Sichere Verschlüsselung kann die NSA nicht knacken

Leave a Comment

In den Medien verbreitet sich die Meldung, dass selbst Verschlüsselung gegen die Überwachung der NSA nicht hilft. Das ist falsch. Mal abgesehen davon, dass genaue Informationen gar nicht bekannt sind, wird auch die NSA als sicher anerkannte kryptographische Verfahren nicht brechen können. Die Verfahren auf dem Niveau von RSA und AES sind weiterhin sicher und … [Read more…]

Sicherheit kostet Geld

Leave a Comment

Sicherheit kostet Geld. Es gibt leider nur wenige Ausnahmen. Entweder kosten Maßnahmen direkt Geld oder sie reduzieren die Effizienz eines Unternehmens. Dabei spielt es weniger eine Rolle, ob es sich um organisatorische oder technische Maßnahmen handelt. Die Einführung und Einhaltung von Prozessen wie zum Beispiel Code-Reviews verbessern zwar die Software-Qualität, erhöhen aber auch den Aufwand. … [Read more…]

PCI DSS 3.0 steht vor der Tür

Leave a Comment

Seit diesem Monat sind Hinweise zu den Änderungen von PCI DSS 2.0 zu PCI DSS 3.0 online. Ankündigungen von gravierenden Änderungen konnte ich dort nicht lesen, auch wenn der Standard selbst noch nicht final veröffentlicht wurde. Es sollen ein paar neue Anforderungen aufgenommen werden. Zudem wird PCI DSS 3.0 zukünftig in ein paar Punkten mehr … [Read more…]

Erfahrungen zum Studiengang Master of Science in Security Management an der FH Brandenburg – Teil 10: 3. Semester, die Master-Thesis.

Leave a Comment

Im dritten Semester steht die Abschlussarbeit an: Die Master-Thesis. Ansonsten war das Semester unspektakulär und ohne Vorlesungen. Ich konnte mich mit einem Thema beschäftigen, das ich immer noch spannend finde: „Messung von Informationssicherheit“ Wann ist etwas sicher und wie kann ich es messen?

Tipps zur Vorbereitung auf die CISSP-Prüfung

5 Comments

Wer kein „CISSP-Bootcamp“ für mehrere Tausend Euro besuchen möchte, dem empfehle ich folgende Vorbereitung: 1. Kaufen, Lesen und Verstehen von den beiden Büchern: CISSP All-in-One Exam Guide von Shon Harris CISSP: Certified Information Systems Security Professional Study Guide von James M. Stewart 2. Zusätzlich finde ich die offiziellen Testfragen vom Isc² absolut lohnenswert: https://www.expresscertifications.com/ISC2/Catalog.aspx. Der … [Read more…]

Erfolgsfaktoren für den PCI DSS Audit und die Zertifizierung

Leave a Comment

Um Audits erfolgreich und möglichst schnell abzuwickeln, benötigt man einen guten Auditor, der viel Erfahrung im Bereich Security besitzt und auch vor technischen Diskussionen nicht zurückschreckt. eine interne zuständige Person, die PCI DSS kennt, versteht und ausreichend Erfahrung mit dem Standard hat. Idealerweise einen CISO mit sehr starkem technischen Hintergrund. Alternativ einfach das Know-How von … [Read more…]

Navigating PCI DSS

Leave a Comment

Wer PCI DSS nicht kennt, aber plötzlich davon betroffen ist, sollte sich das Dokument Navigating PCI DSS von der offiziellen Website des PCI Security Standards Council herunterladen. Es lohnt sich. Im eigentlichen PCI DSS Dokument werden nur Anforderungen und Testprozeduren definiert. In Navigating PCI DSS wird erklärt, was überhaupt mit den einzelnen Anforderungen erreicht werden … [Read more…]

Wie man unsichere Software schreibt

Leave a Comment

Wie schreibt man unsichere Software? Nichts einfacher als das: Anforderungen an die Software nicht schriftlich festhalten. Somit kann man auch gar nicht in die Verlegenheit kommen, Sicherheitsanforderungen definieren zu müssen. Tests sind etwas für Weicheier. Ohne Sicherheitsanforderungen braucht man Sicherheit ohnehin nicht zu testen. Sie ist schließlich kein zwingender Bestandteil einer Software. Code-Review ist viel … [Read more…]