Unkategorisiert

19 10, 2018

Tipps zum Anfertigen wissenschaftlicher Arbeiten

von |19. Oktober 2018|Unkategorisiert|0 Kommentare|

Als Dozent begegne ich vielen Studierenden, die während der Anfertigung ihrer Abschlussarbeit unter Ratlosigkeit und Zeitproblemen leiden. Die Wurzel allen Übels ist meist eine oberflächliche Vorbereitung, die zu einer unwissenschaftlichen Vorgehensweise geführt hat. Wie würden Sie beispielsweise vorgehen, wenn Sie acht Stunden Zeit hätten, einen Baum zu fällen? Die Mehrheit würde wahrscheinlich sofort die Axt ergreifen und gegen den Baum schwingen, statt die ersten sechs Stunden mit dem Schärfen ihrer Axt zuzubringen. Diese Analogie von Abraham Lincoln zeigt auf sehr einfache Art und Weise, wie bedeutsam eine intensive Einarbeitung in das Wunschthema beim wissenschaftlichen Arbeiten ist.


Den Kern einer Abschlussarbeit stellt eine wissenschaftliche Fragestellung dar. Diese leitet sich üblicherweise aus einem komplexen Problem ab, welches zu bewältigen war oder ist. In anderen Worten: Eine Thesis spiegelt lediglich einen reproduzierbaren Lösungsweg wider – nicht mehr, aber auch nicht weniger.

Die erste Hürde beim wissenschaftlichen Arbeiten ist es, die Fragestellung auf das Wesentliche einzugrenzen. Wenn beispielsweise der Raum zu weit aufgespannt wird, entstehen Formulierungen wie „[…] wurde im Rahmen dieser Arbeit nicht untersucht“. Solche Ausdrücke implizieren, dass der Autor einer solchen Abschlussarbeit entweder zu wenig Zeit in die Arbeit investiert hat oder nicht im Besitz der notwendigen Kompetenzen war. Beide Fälle werfen unnötigerweise ein schlechtes Bild auf das Werk. Zudem unterstützt eine zentrale Fragestellung die Herleitung einer stringenten Argumentation.

Worin unterscheidet sich aber eine wissenschaftliche Arbeit von einem Referat bzw. was verbirgt sich hinter dem Begriff der Wissenschaftlichkeit? Grundsätzlich ist das Fundament einer wissenschaftlichen Ausarbeitung ein breiter Literaturüberblick. Durch den Bezug auf diverse Autoren (und/oder auch Abgrenzungen) werden die eigenen Ausführungen zu einer abschließenden Erkenntnis übergeleitet. Diese sollte – in irgendeiner Form – mit den Ergebnissen anderer Forschender in Verbindung gesetzt werden, welche sich mit einer ähnlichen Thematik befasst haben. Einen Mehrwert liefert eine wissenschaftliche Arbeit jedoch nur, wenn die Ergebnisse von anderen Personen reproduziert werden können.

Um wissenschaftliche „Schwächen“ bereits in der Anfangsphase erkennen zu können, sollte vorab immer ein Exposé zu einer anvisierten Fragestellung angefertigt werden. Dieses beinhaltet neben der Problemstellung und der damit verbundenen Zielsetzung auch eine Darlegung der wissenschaftlichen Herangehensweise (inkl. der Ergebnisse einer vorab durchgeführten Literaturrecherche). Auch wenn die Erstellung eines solchen Schriftstücks einen hohen Aufwand mit sich bringt, ist dieser doch nicht verloren: Das Exposé kann eins zu eins als das erste Kapitel der Thesis wiederverwendet werden. Darüber hinaus ist mit ihm ein Leitfaden entstanden, welcher alle weiteren Bearbeitungsschritte vorgibt.

Informatiker werden feststellen, dass sich eine wissenschaftliche Vorgehensweise nicht allzu sehr von den Phasen des Software Development Life Cycle (SDLC) unterscheidet. Zumindest lassen sich die meisten Thesen – analog zum SDLC – zur folgenden Struktur abstrahieren:

  1. Einführung („Planning“)
  2. Related Work („Analysis“)
  3. Konzeption („Design“)
  4. Umsetzung („Implementierung“)
  5. Evaluation („Test“)
  6. Fazit und Ausblick („Maintenance“)

Selbstverständlich können für die eigene Thesis andere Kapitelüberschriften gewählt werden. Im Folgenden werden (persönliche) Tipps und Tricks zum wissenschaftlichen Schreiben aufgezeigt:

  • Grundsätzlich muss jede Aussage bzw. jede These belegt werden, da sie sonst eine Behauptung darstellt. Wörter wie „beispielsweise“ stellen Auswege dar, um eine Entscheidung aus mehreren Möglichkeiten unkommentiert zu lassen. Hierbei sollte aber beachtet werden, dass die Verwendung solcher Wörter die Qualität einer wissenschaftlichen Arbeit nicht fördert.
  • Die Auswahl von Kriterien sowie deren Gewichtung erfordern ebenfalls eine Begründung – außer die Kriterien wurden vorgegeben, z. B. von einer Partnerfirma. (Dieses „Schlupfloch“ sollte vermieden werden.)
  • Es sollten erst alle Stichpunkte zu jedem Kapitel niedergeschrieben werden, bevor man anfängt, Texte auszuformulieren. Mit hoher Wahrscheinlichkeit wird man in dieser Phase die Gliederung der Arbeit mehrmals anpassen müssen, um den nötigen „roten Faden“ zu gewinnen und zu bewahren. Generell wird die initiale Gliederung einer Thesis nicht in Stein gemeißelt sein.
  • Jedes Kapitel sollte eigenständig gelesen werden können, weshalb immer ein Einführungstext vorangestellt werden sollte.

Abschließend sollte die finale Version einer wissenschaftlichen Ausarbeitung einmal wie folgt begutachtet werden: Zuerst sollte die Einführung gelesen werden, danach das Fazit und zuletzt eine zufällige Seite. Falls sich zwischen den genannten Kapiteln kein Zusammenhang erkennen lässt, sollte dieser nachträglich eingearbeitet werden. Zudem sollte der Kern einer wissenschaftlichen Thematik auch von fachfremden Lesern nachvollzogen werden können, weshalb es empfehlenswert ist, die Arbeit von unterschiedlichen Personen Korrektur lesen zu lassen.

21 05, 2015

Just My 2 Cents zum Thema Personalverantwortung & Personalführung

von |21. Mai 2015|Unkategorisiert|0 Kommentare|

Wie lernt man Personalführung? Ab ins kalte Wasser! Vielleicht beschäftigt man sicher vorher noch ausführlich mit diversen Theorien zur Personalführung. Oder man hat die Theorie im Studium durchgekaut. Oder man hat einen besonders spendablen Arbeitgeber und wird auf ein Seminar bzw. Training für Führungskräfte geschickt. Theorie und Übungsseminare sind nett, aber wirklich darauf vorbereiten können sie nicht.

Ich denke für die meisten, die zum ersten Mal Personalverantwortung übernehmen, war das eine Stufe auf ihrer mehr oder weniger geplanten Karriereleiter. Personalverantwortung als Karriereziel. Mehr Einfluss, mehr Macht, mehr Gestaltungsspielraum, endlich echte Entscheidungen treffen und natürlich mehr Geld. Personalverantwortung als Selbstzweck. Was man nach dem Studium werden möchte? Natürlich Führungskraft!

Das erste Herausforderung fängt leider damit an, dass Personalverantwortung auch bedeutet, Personal zu führen und nicht nur zu verwalten, zu terrorisieren oder die anderen einfach für sich arbeiten zu lassen. Gute Führung bedeutet auf die Menschen einzugehen, die verschiedenen Schwächen und Stärken von Menschen zu erkennen, um langfristig das optimale aus einer Mannschaft herausholen zu können. Dazu gehört eine gute Menschenkenntnis, vielleicht ein bisschen Charisma und vor allem Charakterstärke sowie die Fähigkeit zur Selbstreflexion. Was weniger dazu gehört sind tiefe Fachkenntnisse und narzisstisch oder egoistische Persönlichkeitsstörungen. Führungskräfte, die Erfolge ihrer Mannschaft primär zu ihren eigenen Erfolgen umdeuten und bei Fehlern die Schuldigen wiederum als erstes unter den eigenen Mitarbeitern suchen, sind genauso fehl am Platz.

Die zweite Herausforderung an Personalverantwortung: Es ist nur so lange easy-going, solange alles reibungslos funktioniert. Leistungsschwache, problematische Mitarbeiter und Konflikte innerhalb der Mannschaft können der Führungskraft richtig Nerven kosten. Man kann Probleme natürlich ignorieren, schwache Mitarbeiter mit einfachen ABM-Aufgaben betreuen, viele Blabla-Meetings zur Arbeitsatmosphäre abhalten und ansonsten jeden weiteren möglichen Konflikt aus dem Weg gehen. Als Ergebnis werden die Leistungsträger abwandern und am Ende hat die Führungskraft das Personal, welches sie verdient hat. Was man eigentlich machen sollte – das richtige Maß aus Lob, Motivation, Förderung aber auch Sanktionen finden. Offen gesagt, wer scheiße gebaut hat, hat es verdient darauf aufmerksam gemacht zu werden. In keiner cholerischen Art und Weise, sondern sachlich und direkt. Im Gegensatz dazu haben es gute Mitarbeiter auch verdient, Lob und Anerkennung zu bekommen. Man kann nicht alle Mitarbeiter gleich behandeln, jeder benötigt einen anderen Führungsstil. Der eine braucht mehr Führung, der andere mehr Freiheiten. Jeder Mensch ist anders. Leider ist für viele aber Lob einfacher zu verteilen, als Konfliktgespräche zu führen oder gar Kündigungen auszusprechen.

Ich hatte damals auch indirekt das Karriereziel Personalverantwortung zu übernehmen. Ich bin ins kalte Wasser gesprungen. Ich habe versucht mich an Vorbildern zu orientieren und aus Fehlern anderer zu lernen. Funktionierte leider nicht immer, ich habe auch Fehler gemacht. Mittlerweile habe ich meinen eigenen Stil gefunden. Ich bin mit der Zusammensetzung meines aktuellen Teams sehr zufrieden.

Aber ich habe dem Prinzip Personalverantwortung als Karriereziel und damit als Selbstzweck abgeschworen. Nach dem Peter-Prinzip neigt jeder Beschäftigte bis zu seiner Stufe der eigenen Unfähigkeit aufzusteigen. Die genannte These von Laurence J. Peter kommt nicht von ungefähr. Wird einem die erste Stelle als Führungskraft angeboten, sollte man sehr genau darüber nachdenken sie anzunehmen. In der Regel hat man in dieser Situation keine Ahnung, was das eigentlich in der Praxis bedeutet. Nimmt man die Aufgabe an, sollte man regelmäßig reflektieren, ob man es wirklich kann. Die Theorie ist einfach, die Praxis leider nicht unbedingt.

7 08, 2014

Problem Driven Project Management: Agil war gestern!

von |7. August 2014|Unkategorisiert|0 Kommentare|

Problem Driven Project Management ist eine moderne alternative zu agilen Projektmanagement-Methoden. Während im Wasserfallmodell noch alles von oben herab durchgeplant werden muss und selbst bei agilen Methoden noch iterative Planungen durchgeführt werden müssen, fällt der Punkt Planung beim problemgetriebenen Projektmanagement einfach weg.

Durch die fehlende Planungsphase ergeben sich enorme Ressourcen- und damit auch Kosten-Einsparungen und es stellt sich automatisch eine sehr zielgerichtet Vorgehensweise ein: Aktuelle Probleme werden einfach priorisiert und danach abgearbeitet. Die Vorgehensweise ist zudem sehr intuitiv und orientiert sich direkt an den Bedürfnissen der Projektbeteiligten. Auch Kunden ziehen in der Regel einen problemgetriebenen Lösungsansatz einer ausführlichen Planung vor, die ohnehin nie eingehalten werden kann. Dadurch ergibt sich eine höhere Kundennähe und damit ultimativ eine höhere Kundenzufriedenheit.

Ausführliche Planungen, Projekt- und Teammeetings waren gestern. Das Problem Driven Project Management ist die perfekte Projektmanagement-Methode für alle, die agile Methoden immer noch für zu steif empfanden. Dieser einfache Ansatz verzichtet vollkommen auf Ausbildungen oder Zertifikate für Projektmanager – jeder kann nach dem problemgetriebenen Projektmanagement Erfolg haben!

In vielen Unternehmen wurde das Problem Driven Project Management bereits eingeführt, oftmals als direkte Reaktion auf die bisherigen komplexen planungs- und organisationsintensiven Managementmethoden. Agil war gestern, problem driven ist heute!

Jetzt einmal ohne heftigen Sarkasmus: Der obige Text ist natürlich totaler Schwachsinn – Ein Problem Driven Project Management ist nur die Verwaltung von Chaos. Wer sich darin wiedererkennt, sollte dringend handeln!

6 08, 2014

Google, Du hast gewonnen: Ich nutze ab sofort Google Drive für meine Daten

von |6. August 2014|Unkategorisiert|0 Kommentare|

Der Security-Spezialist in mir weigerte sich jahrelang Cloud-Dienste in größerem Umfang zu nutzen. Gibt man schließlich private Daten in die Cloud, gibt man die absolute Kontrolle darüber ab. Meine Meinung darüber hat sich nicht wesentlich geändert, ich habe nur kapituliert.

Gegen die Geheimdienste bin ich ohnehin weitgehend machtlos und Krypto ist einfach für gewöhnliche private Daten viel zu aufwendig. Gegen 08/15-Hacker-Attacken wird sich Google sicherlich zu verteidigen wissen. Zumindest erscheint mir das Security-Konzept von Google auf den ersten Blick vorbildlich zu sein. Ich vertraue der Datenkrake Google unter Security-Aspekten wesentlich mehr als den Datenkraken Facebook oder Dropbox. Microsoft erwähne ich besser gar nicht erst.

Mittlerweile hat man nicht mehr nur einen PC oder Laptop, sondern einen ganzen Wildwuchs an Endgeräten: PCs, Laptops, Smartphones und Tablets. Ein paar Hundert Gigabytes an MP3s, Bildern, Vorlesungsunterlagen, uvm. kann man nur noch auf großen Datenträgern auslagern. Wenn man früher noch eine verschlüsselte externe Festplatte mitnahm, ist es heute nur noch umständlich: Wie schließe ich ein Tablet an eine verschlüsselte externe Festplatte an? Gar nicht.

Google kennt viele meiner Mails, mein komplettes Suchverhalten, synchronisiert von meinem Android-Device keine Ahnung was alles auf seine Server. Habe ich eigentlich noch wirklich eine Kontrolle, wer welche Daten von mir hat? Welche App auf meinem Smartphone welche privaten Daten von mir ins Ausland schickt? Nicht wirklich. Ich habe nur noch eine Pseudo-Kontrolle.

Ich könnte mir eine eigene Private Cloud aufbauen. Es gibt freie Software dazu, das ist nicht das Problem. Fehlt noch der Server, der schön regelmäßig Geld verschlingt. Dazu ist mir meine eigene private Zeit zu kostbar geworden, um Stunden oder gar Tage in irgendwelche Setups zu investieren, die dann nur mehr oder wenig gut funktionieren. Das ist keine Alternative mehr, der Aufwand ist zu hoch.

Ich habe mir jetzt testweise 100GB in Drive geholt, und werde vermutlich auf 1TB upgraden. Ich werde sicher keine wirklich privaten Dateien in die Cloud schieben. Für den Rest ist es einfach zu praktisch von allen Clients problemlos unterwegs auf Dateien in Drive zugreifen zu können. Ich kann nicht mehr kontrollieren, wer im Zweifel darauf zugreifen kann. Ich bin mir darüber bewusst, dass Google E-Mails scannt und ein amerikanisches Unternehmen ist.

Wenn ich aber die Risiken gegenüber den Vorteilen abwäge, ist die Entscheidung klar. Google du hast gewonnen, ich kapituliere: Technischer Fortschritt und maximale Privatsphäre lässt sich nicht vereinbaren. Man muss den persönlichen Kompromiss finden…

17 06, 2014

Nervige Personalagenturen: Projektangebote als PHP- oder Python-Entwickler bei IT-Sicherheitsexperten

von |17. Juni 2014|Unkategorisiert|0 Kommentare|

Liebe Personalagenturen,

ich bin Information Security Consultant. Ich bin kein PHP- und/oder Python-Entwickler. Wie viele andere IT-Professionals kann ich Software programmieren bzw. entwickeln. Auch in den Programmiersprachen PHP und Python. Ich bin dennoch kein Entwickler. Trotzdem bekomme ich regelmäßig per E-Mail-Anfragen als Freelancer für PHP bzw. Python, nur weil ich diese in meinem Profil unter Programmierkenntnisse aufgelistet habe.

Anscheinend wird einfach per Suchfilter in den Profilen nach Schlagwörtern gesucht und massenhaft E-Mails versendet. Das eigentliche Profil scheint sich dann niemand mehr anzusehen. Bei den Margen einer erfolgreichen Vermittlung ist das anscheinend auch zu viel verlangt. Schreibt man dann die Versender der E-Mails an, mit der Bitte solche Projekte nicht mehr zu schicken, erhält man eine sehr professionelle Reaktion: Nämlich gar keine. Eine 1A-Leistung.

Recht lustig ist es dafür, von mehreren Vermittlern derselben Agentur kontaktiert zu werden. Doppelt hält besser? Ach, drei- oder vierfach ist noch besser. Sinn? Unsinn? Eigentlich nur noch nervig.

Nachdem ich noch Geschäftsführer eines Beratungsunternehmens bin, bekomme ich auch ungewollt Profile von Bewerben geschickt. Witzig ist diese Pseudo-Anonymität. Als ob es nicht Google, LinkedIn und Xing gäben würde. Die Informationen in einem anonymen Lebenslauf sind oft vollkommen ausreichend, um die Person zu identifizieren.

Personalagenturen = nervig? Sicher nicht alle, aber das Niveau könnte insgesamt deutlich steigen. Hauptsache Umsatz generieren und Personal wie Vieh anbieten, schreckt mich eher von einer Zusammenarbeit ab.

Mit freundlichen Grüßen,

Patrick Sauer

Master of Science in Security Management
Diplom Wirtschaftsinformatiker (FH)
Certified Information Systems Security Professional (CISSP)
Certified Information Security Manager (CISM)
Offensive Security Certified Professional (OSCP)
TeleTrusT Information Security Professional (T.I.S.P.)
ISSECO Certified Professional for Secure Software Engineering (CPSSE)
Datenschutzbeauftragter DSB-TÜV

27 04, 2014

HOB/Brandstätter wettert nun auch im Wall Street Journal gegen OpenSSL/OpenSource

von |27. April 2014|Unkategorisiert|0 Kommentare|

Nach der FAZ, der ZEIT, dem Handelsblatt und online wettert Brandstätter auch im Wall Street Journal gegen OpenSSL und Open Source. Während weltweit führende IT-Unternehmen wie Cisco, Dell, Fujitsu, Google, HP, IBM, Intel, Microsoft usw. aufgrund von Heartbleed in OpenSSL investieren, wird von dem Unternehmen HOB GmbH & Co. KG bzw. dem CEO Klaus Brandstätter intensiv in einer groß angelegten Anzeigenkampagne gegen OpenSSL und OpenSource gewettert.

<sarkasmus> Wahrscheinlich arbeiten bei den großen IT-Unternehmen auch nur ’nicht übermäßig intelligente 17-jährige‘ ohne jedes Management. </sarkasmus>

24 04, 2014

Internet-Sicherheit und OpenSSLs Heartbleed (Keine Werbeanzeige)

von |24. April 2014|Unkategorisiert|0 Kommentare|

Keine Werbeanzeige und vom Original in der FAZ, Handelsblatt und ZEIT deutlich abweichend:

Mein Name ist Klaus… Mein Name ist Patrick Sauer. Ich bin Master of Science in Security Management, Diplom-Wirtschaftsinformatiker (FH), zertifizierter Sicherheitsspezialist (z.B. CISSP & OSCP) und werde dieses Jahr 30. Ich habe vor über 10 Jahren während meiner Gymnasialzeit privat als Hobby C gelernt. Ich bin auch Geschäftsführer eines kleinen Beratungsunternehmens.

Ich habe mir den problematischen Source Code von Heartbleed ange­sehen. Ein Angreifer kann zufälligen Speicher auslesen, z.B. Passwörter oder private kryptographische Schlüssel zu Zertifikaten. Eine Denial-of-Service Attacke über Heartbleed halte ich für eher unwahrscheinlich und eine eventuelle DoS-Attacke ist nicht das eigentliche Problem, sondern der weitgehend unerkannte Abzug der kryptographischen Schlüssel. Dadurch ist es einem Angreifer möglich den verschlüsselten Datenverkehr zu entschlüsseln, sofern keine Perfect Forward Secrecy eingesetzt wurde.

Es gibt den Grundsatz: Alles was der Benutzer eingibt, muss sorgfältig geprüft werden. Das sollten eigentlich alle Entwickler wissen. Das trifft natürlich auch für Entwickler von Webseiten zu, nur haben Entwickler von Webseiten und Entwickler von OpenSSL nichts miteinander zu tun. Eingabevalidierung ist natürlich auch vom öffentlichen Netzwerk wichtig. Dem Entwickler von OpenSSL, der Heartbleed geschaffen hat, ist das sicherlich bewusst gewesen. Er hat einen Fehler gemacht. Fehler sind menschlich. Der Entwickler hat mittlerweile an einer deutschen Hochschule promoviert und man kann ihn sicherlich als übermäßig intelligent bezeichnen. Leider begehen auch übermäßig intelligente Menschen Fehler. Das ist die eine Seite.

Wie kommt es, dass ein so hoch qualifizierter Entwickler an hochsensibler Sicherheits-Software arbeiten darf? Das ist ganz einfach zu beantworten. Es handelt sich um ein Open Source Projekt. Auch Unternehmen, die eigene SSL-Implementierungen verkaufen, setzen Open Source ein. Manche sogar auch OpenSSL. Manche Open Source Entwickler betreiben die Entwicklung als Hobby, manche sind minderjährig und andere bereits im Rentenalter. Andere entwickeln an Open Source und werden dafür von Unternehmen bezahlt.

Es gibt hervorragende Open-Source Lösungen. Manche weisen leider keine so hohe Qualität auf. Das gilt genauso für kommerzielle Software und auch für kommerzielle SSL-Implementierungen. Die wenigsten Entwickler sind unqualifizierte Bastler. Oftmals wird Open Source von einem Team geführt und es existieren eigene komplexe Mechanismen zur Qualitätssicherung. Keine Qualitätssicherung ist perfekt, genauso wenig wie es 100%ige Sicherheit gibt. Qualität ist eine andere Sache.

Wenn man Software minderer Qualität einsetzt hat man ein Sicherheitsrisiko. Kann sein, muss aber nicht. Manche kommerzielle Software ist fehlerhaft und verursacht höhere Kosten. Genauso kann es bei Open Source sein.

Manche Internet-Unter­nehmen haben folgendes Geschäftsprinzip. Sie warten darauf, bis es in einem Open Source Projekt ein Sicherheitsproblem existiert, dass in Konkurrenz zu ihrer Software steht. Dann schalten sie in großen deutschen Zeitungen Werbung für ihr Produkt. In dieser Werbung reden sie die Konkurrenz schlecht. Nach diesem Prinzip können Unternehmen vielleicht groß werden, oder sie schrecken von der Nutzung ihrer Produkte ab. Selbst diese Unternehmen sollen OpenSSL einsetzen, ohne irgendwie die Qualität zu prüfen. Unglaublich.

Aus OpenSSL wurde jetzt Heartbleed entfernt. Wer weiß, wie viele Probleme noch in OpenSSL schlummern? Gute Frage. Das gilt übrigens für jede Software. Gerade bei kommerzieller Software, die nicht veröffentlicht wird, ist die Frage extrem schwer zu beantworten. Open Source Programme werden teilweise mit teuren Tools überprüft, deren Einsatz für die Projekte kostenlos ist. Warum? Weil es auch anständige Unternehmer gibt.

Die NSA weiß schon was sicher ist. Die wollen selbst nicht gehackt oder ausspioniert werden. Deswegen arbeitet die NSA an Open Source Projekten wie zum Beispiel SELinux.

Ich rate davon ab, als sicherheitskritische Software wenig verbreitete kommerzielle Software einzusetzen, deren Quelltext man nicht frei beziehen kann. Ich setzte und setze weiterhin OpenSSL ein. Fehler passieren jedem, Entwicklern wie CEOs. Manche entschuldigen sich öffentlich, andere gar nicht.

24 04, 2014

HOB GmbH & Co KG nutzt OpenSSL

von |24. April 2014|Unkategorisiert|0 Kommentare|

In großen Werbeanzeigen in der FAZ, Handelsblatt und ZEIT sowie Online urteilt Klaus Brandstätter (CEO des Unternehmens HOB GmbH & Co KG) vernichtend über OpenSSL aufgrund Heartbleeds. Ein Entwickler sei „nicht übermäßig intelligent“ und OpenSSL sei ein Hobby-Werk von meist 17jährigen. Dafür wird intensiv HOB SSL & Co beworben.

Dennoch: HOB GmbH & Co KG nutzt für die Verschlüsselung von https://www.hobsoft.com nicht das eigene angeblich wesentlich sichere HOB SSL, sondern vertraut auch wie viele Tausende oder Millionen Andere auf die grundsätzlich hohe Qualität und Sicherheit von OpenSSL und Open Source.

Die Serversignatur von https://www.hobsoft.com:

Apache/2.0.52 (Unix) mod_ssl/2.0.52 OpenSSL/0.9.7k mod_jk/1.2.6 PHP/5.2.0 Server at www.hobsoft.com Port 443

Mittlerweile scheint das Unternehmen die Server-Signature deaktiviert zu haben. Anscheinend steht HOB GmbH & Co KG nicht zur Nutzung von OpenSSL. Schade eigentlich. Die Nutzung von OpenSSL zur Realisierung von sicheren Verbindungen ist auch nach Heartbleed noch eine gute Wahl und im Gegensatz zu HOB SSL offen und kostenlos.

19 04, 2014

Unternehmer Klaus Brandstätter (HOB GmbH & Co. KG) beleidigt in der FAZ Open Source-Entwickler von OpenSSL sowie OpenSource im Allgemeinen

von |19. April 2014|Unkategorisiert|7 Kommentare|

In der aktuellen FAZ (Frankfurter Allgemeinen Zeitung) vom Samstag, 19. April 2014 findet sich im Wirtschaftsteil auf Seite 23 eine ganzseitige Anzeige der HOB GmbH & Co. KG aus Cadolzburg mit der Überschrift „Internet-Sicherheit und Heartbleed“.

Der Heartbleed-Bug in OpenSSL ist als sehr kritisch anzusehen und hat viele Systeme betroffen. Als Geschäftsführer des Beratungsunternehmens binsec betreute ich selbst Kunden, die davon betroffen waren und wie viele andere war auch ich nicht sonderlich begeistert über den Fehler und den Vorfall. Der Code-Fehler wurde von einem der vielen Open Source-Entwicklern begannen, denen wir das Internet in der aktuellen Form zu verdanken haben. Ohne Linux, freie BSD-Varianten, die Apache-Projekte, OpenSSH, OpenSSL usw. sähe das Internet heute anders aus.

Der Fehler von OpenSSL wurde von einem mittlerweile namentlich bekannten Mitarbeiter eines der größten IT-Unternehmen Deutschlands verursacht. Ich möchte am aktuellen Shit-Storm gegenüber ihm nicht teilnehmen und verzichte deswegen auf die namentliche Nennung. Der betroffene Code soll im Rahmen seiner Promotionsarbeit entstanden sein. Im Review-Prozess bei OpenSSL wurde der Fehler leider übersehen, sodass wir nun weltweit um einen hochkritischen Bug reicher sind.

Herr Klaus Brandstätter, Diplom-Ingenieur (vermutlich ohne vorhandene Promotion), 59 Jahre alt und CEO der Firma HOB GmbH & Co. KG verkündet nun auf seiner Werbeanzeige für sein Unternehmen auf etwas über 15 Textabsätzen, warum die Anwendungen HOB RD VPN basierend auf HOB-SSL viel sicherer als OpenSSL sind. Die Common Criteria EAL 4+ Zertifizierung mag ihm da eventuell Recht geben. Das möchte ich nicht beurteilen. Dass er aber auf 9 Absätzen einen Shit-Storm auf OpenSSL, den deutschen Entwickler und Open Source im Allgemeinen loslässt, damit mag ich mich nicht abfinden.

Ich zitiere den dritten Absatz, 1. Teil:

„Es gibt den Grundsatz: alles was der Benutzer eingibt muss sorgfältig geprüft werden. Das wissen eigentlich alle, auch die Entwickler von Webseiten. Des weiteren gibt es den Grundsatz, dass alles was vom Netzwerk kommt grundsätzlich geprüft werden muss – insbesondere wenn es aus dem Public Internet kommt, vielleicht von Hackern.“

Ob das wirklich alle wissen, sei einmal dahingestellt. Ansonsten gebe ich Herrn Brandstätter soweit reicht. Im zweiten Teil seines dritten Absatzes wird er aber ausfällig:

„Der betreffende Entwickler hat diesen (einfachen) Grundsatz nicht beachtet. Also ist der betreffende Entwickler nicht übermäßig intelligent und hat auch nicht die notwendigen Grundkenntnisse. Das ist die eine Seite.“

Auf gut deutsch: Der deutsche, promovierte Entwickler soll einfach dumm sein. Ich hoffe, dass den Mitarbeitern der HOB GmbH & Co KG sowie Herrn Klaus Brandstätter nie Fehler unterlaufen. Ansonsten könnte man meinen, sie wären nach Ansicht des CEO von HOB nicht übermäßig intelligent. Er schreibt weiter:

„Wie kommt es, dass ein so qualifizierter Entwickler an hochsensibler Sicherheits-Software arbeiten darf? Dafür sind andere verantwortlich. OpenSSL ist Open-Source Software. Entwickelt wird meinst ohne Entlohnung, als Hobby, neben dem Beruf. Solche Open-Source Entwickler sind oft erst 17 Jahre alt.“

Ich denke die Aussagen sprechen für sich selbst. Aber er ist noch nicht fertig:

„Es gibt hervorragende Open-Source Lösungen. Aber der überwiegende Teil der Open-Source Software ist von wirklich minderer Qualität. Open-Source Projekte werden gemanaged. Wie wird OpenSSL gemanaged? Wie kann das Management (egal in welcher Art) zulassen, dass unqualifizierte Bastler an hochsensibler Sicherheits-Software mitentwickeln? Eine Software zu  programmieren, welche irgendwie funktioniert, das schaffen auch wenig qualifizierte Entwickler. Qualität ist eine andere Sache.“

Ich fordere von Herrn Klaus Brandstätter eine Klarstellung und Entschuldigung gegenüber dem deutschen Entwickler von OpenSSL sowie gegenüber allen anderen qualifizierten OpenSource Entwicklern und der Open Source-Gemeinschaft. Und zwar in einer wieder ganzseitigen Anzeige in der Frankfurt Allgemeinen Zeitung!

1. Ergänzung: Mittlerweile wurde von jemand anderem die Werbeanzeige online gestellt.

2. Ergänzung: Die Werbeanzeige soll angeblich auch im Handelsblatt erschienen sein.

3. Ergänzung: Auf der Homepage von HOB existiert eine Presse-News, in der Heartbleed erklärt wird. Ich möchte die URL absichtlich nicht verlinken, deswegen Plaintext: http://www.hob.de/news/2014/news0714.jsp Wer Heartbleed „wirklich“ verstanden hat, kann ein bisschen schmunzeln ;-).

4. Ergänzung: HOB nutzt OpenSSL:  https://www.hobsoft.com/error-message

Apache/2.0.52 (Unix) mod_ssl/2.0.52 OpenSSL/0.9.7k mod_jk/1.2.6 PHP/5.2.0 Server at www.hobsoft.com Port 443

Powered by OpenSSL ;-)

5. Ergänzung: Die Werbeanzeige ist nun im Wortlaut auf der Homepage von HOB online: http://www.hob.de/news/2014/news0814.jsp

6. Ergänzung: Jan Wildeboer hat die Anzeige ins Englische übersetzt: https://plus.google.com/112648813199640203443/posts/KLtMf6m4bSE

7. Ergänzung: Die Anzeige soll sich nun auch in der ZEIT finden.

8. Ergänzung. Die Anzeige erschien auch in englisch im Wall Street Journal.

24 01, 2014

Der sichere Umgang mit Passwörtern

von |24. Januar 2014|Unkategorisiert|0 Kommentare|

Das Problem

Von vielen Menschen wird online gerne das gleiche Passwort für unterschiedliche Webseiten genutzt. Oftmals wird dann noch zur Anmeldung immer die gleiche E-Mail-Adresse verwendet. Wird dazu noch ein einfaches Passwort verwendet, erhöht sich die Gefahr eines Missbrauchs enorm.

Sobald das Passwort auch nur einmal gestohlen oder veröffentlicht wurde, ist das ein riesiges Problem.

Mit einem gestohlenen Passwort kann man – wenn man die E-Mailadresse kennt – mit etwas Glück bei Amazon und eBay einkaufen oder auch komplett das digitale Social Life auf Facebook und Google Plus kapern. Ich kann nur eindringlich davor warnen, für wichtige Dienste das gleiche Passwort zu verwenden.

Natürlich sollten Passwörter auch nicht aus einfachen Wörtern bestehen. Leider sehen Passwörter oftmals so aus: 123456, 12345678, qwertz, letmein, love, password, passwort usw. Das ist gefährlich, da Angreifer mit frei verfügbaren Listen von häufig genutzten Passwörtern sehr schnell in einen Account eindringen können.

Eine Lösung

Passwörter sollten um möglichst sicher zu sein, möglichst komplex sein. Aber wer kann sich  schon ein Passwort wie 64#sxB%pKk merken und dann für jeden Dienst ein anderes? Niemand – außer vielleicht Gedächtniskünstler. Ein möglicher Ansatz um das Problem zu lösen ist die Nutzung eines Passwortsafes. Es gibt verschiedene Alternativen, manche wie KeePass sind frei verfügbar und kostenlos (OpenSource), andere sind kommerzielle Produkte. Im Prinzip ist ein gutes kostenloses Tool ausreichend. Ich selbst nutze KeePass.

Etwas vereinfacht ausgedrückt, erstellt ein Passwortsafe mit einem Passwort bzw. Passphrase eine verschlüsselte Datenbank, in dieser die eigentlichen Passwörter für Amazon & Co gespeichert werden. Das geht auch etwas sicherer mit kryptographischen Schlüsseldateien, ist aber in der Benutzung etwas aufwendiger. Das Passwort zur Verschlüsselung der Datenbank sollte nun möglichst kompliziert und lange sein. Hier lohnt es sich etwas Hirnschmalz einzusetzen.

Ein einfacher Trick um sich ein sicheres, und komplexes Passwort zu erstellen ist die Ableitung aus einem Satz. Ein Beispiel: „Ich heiße Max Mustermann, habe 1 Ehefrau, 1 Freundin und mehrere Kinder.“ Aus dem Satz verwendet man nun die ersten Buchstaben eines Wortes, die Zahlen und Satzzeichen – man erhält

IhMM,h1E,1FumK.

Je länger der Satz und somit auch das Passwort wird, desto besser.

bsp-keepass-01

Hat man die Datenbank mit einem guten Passwort erstellt und gesichert, kann man sichere und äußerst komplexe Passwörter automatisch erstellen lassen. Die kann man dann bequem aus dem Passwordsafe in die Eingabemaske eines Logins im Browser kopieren. Problem gelöst.

bsp-keepass-02

Noch kurz der Hinweis: Das Passwort vom Passwordsafe kann man nicht zurücksetzen, wenn man es vergessen hat. Also im Zweifel lieber einmal ausdrucken und an einem sicheren(!) Ort aufbewahren. Eine regelmäßige Datensicherung (u.a. vom Passwordsafe bzw. seiner Datenbank) ist auch keine schlechte Idee ;-).