Just My 2 Cents zum Thema Personalverantwortung & Personalführung

Leave a Comment

Wie lernt man Personalführung? Ab ins kalte Wasser! Vielleicht beschäftigt man sicher vorher noch ausführlich mit diversen Theorien zur Personalführung. Oder man hat die Theorie im Studium durchgekaut. Oder man hat einen besonders spendablen Arbeitgeber und wird auf ein Seminar bzw. Training für Führungskräfte geschickt. Theorie und Übungsseminare sind nett, aber wirklich darauf vorbereiten können sie nicht.

Ich denke für die meisten, die zum ersten Mal Personalverantwortung übernehmen, war das eine Stufe auf ihrer mehr oder weniger geplanten Karriereleiter. Personalverantwortung als Karriereziel. Mehr Einfluss, mehr Macht, mehr Gestaltungsspielraum, endlich echte Entscheidungen treffen und natürlich mehr Geld. Personalverantwortung als Selbstzweck. Was man nach dem Studium werden möchte? Natürlich Führungskraft!

Das erste Herausforderung fängt leider damit an, dass Personalverantwortung auch bedeutet, Personal zu führen und nicht nur zu verwalten, zu terrorisieren oder die anderen einfach für sich arbeiten zu lassen. Gute Führung bedeutet auf die Menschen einzugehen, die verschiedenen Schwächen und Stärken von Menschen zu erkennen, um langfristig das optimale aus einer Mannschaft herausholen zu können. Dazu gehört eine gute Menschenkenntnis, vielleicht ein bisschen Charisma und vor allem Charakterstärke sowie die Fähigkeit zur Selbstreflexion. Was weniger dazu gehört sind tiefe Fachkenntnisse und narzisstisch oder egoistische Persönlichkeitsstörungen. Führungskräfte, die Erfolge ihrer Mannschaft primär zu ihren eigenen Erfolgen umdeuten und bei Fehlern die Schuldigen wiederum als erstes unter den eigenen Mitarbeitern suchen, sind genauso fehl am Platz.

Die zweite Herausforderung an Personalverantwortung: Es ist nur so lange easy-going, solange alles reibungslos funktioniert. Leistungsschwache, problematische Mitarbeiter und Konflikte innerhalb der Mannschaft können der Führungskraft richtig Nerven kosten. Man kann Probleme natürlich ignorieren, schwache Mitarbeiter mit einfachen ABM-Aufgaben betreuen, viele Blabla-Meetings zur Arbeitsatmosphäre abhalten und ansonsten jeden weiteren möglichen Konflikt aus dem Weg gehen. Als Ergebnis werden die Leistungsträger abwandern und am Ende hat die Führungskraft das Personal, welches sie verdient hat. Was man eigentlich machen sollte – das richtige Maß aus Lob, Motivation, Förderung aber auch Sanktionen finden. Offen gesagt, wer scheiße gebaut hat, hat es verdient darauf aufmerksam gemacht zu werden. In keiner cholerischen Art und Weise, sondern sachlich und direkt. Im Gegensatz dazu haben es gute Mitarbeiter auch verdient, Lob und Anerkennung zu bekommen. Man kann nicht alle Mitarbeiter gleich behandeln, jeder benötigt einen anderen Führungsstil. Der eine braucht mehr Führung, der andere mehr Freiheiten. Jeder Mensch ist anders. Leider ist für viele aber Lob einfacher zu verteilen, als Konfliktgespräche zu führen oder gar Kündigungen auszusprechen.

Ich hatte damals auch indirekt das Karriereziel Personalverantwortung zu übernehmen. Ich bin ins kalte Wasser gesprungen. Ich habe versucht mich an Vorbildern zu orientieren und aus Fehlern anderer zu lernen. Funktionierte leider nicht immer, ich habe auch Fehler gemacht. Mittlerweile habe ich meinen eigenen Stil gefunden. Ich bin mit der Zusammensetzung meines aktuellen Teams sehr zufrieden.

Aber ich habe dem Prinzip Personalverantwortung als Karriereziel und damit als Selbstzweck abgeschworen. Nach dem Peter-Prinzip neigt jeder Beschäftigte bis zu seiner Stufe der eigenen Unfähigkeit aufzusteigen. Die genannte These von Laurence J. Peter kommt nicht von ungefähr. Wird einem die erste Stelle als Führungskraft angeboten, sollte man sehr genau darüber nachdenken sie anzunehmen. In der Regel hat man in dieser Situation keine Ahnung, was das eigentlich in der Praxis bedeutet. Nimmt man die Aufgabe an, sollte man regelmäßig reflektieren, ob man es wirklich kann. Die Theorie ist einfach, die Praxis leider nicht unbedingt.

Die WordPress-Seuche

4 Comments

Ich habe es satt. Mein Blog läuft selbst auf WordPress und ich habe noch 2-3 andere WordPress-Installationen, aber der aktuelle Handlings-Aufwand um diese Sachen „sicher“ zu halten steht in keinem ertragbaren Verhältnis mehr.

WordPress hat sich von einem kleinen „pain in the ass“ zu einer regelrechten Security-Seuche entwickelt. Seit der „It’s not a bug, it’s a feature!“-Pingback-Schwachstelle hört es gefühlt nicht mehr auf. Aktuell ist das Standard-Theme von WordPress anfällig. Die geniale readme.html, die die aktuelle WordPress-Version einer Installation auf dem Silbertablett in die Öffentlichkeit posaunt und auch immer schön nach einem Update wieder da ist, sorgt bei mir immer noch für verständnisloses Kopfschütteln.

Aber das gute ist: Hat man eine aktuelle Installation und es existiert noch nicht eimal ein Zero-Day-Exploit für WordPress, kann man sich im Zweifel immer noch auf ein verwundbares Plugin verlassen. Sicher ist, dass viele WordPress-Installationen einfach nur unsicher sind. Vollgestopft mit irgendwelchen Plugins, selten regelmäßig aktualisiert, ist WordPress des Pentesters Liebling geworden.

Fazit Wahlpflichtfach PCI DSS im WS2014/2015

Leave a Comment

Das WPF ist seit Dezember vorbei, die Hausarbeiten sind bewertet und die formale Evaluation der Lehre an der FH BRB ist auch eingetroffen. Ich persönlich fand die drei Tage an der FH Brandenburg – das erste Mal als Dozent dort – sehr gut: Es hat Spaß gemacht, die Stimmung war offen & gut und ich denke die Studenten haben einen sehr guten Einblick in PCI DSS und in die Praxis bekommen.

Die Hausarbeiten waren teilweise sehr gut, manche aber auch etwas durchwachsen, sodass die Bewertungen sehr unterschiedlich ausgefallen sind. Das finde ich etwas schade, zumal ich vor dem finalen Abgabetermin auch angeboten hatte Verbesserungsvorschläge zu äußern. Nur wenige haben das leider angenommen.

Ansonsten habe ich gemerkt, dass der Lehransatz fast komplett mit einem fiktiven Beispiel-Unternehmen zu arbeiten eine sehr gute Idee war, ich dieses Beispiel aber gründlicher ausarbeiten muss. Darauf haben mich auch die Studis in der finalen Feedbackrunde hingewiesen – absolut zu recht. Ansonsten klangen sie zufrieden.

Die FH Brandenburg führt eine formale und für die Studenten aber freiwillige Bewertung der Lehre durch – Die Evaluation der Lehre. Diese Beurteilung habe ich heute erhalten. Viele haben mein WPF nicht bewertet und damit ist das nur eine kleine Stichprobe, aber mit dem Ergebnis bin ich sehr glücklich. Das Fazit: Abschließende Note: 1. Die PDF kann hier heruntergeladen werden: Evaluation der Lehre im WS 2014-15 WPF PCI DSS Herr Sauer

 

Das Besondere am Master-Studium Security Management der FH Brandenburg

Leave a Comment

Studiert habe ich eine kurze Zeit Physik an der Goethe-Universität Frankfurt am Main, danach das Studium der Wirtschaftsinformatik an der Fachhochschule Gießen-Friedberg abgeschlossen (heute Technische Hochschule Mittelhessen) und anschließend meinen Master in Security Management an der Fachhochschule Brandenburg gemacht.

Ich bin seit 2013 mit meinem Master fertig und halte aktuell das Wahlpflichtfach PCI DSS an der Fachhochschule Brandenburg für die Master-Studiengänge Wirtschaftsinformatik und Security Management. Das WPF halte ich unentgeltlich und trage auch die Reisekosten. Das hat primär den Grund, dass ich den Studiengang Security Management als sehr gut empfand und mich nach meinem Abschluss an der Lehre beteiligen wollte.

Als besonders positiv empfand ich:

  • Der SecMan-Master lässt sich (idealerweise als Teilzeitstudium) optimal mit einem Vollzeit-Job vereinbaren. Die Vorlesungen sind freitags, samstags und montags. Alles am Block und ohne typische Zerstückelung der Vorlesungen über die Woche.
  • Er hat nur 3 Semester (2 Semester Vorlesungen, 1 Semester Master-Thesis)
  • Im Vergleich zu anderen kommerziellen Studiengängen sind die Studiengebühren mit ein paar Hundert Euro pro Semester vernachlässigbar gering.
  • Die Anzahl der Zulassungsplätze ist stark begrenzt (aktuell auf 25 Plätze). Das ist das Gegenteil eines Massen-Studiengangs und äußert sich in einer guten Gruppendynamik.
  • Die Zulassung setzt ein Mindestmaß an beruflicher Praxiserfahrung voraus. Somit bringen die Studenten in einem Semester die unterschiedlichsten fachlichen Praxis-Schwerpunkte mit.
  • Die allgemeinen Lebensunterhaltskosten sind in Brandenburg an der Havel im Vergleich zu Großstädten gering.
  • Einige Dozenten und die Honorar-Professoren kommen aus der unternehmerischen Praxis. Hier findet teilweise ein echter Erfahrungstransfer statt.
  • Feedback, Rückmeldung und sachliche Kritik sind erwünscht: Ich kenne keinen anderen Studiengang, in der die Studiengangs-Leitung sich mit den Studenten zusammensetzt und um Feedback bittet.
  • Treten irgendwelche Probleme auf – das passiert immer wieder einmal – wird zumindest im Rahmen des Möglichen versucht eine Lösung zu finden.
  • Es handelt sich nicht um einen IT-Security-Studiengang und man benötigt keine tiefen IT-Kenntnisse. Es gibt aktuell nur eine Pflichtvorlesungen bei der Kenntnisse in IT-Netzwerken hilfreich wären. Ansonsten kann man seinen Schwerpunkt im extrem weiten allgemeinen Gebiet des Security Managements gestalten wie man möchte.

Okay, es gibt auch zwei in meinen Augen erwähnenswerte Nachteile:

  • Brandenburg an der Havel ist nicht der Nabel der Welt, aber zumindest ist Berlin in der Nähe.
  • Es ist eine staatliche Fachhochschule. Mit allen Vor- und Nachteilen. Manchmal hapert es an der Organisation und nicht alle Prozesse laufen immer problemlos. Ist eben eine Hochschule.

Insgesamt finde ich, dass die Vorteile deutlich die Nachteile des Studiengangs übertreffen. Ich war mit meinem Studium insgesamt sehr zufrieden und würde dort wieder studieren. Ansonsten würde ich mich auch dort nicht als Dozent inhaltlich beteiligen.

Was kostet ein Penetration Test?

Leave a Comment

Die Kosten eines Penetrationstests sind primär von zwei Faktoren abhängig: Vom Aufwand und vom Tagessatz.

1. Der zeitliche Aufwand eines Penetration Tests

Die Dauer eines Penetrationstests ist abhängig von der Größe und Komplexität einer Anwendung oder einer IT-Infrastruktur. Grundsätzlich gibt es keine pauschalen Schätzwerte und es kommt immer auf den Einzelfall an. Angebote ohne vorherige Aufwandschätzung halte ich für grundsätzlich nicht seriös und rate davor ab.

Die grobe Richtung sieht aber wie folgt aus: Bei einer kleinen Webanwendung, also eine zweistellige Anzahl von Seiten mit ein paar Formularen und Parametern liegt man inklusive der Vorbesprechung, dem eigentlich Pentest und der Berichtserstellung bei etwa einem Tag. Der Aufwand wächst danach bei Webanwendungen weniger mit der Anzahl der Links, sondern eher mit einer steigenden Komplexität: Session Management, Rollen- und Benutzermanagement, AJAX usw. können schnell den notwendigen Aufwand erhöhen.

Den Aufwand eines IT-Infrastruktur-Penetrationstests pauschal zu beziffern ist noch schwieriger. Es hängt hier vom eigentlichen Ziel, der Anzahl der Hosts, der Anwendungen und Dienste ab. Manchmal macht es hier mehr Sinn, die eigentlichen Ziele des Tests zu konkretisieren und dann eine fixe Anzahl von Tagen dafür einzuplanen.

2. Der Tagessatz des Penetration Tester

Der Tagessatz im Penetration Testing ist auch hier von verschiedenen Faktoren abhängig: Zum Beispiel von der Erfahrung und Qualifikation vom Penetration Tester, von der dazugehörigen Unternehmensgröße, dem Unternehmensstandort, den Vertriebszielen usw.

Ist man auf der Suche nach einem qualifizierten Pentest-Freelancer landet man schnell bei Tagessätzen von 800€ und höher. Wobei alle Beispielpreise aus meinen Erfahrungen hier für Unternehmen netto wären. Beauftragt man ein Unternehmen mit ein paar Mitarbeitern mit einem Pentest liegt man anfänglich irgendwo bei 1.000€, man kann aber auch schnell 1.200€ bis 1.300€ pro Tag zahlen. Nach oben wie immer offen.

Die c’t Security – mehr iX als c’t

1 Comment

Früher war ich c’t-Leser, heute stöbere ich manchmal noch in der iX. Der Heise-Verlag hat nun wieder ein Sonderheft herausgegeben. Dieses Mal zum Thema IT-Security – die Zeitschrift „c’t Security“. Ob ich hier für mich noch etwas Interessantes finden kann, wagte ich zu bezweifeln.

Nach einer halben Stunde querlesen bin ich doch positiv überrascht. Das Niveau der Themen ist irgendwo zwischen dem Anspruch der c’t und der iX angesiedelt. Wobei, vielleicht doch eher in Richtung iX. Die Themen sind überraschend breit gestreut: Passwort-Strategien, Forensik-Tools, Router-Sicherheit, DANE, Smartphones und vieles mehr. Die c’t Security hat es tatsächlich auf meinen Nachttisch geschafft.

Die Ausgabe wurde mir vom Verlag kostenlos zur Verfügung gestellt. Der Preis ist mit 9,90€ relativ hoch, wobei ich das Geld vermutlich auch dafür ausgegeben hätte. Wer sich für IT-Security interessiert, sollte im Bahnhofsladen zumindest das Inhaltsverzeichnis überfliegen. Der nächste Streik der GDL kommt bestimmt ;-).

Änderungen im PCI 3.0 Req. 11.3 Penetration Testing – Erläuterungen und Diskussion

Leave a Comment

Der PCI DSS 3.0 verlangt in Requirement 11.3 die Durchführung von Penetrationstests. Im älteren PCI-Standard 2.0 umfasste das bisher primär einen Penetrationstest auf Netzwerk- sowie auf Anwendungsebene, der sowohl von extern als auch von intern durchgeführt werden musste. Der Penetration Tester musste dabei natürlich qualifiziert und unabhängig sein.

Diese Punkte sind zwar inhaltlich auch im neuen PCI DSS 3.0 enthalten, jedoch wurden die Anforderungen und auch der Umfang der Penetrationstests erhöht. Nachfolgend möchte ich das neue Requirement 11.3 besprechen und auf die neuen Details eingehen.

11.3 Implement a methodology for penetration testing that includes the following:
– Is based on industry-accepted penetration testing approaches (for example, NIST SP800-115)

Durch den zwingenden Verweis auf eine allgemeine akzeptierte Best-Practice Vorgehensweise wie NIST SP800-115 sind damit alle Pentest-Monkeys raus, die einfach nur ein paar Tools wie Metasploit, Nessus & Co benutzen und das ganze dann in einen Report fassen. Andere aus meiner Sicht akzeptierte Vorgehensweisen sind der OWASP Testing Guide oder auch OSSTMM. Interessanterweise beinhaltet der NIST SP800-115 zwar auch Vorgehensweisen zum klassischen Penetration Testing, behandelt aber insgesamt das Thema „Information Security Testing and Assessment“. Ich hätte hier eigentlich einen Verweis auf ein reines Pentesting-Dokument erwartet. Damit deutet sich eine Erweiterung des eigentlichen Penetration Testing im Sinne des PCI DSS an, der z.B. zusätzlich auch technische Reviews beinhalten kann.

– Includes coverage for the entire CDE perimeter and critical systems
– Includes testing from both inside and outside the network
– Includes testing to validate any segmentation and scope-reduction controls

Die ersten beiden Punkte sind nicht neu. Der Pentest muss die gesamte PCI-Umgebung umfassen und von außen sowie von innen durchgeführt werden. Der dritte Punkt hat es dafür in sich: Die (oftmals vorhandene) Netzwerksegmentierung zwischen PCI-Scope und Nicht-PCI sowie die dafür eingesetzten Sicherheitsmaßnahmen müssen auf ihre Wirksamkeit hin geprüft werden. Mein erster Gedanke dabei war: Wie soll ein Penetration Tester das umsetzen? Eigentlich geht das nur über einen kompletten Review der Netzwerkpläne, Kommunikationsverbindungen und Firewall-Regeln, die für die PCI-Umgebung und die daran angeschlossenen Bereiche relevant sind. Das kann dann sicherlich durch einzelne klassische Techniken des Penetration Testing ergänzt werden, aber eigentlich fordert dieser Punkt mehr einen technischen Security-Audit. Diese Änderung geht dabei in die gleiche Richtig wie der vorher beschriebene Verweis auf den NIST SP 800-115. Der Penetrationstest wird mehr zu einem Security Assessment erweitert. Kernbestandteil bleibt zwar weiterhin der eigentliche Penetration Test, jedoch wird das der Umfang eines Penetrationstest im Sinne des PCI DSS durch die Änderung im neuen Standard 3.0 deutlich erweitert.

– Defines application-layer penetration tests to include, at a minimum, the vulnerabilities listed in Requirement 6.5
– Defines network-layer penetration tests to include components that support network functions as well as operating systems
– Includes review and consideration of threats and vulnerabilities experienced in the last 12 months
– Specifies retention of penetration testing results and remediation activitiesresults.

Die letzten Punkte konkretisieren noch etwas genauer, was eigentlich geprüft werden soll, und dass gefundene Schwachstellen natürlich angemessen behandelt werden wollen. Das ist inhaltlich identisch mit dem alten Standard, außer dass noch ein Augenmerk auf die Bedrohungen und Schwachstellen der letzten 12 Monate gelegt werden muss. Die Umsetzung erfordert in diesem Punkt eine sehr gut gepflegte Dokumentation eines Unternehmens, welchen Bedrohungen und Schwachstellen es ausgesetzt war. Der Penetration Tester muss dann diese Punkte speziell nochmals verifizieren.

11.3.1 Perform external penetration testing at least annually and after any significant infrastructure or application upgrade or modification (such as an operating system upgrade, a sub-network added to the environment, or a web server added to the environment).
11.3.2 Perform internal penetration testing at least annually and after any significant infrastructure or application upgrade or modification (such as an operating system upgrade, a sub-network added to the environment, or a web server added to the environment).
11.3.4 If segmentation is used to isolate the CDE from other networks, perform penetration tests at least annually and after any changes to segmentation
controls/methods to verify that the segmentation methods are operational and effective, and isolate all out-of-scope systems from in-scope systems.

In der Häufigkeit der Pentests gab es keine inhaltliche Änderung: Jährlich oder nach signifikanten Änderungen. An der Frage, was eigentlich genau signifikante Änderungen sind, scheiden sich immer noch die Geister. Eigentlich ist der PCI-Standard da sehr deutlich, so ist z.B. ein neuer Webserver bereits eine signifikante Änderung. In der Praxis hängt das von der Bewertung des Auditors ab. Aus der reinen sicherheitsrelevanten Betrachtung wäre es natürlich optimal, nach jeder (signifikanten) Änderung einen Test durchführen zu lassen. In der Realität müsste man jedoch bei Tagessätzen von über 1.000€ für Pentester gleich das Security-Budget enorm aufwerten. Unternehmen müssen in der Praxis für die Auslegung des schönen Begriffs „signifikant“ viel Feingefühl verwenden. Ansonsten muss auch bei Änderungen der Segmentierung zwischen Scope vs. Non-Scope ein neuer Pentest durchgeführt werden.

Wie sonst auch oft im PCI DSS verstecken sich gerne in den Prüfprozeduren für die eigentlichen Anforderungen weitere Anforderungen. Im Bereich des Requirements 11.3 ist dieses auch so:

Verify that the test was performed by a qualified internal resource or qualified external third party, and if applicable, organizational independence of the tester exists (not required to be a QSA or ASV).

Diese versteckte Anforderung in den Testprozeduren zum 11.3er wurde inhaltlich zum PCI-Standard 3.0 nicht geändert. Der Pentester muss kein QSA oder ASV sein und es wird kein konkreter Nachweis einer bestimmten Qualifikation gefordert. Sofern die Qualifikation offensichtlich ist, also der Pentester z.B. mehrere Jahre Berufserfahrung als Penetration Tester oder einschlägiger Zertifikate wie z.B. den OSCP nachweisen kann, ist die Sache klar. Ansonsten liegt es im Ermessen des Auditors. Unabhängig muss er verständlicherweise auch sein, d.h. entweder ist er gleich von einem anderen Unternehmen oder er ist innerhalb des Unternehmens unabhängig von der eigentlichen IT.

Insgesamt denke ich, dass die Änderungen im PCI DSS 3.0 bezüglich des Requirements 11.3 richtig und gut sind. Die Durchführung nach einem international akzeptierten Vorgehensmodell ist zwar keine Garantie für einen guten Penetrationstest, aber zumindest eine Voraussetzung dafür. Die neue Prüfung der Effektivität der Scope-Trennung wird primär nur durch den Einsatz von Reviews möglich sein. Letztendlich führt hier der Penetration Tester eine technisch fundiertere Analyse durch, als es ein Auditor bei der Festlegung vom Scope durchführen kann.

Literatur & mehr fürs Pentesting

Leave a Comment

Eine kleine – unvollständige – Übersicht über die verfügbare Literatur, Kurse usw. für Pentesting:

Kurse

Der OSCP (Offensive Security Certified Professional) von Offensive Security ist absolut sein Geld wert. Krassere Lernkurve geht kaum. Neben dem sehr guten Lab wird noch eine PDF und Videos mitgeliefert. Mehr Exploit Development gibts beim OSCE von Offensive..

Bücher

Für Exploit Development recht gut:

  • Hacking: Die Kunst des Exploits
  • Aus dem Tagebuch eines Bughunters: Wie man Softwareschwachstellen aufspürt und behebt

Ein älteres Buch (2007) über grundsätzliches Penetration Testing:

  • Die Kunst des Penetration Testing – Handbuch für professionelle Hacker

Metasploit ist zwar nicht gleich Pentesting, aber die Bücher sind ganz ok:

  • Penetration Testing mit Metasploit: Eine praktische Einführung
  • Metasploit: Das Handbuch zum Penetration-Testing-Framework

Online

Für Webanwendungen einfach OWASP.org besuchen. Der Pentesting Guide ist recht gut:

  • https://www.owasp.org/index.php/OWASP_Testing_Project

Für Metasploit gibts noch:

  • http://www.offensive-security.com/metasploit-unleashed/Requirements