Überrascht. Schockiert. Entsetzt: Wir haben im WPF Penetration Testing an der HDA einen besonders dreisten Täuschungsversuch erlebt. Der Abschlussbericht für das Praktikum wurde 1:1 von einem Team des Vorjahres kopiert. Also gut, die Namen wurden geändert und Bilder entfernt. Wow. Design ändern? Texte ändern? Wohl zu aufwendig. Ich weiß ja nicht, wie aktuell in der Schule … [Read more…]
Ab dem Wintersemester 2017/18 wird an der Hochschule Darmstadt das Master-Wahlpflichtfach „IT-Sicherheitsmanagement und Compliance“ angeboten und ich freue mich sehr darauf, diese Vorlesung übernehmen zu dürfen. Ehemals wurde das Fach angeboten als „Compliance und IT-Sicherheit“, aber nicht mehr gehalten: https://obs.fbi.h-da.de/mhb/modul.php?nr=41.4828 Ich persönlich fand die Zusammenführung von Compliance-Themen und (technische) IT-Sicherheit als unglücklich: MaRisk und Ethical … [Read more…]
Wie im Wintersemester 2016/17 hatten wir (primär Dominik Sauer) auch im Sommersemester 2017 an der HDA (Hochschule Darmstadt) die Vorlesung Penetration Testing gehalten. Die Evaluation fand relativ früh statt. Die Note zum Gesamteindruck war letztes Semester 1,2 – Link zum Blogeintrag Evaluation WS16/17. Das Ergebnis war zwar damals schon sehr sehr gut, aber man findet … [Read more…]
Der Krypto-Trojaner WannaCry richtet weltweit Schaden an. IT-Sicherheit ist einmal mehr in den alten Medien angelangt. Und ich erwische mich selbst dabei, relativ wenig Interesse dafür zu zeigen: Einmal Tagesthemen gesehen, die Überschrift der FAZ gelesen und einen Heise-Newseintrag überflogen: Die amerikanischen Nachrichtendienste kauften die Zero-Day-Lücke, Microsoft bringt irgendwann einen Patch heraus, einen Monat später … [Read more…]
Der Artikel ist nicht von mir, er ist aber lesenswert und ich kann die Erfahrungen bestätigen: Had a meeting with a prospect recently that is bound and determined to avoid PCI compliance yet still will accept payment cards. My response? Good luck with that! You would think after 15 years of PCI (and actually even … [Read more…]
inIch hielt letztes Jahr beim T.I.S.P. Community Meeting 2016 einen Vortrag über die „Aussagekraft von Penetration Tests“: „Sind Ihre IT-Systeme sicher?“ ist eine typische Werbefloskel, um Penetrationstests zu vermarkten. Aber erhält man durch einen Penetrationstest wirklich eine Antwort auf diese Frage? Welche Aussagekraft haben Penetrationstests überhaupt? Dieser Vortrag soll darüber aufklären, welche Aussagekraft und Grenzen Penetrationstests … [Read more…]
Zum dritten Mal halte ich einen Vortrag beim T.I.S.P. Community Meeting, dieses Mal 2017 wieder in Berlin: „Audits – Kämpfen in der Grauzone“ Es gibt absolut eindeutige Anforderungen. Und es gibt oftmals eine Grauzone, voller Interpretations- und Auslegungsmöglichkeiten. Wie gewinnt man in der Grauzone? Links vortäuschen, rechts /*zensiert*/? Welche Strategie ist die richtige – brachiale … [Read more…]
Ich war 2016 einer der Dozenten im Zertifikatslehrgang Informationssicherheitsbeauftragter (IHK) der Industrie- und Handelskammer Gießen-Friedberg. Ich hatte das größte Modul (etwa 50% des Kurses) und dem Feedback der Teilnehmer nach, waren sie insbesondere mit meinem Vortragsstil und meinem Modul außerordentlich zufrieden. Eigentlich war angedacht, dass ich auch 2017 wieder der IHK Gießen-Friederg als Dozent zur Verfügung stehe. … [Read more…]
Whitebox-, Greybox- oder Blackbox-Pentests? Offen gesagt, sind meiner Meinung nach Blackbox-Pentests der falsche Ansatz. Während bei einem Whitebox- oder Greybox-Pentest dem Penetration Tester alle notwendigen oder zumindest alle hilfreichen Informationen zum Ziel vorliegen, liegen bei einem Blackbox-Pentest dem Penetration Tester gar keine Informationen vor. Er hat sozusagen die gleiche Sicht, wie es ein böswilliger externer Angreifer hätte. … [Read more…]
Im Wintersemester 2016/17 hatten wir die Lehrveranstaltung Penetration Testing als WPF an der HDA (Hochschule Darmstadt) gehalten. „Wir“ sind primär Dominik Sauer mit eher beratender Unterstützung von mir. Jetzt wurden uns die Ergebnisse der Lehrveranstaltungsevaluation für unsere Vorlesung übermittelt. Ich persönlich denke, das Ergebnis kann sich sehen lassen. Die Bewertung der Studenten auf den Punkt gebracht: Note zum Gesamteindruck: 1,2 … [Read more…]
