Weiterbildung

BACSCP: Die Entstehung des Secure Coding Trainings

Leave a Comment

Jedes Semester schließen Tausende Informatikstudenten erfolgreich ihr Studium ab – leider meist ohne oder mit nur geringen Kenntnissen in sicherer Softwareentwicklung. Wen wunderts, dass dann altbekannte Schwachstellen wie Cross-Site-Scripting (XSS) noch immer nicht der Vergangenheit angehören. Als Folge stehen Unternehmen selbst in der Verantwortung, ihre Entwickler zu schulen und für Sicherheitsmaßnahmen in deren Softwareprodukten zu sorgen.

Die Geschichte unserer neuartigen Online-Schulung begann vor ein paar Jahren mit einer Kundenanfrage bezüglich einer OWASP-Entwicklerschulung zu sicherer Softwareentwicklung. Als PCI-DSS-zertifiziertes Unternehmen musste unser Kunde jährlich nachweisen, dass sich seine Softwareentwickler im Rahmen der aktuellen Techniken zur sicheren Programmierung fortbilden. Natürlich hätte als Nachweis auch eine Bescheinigung darüber genügt, ein Buch gelesen oder an einem Vortrag (passiv) teilgenommen zu haben… So etwas kann aber weder im Sinne des PCI DSS noch im Sinne der Softwareentwickler sein.

So kam es dazu, dass wir als binsec einen 2-Tages-Workshop konzipierten, zu gleichen Teilen aus Theorie- und aus Praxiselementen aufgebaut. Während wir am ersten Tag auf die Anforderungen des PCI-DSS an Softwareentwickler und auf die OWASP Top 10 eingingen, musste jeder Schulungsteilnehmer am zweiten Tag eine verwundbare Webanwendung härten und anschließend versuchen, die in den Anwendungen seiner Kollegen verbliebenen Schwachstellen auszunutzen. Mit jedem erfolgreichen Angriff sammelten die Teilnehmer Punkte und kamen damit dem Gewinn der Siegesprämie – eines Amazon Gutscheins – Schritt für Schritt näher. Unterm Strich verlief der erste Teil des Trainings durchaus erfolgreich, doch stach das positive Feedback zum zweiten Abschnitt deutlich hervor. Die Teilnehmer waren fokussiert und engagiert sich gegenseitig „auszuspielen“, weshalb ihre Rückmeldung für uns nicht überraschend kam: „Weniger Theorie, mehr Praxis, bitte.“

Wir begannen parallel zu dieser Entwicklerschulung, diverse Lehrveranstaltungen an Hochschulen zu halten, in denen wir sukzessive den Praxisanteil in den Vordergrund rückten. Wie schon bei unserer Vorlesung zu Penetration-Testing, aus der unser Zertifizierungslehrgang „Binsec Academy Certified Pentest Professional (BACPP)“ hervorgegangen ist, entschieden wir als binsec uns auch bei unserer Entwicklerschulung „Secure Software Development Training“ dazu, sie zur Basis von etwas Neuem zu machen: Es schlug die Geburtsstunde des „Secure Coding Trainings“ der binsec academy:

In dieser Online-Schulung zu Secure Coding schlüpft der Teilnehmer in die Rolle eines Teamleiters, dem die Aufgabe zuteilwird, in einer verwundbaren REST-API die am meisten verbreiteten Schwachstellen (OWASP TOP 10) zu identifizieren und diese im Programmcode zu beheben. Der Clou dabei ist: Der Teilnehmer kann als Programmiersprache PHP, Java, Python, Perl, Go, Ruby oder Node.js wählen und wird mit unserem BACSCP-Zertifikat (Binsec Academy Certified Secure Coding Professional) belohnt, wenn mindestens acht von insgesamt zehn Sicherheitslücken erfolgreich entfernt wurden. Zertifizierte BACSCPler können

  • die am meisten verbreiteten Schwachstellen in Webanwendungen identifizieren und Sicherheitslösungen entwerfen,
  • eine Webanwendung gemäß OWASP und PCI DSS sicher entwickeln, sowie
  • einen Secure-Code-Review strukturiert durchführen.

Nach den ersten Betatests erweiterten wir die Kooperation mit Hochschulen, um Studierenden der Informatik die Inhalte sicherer Softwareentwicklung zu vermitteln. Wir hoffen hiermit einen wesentlichen Beitrag zur anwendungsorientierten IT-Sicherheit leisten zu können.

Die Verbreitung von Sicherheitszertifizierungen wie CISSP, CISM, CISA, CEH, OSCP & Co

9 Comments

Mich hatte die Verbreitung der unterschiedlichen Sicherheitszertifizierungen interessiert. Ich habe dazu eine kleine Statistik mit der erweiterten Suche in Xing aufgestellt. Als Suchbegriff habe ich die Abkürzung vom Zertifikat (z.B. CISSP) und das Schlagwort „Security“ verwendet. Bei OSCP/OSCE hingegen das Schlagwort „Offensive“.

Die Suche in Xing war nicht auf Deutschland begrenzt, die absoluten Zahlen sind sicherlich ungenau und nicht jeder zertifizierte Security-Spezialist ist in Xing angemeldet und hat auch seine Zertifikate eingetragen.

Ich denke aber, dass die relativen Verhältnisse der Verbreitung der Sicherheitszertifizierungen zueinander einigermaßen gut wiedergegeben werden. Das Ergebnis:

2.135 Certified Information Systems Security Professional (CISSP)
1.484 Certified Information Systems Auditor (CISA)
890 Certified Information Security Manager (CISM)
477 Certified Ethical Hacker (CEH)
255 TeleTrusT Information Security Professional (T.I.S.P.)
74 Offensive Security Certified Professional (OSCP)
35 Certified Secure Software Lifecycle Professional (CSSLP)
28 ISSECO Certified Professional for Secure Software Engineering (CPSSE)
23 Offensive Security Certified Expert (OSCE)

Der CISSP vom Isc² ist die verbreitetste Zertifizierung, danach folgen die Certs von ISACA. Der deutsche TISP ist weit abgeschlagen im Vergleich zum CISSP. Zertifikate im Bereich sicherer Softwareentwicklung sind wenig verbreitet (CSSLP / CPSSE). Es gibt wesentlich mehr „Certified Ethical Hacker“ als OSCP/OSCE.

Ansonsten sind 488 CISSP auch CISA, 354 auch CISM, 204 auch CISM und CISA. Auch gibt es nur etwa 8 in Xing, die OSCP und CEH sind. 153 CISSP sind auch CEH, aber nur 12 CISSP auch OSCP.

Beim inhaltlich sehr krassen Unterschied zwischen OSCP und CISM sind es nur noch 6 mit dieser Kombination. OSCP und CISA sind 7. OSCE + CISM sind nur noch 2 und OSCE + CISA nur noch 1. Es scheint nur sehr wenige zu geben, die Security Management oder Audit mit Penetration Testing / Hacking verbinden.

Wie wird man Spezialist bzw. Experte für IT-Sicherheit?

2 Comments

Wie wird man Spezialist bzw. Experte für IT-Sicherheit? Primär durch Erfahrung und Praxis! Es existiert in Deutschland kein spezieller Ausbildungsberuf, dafür mittlerweile ein paar Studiengänge, die sich diesem Thema angenommen haben.

Gab es früher nur weiterbildende Master-Studiengänge in diesem Bereich, starten nun auch Bachelor-Studiengänge. Ich halte spezielle Bachelor-Programme nicht für den richtigen Ansatz. Man kann das Thema IT-Sicherheit nicht ausreichend in 3 Jahren „studieren“, ohne viel zu viele Lücken in der eigentlichen IT oder Informatik vorzuweisen. Ich empfehle eher reine Informatikstudiengänge, bei denen man idealerweise IT-Sicherheit über Wahlpflichtfächer als einen Schwerpunkt im eigenen Studium setzen kann. Danach muss man trotzdem realistisch sagen, dass man nur Grundkenntnisse und meist nur vernachlässigbare Erfahrung in der IT-Sicherheit vorweisen kann. Es ist eine mögliche Grundlage für eine Karriere in der IT-Sicherheit, mehr aber auch nicht.

Einschlägigen Master-Studiengänge wir z.B. Security Management an der Fachhochschule Brandenburg, Digitale Forensik an der Hochschule Albstadt-Sigmaringen oder weiteren Master-Studiengängen an Universitäten/Hochschulen bin ich positiver gestimmt. Man sollte diese nicht ohne vorherige Praxiserfahrung beginnen. Das mag zwar möglich sein, aber auch die Praxis zu kennen ist ein nicht zu unterschätzender Vorteil. Idealerweise arbeitet man parallel zum Studium in einer einschlägigen Position oder Bereich und kann zeitgleich Praxis und Theorie sammeln. Meiner Ansicht nach ist das die ideale Herangehensweise für eine Karriere in der IT-Sicherheit.

Insgesamt ist aber ein Studium nicht zwingend notwendig. Es bedeutet immer Aufwand (Zeit & Geld) und muss sich für die jeweilige Person lohnen. Es gibt genug autodidaktisch veranlagte Sicherheitsspezialisten oder hochmotivierte Technik-Enthusiasten, die ihr Niveau auch ohne ein Studium erreicht haben. Zudem sind die Studiengänge in diesem Bereich noch relativ neu und es soll auch eine Zeit gegeben haben, da existierte noch nicht einmal der Ausbildungsberuf als Fachinformatiker. Insgesamt zeigt es aber, was neben der Erfahrung und der Praxis für ein IT-Sicherheitsspezialist als Grundlage unbedingt notwendig ist: Ein starkes Interesse. Eine hohe Begeisterung für diesen Bereich. Ansonsten wird man in der IT-Sicherheit arbeiten, aber nicht zu einem Experten werden können.

Wie sieht es mit den Lehrgängen aus – z.B. zum CISSP (Certified Information Systems Security Professional) oder zum T.I.S.P. (TeleTrusT Information Security Professional)? Eigentlich sind das Zertifizierungen für Professionals mit Berufserfahrung und kein Einstieg in diesen Beruf. Zudem muss man sich im Klaren darüber sein, dass man durch einen 5-Tage-Lehrgang zwar viel Wissen vermitteln bekommen mag, aber nicht zu einem Experten wird. Praxis und Erfahrung sammelt man damit auch nicht. Wer die finanzielle Investition tragen möchte, wird dennoch das eine oder andere aus solch einem Lehrgang mitnehmen. Ob man am Ende ohne Erfahrung die Prüfung besteht, bezweifle ich aber.

Mein Fazit: Man muss eine Begeisterung für IT bzw. IT-Sicherheit besitzen und in der Praxis Erfahrung sammeln. Als theoretische Grundlage kann man ein Master-Studium absolvieren und später noch eine Zertifizierung ablegen.

Erfahrungen zur Prüfung zum Datenschutzbeauftragten DSB-TÜV (Schwierigkeitsgrad)

Leave a Comment

Ist die Prüfung schwer? Ich möchte die Frage so beantwortet: Wer nach 4-5 Tagen in einem Kurs zum Datenschutzbeauftragten durch die Prüfung zum DSB-TÜV fällt hat entweder wirklich sehr viel Pech oder einfach die letzten Tage so gar nicht aufgepasst.

Alleine vom Umfang kann man sie nicht mit den harten Prüfungsbrocken CISSP, CISM & Co vergleichen. Wer einen CISSP, CISM oder TISP hat, wird die Prüfung zum zertifizierten Datenschutzbeauftragten DSB-TÜV sicherlich bestehen.

Der CISSP ist keine Pentester-Zertifizierung

Leave a Comment

Nachdem ich letztens wieder eine Stellenanzeige für einen Penetration Tester gesehen habe, die eine CISSP-Zertifizierung fordert, möchte ich dazu ein paar Worte verlieren. Die Kurzform: Der CISSP hat nichts mit Penetration Testing oder Ethical Hacking zu tun. Absolut nichts.

Im Gegensatz zum CISM (Certified Information Security Manager) ist der CISSP (Certified Information Systems Security Professional) technischer ausgerichtet. Das ist soweit korrekt. Nichtsdestotrotz richtet sich der CISSP an Security-Spezialisten, die zwar ein klein wenig technischer orientiert sind als reine klassische Manager, aber deren primärer Fokus eben nicht Pentesting ist. Überhaupt nicht. Sicherlich gibt es Pentester, die eine CISSP-Zertifizierung nachweisen können. Aber man sollte vielleicht eher Pentester-Zertifizierungen wie OSCP, OSCE oder CEH in Stellenanzeigen oder Ausschreibungen fordern.

Zertifizierung als Datenschutzbeauftragter DSB-TÜV

Leave a Comment

Heute wurde ich vom TÜV Süd als „Datenschutzbeauftragter DSB-TÜV“ zertifiziert. Die vorherige Schulung war interessant und sehr gut. Obwohl der Stoff – das BDSG – sehr trocken ist, wurden die relevanten Inhalte gut vermittelt. Ich bin zufrieden und kann den Kurs uneingeschränkt weiterempfehlen.

ISSECO Certified Professional for Secure Software Engineering

Leave a Comment

Ich hatte meinen CPSSE vor ein paar Jahren gemacht. Im Gegensatz zum CSSLP von Isc² kommt der CPSSE sowie die dazugehörige Organisation ISSECO (International Secure Software Engineering Council) aus Deutschland. Die ISSECO wurde 2008 in Potsdam gegründet. Inhaltlich beschäftigt sich der CPSSE mit der Sicherheit im Softwarelebenszyklus:

  • Viewpoints of attackers and customers
  • Trust & threat models
  • Methodologies
  • Requirements engineering with respect to security
  • Secure design
  • Secure coding
  • Security testing
  • Secure deployment
  • Security response
  • Security metrics
  • Code & resouce protection

Für die Prüfung zum CPSSE muss ein dreitägiger Schulungskurs absolviert werden. Die Kurse werden von mehreren Anbietern durchgeführt. Für die Vorbereitung gibt es zusätzlich auch ein Buch „Basiswissen Sichere Software“ von Sachar Paulus, welches meiner Meinung nach recht gut ist. Ich hatte keinen Kurs der Anbieter besucht, sondern mir wurde als Kurs die Vorlesung „Sichere Softwareentwicklung“ an der Fachhochschule Brandenburg anerkannt. Die Vorlesung hielt Prof. Dr. Sachar Paulus.

Ich fand den CPSSE leichter als die aus den USA stammenden Zertifikate von Isc² (CISSP) und ISACA (CISM), dennoch sollte man schon über Erfahrung im Bereich Security und Softwareentwicklung besitzen, wenn man die Prüfung zum CPSSE bestehen möchte. Nachdem ich den CSSLP von Isc² nicht habe, kann ich die beiden Zertifizierungen CPSSE und CSSLP nicht vergleichen. Der „deutsche“ CPSSE ist nicht speziell auf deutsche Bereiche ausgerichtet, wie z.B. der T.I.S.P., sondern ist thematisch länderunabhängig. Nachdem ohnehin nur wenige Angebote zur Weiterbildung bzw. Zertifizierung existieren, kann ich den CPSSE durchaus empfehlen.

Der Vergleich: CISSP vs. TISP

Leave a Comment

Welche Zertifizierung soll man als IT-Security-Spezialist anstreben: CISSP oder T.I.S.P.?

Merkmale vom CISSP:

  • Höhere Anforderungen an die Berufserfahrung, in der Regel 5 Jahre.
  • Die Berufserfahrung und grundlegende fachliche Qualifikation muss von einem anderen CISSP (es gibt Ausnahmen) bestätigt werden
  • International ausgerichtet; die Ausrichtung auf amerikanische Gesetze nimmt oder nahm bereits ab.
  • Beinhaltet Aspekte zur sicheren Softwareentwicklung.
  • Ist international anerkannt.
  • Die Vorbereitung zur Prüfung ist jedem Prüfling selbst überlassen. Eine Schulung ist kein muss.
  • Ist grundsätzlich thematisch umfangreicher.
  • Es muss zur Erhalt der Zertifizierung eine stetige Weiterbildung nachgewiesen werden.
  • Der CISSP ist ISO 17024:2003 akkreditiert.

Merkmale vom T.I.S.P.

  • Geringere Anforderungen an die Berufserfahrung, nur 3 Jahre.
  • Nur in Deutschland anerkannt (oder vielleicht auch im sonstigen DACH-Raum).
  •  Schulung ist zwingend erforderlich.
  • Aktuell drei Schulungsanbieter: Frauenhofer SIT, secorvo und isits.
  • Leichte Ausrichtung auf „deutsche Themen“ wie BSI, BDSG usw.
  • Keine Aspekte zur sicheren Softwareentwicklung.
  • Auch hier muss zum Erhalt der Zertifizierung ein aber etwas geringerer Weiterbildungsaufwand nachgewiesen werden.
  • Zusätzlich muss einmal alle drei Jahre ein TISP-Community-Meeting besucht werden.
  • Eine Akkreditierung nach ISO 17024:2003 ist nicht vorhanden.

Nachdem ich beide Zertifizierungen halte, würde ich den CISSP dem TISP vorziehen. Die Internationalität schlägt klar die wenigen speziell deutschen Themen vom TISP. Das BDSG & Co kann man sich auch zusätzlich zum CISSP als Einschlaflektüre zu Gemüte ziehen. Auch finde ich es vorteilhaft, wenn man nicht zwingend einen Vorbereitungskurs besuchen muss, wie es beim TISP notwendig ist. Je nach eigenem Kenntnisstand und Berufserfahrung kann das reine Zeit- und Geldverschwendung sein. Vorteilhaft ist meiner Ansicht nach der TISP nur, wenn man nicht die für den CISSP notwendige Berufserfahrung besitzt und ohnehin gerne einen Kurs besuchen möchte oder muss. Zumal die Vorbereitungskurse zum TISP günstiger als die CISSP-Bootcamps sind.

Erfahrungen zur CISM-Prüfung

Leave a Comment

Ich hatte vor ein paar Wochen die CISM-Prüfung abgelegt und nun das Ergebnis erhalten: Bestanden mit 563 Punkten. Insbesondere nachdem ich für die Prüfung weniger als die Hälfte der Zeit – unter 2 von 4 Stunden – benötigt hatte, bin ich mit dem Ergebnis sehr zufrieden.

Meine Vorbereitung zur Prüfung bestand aus dem  CISM Review Manual 2013 und der CISM Practice Question Database v13. Ich finde das Review Manual sehr trocken geschrieben und es ist bei mir nach dem ersten Querlesen wieder im Schrank verschwunden. Das Review Manual kann ich nicht empfehlen. Wesentlich hilfreicher war für mich die CISM Practice Question Database, sodass sich meine gesamte Vorbereitung auf diesen Fragekatalog gestützt hat. Ein bis zwei Wochen vor der Prüfung ab und zu mal ein paar Fragen aus der Datenbank zu beantworten, war für mich am sinnvollsten. Im Gegensatz zum Review Manual war die Practice Question Database sein Geld absolut wert.

Die Prüfung selbst habe ich in einem Frankfurter Hotel abgelegt. Es gab kostenlose Getränke, aber Kaffee habe ich sehr vermisst. Wer an einem Samstagmorgen Kaffee benötigt, sollte vorher seine Koffeinversorgung sicherstellen! Die Organisatoren der Prüfer vor Ort schienen mir mit der Masse an CISA, CISM & Co. Prüflingen etwas überfordert, es lief aber insgesamt alles problemlos ab. Das Hinterherlaufen eines Prüfers, wenn man die Toilette besucht, fand ich etwas übertrieben. Natürlich sind sie draußen vor der Toilettentür stehen geblieben.  Auf dem paranoiden Niveau fehlte eigentlich nur noch eine Prüfung, ob man nicht doch ein Smartphone irgendwo am Körper hat.

Ich fand die CISSP-Prüfung im Vergleich zum CISM anstrengender, nachdem der CISSP wesentlich mehr unterschiedliche Kategorien beinhaltet. Da ist in dieser Hinsicht der CISM mit seinen nur vier nicht-technischen Kategorien einfacher.

Erfahrungen zum TISP

Leave a Comment

Ich habe letzten Samstag die TISP-Prüfung abgelegt und zuvor den Pflicht-Kurs besucht. Im Gegensatz zum CISSP fehlte mir insbesondere der gesamten Themenpunkt von Sicherheit im Softwarelebenszyklus. Hier hinkt meiner Meinung nach der TISP gegenüber dem CISSP inhaltlich sehr hinterher. Ansonsten merkt man dem TISP seine „Verwandtschaft“ zum CISSP deutlich an. Die Hinzunahme relevanter deutscher Punkte wie BSI und diverse Gesetze ist durchaus gelungen. Auch wenn ich die starke Ausrichtung zumindest im Kurs an BSI nicht direkt verstehen kann. Im Gegensatz zur TISP FAQ denke ich auch nicht, dass der IT-Grundschutz in Europe irgendeine nennenswerte Bedeutung hat.[1] Leider negativ ist mir noch aufgefallen, dass z.B. das Frauenhofer SIT und secorvo unterschiedliche Definitionen des ROSI verwenden. Das spricht nicht direkt für ein einheitliches Qualitätsmanagement.

[1] Vgl. http://www.teletrust.de/tisp/tisp-faq/, Stand 02.07.2013