Das Content Security Program der Motion Picture Association (MPA) legt in ihren Content Security Best Practices Common Guidelines (Version 4.10 vom 8. Februar 2022) Sicherheitsanforderungen in drei Bereichen fest: Management System Physical Security Digital Security In den Anforderungen an das Management System wird in der Nummer MS-2.1 in der Kategorie Risk Management die Durchführung von … [Read more…]
Die „Mindestsicherheitsanforderungen an dezentrale Portale und Zulassungsbehörden“ zur „internetbasierten Fahrzeugzulassung (i-Kfz)“ vom Kraftfahrt-Bundesamt (KBA) sind außerordentlich umfangreich. Sie beinhalten neben der Architektur des i-Kfz-Systems, seiner Schnittstellen und daraus abgeleiteten Sicherheitsanfordeurngen unter anderem auch Anforderungen an die Durchführung eines Penetrationstests. Zur Prüfung der Wirksamkeit der implementierten Sicherheitsmaßnahmen verlangt das KBA als Penetrationstest die Durchführung von: IS-Kurzrevision … [Read more…]
Die aktuelle Version 3.2.1 und die neuere Version 4.0 des Sicherheitsstandards PCI DSS erfordern die Durchführung von Penetrationstests. Der PCI-Standard legt detaillierte Anforderungen fest, die ein Penetrationstest erfüllen muss. In PCI DSS 3.2.1 ist die Anforderung in Anforderung 11.3 und in PCI DSS 4.0 in Anforderung 11.4 geregelt. Diese Anforderungen sind in beiden Versionen 3.2.1 … [Read more…]
Im Rahmen der ISO 27001-Zertifizierung wollen Auditoren immer regelmäßiger den Bericht eines Penetrationstests sehen. Aber woher kommt diese Anforderung, wenn im Text der ISO 27001 das Wort Pentest oder Penetrationstest gar nicht vorkommt? Die ISO 27001 ist die internationale Norm für den Aufbau und Betrieb eines ISMS (Informationssicherheits-Managementsystem). Im Anhang A enthält dieser Standard Kontrollziele … [Read more…]
Um in das Verzeichnis erstattungsfähiger digitaler Gesundheitsanwendungen (DiGa) aufgenommen zu werden, muss das Fast-Track-Verfahren beim BfArM durchlaufen werden. Mit dem Digitale–Versorgung–und–Pflege–Modernisierungs–Gesetz (DVPMG) kam in den entsprechenden Leitfaden die Anforderung hinein, dass Antragsteller einen Penetrationstest für ihre DiGa-Anwendung durchführen lassen müssen. Im DiGa-Leitfaden selbst findet man die konkreten Anforderungen an den eigentlichen Penetrationstest: Penetrationstests: Mit dem … [Read more…]
Die binsec hat sich umstrukturiert: Der von den drei Gesellschaftern Patrick Sauer, Florian Zavatzki und Dominik Sauer Ende 2019 gegründete binsec group GmbH gehört seit Januar 2020 nun offiziell die binsec GmbH sowie die binsec academy GmbH.
Die dreiste Abzocke bei Firmengründungen nimmt zu. Im Jahr 2013 hatten wir bei der Gründung der binsec eine Zahlungsaufforderung erhalten, die uns zur Zahlung für die Eintragung in ein Register motivieren sollte. Bei der Gründung der binsec group GmbH im Oktober 2019 wurden wir vom Notar schon darauf hingewiesen, dass wir „falsche Rechnungen“ für Eintragungen … [Read more…]
Ab sofort erhalten Studenten 20% Preisnachlass auf alle Online-Schulungen der binsec academy GmbH: Einfach unter https://binsec-academy.com/de/promo/student/ (unverbindlich) mit der studentischen E-Mail-Adresse der Hochschule registrieren und automatisch einen 20%-Gutschein erhalten. Der Gutschein ist nach der Registrierung 30 Tage gültig.
Eine kürzlich entdeckte Schwachstelle in libssh ermöglicht es Angreifern, sich ohne Authentifizierung mit einem Server zu verbinden. Dazu muss im SSH-Protokoll nur SSH2_MSG_USERAUTH_SUCCESS anstelle vom eigentlichen SSH2_MSG_USERAUTH_REQUEST geschickt werden. Der Client sagt dem Server im Prinzip, dass er erfolgreich authentifiziert wurde und der Server akzeptiert es. Der Bug existiert seit libssh 0.6, d.h. seit Januar 2014. Es … [Read more…]
Mein Team und ich haben lange daran gearbeitet, aber seit März 2018 ist das „Pentest Training“ sowie das „Pentest Exam“ der binsec academy GmbH öffentlich verfügbar. https://binsec-academy.com/de/courses/p/ (Privatkunden) https://binsec-academy.com/de/courses/c/ (Firmenkunden) Historisch ist das „Pentest Training“ dabei durch die von Dominik Sauer an der Hochschule Darmstadt gehaltene Vorlesung zu „Penetration Testing“ entstanden. Das Training fokussiert sich auf Penetration Testing … [Read more…]
