Aussagekraft und Grenzen von Penetrationstests

Leave a Comment

Vor kurzem wurde mir in einem Beratungsgespräch die Frage gestellt, ob man nach einem Penetrationstest eine Garantie bekommt, dass eine geprüfte Anwendung absolut sicher ist. Die Frage ist natürlich aus der Sicht eines Kunden verständlich. Wer je nach Aufwand vielleicht mehrere Tausend Euro für eine Sicherheitsanalyse ausgibt, erwartet zumindest unterschwellig, dass alle möglichen Schwachstellen identifiziert wurden und eine geprüfte Anwendung 100% sicher ist. Die unbequeme Wahrheit ist leider, dass das nicht der Fall sein kann.

Grundsätzlich gilt, dass nahezu alle durchgeführten Penetrationstests ein Kompromiss aus Testaufwand und Aussagekraft sind. Bei professionellen Pentest-Dienstleistern beinhaltet ein Test mindestens,

  • die Prüfung nach einer standardisierten Vorgehensweise, die sich an den Best Practices orientiert
  • die Verwendung eines Tool-Sets, um automatisiert auf typische Schwachstellen prüfen zu können
  • zusätzlich umfangreiche manuelle Prüfungen
  • den Einsatz von zertifizierten Penetrationstestern (eher OSCP & OSCE weniger CISSP / CEH & Co)
  • die Durchführung einer Qualitätssicherung
  • die Abgabe eines detaillierten Berichts

Sind die genannten Kriterien bei einem Test erfüllt, werden mit ziemlicher Sicherheit:

  • alle einfach zu entdeckenden Schwachstellen (low hanging fruits) gefunden
  • mindestens allen Angreifern auf dem Niveau Script Kiddy keine Chance mehr gelassen
  • mindestens alle unspezifischen automatisierten Angriffe die Grundlage entzogen
  • den Aufwand für einen Angreifer auf mindestens den Aufwand erhöht, den der Penetrationstester investiert hat
  • eine absolut aussagekräftige Richtung gezeigt, ob ein Zielsystem bzw. eine Zielanwendung grundsätzlich auf professionellem Security-Niveau aufgesetzt bzw. entwickelt wurde

Das ehrliche Zugeständnis, dass unter Umständen ein Angreifer mit einem deutlich höheren Aufwand dennoch eine Schwachstelle finden könnte, ist leider nicht verkaufsfördernd.

Ein höheres Prüfungsniveau, wie z.B. die Entwicklung oder gar den Aufkauf von Zero Day Exploits ist in den allermeisten Fällen leider nicht realistisch. Die Durchführung eines APTs (advanced persistent threat) auf NSA & Co Niveau ist sehr, sehr aufwendig und würde die Kosten eines Penetrationstests in extreme Höhe treiben. Für einen Kunden wäre das ein enorm schlechtes Preis-/Leistungsverhältnis und die finanziellen Ressourcen ließen sich mit Sicherheit sinnvoller in die eigene Sicherheit investieren.

Aber nehmen wir einmal ein, als Pentest-Dienstleister würde man eine 100%-Sicherheitsgarantie geben: Was würde passieren, wenn ein System dennoch kompromittiert werden würde? Wie soll nachgewiesen werden, dass der Penetrationstester etwas übersehen hat? Wie soll nachgewiesen werden, dass der Kunde das System seitdem nicht verändert hat? Wie soll nachgewiesen werden, dass der Kunde eventuell nicht ein Sicherheitsupdate übersehen hat? Wie wird mit dem Problem von Sicherheitslücken in eingesetzten Frameworks oder Bibliotheken umgegangen? Ein einziger Penetrationstest mit einer 100%-Sicherheitsgarantie und man hat als Dienstleister für alle Ewigkeiten unkalkulierbare Rechtsrisiken. Selbst wenn man das Risiko grob abschätzt und im Durchschnitt auf alle Kunden umlegt, würde es die Kosten eines Penetrationstests unverhältnismäßig in die Höhe treiben. Kein Kunde würde das bezahlen wollen.  Eine 100%-Sicherheitsgarantie ist leider unrealistisch.

Nichtsdestotrotz werden in den meisten Penetrationstests Sicherheitslücken oder -schwachstellen identifiziert, die das Sicherheitsniveau transparenter machen und Potential zur Verbesserung aufzeigen. In der Praxis sind Pentestberichte mit exakt 0 Findings sehr selten und deuten auf ein extrem hohes Sicherheitsniveau hin. Letztendlich ist für den Kunden wichtig, die genannten Grenzen, aber auch die aufgezeigten Vorteile eines Penetrationsteste zu kennen um die für ihn richtige Entscheidung treffen zu können: Pentest ja oder nein?

Die Details des IT-Sicherheitsgesetzes

1 Comment

Der Bundestag verabschiedet das IT-Sicherheitsgesetz. Das Thema ist spannend genug, um die 66-Seiten-PDF selbst zu lesen. Interessant sind die Details, die nicht im einfachen Newsticker stehen:

  • Das Gesetz gilt nur für Betreiber Kritischer Infrastrukturen, z.B. Atomkraftwerke, Energieversorgern, Betreiber von Telekommunikationsnetzen, aber auch bestimmten Diensteanbietern im Sinne des Telemediengesetz
  • Die Betreiber werden verpflichtet, alle kritischen Komponenten angemessen zu schützen. Wie? Nach dem Stand der Technik natürlich.
  • Die Betreiber müssen dies regelmäßig durch Audits nachweisen. Dabei können sie selbst Standards vorschlagen, die aber genehmigungspflichtig sind. In der Praxis wird das bedeuten: Alle Betreiber Kritischer Infrastrukturen, die noch nicht nach ISO 27001 zertifiziert sind (oder den ISO 27001 Umweg über das BSI-Zertifikat gehen), werden demnächst eine ISO 27001 Zertifizierung anstreben müssen.
  • Die Betreiber müssen melden, wenn erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit bei Ihnen auftreten oder aufgetreten sind.
  • Die öffentliche Kritik bzgl. der erlaubten Vorratsdatenspeicherung halte ich für total übertrieben. Der Gesetzeswortlaut: „Soweit erforderlich, darf der Diensteanbieter die Bestandsdaten und Verkehrsdaten der Teilnehmer und Nutzer erheben und verwenden, um Störungen oder Fehler an Telekommunikationsanlagen zu erkennen, einzugrenzen oder zu beseitigen.“ Die meisten Admins werden sagen, dass sie das ohnehin schon machen: Ohne Logs würde nur noch die Glaskugel helfen. Eigentlich gibt es da eher nun etwas mehr Rechtssicherheit.
  • Das BSI erhält deutlich mehr Kompetenzen, Rechte und wird zur deutschen Zentralstelle für IT-Sicherheit ausgebaut. Von der Behörden-Sicherheits-Behörde geht es weg und das BSI darf ernster genommen werden.

Für die großen Unternehmen dürfte das jetzt nicht so die Besonderheit sein, ein ISMS zu betreiben und dies nach ISO 27001 zertifizieren zu lassen. Von einem Betreiber Kritischer Infrastruktur kann man das schon erwarten. Die Meldepflicht finde ich auch in Ordnung, die Meldung von erheblichen Störungen könnte zentral verwaltet von Vorteil sein, wenn das in der Praxis gut umgesetzt wird. Dafür erscheinen mir die Auswirkungen der Änderungen vom Telemediengesetz eher von großer Bedeutung zu sein:

„(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.“

In der Erläuterung dazu steht:

„Wegen der zunehmenden Verbreitung von Schadsoftware über Telemediendienste werden die bestehenden Pflichten für Telemediendiensteanbieter, die ihre Telemedien geschäftsmäßig anbieten, um technische und organisatorische Maßnahmen zum Schutz vor unerlaubten Zugriffen, der personenbezogenen Daten und vor Störungen ergänzt. Geschäftsmäßig ist ein Angebot dann, wenn es auf einer nachhaltigen Tätigkeit beruht, es sich also um eine planmäßige und dauerhafte Tätigkeit handelt. Bei einem entgeltlichen Dienst liegt dies regelmäßig vor, so z.B. bei werbefinanzierten Webseiten. Das nicht-kommerzielle Angebot von Telemedien durch Private und Idealvereine wird demgegenüber nicht erfasst.“

An Bußgeld wurde auch gedacht:

„Die Aufnahme eines Verstoßes gegen die in § 13 Absatz 7 Satz 1 Nummer 1 oder Nummer 2 Buchstabe a des Telemediengesetzes geregelte Pflicht des Diensteanbieters zum Einsatz technischer und organisatorischer Schutzmaßnahmen zur Gewährleistung von IT-Sicherheit der für Dritte angebotenen Inhalte in die Bußgeldvorschriften des § 16 Absatz 2 Nummer 3 entspricht der Bußgeldbewehrung eines Verstoßes gegen die weiteren in § 13 Absatz 4 geregelten Pflichten des Diensteanbieters. Bußgeldbewehrt ist damit auch der Einsatz technischer und organisatorischer Maßnahmen durch den Diensteanbieter, die nicht den Stand der Technik berücksichtigen“

Das ist ein Hammer, das gab es vorher nicht. Demnächst könnten selbst Mini-Kommerziellen-Onlinediensten oder -Webseiten ein Bußgeld bis zu 50.000€ (§16 TMG) aufgedrückt bekommen, wenn Sie ihre Dienste nicht angemessen nach dem Stand der Technik schützen. Sicherlich wird nicht jeder gleich das maximale Bußgeld zahlen müssen. Aber: Diensteanbieter müssen sich um ihr Sicherheitsnievau kümmern, unabhängig vom BDSG.

Die PDF:
https://www.bmi.bund.de/SharedDocs/Downloads/DE/Nachrichten/Kurzmeldungen/entwurf-it-sicherheitsgesetz.pdf?__blob=publicationFile

Morgen im CCC-FFM – Vortrag: Überblick Datenschutzbeauftragter

Leave a Comment

Ich halte morgen, am Samstag 2015-06-13, 15:00 Uhr einen Vortrag über die Aufgaben, Rechte, Pflichte usw. von Datenschutzbeauftragten:

Werden in Firmen und Institutionen Daten automatisiert verarbeitet, bedarf es eines Datenschutzbeauftragten (DSB). Mitunter werden zur Erfüllung dieser Anforderung Personen aus dem bestehenden Mitarbeiterkreis angefragt, die als engagiert im Datenschutz angesehen werden. Dies mag der Angefragte als Wertschätzung interpretieren und stellt für den Betrieb eine „einfache“ Lösung dar. Doch was sind die Aufgaben, Kompetenzen und Rechte eines DSB? Welche Anforderungen werden an den DSB gestellt? Bringt es mir Vor- oder Nachteile? Wo entstehen Interessenskonflikte und damit Konfliktpotential? Was spricht für einen internen (angestellten) DSB, was für einen externen (z.B. Dienstleister).

Wir freuen uns u.a. zur Beantwortung dieser Fragen auf einen Vortrag von Patrick Sauer der Firma binsec bei uns im Hackquarter.

Wann? Samstag, 2015-06-13, 15:00 Uhr
Wo? ccc-ffm Hackquarter, F-Bockenheim
Wer? Jeder Interessierte ist herzlich willkommen!

http://ccc-ffm.de/2015/05/vortrag-ueberblick-datenschutzbeauftragter/

Just My 2 Cents zum Thema Personalverantwortung & Personalführung

Leave a Comment

Wie lernt man Personalführung? Ab ins kalte Wasser! Vielleicht beschäftigt man sicher vorher noch ausführlich mit diversen Theorien zur Personalführung. Oder man hat die Theorie im Studium durchgekaut. Oder man hat einen besonders spendablen Arbeitgeber und wird auf ein Seminar bzw. Training für Führungskräfte geschickt. Theorie und Übungsseminare sind nett, aber wirklich darauf vorbereiten können sie nicht.

Ich denke für die meisten, die zum ersten Mal Personalverantwortung übernehmen, war das eine Stufe auf ihrer mehr oder weniger geplanten Karriereleiter. Personalverantwortung als Karriereziel. Mehr Einfluss, mehr Macht, mehr Gestaltungsspielraum, endlich echte Entscheidungen treffen und natürlich mehr Geld. Personalverantwortung als Selbstzweck. Was man nach dem Studium werden möchte? Natürlich Führungskraft!

Das erste Herausforderung fängt leider damit an, dass Personalverantwortung auch bedeutet, Personal zu führen und nicht nur zu verwalten, zu terrorisieren oder die anderen einfach für sich arbeiten zu lassen. Gute Führung bedeutet auf die Menschen einzugehen, die verschiedenen Schwächen und Stärken von Menschen zu erkennen, um langfristig das optimale aus einer Mannschaft herausholen zu können. Dazu gehört eine gute Menschenkenntnis, vielleicht ein bisschen Charisma und vor allem Charakterstärke sowie die Fähigkeit zur Selbstreflexion. Was weniger dazu gehört sind tiefe Fachkenntnisse und narzisstisch oder egoistische Persönlichkeitsstörungen. Führungskräfte, die Erfolge ihrer Mannschaft primär zu ihren eigenen Erfolgen umdeuten und bei Fehlern die Schuldigen wiederum als erstes unter den eigenen Mitarbeitern suchen, sind genauso fehl am Platz.

Die zweite Herausforderung an Personalverantwortung: Es ist nur so lange easy-going, solange alles reibungslos funktioniert. Leistungsschwache, problematische Mitarbeiter und Konflikte innerhalb der Mannschaft können der Führungskraft richtig Nerven kosten. Man kann Probleme natürlich ignorieren, schwache Mitarbeiter mit einfachen ABM-Aufgaben betreuen, viele Blabla-Meetings zur Arbeitsatmosphäre abhalten und ansonsten jeden weiteren möglichen Konflikt aus dem Weg gehen. Als Ergebnis werden die Leistungsträger abwandern und am Ende hat die Führungskraft das Personal, welches sie verdient hat. Was man eigentlich machen sollte – das richtige Maß aus Lob, Motivation, Förderung aber auch Sanktionen finden. Offen gesagt, wer scheiße gebaut hat, hat es verdient darauf aufmerksam gemacht zu werden. In keiner cholerischen Art und Weise, sondern sachlich und direkt. Im Gegensatz dazu haben es gute Mitarbeiter auch verdient, Lob und Anerkennung zu bekommen. Man kann nicht alle Mitarbeiter gleich behandeln, jeder benötigt einen anderen Führungsstil. Der eine braucht mehr Führung, der andere mehr Freiheiten. Jeder Mensch ist anders. Leider ist für viele aber Lob einfacher zu verteilen, als Konfliktgespräche zu führen oder gar Kündigungen auszusprechen.

Ich hatte damals auch indirekt das Karriereziel Personalverantwortung zu übernehmen. Ich bin ins kalte Wasser gesprungen. Ich habe versucht mich an Vorbildern zu orientieren und aus Fehlern anderer zu lernen. Funktionierte leider nicht immer, ich habe auch Fehler gemacht. Mittlerweile habe ich meinen eigenen Stil gefunden. Ich bin mit der Zusammensetzung meines aktuellen Teams sehr zufrieden.

Aber ich habe dem Prinzip Personalverantwortung als Karriereziel und damit als Selbstzweck abgeschworen. Nach dem Peter-Prinzip neigt jeder Beschäftigte bis zu seiner Stufe der eigenen Unfähigkeit aufzusteigen. Die genannte These von Laurence J. Peter kommt nicht von ungefähr. Wird einem die erste Stelle als Führungskraft angeboten, sollte man sehr genau darüber nachdenken sie anzunehmen. In der Regel hat man in dieser Situation keine Ahnung, was das eigentlich in der Praxis bedeutet. Nimmt man die Aufgabe an, sollte man regelmäßig reflektieren, ob man es wirklich kann. Die Theorie ist einfach, die Praxis leider nicht unbedingt.

Die WordPress-Seuche

4 Comments

Ich habe es satt. Mein Blog läuft selbst auf WordPress und ich habe noch 2-3 andere WordPress-Installationen, aber der aktuelle Handlings-Aufwand um diese Sachen „sicher“ zu halten steht in keinem ertragbaren Verhältnis mehr.

WordPress hat sich von einem kleinen „pain in the ass“ zu einer regelrechten Security-Seuche entwickelt. Seit der „It’s not a bug, it’s a feature!“-Pingback-Schwachstelle hört es gefühlt nicht mehr auf. Aktuell ist das Standard-Theme von WordPress anfällig. Die geniale readme.html, die die aktuelle WordPress-Version einer Installation auf dem Silbertablett in die Öffentlichkeit posaunt und auch immer schön nach einem Update wieder da ist, sorgt bei mir immer noch für verständnisloses Kopfschütteln.

Aber das gute ist: Hat man eine aktuelle Installation und es existiert noch nicht eimal ein Zero-Day-Exploit für WordPress, kann man sich im Zweifel immer noch auf ein verwundbares Plugin verlassen. Sicher ist, dass viele WordPress-Installationen einfach nur unsicher sind. Vollgestopft mit irgendwelchen Plugins, selten regelmäßig aktualisiert, ist WordPress des Pentesters Liebling geworden.

Fazit Wahlpflichtfach PCI DSS im WS2014/2015

Leave a Comment

Das WPF ist seit Dezember vorbei, die Hausarbeiten sind bewertet und die formale Evaluation der Lehre an der FH BRB ist auch eingetroffen. Ich persönlich fand die drei Tage an der FH Brandenburg – das erste Mal als Dozent dort – sehr gut: Es hat Spaß gemacht, die Stimmung war offen & gut und ich denke die Studenten haben einen sehr guten Einblick in PCI DSS und in die Praxis bekommen.

Die Hausarbeiten waren teilweise sehr gut, manche aber auch etwas durchwachsen, sodass die Bewertungen sehr unterschiedlich ausgefallen sind. Das finde ich etwas schade, zumal ich vor dem finalen Abgabetermin auch angeboten hatte Verbesserungsvorschläge zu äußern. Nur wenige haben das leider angenommen.

Ansonsten habe ich gemerkt, dass der Lehransatz fast komplett mit einem fiktiven Beispiel-Unternehmen zu arbeiten eine sehr gute Idee war, ich dieses Beispiel aber gründlicher ausarbeiten muss. Darauf haben mich auch die Studis in der finalen Feedbackrunde hingewiesen – absolut zu recht. Ansonsten klangen sie zufrieden.

Die FH Brandenburg führt eine formale und für die Studenten aber freiwillige Bewertung der Lehre durch – Die Evaluation der Lehre. Diese Beurteilung habe ich heute erhalten. Viele haben mein WPF nicht bewertet und damit ist das nur eine kleine Stichprobe, aber mit dem Ergebnis bin ich sehr glücklich. Das Fazit: Abschließende Note: 1. Die PDF kann hier heruntergeladen werden: Evaluation der Lehre im WS 2014-15 WPF PCI DSS Herr Sauer

 

Das Besondere am Master-Studium Security Management der FH Brandenburg

Leave a Comment

Studiert habe ich eine kurze Zeit Physik an der Goethe-Universität Frankfurt am Main, danach das Studium der Wirtschaftsinformatik an der Fachhochschule Gießen-Friedberg abgeschlossen (heute Technische Hochschule Mittelhessen) und anschließend meinen Master in Security Management an der Fachhochschule Brandenburg gemacht.

Ich bin seit 2013 mit meinem Master fertig und halte aktuell das Wahlpflichtfach PCI DSS an der Fachhochschule Brandenburg für die Master-Studiengänge Wirtschaftsinformatik und Security Management. Das WPF halte ich unentgeltlich und trage auch die Reisekosten. Das hat primär den Grund, dass ich den Studiengang Security Management als sehr gut empfand und mich nach meinem Abschluss an der Lehre beteiligen wollte.

Als besonders positiv empfand ich:

  • Der SecMan-Master lässt sich (idealerweise als Teilzeitstudium) optimal mit einem Vollzeit-Job vereinbaren. Die Vorlesungen sind freitags, samstags und montags. Alles am Block und ohne typische Zerstückelung der Vorlesungen über die Woche.
  • Er hat nur 3 Semester (2 Semester Vorlesungen, 1 Semester Master-Thesis)
  • Im Vergleich zu anderen kommerziellen Studiengängen sind die Studiengebühren mit ein paar Hundert Euro pro Semester vernachlässigbar gering.
  • Die Anzahl der Zulassungsplätze ist stark begrenzt (aktuell auf 25 Plätze). Das ist das Gegenteil eines Massen-Studiengangs und äußert sich in einer guten Gruppendynamik.
  • Die Zulassung setzt ein Mindestmaß an beruflicher Praxiserfahrung voraus. Somit bringen die Studenten in einem Semester die unterschiedlichsten fachlichen Praxis-Schwerpunkte mit.
  • Die allgemeinen Lebensunterhaltskosten sind in Brandenburg an der Havel im Vergleich zu Großstädten gering.
  • Einige Dozenten und die Honorar-Professoren kommen aus der unternehmerischen Praxis. Hier findet teilweise ein echter Erfahrungstransfer statt.
  • Feedback, Rückmeldung und sachliche Kritik sind erwünscht: Ich kenne keinen anderen Studiengang, in der die Studiengangs-Leitung sich mit den Studenten zusammensetzt und um Feedback bittet.
  • Treten irgendwelche Probleme auf – das passiert immer wieder einmal – wird zumindest im Rahmen des Möglichen versucht eine Lösung zu finden.
  • Es handelt sich nicht um einen IT-Security-Studiengang und man benötigt keine tiefen IT-Kenntnisse. Es gibt aktuell nur eine Pflichtvorlesungen bei der Kenntnisse in IT-Netzwerken hilfreich wären. Ansonsten kann man seinen Schwerpunkt im extrem weiten allgemeinen Gebiet des Security Managements gestalten wie man möchte.

Okay, es gibt auch zwei in meinen Augen erwähnenswerte Nachteile:

  • Brandenburg an der Havel ist nicht der Nabel der Welt, aber zumindest ist Berlin in der Nähe.
  • Es ist eine staatliche Fachhochschule. Mit allen Vor- und Nachteilen. Manchmal hapert es an der Organisation und nicht alle Prozesse laufen immer problemlos. Ist eben eine Hochschule.

Insgesamt finde ich, dass die Vorteile deutlich die Nachteile des Studiengangs übertreffen. Ich war mit meinem Studium insgesamt sehr zufrieden und würde dort wieder studieren. Ansonsten würde ich mich auch dort nicht als Dozent inhaltlich beteiligen.