Author: Patrick Sauer

Der sinnlose Hype um E-Mail-Verschlüsselung gegen PRISM

Leave a Comment

Mittlerweile scheint allgemein bekannt zu sein, dass die NSA in der Lage ist große Datenmengen abzugreifen und zu analysieren. Und nun Achtung: Sie macht das wahrscheinlich auch. Was ist daran jetzt neu? Vorher dachte man es sich oder vermutete es, heute weiß man es mit höherer Wahrscheinlichkeit. Also eigentlich nichts neues.

In der Presse ist es nun ein Skandal, dass ein ausländischer Geheimdienst auf seinem Grund und Boden im Geheimen die Kommunikation anderer abhört. Als Resultat wird nun in der  Presse (z.B. in SPIEGEL Online) Verschlüsselungstools wie OpenPGP empfohlen. Damit soll man nun am besten seine Mails verschlüsseln, damit PRISM, TEMPORA & Co diese nicht mehr „mitlesen“ können. Der Sicherheitswelt frohlockt: Danke für die Security Awareness Maßnahme!

Leider wird nicht erwähnt, dass die ausreichend interessanten Verbindungsdaten nicht verschlüsselt werden. Das geht technisch ohnehin nicht. Damit wissen die Geheimdienste immer noch, wer mit wem wann E-Mail-Verkehr hat. Da hilft auch Krypto nicht. Richtig absurd wird das Thema, wenn man seine persönlichen Bilder weiterhin auf Facebook oder Google+ postet.

Tools wie OpenPGP sind top um wirklich vertrauenswürdige Daten auszutauschen. Die Einladung zur nächsten Feier zu verschlüsseln, die nebenbei noch auf Facebook gepostet wird, ist total sinnlos. E-Mails sind wie Postkarten. Niemand regt sich darüber auf, dass der Briefträger und viele andere die Urlaubsgrüße lesen können. Aber bei der E-Mail ist es ein Skandal.

Der Vergleich: CISSP vs. TISP

Leave a Comment

Welche Zertifizierung soll man als IT-Security-Spezialist anstreben: CISSP oder T.I.S.P.?

Merkmale vom CISSP:

  • Höhere Anforderungen an die Berufserfahrung, in der Regel 5 Jahre.
  • Die Berufserfahrung und grundlegende fachliche Qualifikation muss von einem anderen CISSP (es gibt Ausnahmen) bestätigt werden
  • International ausgerichtet; die Ausrichtung auf amerikanische Gesetze nimmt oder nahm bereits ab.
  • Beinhaltet Aspekte zur sicheren Softwareentwicklung.
  • Ist international anerkannt.
  • Die Vorbereitung zur Prüfung ist jedem Prüfling selbst überlassen. Eine Schulung ist kein muss.
  • Ist grundsätzlich thematisch umfangreicher.
  • Es muss zur Erhalt der Zertifizierung eine stetige Weiterbildung nachgewiesen werden.
  • Der CISSP ist ISO 17024:2003 akkreditiert.

Merkmale vom T.I.S.P.

  • Geringere Anforderungen an die Berufserfahrung, nur 3 Jahre.
  • Nur in Deutschland anerkannt (oder vielleicht auch im sonstigen DACH-Raum).
  •  Schulung ist zwingend erforderlich.
  • Aktuell drei Schulungsanbieter: Frauenhofer SIT, secorvo und isits.
  • Leichte Ausrichtung auf „deutsche Themen“ wie BSI, BDSG usw.
  • Keine Aspekte zur sicheren Softwareentwicklung.
  • Auch hier muss zum Erhalt der Zertifizierung ein aber etwas geringerer Weiterbildungsaufwand nachgewiesen werden.
  • Zusätzlich muss einmal alle drei Jahre ein TISP-Community-Meeting besucht werden.
  • Eine Akkreditierung nach ISO 17024:2003 ist nicht vorhanden.

Nachdem ich beide Zertifizierungen halte, würde ich den CISSP dem TISP vorziehen. Die Internationalität schlägt klar die wenigen speziell deutschen Themen vom TISP. Das BDSG & Co kann man sich auch zusätzlich zum CISSP als Einschlaflektüre zu Gemüte ziehen. Auch finde ich es vorteilhaft, wenn man nicht zwingend einen Vorbereitungskurs besuchen muss, wie es beim TISP notwendig ist. Je nach eigenem Kenntnisstand und Berufserfahrung kann das reine Zeit- und Geldverschwendung sein. Vorteilhaft ist meiner Ansicht nach der TISP nur, wenn man nicht die für den CISSP notwendige Berufserfahrung besitzt und ohnehin gerne einen Kurs besuchen möchte oder muss. Zumal die Vorbereitungskurse zum TISP günstiger als die CISSP-Bootcamps sind.

Erfahrungen zur CISM-Prüfung

Leave a Comment

Ich hatte vor ein paar Wochen die CISM-Prüfung abgelegt und nun das Ergebnis erhalten: Bestanden mit 563 Punkten. Insbesondere nachdem ich für die Prüfung weniger als die Hälfte der Zeit – unter 2 von 4 Stunden – benötigt hatte, bin ich mit dem Ergebnis sehr zufrieden.

Meine Vorbereitung zur Prüfung bestand aus dem  CISM Review Manual 2013 und der CISM Practice Question Database v13. Ich finde das Review Manual sehr trocken geschrieben und es ist bei mir nach dem ersten Querlesen wieder im Schrank verschwunden. Das Review Manual kann ich nicht empfehlen. Wesentlich hilfreicher war für mich die CISM Practice Question Database, sodass sich meine gesamte Vorbereitung auf diesen Fragekatalog gestützt hat. Ein bis zwei Wochen vor der Prüfung ab und zu mal ein paar Fragen aus der Datenbank zu beantworten, war für mich am sinnvollsten. Im Gegensatz zum Review Manual war die Practice Question Database sein Geld absolut wert.

Die Prüfung selbst habe ich in einem Frankfurter Hotel abgelegt. Es gab kostenlose Getränke, aber Kaffee habe ich sehr vermisst. Wer an einem Samstagmorgen Kaffee benötigt, sollte vorher seine Koffeinversorgung sicherstellen! Die Organisatoren der Prüfer vor Ort schienen mir mit der Masse an CISA, CISM & Co. Prüflingen etwas überfordert, es lief aber insgesamt alles problemlos ab. Das Hinterherlaufen eines Prüfers, wenn man die Toilette besucht, fand ich etwas übertrieben. Natürlich sind sie draußen vor der Toilettentür stehen geblieben.  Auf dem paranoiden Niveau fehlte eigentlich nur noch eine Prüfung, ob man nicht doch ein Smartphone irgendwo am Körper hat.

Ich fand die CISSP-Prüfung im Vergleich zum CISM anstrengender, nachdem der CISSP wesentlich mehr unterschiedliche Kategorien beinhaltet. Da ist in dieser Hinsicht der CISM mit seinen nur vier nicht-technischen Kategorien einfacher.

Erfahrungen zum TISP

Leave a Comment

Ich habe letzten Samstag die TISP-Prüfung abgelegt und zuvor den Pflicht-Kurs besucht. Im Gegensatz zum CISSP fehlte mir insbesondere der gesamten Themenpunkt von Sicherheit im Softwarelebenszyklus. Hier hinkt meiner Meinung nach der TISP gegenüber dem CISSP inhaltlich sehr hinterher. Ansonsten merkt man dem TISP seine „Verwandtschaft“ zum CISSP deutlich an. Die Hinzunahme relevanter deutscher Punkte wie BSI und diverse Gesetze ist durchaus gelungen. Auch wenn ich die starke Ausrichtung zumindest im Kurs an BSI nicht direkt verstehen kann. Im Gegensatz zur TISP FAQ denke ich auch nicht, dass der IT-Grundschutz in Europe irgendeine nennenswerte Bedeutung hat.[1] Leider negativ ist mir noch aufgefallen, dass z.B. das Frauenhofer SIT und secorvo unterschiedliche Definitionen des ROSI verwenden. Das spricht nicht direkt für ein einheitliches Qualitätsmanagement.

[1] Vgl. http://www.teletrust.de/tisp/tisp-faq/, Stand 02.07.2013

Hacking in der FAZ

Leave a Comment

Respekt: Im Artikel „Verschlungene Wege für mehr Sicherheit am Rechner“ werden Metasploit und Blackhole als Sicherheitstools als „Rundum-sorglos-Pakete“ für Hacker vorgestellt. Es folgt zwar keine technische Beschreibung, allerdings bewegt sich die FAZ hier auf neuem Terrain. Hacking kommt in der konservativen Presse an. Das ist Fortschritt.

IT-Sicherheit à la Spiegel Online

Leave a Comment

Kürzlich gelesen:

„Doch am W-Lan hängen nicht nur Mailserver, sondern auch Scanner, mit denen Lieferungen ins System übertragen werden. Und damit Besucher das Würth-Lager nicht zum Stillstand bringen, gibt es [XXX XXX], der Daten verschlüsselt.“ Quelle: SPON

Diese Aussage ist für einen Sicherheitsspezialisten so peinlich, dass ich den Namen nicht aus dem Artikel von SPON übernehmen wollte. Laut SPON hat der Herr, der Daten verschlüsselt, seinen Abschluss an der Ruhr-Universität Bochum im Fernstudiengang IT-Security gemacht. Ich hoffe, dass der Herr Ilg als Autor des Artikels einfach nur ein paar Sachen missverstanden hat.

Grundsätzlich aber: Man lässt keine Besucher in einen Netzbereich, der für ein Unternehmen relevant bzw. produktionskritisch ist. Auch nicht wenn die Vertraulichkeit von Informationen durch Verschlüsselung gewährleistet werden kann. Ganz blöde Idee. Aber so wirklich. Wofür gibt es Firewalls, VLANs, Netzwerksegmentierung… Und falls die Unternehmensleitung kein Geld für ein zweites WLAN o.ä. bereitstellen wollte, dann ist sie auch selbst schuld, wenn etwas passiert. Egal wie, man sollte so etwas einfach nicht als  Beispiel für IT-Sicherheit in einem Artikel verwenden.

PCI DSS Compliance bedeutet nicht Sicherheit

Leave a Comment

Eine 100%ige Compliance zu allen Anforderungen des PCI DSS (Payment Card Industry Data Security Standard) bedeutet nicht zwangsläufig, dass ein Unternehmen „sicher” ist:

Zum Ersten konzentriert sich PCI DSS ausschließlich auf die Sicherheit auf Kreditkartendaten bzw. Karteninhaberinformationen. Und dabei ist der Fokus stärker auf die Vertraulichkeit als auf die Integrität oder Verfügbarkeit dieser Daten gerichtet. Ich möchte nicht abstreiten, dass viele Maßnahmen des PCI DSS das generelle Sicherheitsniveau eines Unternehmens steigert. Gerade viele vom Standard geforderte organisatorische Maßnahmen wie z.B. die Implementierung eines Security Awareness-Programms,  die Definition eines Plans zur Vorgehensweise bei Sicherheitsvorfällen usw. haben positive Auswirkungen auf das allgemeine Sicherheitsniveau. Auch viele technische Maßnahmen wie z.B. Netzwerksegmentierung können positive Auswirkungen haben, sofern andere Daten oder Systeme davon auch eingeschlossen sind.

Zum Zweiten ist die Feststellung, ob ein Unternehmen „sicher“ ist, nicht trivial. Was bedeutet denn überhaupt „Sicherheit“? In der ISO 27001 wird Informationssicherheit als die „Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit“ definiert.  Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert IT-Sicherheit als „einen Zustand, in dem die Risiken […] auf ein tragbares Maß reduziert sind“. Das BSI wendet dieses Betriff auch auf den Bereich der Informationssicherheit an. Der Begriff Sicherheit geht also über die Sicherung von Kreditkartendaten weit hinaus.

Zum Dritten gilt PCI DSS nicht für das gesamte Unternehmen, sondern nur für den Bereich, in den Kreditkartendaten verarbeitet oder gespeichert werden (Scope).  Es ist möglich, die kreditkartendatenverarbeitende Systeme von einer restlichen Infrastruktur so zu trennen, dass die Anforderungen des Standards nicht für die gesamte IT-Infrastruktur sondern nur für einen kleinen Bereich gelten. Oftmals ist diese Vorgehensweise sogar empfehlenswert.

Und zum Vierten: Auch PCI DSS ist nicht perfekt. Es wird immer Bereiche geben, die der Standard nicht allumfassend abdecken kann. Auch können sich Bedrohungssituationen wesentlich schneller entwickeln, als der Standard angepasst werden kann. Und die Interpretation von Anforderungen und deren Umsetzung hängt dann wieder auch von den  beteiligten Personen ab, sodass auch der Standard etwas „Spielraum“ zur Umsetzung lässt.

Erfahrungen zur CISSP-Prüfung

2 Comments

Ich habe Ende 2012 erfolgreich die Prüfung zum CISSP bestanden und möchte noch meine Erfahrungen dazu mitteilen. Zur Prüfungsvorbereitung habe ich ausschließlich folgende Bücher benutzt:

  • CISSP: Certified Information Systems Security Professional Study Guide von James M. Stewart, Mike Chapple und Darril Gibson
  • CISSP All-in-One Exam Guide von Shon Harris
  • Official (ISC)2 Guide to the CISSP CBK ((ISC)2 Press) von Harold F. Tipton

Der Study Guide von Stewart/Chapple/Gibson lässt sich relativ locker lesen und könnte auch ausreichend sein. Das Buch von Harris geht stellenweise mehr in die Tiefe, war aber zu dem Zeitpunkt des Kaufs nicht an das aktuelle CBK angepasst (im Gegensatz zum vorher genannten Study Guide). Beide Bücher waren insbesondere zusammen für mich ausreichend. Den offiziellen Guide kann ich weniger empfehlen. Er liest sich einfach zu trocken.

Die Zeit in der Prüfung war für mich mehr als komfortabel. Neben theoretischen Kenntnissen und praktischen Erfahrungen, die in der Prüfung abgefragt werden, sollte man auch die eigene Konzentration über einen längeren Zeitraum aufrecht halten können. So schnell man die ersten Fragen beantwortet, so langsam wird es dann am Ende. Nachdem man während der Prüfung auf Toilette gehen kann, sollte man die Gelegenheit nutzen die Beine zu vertreten um kurz etwas anderes zu sehen als den Prüfungsbildschirm. Man kann zwar – genug Zeit vorausgesetzt – am Ende nochmals alle Fragen durchgehen, vielleicht ist dazu auch noch genug Zeit, aber ich würde und habe darauf verzichtet.  Am Ende war ich schon froh, dass ich alle Fragen und in der Regel auch mit einem guten Gefühl beantwortet habe. Wie viele andere finde ich es schade, dass man kein genaueres Prüfungsergebnis im Erfolgsfall bekommt als die Information, dass man bestanden hat.