Patrick Sauer - InfoSec Blog

Fazit Zertifikatslehrgang Informationssicherheitsbeauftragter (IHK) aus Dozentensicht

6. Dezember 2016 by Patrick Sauer Leave a Comment

Die IHK Gießen-Friedberg aus Hessen war die erste IHK, die den „Zertifikatslehrgang Informationssicherheitsbeauftragter (IHK)“ angeboten hatte. Der Lehrgang wurde erst im Juni 2016 durch die DIHK veröffentlicht. Die Module waren: Modul 1: Grundlagen Informationssicherheit (16 LStd.) Modul 2: Gesetzliche Vorgaben zur IT-Sicherheit und deren Bedeutung für Unternehmen (8 LStd.) Modul 3: Schutzmaßnahmen zur Informationssicherheit (14 … [Read more…]

Der abnehmende Grenznutzen von Sicherheitszertifizierungen

13. November 2016 by Patrick Sauer Leave a Comment

Wie viele Zertifizierungen als IT-Sicherheitsexperte braucht man? Am Anfang dachte ich einmal, viel hilft viel und zu viele Zertifikate kann man nicht haben. Mittlerweile bin ich anderer Meinung: Im Prinzip reicht eine oder auch gar keine Zertifizierung. Das liegt an mehreren Gründen: Die meisten Inhalte der Zertifikatsprüfungen sind ähnlich. Hat man eine, kann man auch … [Read more…]

Artikel in der iX 10/2016: Momentaufnahme – Was Penetrationstests erreichen können

1. Oktober 2016 by Patrick Sauer Leave a Comment

In der Oktober-Ausgabe der iX aus dem Heise-Verlag ist mein erster Artikel im Print-Bereich erschienen: Momentaufnahme – Was Penetrationstests erreichen können Ein Penetrationstest kann zwar typische Schwachstellen im Firmennetz aufdecken, ist aber kein Allheilmittel. Welche Erkenntnisse diese Einbruchssimulationen wirklich bringen, hängt von verschiedenen Randbedingungen ab… https://www.heise.de/select/ix/2016/10/1475741089664718

Regelmäßige Passwortänderungen alle 90 Tage – sinnvoll oder kontraproduktiv? Eine Kritik an der gängigen Praxis!

20. September 2016 by Patrick Sauer 2 Comments

Regelmäßige Passwortänderungen alle 90 Tage bzw. alle 3 Monate ist eine gängige Praxis in der IT-Sicherheit und wird auch von diversen Sicherheitsstandards wie zum Beispiel dem PCI DSS oder auch etwas allgemeiner von der ISO 27002 vorgeschrieben. Für diese Praxis sprechen zwei Gründe: Wird ein Passwort „geklaut“, d.h. ist ein Benutzeraccount kompromittiert worden und es … [Read more…]

Ein Fazit nach 8 Jahren PCI DSS – Gute vs. miserable PCI Auditoren (QSAs)

1. September 2016 by Patrick Sauer Leave a Comment

Heute wieder einmal einen erfolgreichen PCI DSS Onsite Audit für einen Kunden über die Bühne gebracht. Nahezu reibungslos. Der QSA (Qualified Security Assessor) war zufrieden, der Kunde – ein Zahlungsdienstleister – war zufrieden. Keine Diskussionen. Keine Missverständnisse. Super Ergebnis. Aber ein wenig nachdenklich macht mich dieser letzte Audit. Was waren die Erfolgsfaktoren? Vorbereitung ist alles! Denkste… das … [Read more…]

Zertifikatslehrgang Informationssicherheitsbeauftragter (IHK)

27. August 2016 by Patrick Sauer Leave a Comment

Im Juni 2016 hat die DIHK den bundeseinheitlichen IHK-Zertifikatslehrgang Informationssicherheitsbeauftragter veröffentlicht. Die IHK Gießen-Friedberg aus Hessen ist eine der ersten, wenn nicht die erste IHK, die diesen Zertifikatslehrgang anbietet. Die Inhalte sind: Modul 1: Grundlagen Informationssicherheit (16 LStd.) – 28.09.2016 Modul 2: Gesetzliche Vorgaben zur IT-Sicherheit und deren Bedeutung für Unternehmen (8 LStd.) – 29.09.2016 … [Read more…]

Es war einmal: Bei uns ist bisher noch nie etwas passiert…

5. Juli 2016 by Patrick Sauer Leave a Comment

IT-Sicherheit? Kostet nur Geld, bringt keinen Umsatz und verkompliziert im schlimmsten Fall noch die Arbeitsabläufe. Und außerdem: Bei uns ist bisher noch nie etwas passiert! Punkt. Aus. Ende der Diskussion. Es ist gar nicht so lange her, da war die Wahrscheinlichkeit sehr hoch bei Unternehmern diese Aussage zu bekommen. Vielleicht 3-4 Jahre? In letzter Zeit, hat sich … [Read more…]

Vorlesung Penetration Testing an der Hochschule Darmstadt

23. Juni 2016 by Patrick Sauer Leave a Comment

Ab dem Wintersemester 2016/2017 gibt es an der Hochschule Darmstadt die Vorlesung „Penetration Testing“. Lehrbeauftragter ist der Pentester der binsec GmbH – Dominik Sauer. Die Lerninhalte sind: Unterschiede zwischen Hacking und Penetration Testing Klassifizierung eines Penetrationstests (White-, Gray- und Blackboxtest) Penetration Testing Standards, z.B. OWASP (Open Web Application Security Project), OSSTMM (Open Source Security Testing Methodology … [Read more…]

Apache2-CipherSuite-Konfiguration für A+ Rating beim Qualys SSL Labs Server Test

21. April 2016 by Patrick Sauer Leave a Comment

Der Blog hat nun ein A+ Rating beim SSL Server Test von Qualys. Die CipherSuite-Konfiguration des Apache2 dazu sieht wie folgt aus: SSLProtocol All -SSLv2 -SSLv3 SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4 SSLHonorCipherOrder On

Übersicht QSA-Unternehmen für PCI DSS Audits in Deutschland

16. April 2016 by Patrick Sauer Leave a Comment

PCI DSS Audits dürfen ausschließlich vom PCI Council zugelassene Unternehmen mit als QSA zertifizierte Auditoren durchführen. Unter [1] kann man sich die komplette Liste ansehen. Filtert man auf Unternehmen, die als „Place of Business“ Deutschland und als Sprache „Deutsch“ anbieten, ergibt sich eine Liste mit 8 Unternehmen: Adsigo AG Internet Security Systems a wholly owned IBM … [Read more…]

Patrick Sauer & Dominik Sauer

Author: Patrick Sauer