Information Security Blog

18 05, 2017

WannaCry Ransomware? Achselzucken!

von |18. Mai 2017|Informationssicherheit|1 Kommentar|

Der Krypto-Trojaner WannaCry richtet weltweit Schaden an. IT-Sicherheit ist einmal mehr in den alten Medien angelangt. Und ich erwische mich selbst dabei, relativ wenig Interesse dafür zu zeigen: Einmal Tagesthemen gesehen, die Überschrift der FAZ gelesen und einen Heise-Newseintrag überflogen: Die amerikanischen Nachrichtendienste kauften die Zero-Day-Lücke, Microsoft bringt irgendwann einen Patch heraus, einen Monat später kommt die Ransomware und – oh Wunder oh Wunder: Es gibt Unternehmen und Krankenhäuser, die weder regelmäßig patchen (können), keine starke Netzwerksegmentierung haben und die Bedrohung Ransomware falsch eingeschätzt hatten.

Gähn..

Ich wurde von einem normalen Menschen – also außerhalb der IT – darauf angesprochen, was ich dazu sagen würde? Was soll ich dazu sagen. Nix neues. Früher gab es den „I love you“-Wurm, heute gibt es WannaCry. Weder ist die Entwicklung von WannaCry eine Ausnahmeleistung, noch sind Konzepte dagegen ein Hexenwerk. Ich glaube ehrlich gesagt nicht, dass jetzt der letzte CEO oder Behördenleiter plötzlich wach geworden ist und Informationssicherheit zur Chefsache macht.

WannaCry ist nicht der Anfang, aber auch lange noch nicht das Ende..

13 05, 2017

Die fünf Stufen von PCI DSS

von |13. Mai 2017|PCI DSS|0 Kommentare|

Der Artikel ist nicht von mir, er ist aber lesenswert und ich kann die Erfahrungen bestätigen:

Had a meeting with a prospect recently that is bound and determined to avoid PCI compliance yet still will accept payment cards.

My response?  Good luck with that!

You would think after 15 years of PCI (and actually even longer) that people would understand that PCI compliance is a fact of life.  But I continue to find that PCI is no different than the five stages of grief.

Denial

This is where that prospect is now.  They cannot believe that there is no way to avoid PCI compliance.

For once and for all, if your organization accepts payment cards, you MUST comply with the PCI DSS.  Do not like that answer?  There is nothing as a QSA I can do to effect that fact.

However, for merchants there is a way out.  Do not accept payment cards for payment.  It is that simple.

That answer though immediately leads to the next stage.

Quelle: http://pciguru.wordpress.com/2017/04/28/the-five-stages-of-pci/

7 05, 2017

Vortrags-Evaluation „Aussagekraft von Penetration Tests“ – TISP Community Meeting 2016

von |7. Mai 2017|Vorträge|2 Kommentare|

inIch hielt letztes Jahr beim T.I.S.P. Community Meeting 2016 einen Vortrag über die „Aussagekraft von Penetration Tests“:

„Sind Ihre IT-Systeme sicher?“ ist eine typische Werbefloskel, um Penetrationstests zu vermarkten. Aber erhält man durch einen Penetrationstest wirklich eine Antwort auf diese Frage? Welche Aussagekraft haben Penetrationstests überhaupt? Dieser Vortrag soll darüber aufklären, welche Aussagekraft und Grenzen Penetrationstests besitzen und unter welchen Gesichtspunkten sie dennoch ein wichtiger Bestandteil einer Sicherheitsstrategie sein können.

Es war mein zweiter Vortrag bei einem TISP Community Meeting. Der erste war 2014 mit dem Thema „Die Schwächen des Sicherheitsstandards PCI DSS“. Damals erhielt ich ein paar Monate später ein Auswertung der Teilnehmerbewertungen. Die Bewertungsskala reicht von 1 bis 5. Die Bewertung des Vortrags von 2014:

Erwartete Informationen erhalten: 2,77 (Ø 2,48)
Vortrags Verfolgung: 2,07 (Ø 1,96)
Vortragstempo und Stofffülle: 2,07(Ø 2,08)
Unterhaltungswert: 2,25 (Ø 2,33)
Gesamt: 2,29 (Ø 2,22)

Mein Vortrag 2014 war okay, aber mehr auch nicht. Das Thema hat nicht optimal zur Zielgruppe gepasst und mein Vortragsstil war damals noch sehr „normal“ frontallastig. Im Ergebnis einfach nur Durchschnitt. Für mich nicht zufriedenstellend. Für 2015 hatte ich wieder ein Thema eingereicht, allerdings ohne Erfolg. Erst 2016 hat es wieder geklappt.

Nun kam für 2016 kein Ergebnis, somit hatte ich explizit angefragt und folgende Informationen bekommen:

Erwartete Informationen erhalten: 2,1
Vortrags Verfolgung: 1,4
Vortragstempo und Stofffülle: 1,8
Unterhaltungswert: 1,6
Gesamt: 1,7

Leider habe ich keine Durchschnittswerte. Nachdem sich die Qualität der Vorträge meiner Ansicht nach insgesamt nicht wesentlich verschlechtert oder verbessert hat, sollte es da keine großen Unterschiede zu 2014 geben. Die absoluten Bewertungszahlen für meinen Vortrag von 2016 habe ich noch bekommen:

Hat Ihnen der Vortrag die
erwartete Information geliefert?
Sehr gut Okay Gar nicht
16 31 16 2 1
Wie leicht fiel es Ihnen,
dem Vortrag zu folgen?
Sehr leicht Okay

Sehr anstrengend

46 17 4 0 0
Wie bewerten Sie das Vortragstempo
und die Stofffülle?
Genau richtig Okay

Gehetzt & zu viel

30 20 16 0 0
Wie bewerten Sie den Unterhaltungswert
des Vortrags?
Hat Spaß gemacht Okay

Hat gelangweilt

32 26 4 2 0

 

Deutlich besser: Besseres Thema, deutlich besserer Vortragsstil. Mal schauen ob ich die Gesamtnote 1,7 beim Community Meeting 2017 schlagen kann..

5 05, 2017

Vortrag „Audits – Kämpfen in der Grauzone“ beim T.I.S.P Community Meeting 2017

von |5. Mai 2017|Vorträge|0 Kommentare|

Zum dritten Mal halte ich einen Vortrag beim T.I.S.P. Community Meeting, dieses Mal 2017 wieder in Berlin:

„Audits – Kämpfen in der Grauzone“

Es gibt absolut eindeutige Anforderungen. Und es gibt oftmals eine Grauzone, voller Interpretations- und Auslegungsmöglichkeiten. Wie gewinnt man in der Grauzone? Links vortäuschen, rechts /*zensiert*/? Welche Strategie ist die richtige – brachiale Ehrlichkeit oder mauern und sich keinen Millimeter bewegen? Ist die oftmals vorherrschende Prüferangst eigentlich berechtigt? Lassen Sie uns die Antworten finden..

Mehr Informationen zum offiziellen Programm:
https://www.teletrust.de/fileadmin/docs/projekte/tisp/community/2017/TeleTrusT-T.I.S.P._CM_2017_Programm_V1.pdf

28 04, 2017

Auf Wiedersehen – Zertifikatslehrgang Informationssicherheitsbeauftragter (IHK)

von |28. April 2017|Zertifizierung|0 Kommentare|

Ich war 2016 einer der Dozenten im Zertifikatslehrgang Informationssicherheitsbeauftragter (IHK) der Industrie- und Handelskammer Gießen-Friedberg. Ich hatte das größte Modul (etwa 50% des Kurses) und dem Feedback der Teilnehmer nach, waren sie insbesondere mit meinem Vortragsstil und meinem Modul außerordentlich zufrieden.

Eigentlich war angedacht, dass ich auch 2017 wieder der IHK Gießen-Friederg als Dozent zur Verfügung stehe. Dem ist nun leider nicht mehr so. Primär verhindern es Terminschwierigkeiten, sekundär der festgeschriebene IHK-Vergütungssatz. Ehrlich gesagt, sehr schade. Vielleicht hatte ich dennoch einen nachhaltigen positiven Effekt auf den Lehrgang: Meine Strategie: Weniger Frontal, mehr Praxis – Inhalte unter Anleitung selbst erarbeiten! Vielleicht ist davon etwas hängen geblieben.

Ich drücke der IHK Gießen-Friedberg auf alle Fälle für die nächsten Jahrgänge die Daumen und wünsche viel Erfolg!

11 02, 2017

Blackbox-Pentests sind der falsche Ansatz

von |11. Februar 2017|Pentest|0 Kommentare|

Whitebox-, Greybox- oder Blackbox-Pentests? Offen gesagt, sind meiner Meinung nach Blackbox-Pentests der falsche Ansatz. Während bei einem Whitebox- oder Greybox-Pentest dem Penetration Tester alle notwendigen oder zumindest alle hilfreichen Informationen zum Ziel vorliegen, liegen bei einem Blackbox-Pentest dem Penetration Tester gar keine Informationen vor. Er hat sozusagen die gleiche Sicht, wie es ein böswilliger externer Angreifer hätte. Die Aussagekraft eines Blackbox-Pentests ist somit klar: Wie viel Informationen kann ein Angreifer über ein Ziel sammeln, wie weit kann er vorgehen, wie weit kann er in ein Unternehmen oder in ein IT-System eindringen?

Sorry, aber das ist aus Kundensicht Geldverschwendung.

Erstens stimmt das mit der Aussagekraft nur bedingt: Während ein böswilliger Angreifer überhaupt keine Probleme hätte, eine spezifische Zielperson per Xing/LinkedIn ausfindig zu machen und ihr z.B. gezielten Schadcode am Virenscanner vorbei unterschiebt oder es ganz einfach mit Social Engineering versucht, wird diese Herangehensweise in den meisten Fällen – und aus guten Gründen – bei einem professionellen Pentest ausgeschlossen (der Betriebsfrieden lässt grüßen).

Zweitens kann es sein, dass ein Penetration Tester bei einem Blackbox-Pentest gar nicht in der Lage ist, alle notwendigen Prüfungen zu machen – entweder scheitert er an einer Loginmaske und kann gar keine Schwachstellen in der Anwendung dahinter sehen – oder trotz gutem Information Gathering werden gar nicht alle öffentlich erreichbaren Systeme identifiziert.

Drittens verbringt der Penetration Tester am Ende auch Zeit damit Sachen herauszufinden, die man ihm hätte auch einfach mitteilen können. Der Aufwand von Blackbox-Pentests ist sehr schwer zu kalkulieren und sind im Zweifel immer mehr Aufwand.

Insgesamt ist das Verhältnis zwischen Aussagekraft und Aufwand/Kosten nicht optimal. Ich rate stets davon ab.

17 12, 2016

Ergebnis Lehrveranstaltungsevaluation Penetration Testing (WS16/17) HDA

von |17. Dezember 2016|HDA, Vorlesung|0 Kommentare|

Im Wintersemester 2016/17 hatten wir die Lehrveranstaltung Penetration Testing als WPF an der HDA (Hochschule Darmstadt) gehalten. „Wir“ sind primär Dominik Sauer mit eher beratender Unterstützung von mir. Jetzt wurden uns die Ergebnisse der Lehrveranstaltungsevaluation für unsere Vorlesung übermittelt. Ich persönlich denke, das Ergebnis kann sich sehen lassen. Die Bewertung der Studenten auf den Punkt gebracht:

Note zum Gesamteindruck: 1,2

Ein Auszug aus den ergänzenden schriftlichen Bemerkungen der Studenten:

Die Veranstaltung bitte wieder anbieten. P.S. ein -Tag vom EvaSys mit class=“charlimit maxchars_200″ ist nicht geeignet um die Zeichen auf 200 zu begrenzen :D asdfasdfasndfasdfasdf asdfasdfaisdfasdf und weitere Zeichen asdfasdfabsdfasdfasdf asdfaesdfasdfasdsfasdfs ;)

Ich würde ja schlussfolgern, jemand hat den Inhalt der Veranstaltung verinnerlicht.

Im gesamten Studium bislang die beste Veranstaltung

Hört man als Dozent sehr gerne.

Super Veranstaltung und sehr praktisch orientiert, was durchaus sinnvoll ist.

Wir waren noch nie Fans vom klassischer Frontalunterricht… jetzt noch mein persönliches Lieblingskommentar:

Den Kurs muss man einfach erlebt haben! Wenn man einen Titel finden müsste, wäre „Phantastische Professoren und wo sie zu finden sind“ sicherlich treffend UntermStrichdiebesteVeranstaltungdesBachelors

Nein, wir haben für diese Bewertung nicht bezahlt..

Manche Studenten haben sich eine längere eigentliche Vorlesung gewünscht, andere fanden die Vorlesungsdauer perfekt. Unsere Aufgabenstellungen wären ohne Hilfe zu schwer (stimmt, deswegen gab es Hilfe). Tatsächlich fand jemand noch, ich persönlich wäre kaum anwesend gewesen – stimmt auch. Das war nicht meine Aufgabe ;-).

Wer die eigentlichen Bewertungen im sehr umfangreichen Detail lesen möchte, ist herzlich willkommen:

PDF Download 1/2: Aauswertungsbericht-Lehrveranstaltungsevaluation-WS16_17-Penetration_Testing_fbi_ws16_17_30-2572_p_sauerd.pdf

PDF Download 2/2: Auswertungsbericht-Lehrveranstaltungsevaluation-WS16_17-Penetration_Testing_fbi_ws16_17_30-2572_p_sauerp.pdf

 

15 12, 2016

Strategien gegen Ransomware – Schutz vor Verschlüsselungstrojanern

von |15. Dezember 2016|IT-Sicherheit|0 Kommentare|

Ransomware bzw. Verschlüsselungstrojaner – wer hat noch nicht, wer will nochmal? Ich habe im Laufe der Zeit einige Unternehmen gesehen, die Opfer einer Ransomware geworden sind. Diese Art von Schadsoftware verschlüsselt oftmals in aller Ruhe Dateien um danach frech Bitcoins als Lösegeld zu erpressen – entweder man zahlt, oder sieht seine Daten nie wieder. Das Geschäftsmodell funktioniert, das muss man den Angreifern schon lassen.

Aber wie kann man sich als Unternehmen dagegen wappnen? Ein ganzheitliches Sicherheitskonzept wäre eine gute Idee, aber grundsätzlich finde ich die folgenden Maßnahmen am wichtigsten:

  1. Regelmäßige und funktionierende (d.h. überprüfte) Backups. Die Häufigkeit von „regelmäßig“ kann von alle paar Tage bis hin zu alle paar Stunden reichen. Das hängt vom Einzelfall ab. Aber wichtig ist: Backups erstellen und grundsätzlich verifizieren, dass man Dateien auch wieder erfolgreich wiederherstellen kann. Es macht natürlich auch keinen Sinn, Backups auf dem selben Datenträger vorzuhalten. Fassen wir den ersten Punkt zusammen zu: „vernünftiges Backupkonzept“.
  2. Vernünftige Berechtigungskonzepte. Einfach ausgedrückt: Nicht jeder Mitarbeiter muss Zugriff auf alle Shares und Ordner haben. Berechtigungen auf Need-to-know bzw. Need-to-work-Basis – so viel Rechte wie man zum Arbeiten benötigt, aber nicht mehr.
  3. Virenscanner mit stets aktuellen Signaturdatenbanken. Wenn man Glück hat, erkennt ein Virenscanner die Ransomware bereits und der Angriff wird erfolgreich abgewehrt. Wenn man Pech hat, gibt es noch keine Signatur für eine neue Schädlingsvariante und der Virenscanner hilft nichts. Sex mit Kondom ist auch keine 100%ige Schutzmaßnahme.
  4. Mitarbeiter-Schulung bzw. Security Awareness: Nicht auf jeden Anhang muss man klicken. Leicht gehässig ausgedrückt: Big Boobs muss man nicht im Büro ansehen und normale Menschen möchte einem nicht ein paar Tausend Dollar oder Euro schenken. Ist schwerer gesagt als getan, ich weiß. Aber einmal ernsthaft ausgedrückt: Es ist absolut notwendig Mitarbeiter in dem richtigen Umgang mit Outlook & co. zu schulen und auch ein Bewusstsein dafür zu schaffen, dass ihr richtiges Handeln im optimalen Fall wirklich wichtig für ihr Unternehmen sein kann.

In welcher Reihenfolge empfehle ich diese Punkte? Erst das umgesetzte Backupkonzept, dann das Berechtigungskonzept, dann Virenscanner und danach erst die Mitarbeiter sensibilisieren. Warum? Menschen machen Fehler, Virenscanner hängen immer hinterher, bessere Berechtigungskonzepte verringern nur den Schaden und das einzige was im Zweifel helfen kann, ist die erfolgreiche Wiederherstellung der Daten.

10 12, 2016

Der didaktische Albtraum: Frontalvortrag + Folienschlacht mit PowerPoint!

von |10. Dezember 2016|Vorträge|0 Kommentare|

Die typische Konferenz, Hochschulvorlesung oder IT-Sicherheits-Schulung: Irgendjemand steht mit einer vorbereiteten PowerPoint-Präsentation vorne und hat nach 5 Minuten die Aufmerksamkeit seines Publikums verloren. Kennzeichen eines Frontalvortrags? Einer redet, der Rest schläft, sitzt am Laptop oder schaut besorgniserregend auf den bald leeren Handyakku.

Als Student wird man mit langweiligen Vorlesungen gequält, später auf Weiterbildungen mit 5-Tage Frontalvortrag am Stück und falls man freiwillig auf eine Konferenz geht, darf man sich zu 80% Referenten anhören, die besser hätten zu Hause bleiben sollen. Das Publikum bedankt sich aus professioneller Höflichkeit und denkt – warum sind wir hier? Was wollte er jetzt sagen? Ob der nächste besser ist?

Es gibt Ausnahmen. Manche haben mich begeistert, z.B.:

  • Dr. S. Paulus (Vorlesungen an der Technischen Hochschule Brandenburg)
  • C. Schäfer (Datenschutzvortrag TISP Community Meeting 2016)
  • A. Alsbih (OWASP Germany Day 2014)

Kennzeichen dieser Dozenten und ihrer Vorträge: Interaktion mit dem Publikum, Humor, Charisma und/oder didaktische Fähigkeiten. Aber vor allem: Kein langweiliger Frontalvortrag bzw. -unterricht.

Es ist ehrlich gesagt nicht einfach einen guten Vortrag oder Schulung zu halten. In einem Fachbuch über Didaktik hatte ich einmal die Aussage gelesen, dass in der ersten Entwicklungsphase eines Dozenten die Hauptangst vor dem Publikum der prägendste Bestandteil des Vortrags ist, sodass man sich in detailreiche Folien flüchtet. Sinngemäß wiedergegeben. Die Aussage hat einen wahren Kern.

Ich hatte meinen ersten Vortrag vor Publikum vor einigen Jahren in der gymnasialen Oberstufe. Ein Vortrag mit weiteren Schülern in der Aula im Rahmen eines Business-Projekts einer der Big4-WP-Gesellschaften. Die Folien waren für damalige Verhältnisse sehr gut, mein Vortragsstil miserabel – ich hatte meinen Text auswendig gelernt. Ein Reinfall, sobald man kurz hängen bleibt oder eine Zwischenfrage gestellt wird. Nie wieder habe ich mir auch nur im Ansatz vorher Textbausteine überlegt oder vorbereitet.

Seitdem hatte ich dennoch weiter Vorträge gehalten. Aus eigenen Fehlern gelernt, aus Fehlern anderer Referenten gelernt und gute Ideen anderer in meinen eigenen Stil integriert. Aktuell bin ich Lehrbeauftragter an Hochschulen, war Dozent in einem IHK-Lehrgang, halte Schulungen bzw. Trainings und gerne auch mal einen Vortrag auf einer Konferenz. Klingt alles gut und wichtig, aber selbst mit dieser Erfahrung gelingt nicht alles. Zu schnell zu sein ist wohl meine No1-Kritik. Ich versuche daran zu arbeiten.

Was sind die Erfolgsfaktoren eines guten Vortrags, Schulung oder Vorlesung? Meiner Meinung nach:

  • Humor und Witz schaden nicht. Sich selbst zu wichtig zu nehmen schon.
  • Zu viele Folien mit zu viel Text oder auch Stichwörtern ist der grundlegend falsche Ansatz. Bücher lesen können die Teilnehmer selbst.
  • Bilder sagen mehr als 1000-Worte. Es gibt günstige Bilddatenbanken.
  • Interaktion mit dem Publikum. Habe ich schon gesagt Interaktion mit dem Publikum? Ja oder? Interaktion mit dem Publikum!
  • Theorie lernt man durch? Praxis! Übungen, Rollenspiele.. echt, Rollenspiele? Ja!
  • Bulimielernen als Konzept ist kein Vorteil (schönen Gruß an CISSP-Vorbereitungskurse). Es ist Zeitverschwendung.
  • Die Vermittlung von Erfahrung schlägt das referieren von Theorie.
  • Was ist besser als Interaktion mit dem Publikum? Noch mehr Interaktion!

Anschließend noch ein Ratschlag: Macht Feedbackrunden – sofern möglich. Eine wahnsinnige Idee oder? Jemanden um kritische Rückmeldung bitten. Feedbackbogen sind nett.. ehrliches, hartes und direktes Feedback ist besser. Charakterstärke und Kritikfähigkeit vorausgesetzt.

6 12, 2016

Fazit Zertifikatslehrgang Informationssicherheitsbeauftragter (IHK) aus Dozentensicht

von |6. Dezember 2016|Zertifizierung|0 Kommentare|

Die IHK Gießen-Friedberg aus Hessen war die erste IHK, die den „Zertifikatslehrgang Informationssicherheitsbeauftragter (IHK)“ angeboten hatte. Der Lehrgang wurde erst im Juni 2016 durch die DIHK veröffentlicht. Die Module waren:

  • Modul 1: Grundlagen Informationssicherheit (16 LStd.)
  • Modul 2: Gesetzliche Vorgaben zur IT-Sicherheit und deren Bedeutung für Unternehmen (8 LStd.)
  • Modul 3: Schutzmaßnahmen zur Informationssicherheit (14 LStd.)
  • Modul 4: Entwicklung eines Informationssicherheitskonzeptes (42 LStd.)
  • Modul 5: Entwicklung eines Notfallmanagement-Konzeptes (8 LStd.)

Dozent für Modul 4 war ich selbst, sodass ich diesen Lehrgang aus der Sicht eines Dozenten beurteile. Von den Teilnehmern persönlich hatte ich auch Feedback zu meinem Modul, den anderen Dozenten und dem Lehrgang insgesamt erhalten.

Die positiven Punkte:

  • Für den angegeben Zeitrahmen (etwa 10 Tage), war der Preis mit ca. 2.000€ unschlagbar günstig.
  • Die Übernachtungskosten sind in Friedberg/Hessen günstig (you get what you pay for). Das Parkhaus in der Nähe des Seminargebäudes ist mit ca. 70cent preislich im Vergleich mit z.B. Frankfurt fast umsonst.
  • Es gibt genug Restaurants um Mittagessen gehen zu können.
  • Inhaltlich war der Lehrgang relativ umfassend.
  • Workshops, Gruppenarbeiten sowie Diskussionen sind sehr gut um Wissen bzw. Erfahrung zu vermitteln.

Die Punkte mit Verbesserungspotential:

  • Der rote Faden fehlt im Curriculum stellenweise.
  • Der Schwerpunkt auf BSI ist viel zu hoch.
  • Es werden zu viele Standards, aber dafür zu wenig grundsätzliche Vorgehensweisen im Sicherheitsmanagement behandelt.
  • Die Organisation – basierend auf der extrem kurzen Vorbereitungszeit – könnte in manchen Details besser sein.
  • Frontalunterricht und PowerPoint-Folienschlachten halte ich grundsätzlich für den falschen Ansatz.
  • Die Unterschiede zwischen den Dozenten waren zu hoch, Absprachen gab es kaum – zumindest mit mir keine.
  • Die Bezahlung der Dozenten ist nicht marktgerecht (z.B. liegt mein normaler Stundensatz um den Faktor 4-5 mal so hoch). Die Vorbereitung wird nicht bezahlt. Insgesamt ist das zumindest aus finanzieller Sicht unattraktiv.
  • Es war nicht möglich den Teilnehmern korrekt lizenzierte Versionen der Standards ISIS12, ISO2700x usw. zur Verfügung zu stellen.

Die IHK Gießen-Friedberg wird den Lehrgang im nächsten Jahr 2017 wieder anbieten. Ich bin zuversichtlich, dass bis dahin ein paar Verbesserungen vorgenommen wurden. Ob ich selbst auch das nächste mal wieder als Dozent zur Verfügung stehe, halte ich in Absprache mit der IHK offen. Vorgesehen ist es bisher, endgültig entschieden noch nicht.