Der abnehmende Grenznutzen von Sicherheitszertifizierungen

Leave a Comment

Wie viele Zertifizierungen als IT-Sicherheitsexperte braucht man? Am Anfang dachte ich einmal, viel hilft viel und zu viele Zertifikate kann man nicht haben. Mittlerweile bin ich anderer Meinung: Im Prinzip reicht eine oder auch gar keine Zertifizierung. Das liegt an mehreren Gründen:

  • Die meisten Inhalte der Zertifikatsprüfungen sind ähnlich. Hat man eine, kann man auch die meisten anderen erreichen. Von ein paar Nischen-Pentest-Zertifikaten o.ä. einmal abgesehen.
  • Wer lässt sich wirklich von Zertifikaten beeindrucken? Primär Personaler, Projektvermittler und Headhunter. Warum? Weil sie in der Regel fachfremd sind und eine Suche nach Schlagwörtern wie „CISSP OR TISP“ viel einfacher ist als sich im Detail mit Profilen auseinander zu setzen.
  • Es gibt zu viele Zertifikate und nachdem neben älteren Organisationen wie (ISC)² und ISACA zahlreiche private Unternehmen sowie TÜV und IHKs auf den Zug aufgesprungen sind, gibt es eine absolut unübersichtliche Zahl von Zertifizierungsprogrammen.
  • Sorry, aber jeder Depp hat eins. Der CISSP ist nicht mehr elitär und jede „Schnarchnase“ ist zertifizierter irgendetwas. Ist auch nicht verwunderlich, wenn Anbieter auf dem Markt sind bei deren Prüfungen man praktisch nicht durchfallen kann.
  • Die meisten Zertifikate sind reine Geldmacherei. Die wenigsten sind unabhängig. Die wenigsten kennen die Details.
  • Es gibt eine Menge Bootcamps, die einen auf diverse Zertifikatsprüfungen zielgerichtet vorbereiten und den ganzen Sinn ad absurdum führen.

Wenn man unbedingt ein Zertifikat vorweisen möchte, nehmt den CISSP vom (ISC)². Der (ISC)² ist unabhängig. Man kann die Prüfung ohne zwingenden Lehrgang absolvieren. Man kann tatsächlich durchfallen (habe ich gehört). Er ist international anerkannt. Man muss sich nicht dafür entschuldigen, dass es zu mehr nicht gereicht hat. Nicht, dass der CISSP das Nonplusultra ist, aber er ist das beste was man international in diesem Bereich haben kann. Und nach dem CISSP? Keines mehr. Lohnt sich nicht.

Aber was ist mit dem T.I.S.P. – sozusagen der CISSP made in Germany? Wenn man die Zwangsschulung gerne besuchen möchte und einem der Nachweis von 5 Jahren Berufserfahrung vom CISSP zu viel ist, dann gerne. Was man nach dem TISP machen könnte? Den CISSP..

 

Artikel in der iX 10/2016: Momentaufnahme – Was Penetrationstests erreichen können

Leave a Comment

In der Oktober-Ausgabe der iX aus dem Heise-Verlag ist mein erster Artikel im Print-Bereich erschienen:

Momentaufnahme – Was Penetrationstests erreichen können

Ein Penetrationstest kann zwar typische Schwachstellen im Firmennetz aufdecken, ist aber kein Allheilmittel. Welche Erkenntnisse diese Einbruchssimulationen wirklich bringen, hängt von verschiedenen Randbedingungen ab…

https://www.heise.de/select/ix/2016/10/1475741089664718

Regelmäßige Passwortänderungen alle 90 Tage – sinnvoll oder kontraproduktiv? Eine Kritik an der gängigen Praxis!

2 Comments

Regelmäßige Passwortänderungen alle 90 Tage bzw. alle 3 Monate ist eine gängige Praxis in der IT-Sicherheit und wird auch von diversen Sicherheitsstandards wie zum Beispiel dem PCI DSS oder auch etwas allgemeiner von der ISO 27002 vorgeschrieben. Für diese Praxis sprechen zwei Gründe:

  1. Wird ein Passwort „geklaut“, d.h. ist ein Benutzeraccount kompromittiert worden und es wurde nicht gemerkt, kann ein Angreifer mit dem „geklauten“ Passwort nur einen überschaubaren Zeitraum lang etwas anfangen. Danach wird es ohnehin wieder geändert.
  2. Werden gehashte Passwörter von einem System abgezogen, kann es je nach verwendetem Hashalgorithmus und Passwort deutlich länger als 90 Tage dauern, bis ein Passwort rekonstruiert werden kann.

Die Vorteile einer Richtlinie zu regelmäßigen Passwortänderungen sind damit klar. Sie erhöhen das Sicherheitsniveau. Natürlich ist es für Nutzer etwas unbequem, regelmäßig die eigenen Passwörter zu ändern und vor allem neu zu merken, aber natürlich sind sie bereit ganz im Sinne der Sicherheit dieses zu tun und zeigen sogar Verständnis dafür. Diese spezielle Sicherheitsmaßnahme muss Nutzern zwar erklärt werden, aber sind die Einführungsschwierigkeiten erst einmal überwunden und wird das Thema regelmäßig über Security Awareness Kampagnen behandelt, ist alles kein Problem.

Blödsinn.

Die Wahrheit sie wie folgt aus: Ein Teil der IT-Nutzer ist grundsätzlich und stets mit der regelmäßigen Änderung überfordert und vergisst das Passwort in gewohnter Regelmäßigkeit. Und der Rest? Der hat die Intention dieser Richtlinie einfach dezent umgangen, z.B. mit „Buxtehude-2016Q1“. Es ist schon ein super Passwort: Groß- und Kleinschreibung, Sonderzeichen, Zahlen, in diesem Fall sogar 16 Zeichen lang. Top. Alternativ kann man auch das Passwort unter die Tastatur kleben – ein alter Witz aus der IT-Sicherheit: Woran merkt man, dass ein Password Change durchgesetzt wurde? Die Bestellungen für Post-its steigen rasant an! Natürlich gibt es ein paar Security-Enthusiasten, die eine solche Passwortrichtlinie ganz in dem eigentlichen Sinne umsetzen. Das sind aber nur Einzelfälle.

Wie geht man nun damit um? Sofern dem keine Compliancevorschriften o.ä. entgegenstehen, empfehle ich grundsätzlich auf häufige erzwungene Passwortänderungen zu verzichten. Sie sind kontraproduktiv und erfüllen in der Regel nicht den Zweck. Es macht viel mehr Sinn den Nutzern zu erklären, wie sie sich starke Passwörter ausdenken und merken kann. Eine jährliche Passwortänderung o.ä. kann man immer noch erzwingen, man sollte nur dafür sorgen, dass alle Nutzer ausreichend sensibilisiert sind und nicht wieder mit der Iteration von Passwörter beginnen.

Leider vertrete ich mit meiner Kritik an der gängigen Praxis immer noch eine Minderheit unter den Sicherheitsexperten, auch wenn sich die Situation langsam verbessert. So erscheinen zum Beispiel immer mehr Untersuchungen und Empfehlungen, die auch kritisch gegenüber regelmäßigen Passwortänderungen sind:

„Using this framework, we confirm previous conjectures
that the effectiveness of expiration in
meeting its intended goal is weak.“

The Security of Modern Password Expiration: An Algorithmic Framework and Empirical Analysis, University of North Carolina, https://www.cs.unc.edu/~reiter/papers/2010/CCS.pdf

„[..] the burden appears to shift to those who continue to
support password aging policies, to explain why, and in which
specific circumstances, a substantiating benefit is evident.“

Quantifying the Security Advantage of Password Expiration Policies, School of Computer Science, Carleton University, Canada, http://people.scs.carleton.ca/~paulv/papers/expiration-authorcopy.pdf

„Regular password changing harms rather than improves security, so avoid placing this burden on users“

Communications-Electronics Security Group, a group within the UK Government Communications Headquarters (GCHQ), https://www.cesg.gov.uk/content/files/document_files/Password_guidance_-_simplifying_your_approach_back_cover.pdf

„Generally, password expiration periods are not of much help
in mitigating cracking because they have such a small effect on
the amount of effort an attacker would need to expend,
as compared to the effect of other password policy elements.“

NIST Special Publication (SP) 800-118 (DRAFT), http://csrc.nist.gov/publications/drafts/800-118/draft-sp800-118.pdf

Beratung im gesetzlichen Datenschutz? Der Markt ist kaputt!

Leave a Comment

Den Markt für Datenschutzberatung bzw. für die Leistung des externen Datenschutzbeauftragten ist kaputt. Dabei ist das Angebot und die Nachfrage gleichzeitig gestört.

Die angebotenen Zertifizierungen und Prüfungen zum „externen Datenschutzbeauftragten (DSB)“ sind oftmals nur ein schlechter Witz, sodass Unmengen zertifizierter Datenschutzbeauftragter den Markt überfluten. Ihr Qualifizierung? Oftmals durchwachsen. Einzelne Perlen stehen einer Masse an schlecht qualifizierten Beratern entgegen. Die fachgerechte Beurteilung ob vorhandene Datenschutzrisiken durch die im Einzelfall getroffenen technischen oder organisatorischen Maßnahmen ausreichend und angemessen adressiert sind, findet zu oft nicht statt. Dafür unterbietet man sich gegenseitig in den Stundensätzen, sodass im Markt externe DSBs zu Schleuderpreisen auftreten, die noch relativ wenig arbeiten. Jahrespauschale für die Ernennung zum DSB, ein bisschen Papierkram erstellen und einmal im Jahr die Mitarbeiter schulen. Fertig – einfach und kostengünstig. Rent your 08/15-DSB.

Und die Kunden?

Die nehmen das Angebot gerne an. Freuen sich, dass sie kostengünstig ihre gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten nachkommen. Und sind beruhigt, dass ihr DSB ihre betrieblichen Prozesse und IT-Abläufe nicht stört, sodass man in Ruhe schlafen kann – während der Vertrieb die eigenen Kundendaten per Exceldatei in die Cloud sichert.

Schöne heile Datenschutzwelt…

Ein Fazit nach 8 Jahren PCI DSS – Gute vs. miserable PCI Auditoren (QSAs)

Leave a Comment

Heute wieder einmal einen erfolgreichen PCI DSS Onsite Audit für einen Kunden über die Bühne gebracht. Nahezu reibungslos. Der QSA (Qualified Security Assessor) war zufrieden, der Kunde – ein Zahlungsdienstleister – war zufrieden. Keine Diskussionen. Keine Missverständnisse. Super Ergebnis.

Aber ein wenig nachdenklich macht mich dieser letzte Audit. Was waren die Erfolgsfaktoren? Vorbereitung ist alles! Denkste… das ist nicht immer so. Ein riesiger Erfolgsfaktor ist der Auditor selbst. Ich habe schon ein paar hinter mir:

(sorry Jungs, meine Meinung)

Schnarchnasen. Unvorbereitet. Überfordert. Unsicher im PCI Standard. Verrückte oder absurde Interpretationen. Keine Ahnung von iptables. Man kann Two Factor Authentication auch missverstehen. Philosophische Interpretationen von „all traffic“… uvm.. WTF!

Man kann den CISSP, CISM, CISA bzw. wohl auch die QSA-Lizenz schaffen und so grundsätzlich von Sicherheitskonzepten nicht viel verinnerlicht haben. Wie oft habe ich Auditoren für Kunden „eingefangen“, die Diskussion zurück auf den PCI DSS bezogen und Interpretationen korrigiert.

Es gibt hervorragende QSAs. Und es gibt viele schlechte. Erfolgsfaktor für die eigene PCI Compliance? Die richtige QSA Company mit dem richtigen Auditor wählen. Die falsche Wahl kann Auswirkungen auf die IT und auf die betrieblichen Prozesse haben. Die richtige Wahl macht PCI DSS auch nicht einfacher, aber schützt vor Überraschungen – sowie vor grauen Haaren und Buthochdruck.

Zertifikatslehrgang Informationssicherheitsbeauftragter (IHK)

Leave a Comment

Im Juni 2016 hat die DIHK den bundeseinheitlichen IHK-Zertifikatslehrgang Informationssicherheitsbeauftragter veröffentlicht. Die IHK Gießen-Friedberg aus Hessen ist eine der ersten, wenn nicht die erste IHK, die diesen Zertifikatslehrgang anbietet. Die Inhalte sind:

  • Modul 1: Grundlagen Informationssicherheit (16 LStd.) – 28.09.2016
  • Modul 2: Gesetzliche Vorgaben zur IT-Sicherheit und deren Bedeutung für Unternehmen (8 LStd.) – 29.09.2016 – 30.09.2016
  • Modul 3: Schutzmaßnahmen zur Informationssicherheit (14 LStd.) – 06.10.2016 – 07.10.2016
  • Modul 4: Entwicklung eines Informationssicherheitskonzeptes (42 LStd.)- 16.11.2016 – 18.11.2016 u. – 23.11.2016 – 24.11.2016
  • Modul 5: Entwicklung eines Notfallmanagement-Konzeptes (8 LStd.) – 25.11.2016

Ich selbst werde als Dozent das größte Modul 4 übernehmen: „Entwicklung eines Informationssicherheitskonzeptes“.

Nachtrag: Mein Fazit zum Lehrgang.

Es war einmal: Bei uns ist bisher noch nie etwas passiert…

Leave a Comment

IT-Sicherheit? Kostet nur Geld, bringt keinen Umsatz und verkompliziert im schlimmsten Fall noch die Arbeitsabläufe. Und außerdem: Bei uns ist bisher noch nie etwas passiert! Punkt. Aus. Ende der Diskussion.

Es ist gar nicht so lange her, da war die Wahrscheinlichkeit sehr hoch bei Unternehmern diese Aussage zu bekommen. Vielleicht 3-4 Jahre? In letzter Zeit, hat sich die Situation aber gewandelt. Während vor ein paar Jahren ein lokaler Virenbefall noch das höchste der Gefühle war, sieht die Welt heute anders aus.

Die de facto Währung der Cyberkriminellen – Bitcoins – hat die Professionalisierung der kriminellen Industrie auf einem hohen Niveau erst möglich gemacht. Habe ich jetzt wirklich das Unwort Cyber in den Mund genommen ? Ich muss kurz duschen… fertig, zurück zum Thema: Natürlich gab es vorher auch Script Kiddies und Hacker, die Unternehmen einen  Schaden zufügen konnten und dies auch taten. Die Dimension der Kriminalität ist heute aber eine andere. Heute bekommt man von Unternehmen unter 4-Augen erzählt, dass man schon 1-2mal einen Krypto-Trojaner im Haus hatte oder sich gleich mit DDoS-Erpressungen und -Attacken auseinander setzen musste.

IT-Sicherheit kostet immer noch Geld, bringt immer noch keinen Umsatz und manchmal verkompliziert es im schlimmsten Fall tatsächlich noch die Arbeitsabläufe. Aber den Satz „Bei uns ist bisher noch nie etwas passiert!“ habe ich länger nicht mehr gehört. In gewisser Weise vermisse ich die alte Zeit, in der man als Sicherheitsspezialist noch einen Geschäftsführer von der Notwendigkeit überzeugen musste, in Sicherheit Geld zu investieren. Denn wo geht die Reise hin?

Ich möchte eigentlich nicht erleben, wie in ein paar Jahren fahrende Autos gehackt werden, und man dann während der Fahrt als GF eines Unternehmens per „Neues-Super-Mobile-Zahlungsmittel 6.0“ den Erpressern Geld überweist, damit das Auto nicht „autonom“ gegen die nächste Wand fährt. Oder halt gegen den nächsten LKW, je nach aktuellem Geolocation-Tracking.

Vorlesung Penetration Testing an der Hochschule Darmstadt

Leave a Comment

Ab dem Wintersemester 2016/2017 gibt es an der Hochschule Darmstadt die Vorlesung „Penetration Testing“. Lehrbeauftragter ist der Pentester der binsec GmbH – Dominik Sauer. Die Lerninhalte sind:

  1. Unterschiede zwischen Hacking und Penetration Testing
  2. Klassifizierung eines Penetrationstests (White-, Gray- und Blackboxtest)
  3. Penetration Testing Standards, z.B. OWASP (Open Web Application Security Project), OSSTMM (Open Source Security Testing Methodology Manual)
  4. Anatomie eines Angriffes – von der Informationsbeschaffung bis zur Ausnutzung einer Schwachstelle
  5. Risikobewertung von identifizierten Schwachstellen
  6. Aufbau Dokumentation und Berichterstellung

Link zur hda: Modulbeschreibung

Übersicht Penetrationstest-Dienstleistungsunternehmen in Deutschland

Leave a Comment

Aus einer Marktanalyse heraus hatte ich eine Liste deutscher Dienstleistungsunternehmen für Penetrationstests bzw. IT-Sicherheitsanalysen zusammengestellt. Diese Liste der Pentest-Dienstleister ist das Ergebnis von persönlicher Erfahrung mit Anbietern, der geschalteten Anzeigen durch Google AdWords sowie normale Google-Suchergebnisse. Falls ein Unternehmen fehlt, das die unten genannten Kriterien erfüllt, nehme ich es gerne zusätzlich auf. An dieser Stelle möchte ich erwähnen, dass ich selbst Gesellschafter eines dieser Unternehmen bin, der binsec GmbH aus Frankfurt am Main. Die Liste in alphabetischer Reihenfolge ist:

  • binsec GmbH aus Frankfurt am Main
  • cirosec GmbH aus Heilbronn
  • it.sec GmbH & Co. KG aus Ulm
  • RedTeam Pentesting GmbH aus Aachen
  • Secorvo Security Consulting GmbH aus Karlsruhe
  • secuvera GmbH aus Gäufelden
  • SRC Security Research & Consulting GmbH aus Bonn
  • SySS GmbH aus Tübingen
  • usd AG aus Neu-Isenburg

Die Kriterien zur Auswahl waren:

  • Nur Unternehmen mit Stammsitz in Deutschland.
  • Nur Unternehmen, die speziell auf Informations- oder IT-Sicherheit spezialisiert sind.
  • Nur Unternehmen, mit einem expliziten Fokus auf Penetration Testing.
  • Keine Freelancer sowie keine Ein-Personen-GmbHs.

Apache2-CipherSuite-Konfiguration für A+ Rating beim Qualys SSL Labs Server Test

Leave a Comment

Der Blog hat nun ein A+ Rating beim SSL Server Test von Qualys. Die CipherSuite-Konfiguration des Apache2 dazu sieht wie folgt aus:

SSLProtocol All -SSLv2 -SSLv3
SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4
SSLHonorCipherOrder On