Erfahrungen zum Studiengang Master of Science in Security Management an der FH Brandenburg – Teil 4: Die Studenten

Leave a Comment

Nachdem ich das Studium in sechs Semestern und nicht in drei Semestern absolviert hatte, bin ich zwei Jahrgängen an Studenten begegnet.  Beide Jahrgänge bestanden aus etwas weniger als 20 Studenten, wobei ich nicht die offiziellen Immatrikulationszahlen kenne. In den Vorlesungen saßen meist etwa 15, manchmal mehr und manchmal weniger. Der größte Teil der Studenten kam immer aus dem Raum Brandenburg, Berlin, Potsdam und Umgebungen. Der größte Teil hatte zuvor bereits an der Fachhochschule Brandenburg seinen Bachelor gemacht. Es waren viele Wirtschaftsinformatiker vertreten. Die meisten dürften davon etwa in der Altersgruppe 25-30 gewesen sein.

In beiden Jahrgängen gab es Studenten, die eine regelmäßig deutlich größere Anfahrt für den Studiengang in Kauf genommen hatten. Diese waren meist deutlich älter und standen bereits fest im Berufsleben. Nachdem das Studium eine Mindestberufserfahrung benötigt, hatte ich bei meiner Immatrikulation mit einem größeren Anteil dieser Gruppe gerechnet. Immerhin gehört zu einem Security Manager nicht unbedingt ein Abschluss, sondern zwingend ausreichend Berufserfahrung. Der Master ist nur nice to have.

Die beiden „Gruppen“ haben aber immer gut zusammen harmonisiert. Es gab auch keine Gruppierungen, das wäre vielleicht auch etwas überzeichnet ausgedrückt. Ich fand es insgesamt sehr harmonisch, aber gut durchmischt. Wenn die Studenten etwas mehr Berufserfahrung besessen hätten, wäre es kein Nachteil gewesen.

Erfahrungen zum Studiengang Master of Science in Security Management an der FH Brandenburg – Teil 3: 2. Semester

Leave a Comment

Im zweiten Semester gab es folgende Veranstaltungen:

  • Gebäudesicherheit
  • Krisenmanagement im internationalen Kontext
  • Netzwerksicherheitsmanagement
  • Sichere Softwareentwicklung
  • Unternehmensführung
  • Semesterarbeit 2
  • Projekt
  • Organisatorische Aspekte der IT-Forensik (WPF)

Ich hatte in diesem Semester nur das Wahlpflichtfach Organisatorische Aspekte der IT-Forensik gewählt und war sehr zufrieden damit. Insgesamt ist der Arbeitsaufwand in diesem Semester deutlich höher als im ersten. Das liegt insbesondere an der Projektarbeit, die einen gewissen Mindestumfang besitzt und dessen Umfang auch protokolliert werden muss. Während die notwendige Arbeitslast bei anderen Fächern in der Realität und unabhängig von den Credit Points eher vom Fach, vom Dozenten und von den eigenen Kenntnissen abhängt.

Von den Pflichtfächern fand ich Sichere Softwareentwicklung, Krisenmanagement im internationalen Kontext und Netzwerksicherheitsmanagement am besten. Bei Gebäudesicherheit habe ich die Vorlesung nicht besucht und mich auf die Prüfung nur mit den Vorlesungsunterlagen vorbereitet. Unternehmensführung war leider nicht sehr gut und es gab beim nächsten Jahrgang auch eine Änderungen des Dozenten.

Certified Information Security Manager

Leave a Comment

Nach der bestandenen CISM-Prüfung darf ich mich nun offiziell als CISM bezeichnen:

„Congratulations! We are pleased to inform you that on 12 August 2013 the CISM Certification Committee approved your application and awarded you the Certified Information Security Manager (CISM) designation.“

Damit erweitert sich meine Zertifikatssammlung auf CISSP, CISM, T.I.S.P. und CPSSE.

Wirtschaftsminister Rösler sieht technischen Vorsprung bei Verschlüsselungstechnologien

Leave a Comment

Unser Wirtschaftsminister Philipp Rösler aus der FDP sieht einen technischen Vorsprung bei Verschlüsselungstechnologien. Im Morgenmagazin der ARD  sagt er: „Wir haben jetzt schon einen technischen Vorsprung bei Verschlüsselungstechnologien aber ein normaler Mittelständler, der kennt sich damit natürlich nicht so gut aus.“

Nicht nur, dass normale Mittelständler sich nicht mit Verschlüsselungstechnologien auskennen sollen, bei Rösler ist das vermutlich auch nicht der Fall. Wo haben „wir“ bei Verschlüsselungstechnologien einen technischen Vorsprung? Die aktuell sichersten kryptographischen Verfahren kommen nicht aus Deutschland, z.B. AES, RSA oder SHA-3. Und ich sehe auch keine Anwendungsfälle, in denen wir irgendwie führend sind. Was haben wir, was andere nicht haben… ach genau: DE-Mail. Warum ist DE-Mail sicher? Weil der Gesetzgeber das sagt. Und die Marketingkampagne „E-Mail Made in Germany“ hinkt technisch Google hinterher. Deutschland hat keinen technischen Vorsprung bei Verschlüsselungstechnologien.

Ist Google sicherer als „E-Mail Made in Germany“?

Leave a Comment

Heise Security hat E-Mail Provider auf die Unterstützung der Verschlüsselungsoption „Forward Secrecy“ untersucht. Forward Secrecy sorgt dafür, dass verschlüsselter Datenverkehr in SSL/TLS nachträglich nicht entschlüsselt werden kann, wenn man an den geheimen Schlüssel des Servers kommt. Ohne Forward Secrecy kann nachträglich unter Umständen der gesamte Datenverkehr im Nachhinein entschlüsselt werden.

Die Mail-Provider der „E-Mail Made in Germany“-Kampagne unterstützen laut heise security diese Option nicht durchgehend. Google hat bereits 2011 umgestellt. E-Mail Made in Germany hinkt also Google in diesem Punkt hinterher. Hier bietet Google ein höheres Sicherheitsniveau als deutsche Mail-Provider.

IT-Security wird an den Hochschulen zu sehr vernachlässigt

Leave a Comment

An vielen Universitäten und Fachhochschulen wird das Thema IT-Security in Informatikstudiengängen vernachlässigt. Man kann heute immer noch Informatik oder Wirtschaftsinformatik studieren, ohne eine Vorlesung in IT-Security oder Security Management gehört zu haben. Die Hochschulen verschlafen die steigende Bedrohungslage. Dafür produzieren sie immer noch Studenten, die PHP-Anwendungen schreiben, die keine grundlegende Eingabevalidierung besitzen. Die üblichen Schwachstellen der OWASP Top 10 werden so nicht aussterben. Wenn nicht das Niveau der Studiengänge in diesem Bereich steigt, werden wir immer wieder dieselben Sicherheitslücken sehen.

Ich kann Unternehmen nur empfehlen, ihre Hochschulabsolventen direkt in Weiterbildungen zu setzen, um die Versäumnisse der Hochschulen auszugleichen. Je früher desto besser. Ich würde mich zwar freuen, wenn die Qualität der Lehre in diesem Bereich zulegt, aber ich glaube nicht daran.

Marketing „E-Mail Made in Germany“

Leave a Comment

Das Projekt „E-Mail Made in Germany“ ist ein schönes Beispiel für gutes Marketing. Die größeren Provider nutzen nun TLS zur verschlüsselten Datenübertrag zwischen einzelnen Mail-Servern. Mich würde interessieren, ob es vorher auch so war oder ob es nun wirklich neu ist. Die Technik an sich ist zumindest gar nicht neu. Und die deutschen Provider sind nicht die einzigen, die sie nutzen. Die Darstellung „Made in Germany“ finde ich etwas verzerrend, da bisher nur Telekom, WEB.de und GMX beteiligt sind. Nicht einmal 1&1 als Tochter von United Internet ist dabei. Auch die Tochter Strato der Telekom ist nicht dabei. Der deutsche E-Mail-Verkehr wird nicht ausschließlich von den beteiligten drei Unternehmen bzw. Töchterunternehmen abgewickelt. Aber man nennt es „Made in Germany“.

Da auch bei diesem Projekt wie bei DE-Mail keine Ende-Zu-Ende-Verschlüsselung eingesetzt wird, kann der gesamte Mailverkehr weiterhin auf jedem beteiligten Mailserver mitgeschnitten werden. Das wird natürlich auf der Projekt-Website nicht näher erwähnt. Insgesamt ist es nun für die NSA etwas schwieriger geworden, deutschen Mailverkehr mitzulesen. So schlimm wird es aber für sie nicht kommen, da der deutsche Geheimdienst BND oder zumindest Vollzugsbehörden mit gerichtlicher Genehmigung weiter an jede deutsche E-Mail gelangen.

Besser wäre es grundsätzlich, wenn man nicht wieder die x-te deutsche Eigenbrötlerei (wie BSI Grundschutz, TISP) betreiben würde, sondern international das Thema zwischen verschiedenen Providern besprechen würde. Jetzt haben wir in Deutschland nicht nur DE-Mail, das keiner verwendet, sondern auch noch „E-Mail Made in Germany“. E-Mails sind bei Google sicher nicht unsicherer als bei GMX & Co. Bei einigen Nutzern wird bestimmt dennoch hängen bleiben, dass Mails bei der Telekom, GMX und WEB.de sicherer sind als bei anderen. Respekt vor dem Marketing.

IPv6 ist das Ende vom Black Box Penetration Test

Leave a Comment

In einem gewöhnlichen IPv4-Netz existieren nicht sehr viele IP-Adressen. Ein paar Hundert. Vielleicht auch ein paar Tausend. Es ist relativ unproblematisch diese kleinen Mengen an möglichen Adressen innerhalb eines Netzwerks auf die Erreichbarkeit von verschiedenen Diensten zu prüfen. Für einen Black Box Penetration Test reicht es also aus, wenn der Penetration Tester nur den Netzbereich als Angriffsziel vom Auftraggeber mitgeteilt bekommt.

Dies ändert sich nun mit der Einführung von IPv6. Durch die hohe Anzahl von möglichen IP-Adressen innerhalb eines gewöhnlichen /64-Netzes ist es unmöglich einen kompletten Netzwerkscan eines einzelnen Netzes durchzuführen. Ein /64 umfasst 18.446.744.073.709.551.616 Adressen. Das sind mehr potentiell verwendete Adressen als es rechnerisch überhaupt ipv4-Adressen gibt. Es ist während eines Pentests unmöglich alle Adressen auch nur auf die Erreichbarkeit eines einzelnen Diensts zu prüfen. Da bei einem Black Box Penetration Test nur minimale Informationen über das Ziel bekannt sind, ist die Durchführung eines aussagekräftigen Tests bei ipv6 nicht mehr möglich. Es ist zwingend erforderlich, dass ein Penetration Tester eine exakte Auflistung aller aktiven Hosts bekommt.

IPv6 eschwehrt damit auch White Box oder Grey Box Penetration Testing: Welches Unternehmen verfügt wirklich über eine Dokumentation aller verwendeten IP-Adressen? Welche Aussagekraft besitzen Penetration Tests in IPv6-Netzen zukünftig überhaupt noch?

Was einen guten QSA bzw. PCI-Auditor auszeichnet

Leave a Comment

Auditoren für PCI DSS werden als QSA (Qualified Security Assessor) bezeichnet. Um QSA zu werden und PCI Audits durchzuführen, müssen die jeweiligen Personen verschiedene Anforderungen erfüllen. Zwingend benötigen sie ausreichend Berufserfahrung und in der Regel eine Zertifizierung als CISSP, CISA oder CISM.

Ich bin in den letzten Jahren einigen Auditoren begegnet, ehemaligen und aktiven. Teilweise habe ich auch über Hörensagen von ein paar berichtet bekommen. Insgesamt muss ich feststellen, dass es stellenweise sehr gute Auditoren gibt, die ein hohes Maß an Fachkompetenz besitzen. Dass ein QSA seinen Standard natürlich kennen sollte, versteht sich von selbst. Das PCI Council sorgt über Qualifizierungsmaßnahmen ohnehin dafür. Dennoch stelle ich aus meinen Erfahrungen in den letzten Jahren weitere Anforderungen an einen guten QSA:

  • Ein QSA muss seinen Standard PCI DSS nicht nur kennen, er muss ihn verstehen. Das scheint auf dem ersten Blick selbstverständlich zu sein, ist es aber nicht. Der Punkt wird mit der Auflistung der nächsten Punkte klarer.
  • Er sollte einen CISSP besitzen. Der CISSP ist schon sehr managementlastig, aber man muss zumindest gewisse technische Grundkenntnisse besitzen. Im Gegensatz dazu sind CISM und CISA einfach nicht technisch genug ausgerichtet. Ich kenne Auditoren, die „nur“ eine CISA-Zertifizierung besitzen und dennoch fachlich extrem kompetent sind. Eine höhere Wahrscheinlichkeit einen guten QSA zu erwischen hat man jedoch, wenn man einen nimmt, der CISSP zertifiziert ist.
  • Ein QSA muss Security „verstehen“. Es greift einfach zu kurz, wenn man nur den Wortlaut des Standards folgt. Hinter jeder einzelnen Anforderung des PCI DSS steckt eine Bedeutung. Ein Ziel, welches erreicht werden möchte! Natürlich prüfen QSA den Wortlaut des Standards und sie müssen den definierten Testprozeduren folgen. Das heißt allerdings nicht, dass man Anforderungen im Wortlauft folgt, ohne die Intention oder den Kontextbezug der Anforderung zu betrachten. Ein allseits bekanntes Beispiel ist das Wort „Testdaten im Produktionssystem“. Je nach Kontextbezug ist das sehr tatsächlich sehr „böse“. Aber es hängt vom Kontext ab. Und es gilt nicht grundsätzlich. Bevor man sich für einen QSA entscheidet, einfach einmal nachfragen, ob Testdaten im Produktionssystem erlaubt sind. Man sollte eine differenzierte Antwort erhalten.
  • Auditoren sind keine Götter, sondern Menschen, die für ein Unternehmen arbeiten. Man bezahlt für ihre Dienstleistung. Man ist Kunde. Man kann immer erwarten, dass Auditoren ihre Einschätzungen erläutern und begründen. Der PCI DSS ist nicht exakt, sondern hinterlässt Interpretationsspielraum. Dieser sollte stets im Sinne des Kunden ausgelegt werden, sofern nicht tatsächlich ein Risiko existiert, sodass der jeweilige Punkt streng ausgelegt werden muss. Eigentlich sollte das selbstverständlich sein, ist es aber nicht.

Die Bedeutung der Qualifikation und Erfahrung eines Auditors ist extrem wichtig. Für den „Erfolg“ eines Audits ist das etwas weniger relevant. Aber einem Unternehmen kann eine PCI-Zertifizierung sowie das spätere Daily Business etwas leichter fallen, wenn es einen guten QSA besitzt, mit dem es auch kritische Punkte offen und sachlich diskutieren kann. Ich kenne aktuell 1-2 aktive QSA persönlich, die ich weiter empfehlen kann. Bei Interesse einfach mit mir Kontakt aufnehmen. Ich bekomme keine Provision ;-).