Vertrieb, Sales, Akquise.. alles ein hartes Geschäft. Manchmal hat man Glück, meistens hat man Pech. Normales Business. Aber manchmal.. fehlen einem die Worte – Reaktion am Telefon (sinngemäß wiedergegeben):
„Also von Pentests halte ich nichts. Die kosten nur Geld. Dann werden irgendwelche Sicherheitslücken gefunden. Und dann muss man noch mehr Geld ausgeben, um die Lücken zu beheben. Das ist einfach zu teuer.“
TOP!
In den letzten beiden Semestern wurde das Wahlpflichtfach Penetration Testing an der Hochschule Darmstadt als reguläre Präsenzveranstaltung von uns angeboten. Nachdem Dominik Sauer im WS 2017/18 die Lehrveranstaltung „Internet-Sicherheit“ und ich „IT-Sicherheitsmanagement und Compliance“ halte, wird es keine Präsenzveranstaltung für „Penetration Testing“ geben. Stattdessen werden wir im Rahmen der Zusammenarbeit mit der binsec GmbH die gesamte Veranstaltung als Online-Kurs über binsec-academy.com anbieten, inklusive ausführlichen Unterlagen und dem bisher bekannten Pentest-Labor.
Diese Veranstaltung ist insbesondere für Studenten geeignet, die gerne Inhalte autodidaktisch ohne körperliche Anwesenheit in einer Präsenzveranstaltung lernen. Bisher ist geplant, dass diese Lehrveranstaltung abwechselnd im Wintersemester als Online-Kurs und im Sommersemester als reguläre Vorlesung angeboten wird. Die Prüfungsform wird bei beiden Veranstaltunsmodi weiterhin Hausarbeit (ein Pentest-Bericht) sowie Klausur (50% Multiple Choice, 50% Freitextfragen) sein.
Überrascht. Schockiert. Entsetzt: Wir haben im WPF Penetration Testing an der HDA einen besonders dreisten Täuschungsversuch erlebt. Der Abschlussbericht für das Praktikum wurde 1:1 von einem Team des Vorjahres kopiert. Also gut, die Namen wurden geändert und Bilder entfernt. Wow. Design ändern? Texte ändern? Wohl zu aufwendig.
Ich weiß ja nicht, wie aktuell in der Schule und im Studium kopiert und geschummelt wird, aber offensichtlich scheint die Kreativität bei manchen Studenten doch deutlich nachgelassen zu haben. Also wir haben – ich natürlich nicht … – damals die Werke anderer als „Vorlage“ genommen: Die Texte umformuliert. Vielleicht um 1-2 andere Aspekte ergänzt oder besonders kreativ – etwas falsches hinzugefügt. Und insbesondere haben wir nicht ganze Word-Designs von anderen übernommen. Selbst Guttenberg hat seine Doktorarbeit nicht exakt 1:1 von jemand anderem kopiert.
Sorry, echt, aber eine 5.0 und durchgefallen reicht dafür gar nicht. Studenten, die sich durch besonders dumme Täuschungsversuche auszeichnen, sollten einen besonderen Darwin Award für Plagiate bekommen…
Ab dem Wintersemester 2017/18 wird an der Hochschule Darmstadt das Master-Wahlpflichtfach „IT-Sicherheitsmanagement und Compliance“ angeboten und ich freue mich sehr darauf, diese Vorlesung übernehmen zu dürfen.
Ehemals wurde das Fach angeboten als „Compliance und IT-Sicherheit“, aber nicht mehr gehalten:
https://obs.fbi.h-da.de/mhb/modul.php?nr=41.4828
Ich persönlich fand die Zusammenführung von Compliance-Themen und (technische) IT-Sicherheit als unglücklich: MaRisk und Ethical Hacking in einer Vorlesung passen thematisch nicht zusammen. Als Ergebnis hat sich der Schwerpunkt des Moduls in die Mitte verlagert: „IT-Sicherheitsmanagement und Compliance“..
https://obs.fbi.h-da.de/mhb/modul.php?nr=41.5020&sem=20172
..mit folgenden Lerninhalten:
- Management Systeme & Standards (ISO 2700x, BSI Grundschutz, etc.)
- Risikoanalysen (quantitativ, qualitativ)
- Aufbau und Struktur IT-Sicherheitsorganisation
- Rechtliche und regulatorische Themen (BDSG, MaRisk, PCI DSS, etc.)
- Sicherheitsrichtlinien und -standards im Unternehmen
- Wirtschaftliche Überlegungen zur Maßnahmenauswahl
- konkrete IT-Sicherheitsprozesse (wie z.B. Berechtigungsmanagement, Notfallvorsorge, Security Incident Management, etc.)
- Personenzertifizierungen (CISSP, CISM, CISA, etc.)
- Vermittlung praktischer Erfahrungen.
Das Fach wird als Blockveranstaltung angeboten werden. An der konzeptionellen Umsetzung arbeite ich noch. Sicher ist nur: Es gibt keinen Frontalunterricht, die offizielle Arbeitsform ist „Seminaristische Vorlesung (Gruppenarbeit und Praktikum integriert)“.
Wie im Wintersemester 2016/17 hatten wir (primär Dominik Sauer) auch im Sommersemester 2017 an der HDA (Hochschule Darmstadt) die Vorlesung Penetration Testing gehalten. Die Evaluation fand relativ früh statt. Die Note zum Gesamteindruck war letztes Semester 1,2 – Link zum Blogeintrag Evaluation WS16/17. Das Ergebnis war zwar damals schon sehr sehr gut, aber man findet immer Verbesserungspotential. Ein wenig Feinschliff an der Konzeptumsetzung hat nun folgendes Gesamtergebnis gebracht:
Note zum Gesamteindruck der Vorlesung: 1,06
Note zum Gesamteindruck des Praktikums: 1,0
Ich freue mich sehr über das Ergebnis. Die Bewertung hätte kaum besser sein können. Die etwas komplexeren Auswertungen im Detail:
Download PDF 1/4: SS17_Online-Penetration_Testing_(FbI_SS17_30.2572_V_SauerD)
Download PDF 2/4: SS17_Online-Penetration_Testing_(FbI_SS17_30.2572_V_SauerP)
Download PDF 3/4: SS17_Online-Penetration_Testing_(FbI_SS17_30.2572_P_SauerD)
Download PDF 4/4: SS17_Online-Penetration_Testing_(FbI_SS17_30.2572_P_SauerP)
Das WPF „Penetration Testing“ wird im Wintersemester 2017/18 nicht angeboten werden, zumindest nicht als reguläre Präsenzveranstaltung. Sowohl Dominik Sauer als auch ich werden uns im kommenden Semester in der Lehre auf andere Themen konzentrieren.
Das deutsche BDSG bzw. die alte EU-Datenschutzrichtlinie 95/46/EG war mehr ein Papiertiger. Die Bußgeldvorschriften nach §43 BSDG relativ harmlos. Eine sehr große Zahl von kleinen und mittelständischen Unternehmen schafft es heute noch, das BDSG relativ gut ignorieren zu können. Selbst große Unternehmen „leben“ ganz gut mit dem BDSG – sofern sie keinen hochmotivierten Datenschutzbeauftragten bestellt haben.
Die Datenschutz-Grundverordnung (DSGVO) der EU trat am 24. Mai 2016 in Kraft, wobei sie erst am 25. Mai 2018 angewendet wird. Es bleibt also noch knapp ein Jahr. Ich hätte ehrlich gesagt erwartet, dass sich die meisten Unternehmen nicht sonderlich mit dem Thema befassen. Das Gegenteil ist der Fall.
Es herrscht Unsicherheit. Teilweise sogar Nervosität.
Man kann die DSGVO kritisieren. Alleine die Tatsache, dass sie eigentlich mehr ein Zwitter zwischen EU-Verordnung und EU-Richtlinie als eine richtige EU-Verordnung ist, kann man als großen Fehlgriff von politischer und juristischer Schwachsinnigkeit bezeichnen. Manche meinen, dass die DSGVO die schlechteste Gesetzgebung der EU überhaupt ist. Auch inhaltlich gibt es Kritikpunkte. Ich stimme den meisten zu. Aber: Der Zweck heiligt die Mittel und es scheint zu funktionieren.
Warum?
Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist [..]
Artikel 83, DSGVO Absatz 4
Aber da geht noch mehr oder? Ja da geht noch mehr..
Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist [..]
Artikel 83, DSGVO Absatz 5
Je nach Sachverhalt 2% oder 4% des weltweiten Konzernumsatzes ist schmerzhaft. Wirklich schmerzhaft. Da können auch hartgesottene Geschäftsführer und Vorstände nervös werden, zumal sie bei bewusster Missachtung der DSGVO bzw. bei grober Vernachlässigung ihrer Pflichten für entstehende finanziellen Schäden selbst haftbar gemacht werden können.
Man wird in den nächsten Jahren oder besser Jahrzehnten sehen müssen, wie hoch die Bußgelder in der Praxis ausfallen und wie Gerichte dazu entscheiden werden. Unabhängig davon, zeigt die Datenschutz-Grundverordnung allein durch die theoretischen, sehr hohen Bußgelder bereits Wirkung.
Der Krypto-Trojaner WannaCry richtet weltweit Schaden an. IT-Sicherheit ist einmal mehr in den alten Medien angelangt. Und ich erwische mich selbst dabei, relativ wenig Interesse dafür zu zeigen: Einmal Tagesthemen gesehen, die Überschrift der FAZ gelesen und einen Heise-Newseintrag überflogen: Die amerikanischen Nachrichtendienste kauften die Zero-Day-Lücke, Microsoft bringt irgendwann einen Patch heraus, einen Monat später kommt die Ransomware und – oh Wunder oh Wunder: Es gibt Unternehmen und Krankenhäuser, die weder regelmäßig patchen (können), keine starke Netzwerksegmentierung haben und die Bedrohung Ransomware falsch eingeschätzt hatten.
Gähn..
Ich wurde von einem normalen Menschen – also außerhalb der IT – darauf angesprochen, was ich dazu sagen würde? Was soll ich dazu sagen. Nix neues. Früher gab es den „I love you“-Wurm, heute gibt es WannaCry. Weder ist die Entwicklung von WannaCry eine Ausnahmeleistung, noch sind Konzepte dagegen ein Hexenwerk. Ich glaube ehrlich gesagt nicht, dass jetzt der letzte CEO oder Behördenleiter plötzlich wach geworden ist und Informationssicherheit zur Chefsache macht.
WannaCry ist nicht der Anfang, aber auch lange noch nicht das Ende..
Der Artikel ist nicht von mir, er ist aber lesenswert und ich kann die Erfahrungen bestätigen:
Had a meeting with a prospect recently that is bound and determined to avoid PCI compliance yet still will accept payment cards.
My response? Good luck with that!
You would think after 15 years of PCI (and actually even longer) that people would understand that PCI compliance is a fact of life. But I continue to find that PCI is no different than the five stages of grief.
Denial
This is where that prospect is now. They cannot believe that there is no way to avoid PCI compliance.
For once and for all, if your organization accepts payment cards, you MUST comply with the PCI DSS. Do not like that answer? There is nothing as a QSA I can do to effect that fact.
However, for merchants there is a way out. Do not accept payment cards for payment. It is that simple.
That answer though immediately leads to the next stage.
…
Quelle: http://pciguru.wordpress.com/2017/04/28/the-five-stages-of-pci/
inIch hielt letztes Jahr beim T.I.S.P. Community Meeting 2016 einen Vortrag über die „Aussagekraft von Penetration Tests“:
„Sind Ihre IT-Systeme sicher?“ ist eine typische Werbefloskel, um Penetrationstests zu vermarkten. Aber erhält man durch einen Penetrationstest wirklich eine Antwort auf diese Frage? Welche Aussagekraft haben Penetrationstests überhaupt? Dieser Vortrag soll darüber aufklären, welche Aussagekraft und Grenzen Penetrationstests besitzen und unter welchen Gesichtspunkten sie dennoch ein wichtiger Bestandteil einer Sicherheitsstrategie sein können.
Es war mein zweiter Vortrag bei einem TISP Community Meeting. Der erste war 2014 mit dem Thema „Die Schwächen des Sicherheitsstandards PCI DSS“. Damals erhielt ich ein paar Monate später ein Auswertung der Teilnehmerbewertungen. Die Bewertungsskala reicht von 1 bis 5. Die Bewertung des Vortrags von 2014:
Erwartete Informationen erhalten: 2,77 (Ø 2,48)
Vortrags Verfolgung: 2,07 (Ø 1,96)
Vortragstempo und Stofffülle: 2,07(Ø 2,08)
Unterhaltungswert: 2,25 (Ø 2,33)
Gesamt: 2,29 (Ø 2,22)
Mein Vortrag 2014 war okay, aber mehr auch nicht. Das Thema hat nicht optimal zur Zielgruppe gepasst und mein Vortragsstil war damals noch sehr „normal“ frontallastig. Im Ergebnis einfach nur Durchschnitt. Für mich nicht zufriedenstellend. Für 2015 hatte ich wieder ein Thema eingereicht, allerdings ohne Erfolg. Erst 2016 hat es wieder geklappt.
Nun kam für 2016 kein Ergebnis, somit hatte ich explizit angefragt und folgende Informationen bekommen:
Erwartete Informationen erhalten: 2,1
Vortrags Verfolgung: 1,4
Vortragstempo und Stofffülle: 1,8
Unterhaltungswert: 1,6
Gesamt: 1,7
Leider habe ich keine Durchschnittswerte. Nachdem sich die Qualität der Vorträge meiner Ansicht nach insgesamt nicht wesentlich verschlechtert oder verbessert hat, sollte es da keine großen Unterschiede zu 2014 geben. Die absoluten Bewertungszahlen für meinen Vortrag von 2016 habe ich noch bekommen:
| Hat Ihnen der Vortrag die erwartete Information geliefert? |
Sehr gut | Okay | Gar nicht | ||||
| 16 | 31 | 16 | 2 | 1 | |||
| Wie leicht fiel es Ihnen, dem Vortrag zu folgen? |
Sehr leicht | Okay |
Sehr anstrengend |
||||
| 46 | 17 | 4 | 0 | 0 | |||
| Wie bewerten Sie das Vortragstempo und die Stofffülle? |
Genau richtig | Okay |
Gehetzt & zu viel |
||||
| 30 | 20 | 16 | 0 | 0 | |||
| Wie bewerten Sie den Unterhaltungswert des Vortrags? |
Hat Spaß gemacht | Okay |
Hat gelangweilt |
||||
| 32 | 26 | 4 | 2 | 0 | |||
Deutlich besser: Besseres Thema, deutlich besserer Vortragsstil. Mal schauen ob ich die Gesamtnote 1,7 beim Community Meeting 2017 schlagen kann..
Zum dritten Mal halte ich einen Vortrag beim T.I.S.P. Community Meeting, dieses Mal 2017 wieder in Berlin:
„Audits – Kämpfen in der Grauzone“
Es gibt absolut eindeutige Anforderungen. Und es gibt oftmals eine Grauzone, voller Interpretations- und Auslegungsmöglichkeiten. Wie gewinnt man in der Grauzone? Links vortäuschen, rechts /*zensiert*/? Welche Strategie ist die richtige – brachiale Ehrlichkeit oder mauern und sich keinen Millimeter bewegen? Ist die oftmals vorherrschende Prüferangst eigentlich berechtigt? Lassen Sie uns die Antworten finden..
Mehr Informationen zum offiziellen Programm:
https://www.teletrust.de/fileadmin/docs/projekte/tisp/community/2017/TeleTrusT-T.I.S.P._CM_2017_Programm_V1.pdf
