NAT (Network Address Translation) ist keine Sicherheitsmaßnahme. Der Glaube an die schützende Kraft von NAT zur Sicherung eines Netzwerks stirbt nicht aus. NAT dient ausschließlich dazu, dem Mangel an ipv4-Adressen zu begegnen. NAT übersetzt meistens private im Internet nicht vorhandene IP-Adressen wie 192.168.1.1/32 in öffentlich erreichbare Adressen. Im privaten Bereich „schützt“ NAT am DSL-Router das … [Read more…]
Nachdem ich das Studium in sechs Semestern und nicht in drei Semestern absolviert hatte, bin ich zwei Jahrgängen an Studenten begegnet. Beide Jahrgänge bestanden aus etwas weniger als 20 Studenten, wobei ich nicht die offiziellen Immatrikulationszahlen kenne. In den Vorlesungen saßen meist etwa 15, manchmal mehr und manchmal weniger. Der größte Teil der Studenten kam … [Read more…]
Im zweiten Semester gab es folgende Veranstaltungen: Gebäudesicherheit Krisenmanagement im internationalen Kontext Netzwerksicherheitsmanagement Sichere Softwareentwicklung Unternehmensführung Semesterarbeit 2 Projekt Organisatorische Aspekte der IT-Forensik (WPF) Ich hatte in diesem Semester nur das Wahlpflichtfach Organisatorische Aspekte der IT-Forensik gewählt und war sehr zufrieden damit. Insgesamt ist der Arbeitsaufwand in diesem Semester deutlich höher als im ersten. Das … [Read more…]
Nach der bestandenen CISM-Prüfung darf ich mich nun offiziell als CISM bezeichnen: „Congratulations! We are pleased to inform you that on 12 August 2013 the CISM Certification Committee approved your application and awarded you the Certified Information Security Manager (CISM) designation.“ Damit erweitert sich meine Zertifikatssammlung auf CISSP, CISM, T.I.S.P. und CPSSE.
Unser Wirtschaftsminister Philipp Rösler aus der FDP sieht einen technischen Vorsprung bei Verschlüsselungstechnologien. Im Morgenmagazin der ARD sagt er: „Wir haben jetzt schon einen technischen Vorsprung bei Verschlüsselungstechnologien aber ein normaler Mittelständler, der kennt sich damit natürlich nicht so gut aus.“ Nicht nur, dass normale Mittelständler sich nicht mit Verschlüsselungstechnologien auskennen sollen, bei Rösler ist … [Read more…]
Ich finde das Video „Benefits of being a CISSP” ist eine schöne selbstironische Darstellung und Kritik an der CISSP-Zertifizierung. Sehenswert! Insbesondere für alle CISSP, die sich selbst zu wichtig nehmen. Der CISSP ist eine gute Zertifizierung zum Nachweis der eigenen Kompetenz und Erfahrung im Sicherheitsumfeld. Aber auch nicht mehr.
Heise Security hat E-Mail Provider auf die Unterstützung der Verschlüsselungsoption „Forward Secrecy“ untersucht. Forward Secrecy sorgt dafür, dass verschlüsselter Datenverkehr in SSL/TLS nachträglich nicht entschlüsselt werden kann, wenn man an den geheimen Schlüssel des Servers kommt. Ohne Forward Secrecy kann nachträglich unter Umständen der gesamte Datenverkehr im Nachhinein entschlüsselt werden. Die Mail-Provider der „E-Mail Made … [Read more…]
An vielen Universitäten und Fachhochschulen wird das Thema IT-Security in Informatikstudiengängen vernachlässigt. Man kann heute immer noch Informatik oder Wirtschaftsinformatik studieren, ohne eine Vorlesung in IT-Security oder Security Management gehört zu haben. Die Hochschulen verschlafen die steigende Bedrohungslage. Dafür produzieren sie immer noch Studenten, die PHP-Anwendungen schreiben, die keine grundlegende Eingabevalidierung besitzen. Die üblichen Schwachstellen … [Read more…]
Das Projekt „E-Mail Made in Germany“ ist ein schönes Beispiel für gutes Marketing. Die größeren Provider nutzen nun TLS zur verschlüsselten Datenübertrag zwischen einzelnen Mail-Servern. Mich würde interessieren, ob es vorher auch so war oder ob es nun wirklich neu ist. Die Technik an sich ist zumindest gar nicht neu. Und die deutschen Provider sind … [Read more…]
In einem gewöhnlichen IPv4-Netz existieren nicht sehr viele IP-Adressen. Ein paar Hundert. Vielleicht auch ein paar Tausend. Es ist relativ unproblematisch diese kleinen Mengen an möglichen Adressen innerhalb eines Netzwerks auf die Erreichbarkeit von verschiedenen Diensten zu prüfen. Für einen Black Box Penetration Test reicht es also aus, wenn der Penetration Tester nur den Netzbereich … [Read more…]
