auf den Termin zur Verteidigung meiner Master-Thesis. Ich möchte in mehreren Blog-Einträgen meine gemachten Erfahrungen und Empfehlungen weitergeben. Den Studiengang Security Management gibt es an der Fachhochschule Brandenburg seit dem Wintersemester 2006/2007 und ist in Deutschland auch 2013 immer … [Read more…]
Mittlerweile scheint allgemein bekannt zu sein, dass die NSA in der Lage ist große Datenmengen abzugreifen und zu analysieren. Und nun Achtung: Sie macht das wahrscheinlich auch. Was ist daran jetzt neu? Vorher dachte man es sich oder vermutete es, heute weiß man es mit höherer Wahrscheinlichkeit. Also eigentlich nichts neues. In der Presse ist … [Read more…]
