Information Security Blog

10 12, 2016

Der didaktische Albtraum: Frontalvortrag + Folienschlacht mit PowerPoint!

von |10. Dezember 2016|Vorträge|0 Kommentare|

Die typische Konferenz, Hochschulvorlesung oder IT-Sicherheits-Schulung: Irgendjemand steht mit einer vorbereiteten PowerPoint-Präsentation vorne und hat nach 5 Minuten die Aufmerksamkeit seines Publikums verloren. Kennzeichen eines Frontalvortrags? Einer redet, der Rest schläft, sitzt am Laptop oder schaut besorgniserregend auf den bald leeren Handyakku.

Als Student wird man mit langweiligen Vorlesungen gequält, später auf Weiterbildungen mit 5-Tage Frontalvortrag am Stück und falls man freiwillig auf eine Konferenz geht, darf man sich zu 80% Referenten anhören, die besser hätten zu Hause bleiben sollen. Das Publikum bedankt sich aus professioneller Höflichkeit und denkt – warum sind wir hier? Was wollte er jetzt sagen? Ob der nächste besser ist?

Es gibt Ausnahmen. Manche haben mich begeistert, z.B.:

  • Dr. S. Paulus (Vorlesungen an der Technischen Hochschule Brandenburg)
  • C. Schäfer (Datenschutzvortrag TISP Community Meeting 2016)
  • A. Alsbih (OWASP Germany Day 2014)

Kennzeichen dieser Dozenten und ihrer Vorträge: Interaktion mit dem Publikum, Humor, Charisma und/oder didaktische Fähigkeiten. Aber vor allem: Kein langweiliger Frontalvortrag bzw. -unterricht.

Es ist ehrlich gesagt nicht einfach einen guten Vortrag oder Schulung zu halten. In einem Fachbuch über Didaktik hatte ich einmal die Aussage gelesen, dass in der ersten Entwicklungsphase eines Dozenten die Hauptangst vor dem Publikum der prägendste Bestandteil des Vortrags ist, sodass man sich in detailreiche Folien flüchtet. Sinngemäß wiedergegeben. Die Aussage hat einen wahren Kern.

Ich hatte meinen ersten Vortrag vor Publikum vor einigen Jahren in der gymnasialen Oberstufe. Ein Vortrag mit weiteren Schülern in der Aula im Rahmen eines Business-Projekts einer der Big4-WP-Gesellschaften. Die Folien waren für damalige Verhältnisse sehr gut, mein Vortragsstil miserabel – ich hatte meinen Text auswendig gelernt. Ein Reinfall, sobald man kurz hängen bleibt oder eine Zwischenfrage gestellt wird. Nie wieder habe ich mir auch nur im Ansatz vorher Textbausteine überlegt oder vorbereitet.

Seitdem hatte ich dennoch weiter Vorträge gehalten. Aus eigenen Fehlern gelernt, aus Fehlern anderer Referenten gelernt und gute Ideen anderer in meinen eigenen Stil integriert. Aktuell bin ich Lehrbeauftragter an Hochschulen, war Dozent in einem IHK-Lehrgang, halte Schulungen bzw. Trainings und gerne auch mal einen Vortrag auf einer Konferenz. Klingt alles gut und wichtig, aber selbst mit dieser Erfahrung gelingt nicht alles. Zu schnell zu sein ist wohl meine No1-Kritik. Ich versuche daran zu arbeiten.

Was sind die Erfolgsfaktoren eines guten Vortrags, Schulung oder Vorlesung? Meiner Meinung nach:

  • Humor und Witz schaden nicht. Sich selbst zu wichtig zu nehmen schon.
  • Zu viele Folien mit zu viel Text oder auch Stichwörtern ist der grundlegend falsche Ansatz. Bücher lesen können die Teilnehmer selbst.
  • Bilder sagen mehr als 1000-Worte. Es gibt günstige Bilddatenbanken.
  • Interaktion mit dem Publikum. Habe ich schon gesagt Interaktion mit dem Publikum? Ja oder? Interaktion mit dem Publikum!
  • Theorie lernt man durch? Praxis! Übungen, Rollenspiele.. echt, Rollenspiele? Ja!
  • Bulimielernen als Konzept ist kein Vorteil (schönen Gruß an CISSP-Vorbereitungskurse). Es ist Zeitverschwendung.
  • Die Vermittlung von Erfahrung schlägt das referieren von Theorie.
  • Was ist besser als Interaktion mit dem Publikum? Noch mehr Interaktion!

Anschließend noch ein Ratschlag: Macht Feedbackrunden – sofern möglich. Eine wahnsinnige Idee oder? Jemanden um kritische Rückmeldung bitten. Feedbackbogen sind nett.. ehrliches, hartes und direktes Feedback ist besser. Charakterstärke und Kritikfähigkeit vorausgesetzt.

6 12, 2016

Fazit Zertifikatslehrgang Informationssicherheitsbeauftragter (IHK) aus Dozentensicht

von |6. Dezember 2016|Zertifizierung|0 Kommentare|

Die IHK Gießen-Friedberg aus Hessen war die erste IHK, die den „Zertifikatslehrgang Informationssicherheitsbeauftragter (IHK)“ angeboten hatte. Der Lehrgang wurde erst im Juni 2016 durch die DIHK veröffentlicht. Die Module waren:

  • Modul 1: Grundlagen Informationssicherheit (16 LStd.)
  • Modul 2: Gesetzliche Vorgaben zur IT-Sicherheit und deren Bedeutung für Unternehmen (8 LStd.)
  • Modul 3: Schutzmaßnahmen zur Informationssicherheit (14 LStd.)
  • Modul 4: Entwicklung eines Informationssicherheitskonzeptes (42 LStd.)
  • Modul 5: Entwicklung eines Notfallmanagement-Konzeptes (8 LStd.)

Dozent für Modul 4 war ich selbst, sodass ich diesen Lehrgang aus der Sicht eines Dozenten beurteile. Von den Teilnehmern persönlich hatte ich auch Feedback zu meinem Modul, den anderen Dozenten und dem Lehrgang insgesamt erhalten.

Die positiven Punkte:

  • Für den angegeben Zeitrahmen (etwa 10 Tage), war der Preis mit ca. 2.000€ unschlagbar günstig.
  • Die Übernachtungskosten sind in Friedberg/Hessen günstig (you get what you pay for). Das Parkhaus in der Nähe des Seminargebäudes ist mit ca. 70cent preislich im Vergleich mit z.B. Frankfurt fast umsonst.
  • Es gibt genug Restaurants um Mittagessen gehen zu können.
  • Inhaltlich war der Lehrgang relativ umfassend.
  • Workshops, Gruppenarbeiten sowie Diskussionen sind sehr gut um Wissen bzw. Erfahrung zu vermitteln.

Die Punkte mit Verbesserungspotential:

  • Der rote Faden fehlt im Curriculum stellenweise.
  • Der Schwerpunkt auf BSI ist viel zu hoch.
  • Es werden zu viele Standards, aber dafür zu wenig grundsätzliche Vorgehensweisen im Sicherheitsmanagement behandelt.
  • Die Organisation – basierend auf der extrem kurzen Vorbereitungszeit – könnte in manchen Details besser sein.
  • Frontalunterricht und PowerPoint-Folienschlachten halte ich grundsätzlich für den falschen Ansatz.
  • Die Unterschiede zwischen den Dozenten waren zu hoch, Absprachen gab es kaum – zumindest mit mir keine.
  • Die Bezahlung der Dozenten ist nicht marktgerecht (z.B. liegt mein normaler Stundensatz um den Faktor 4-5 mal so hoch). Die Vorbereitung wird nicht bezahlt. Insgesamt ist das zumindest aus finanzieller Sicht unattraktiv.
  • Es war nicht möglich den Teilnehmern korrekt lizenzierte Versionen der Standards ISIS12, ISO2700x usw. zur Verfügung zu stellen.

Die IHK Gießen-Friedberg wird den Lehrgang im nächsten Jahr 2017 wieder anbieten. Ich bin zuversichtlich, dass bis dahin ein paar Verbesserungen vorgenommen wurden. Ob ich selbst auch das nächste mal wieder als Dozent zur Verfügung stehe, halte ich in Absprache mit der IHK offen. Vorgesehen ist es bisher, endgültig entschieden noch nicht.

13 11, 2016

Der abnehmende Grenznutzen von Sicherheitszertifizierungen

von |13. November 2016|Zertifizierung|0 Kommentare|

Wie viele Zertifizierungen als IT-Sicherheitsexperte braucht man? Am Anfang dachte ich einmal, viel hilft viel und zu viele Zertifikate kann man nicht haben. Mittlerweile bin ich anderer Meinung: Im Prinzip reicht eine oder auch gar keine Zertifizierung. Das liegt an mehreren Gründen:

  • Die meisten Inhalte der Zertifikatsprüfungen sind ähnlich. Hat man eine, kann man auch die meisten anderen erreichen. Von ein paar Nischen-Pentest-Zertifikaten o.ä. einmal abgesehen.
  • Wer lässt sich wirklich von Zertifikaten beeindrucken? Primär Personaler, Projektvermittler und Headhunter. Warum? Weil sie in der Regel fachfremd sind und eine Suche nach Schlagwörtern wie „CISSP OR TISP“ viel einfacher ist als sich im Detail mit Profilen auseinander zu setzen.
  • Es gibt zu viele Zertifikate und nachdem neben älteren Organisationen wie (ISC)² und ISACA zahlreiche private Unternehmen sowie TÜV und IHKs auf den Zug aufgesprungen sind, gibt es eine absolut unübersichtliche Zahl von Zertifizierungsprogrammen.
  • Sorry, aber jeder Depp hat eins. Der CISSP ist nicht mehr elitär und jede „Schnarchnase“ ist zertifizierter irgendetwas. Ist auch nicht verwunderlich, wenn Anbieter auf dem Markt sind bei deren Prüfungen man praktisch nicht durchfallen kann.
  • Die meisten Zertifikate sind reine Geldmacherei. Die wenigsten sind unabhängig. Die wenigsten kennen die Details.
  • Es gibt eine Menge Bootcamps, die einen auf diverse Zertifikatsprüfungen zielgerichtet vorbereiten und den ganzen Sinn ad absurdum führen.

Wenn man unbedingt ein Zertifikat vorweisen möchte, nehmt den CISSP vom (ISC)². Der (ISC)² ist unabhängig. Man kann die Prüfung ohne zwingenden Lehrgang absolvieren. Man kann tatsächlich durchfallen (habe ich gehört). Er ist international anerkannt. Man muss sich nicht dafür entschuldigen, dass es zu mehr nicht gereicht hat. Nicht, dass der CISSP das Nonplusultra ist, aber er ist das beste was man international in diesem Bereich haben kann. Und nach dem CISSP? Keines mehr. Lohnt sich nicht.

Aber was ist mit dem T.I.S.P. – sozusagen der CISSP made in Germany? Wenn man die Zwangsschulung gerne besuchen möchte und einem der Nachweis von 5 Jahren Berufserfahrung vom CISSP zu viel ist, dann gerne. Was man nach dem TISP machen könnte? Den CISSP..

 

1 10, 2016

Artikel in der iX 10/2016: Momentaufnahme – Was Penetrationstests erreichen können

von |1. Oktober 2016|Pentest|0 Kommentare|

In der Oktober-Ausgabe der iX aus dem Heise-Verlag ist mein erster Artikel im Print-Bereich erschienen:

Momentaufnahme – Was Penetrationstests erreichen können

Ein Penetrationstest kann zwar typische Schwachstellen im Firmennetz aufdecken, ist aber kein Allheilmittel. Welche Erkenntnisse diese Einbruchssimulationen wirklich bringen, hängt von verschiedenen Randbedingungen ab…

https://www.heise.de/select/ix/2016/10/1475741089664718

20 09, 2016

Regelmäßige Passwortänderungen alle 90 Tage – sinnvoll oder kontraproduktiv? Eine Kritik an der gängigen Praxis!

von |20. September 2016|Informationssicherheit|1 Kommentar|

Regelmäßige Passwortänderungen alle 90 Tage bzw. alle 3 Monate ist eine gängige Praxis in der IT-Sicherheit und wird auch von diversen Sicherheitsstandards wie zum Beispiel dem PCI DSS oder auch etwas allgemeiner von der ISO 27002 vorgeschrieben. Für diese Praxis sprechen zwei Gründe:

  1. Wird ein Passwort „geklaut“, d.h. ist ein Benutzeraccount kompromittiert worden und es wurde nicht gemerkt, kann ein Angreifer mit dem „geklauten“ Passwort nur einen überschaubaren Zeitraum lang etwas anfangen. Danach wird es ohnehin wieder geändert.
  2. Werden gehashte Passwörter von einem System abgezogen, kann es je nach verwendetem Hashalgorithmus und Passwort deutlich länger als 90 Tage dauern, bis ein Passwort rekonstruiert werden kann.

Die Vorteile einer Richtlinie zu regelmäßigen Passwortänderungen sind damit klar. Sie erhöhen das Sicherheitsniveau. Natürlich ist es für Nutzer etwas unbequem, regelmäßig die eigenen Passwörter zu ändern und vor allem neu zu merken, aber natürlich sind sie bereit ganz im Sinne der Sicherheit dieses zu tun und zeigen sogar Verständnis dafür. Diese spezielle Sicherheitsmaßnahme muss Nutzern zwar erklärt werden, aber sind die Einführungsschwierigkeiten erst einmal überwunden und wird das Thema regelmäßig über Security Awareness Kampagnen behandelt, ist alles kein Problem.

Blödsinn.

Die Wahrheit sie wie folgt aus: Ein Teil der IT-Nutzer ist grundsätzlich und stets mit der regelmäßigen Änderung überfordert und vergisst das Passwort in gewohnter Regelmäßigkeit. Und der Rest? Der hat die Intention dieser Richtlinie einfach dezent umgangen, z.B. mit „Buxtehude-2016Q1“. Es ist schon ein super Passwort: Groß- und Kleinschreibung, Sonderzeichen, Zahlen, in diesem Fall sogar 16 Zeichen lang. Top. Alternativ kann man auch das Passwort unter die Tastatur kleben – ein alter Witz aus der IT-Sicherheit: Woran merkt man, dass ein Password Change durchgesetzt wurde? Die Bestellungen für Post-its steigen rasant an! Natürlich gibt es ein paar Security-Enthusiasten, die eine solche Passwortrichtlinie ganz in dem eigentlichen Sinne umsetzen. Das sind aber nur Einzelfälle.

Wie geht man nun damit um? Sofern dem keine Compliancevorschriften o.ä. entgegenstehen, empfehle ich grundsätzlich auf häufige erzwungene Passwortänderungen zu verzichten. Sie sind kontraproduktiv und erfüllen in der Regel nicht den Zweck. Es macht viel mehr Sinn den Nutzern zu erklären, wie sie sich starke Passwörter ausdenken und merken kann. Eine jährliche Passwortänderung o.ä. kann man immer noch erzwingen, man sollte nur dafür sorgen, dass alle Nutzer ausreichend sensibilisiert sind und nicht wieder mit der Iteration von Passwörter beginnen.

Leider vertrete ich mit meiner Kritik an der gängigen Praxis immer noch eine Minderheit unter den Sicherheitsexperten, auch wenn sich die Situation langsam verbessert. So erscheinen zum Beispiel immer mehr Untersuchungen und Empfehlungen, die auch kritisch gegenüber regelmäßigen Passwortänderungen sind:

„Using this framework, we confirm previous conjectures
that the effectiveness of expiration in
meeting its intended goal is weak.“

The Security of Modern Password Expiration: An Algorithmic Framework and Empirical Analysis, University of North Carolina, https://www.cs.unc.edu/~reiter/papers/2010/CCS.pdf

„[..] the burden appears to shift to those who continue to
support password aging policies, to explain why, and in which
specific circumstances, a substantiating benefit is evident.“

Quantifying the Security Advantage of Password Expiration Policies, School of Computer Science, Carleton University, Canada, http://people.scs.carleton.ca/~paulv/papers/expiration-authorcopy.pdf

„Regular password changing harms rather than improves security, so avoid placing this burden on users“

Communications-Electronics Security Group, a group within the UK Government Communications Headquarters (GCHQ), https://www.cesg.gov.uk/content/files/document_files/Password_guidance_-_simplifying_your_approach_back_cover.pdf

„Generally, password expiration periods are not of much help
in mitigating cracking because they have such a small effect on
the amount of effort an attacker would need to expend,
as compared to the effect of other password policy elements.“

NIST Special Publication (SP) 800-118 (DRAFT), http://csrc.nist.gov/publications/drafts/800-118/draft-sp800-118.pdf

3 09, 2016

Beratung im gesetzlichen Datenschutz? Der Markt ist kaputt!

von |3. September 2016|Datenschutz|0 Kommentare|

Den Markt für Datenschutzberatung bzw. für die Leistung des externen Datenschutzbeauftragten ist kaputt. Dabei ist das Angebot und die Nachfrage gleichzeitig gestört.

Die angebotenen Zertifizierungen und Prüfungen zum „externen Datenschutzbeauftragten (DSB)“ sind oftmals nur ein schlechter Witz, sodass Unmengen zertifizierter Datenschutzbeauftragter den Markt überfluten. Ihr Qualifizierung? Oftmals durchwachsen. Einzelne Perlen stehen einer Masse an schlecht qualifizierten Beratern entgegen. Die fachgerechte Beurteilung ob vorhandene Datenschutzrisiken durch die im Einzelfall getroffenen technischen oder organisatorischen Maßnahmen ausreichend und angemessen adressiert sind, findet zu oft nicht statt. Dafür unterbietet man sich gegenseitig in den Stundensätzen, sodass im Markt externe DSBs zu Schleuderpreisen auftreten, die noch relativ wenig arbeiten. Jahrespauschale für die Ernennung zum DSB, ein bisschen Papierkram erstellen und einmal im Jahr die Mitarbeiter schulen. Fertig – einfach und kostengünstig. Rent your 08/15-DSB.

Und die Kunden?

Die nehmen das Angebot gerne an. Freuen sich, dass sie kostengünstig ihre gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten nachkommen. Und sind beruhigt, dass ihr DSB ihre betrieblichen Prozesse und IT-Abläufe nicht stört, sodass man in Ruhe schlafen kann – während der Vertrieb die eigenen Kundendaten per Exceldatei in die Cloud sichert.

Schöne heile Datenschutzwelt…

1 09, 2016

Ein Fazit nach 8 Jahren PCI DSS – Gute vs. miserable PCI Auditoren (QSAs)

von |1. September 2016|PCI DSS|0 Kommentare|

Heute wieder einmal einen erfolgreichen PCI DSS Onsite Audit für einen Kunden über die Bühne gebracht. Nahezu reibungslos. Der QSA (Qualified Security Assessor) war zufrieden, der Kunde – ein Zahlungsdienstleister – war zufrieden. Keine Diskussionen. Keine Missverständnisse. Super Ergebnis.

Aber ein wenig nachdenklich macht mich dieser letzte Audit. Was waren die Erfolgsfaktoren? Vorbereitung ist alles! Denkste… das ist nicht immer so. Ein riesiger Erfolgsfaktor ist der Auditor selbst. Ich habe schon ein paar hinter mir:

(sorry Jungs, meine Meinung)

Schnarchnasen. Unvorbereitet. Überfordert. Unsicher im PCI Standard. Verrückte oder absurde Interpretationen. Keine Ahnung von iptables. Man kann Two Factor Authentication auch missverstehen. Philosophische Interpretationen von „all traffic“… uvm.. WTF!

Man kann den CISSP, CISM, CISA bzw. wohl auch die QSA-Lizenz schaffen und so grundsätzlich von Sicherheitskonzepten nicht viel verinnerlicht haben. Wie oft habe ich Auditoren für Kunden „eingefangen“, die Diskussion zurück auf den PCI DSS bezogen und Interpretationen korrigiert.

Es gibt hervorragende QSAs. Und es gibt viele schlechte. Erfolgsfaktor für die eigene PCI Compliance? Die richtige QSA Company mit dem richtigen Auditor wählen. Die falsche Wahl kann Auswirkungen auf die IT und auf die betrieblichen Prozesse haben. Die richtige Wahl macht PCI DSS auch nicht einfacher, aber schützt vor Überraschungen – sowie vor grauen Haaren und Buthochdruck.

27 08, 2016

Zertifikatslehrgang Informationssicherheitsbeauftragter (IHK)

von |27. August 2016|Zertifizierung|0 Kommentare|

Im Juni 2016 hat die DIHK den bundeseinheitlichen IHK-Zertifikatslehrgang Informationssicherheitsbeauftragter veröffentlicht. Die IHK Gießen-Friedberg aus Hessen ist eine der ersten, wenn nicht die erste IHK, die diesen Zertifikatslehrgang anbietet. Die Inhalte sind:

  • Modul 1: Grundlagen Informationssicherheit (16 LStd.) – 28.09.2016
  • Modul 2: Gesetzliche Vorgaben zur IT-Sicherheit und deren Bedeutung für Unternehmen (8 LStd.) – 29.09.2016 – 30.09.2016
  • Modul 3: Schutzmaßnahmen zur Informationssicherheit (14 LStd.) – 06.10.2016 – 07.10.2016
  • Modul 4: Entwicklung eines Informationssicherheitskonzeptes (42 LStd.)- 16.11.2016 – 18.11.2016 u. – 23.11.2016 – 24.11.2016
  • Modul 5: Entwicklung eines Notfallmanagement-Konzeptes (8 LStd.) – 25.11.2016

Ich selbst werde als Dozent das größte Modul 4 übernehmen: „Entwicklung eines Informationssicherheitskonzeptes“.

Nachtrag: Mein Fazit zum Lehrgang.

19 07, 2016

Fazit zum 1. SecMan-Alumni-Treffen des M.Sc. Security Management der FH BRB / THB

von |19. Juli 2016|SecMan|0 Kommentare|

Am Samstag war das erste Alumni-Treffen des Masters Security Management der Technischen Hochschule Brandenburg (ehemals Fachhochschule Brandenburg). Seit 10 Jahren existiert dieser Studiengang in Brandenburg, ich hatte dort selbst studiert und war am Samstag vor Ort.

Es gibt vielleicht 100 Alumnis des Master-Studiengangs – von mir über den Daumen gepeilt. Auch wenn die Mehrheit das erste mal zu Hause blieb, konnte man alte Kontakte und Freundschaften auffrischen sowie Alumnis anderer Jahrgänge kennen lernen.

Es gab ein kleines Vortragsprogramm, das im Schnitt qualitativ deutlich hochwertiger war als Vorträge bei anderen Security-Events. Zudem gab es ausreichend Zeit zum Netzwerken. Durch das von der binsec GmbH gesponsorte Catering war auch für das leibliche Wohl gesorgt. Nur Kleinigkeiten waren nicht optimal: Die Zusammenführung der Alumnis und dem aktuellen Studenten-Jahrgang hätte besser gestaltet werden können und die sehr spontan wirkende Gründungsversammlung zum SecMan e.V. hätte den Alumnis seitens der Hochschule ein wenig früher angekündigt werden können. Hochschule eben. Ansonsten war die Organisation top.

Das Alumnitreffen soll nun jährlich wiederholt werden, wobei die neu gegründete Alumnivereinigung SecMan e.V. die Organisationsverantwortung von der Hochschule übernehmen wird. Ich wurde zum stellvertretenden Vorsitzenden gewählt, den Vorsitz hat Silya Wörn und die Position des Kassenwarts Dr. jur. Raoul Kirmes übernommen.

Als Fazit kann ich nur sagen: Hat sich gelohnt, ich war positiv überrascht von dem Event und ich freue mich auf nächstes Jahr!

5 07, 2016

Es war einmal: Bei uns ist bisher noch nie etwas passiert…

von |5. Juli 2016|Informationssicherheit|0 Kommentare|

IT-Sicherheit? Kostet nur Geld, bringt keinen Umsatz und verkompliziert im schlimmsten Fall noch die Arbeitsabläufe. Und außerdem: Bei uns ist bisher noch nie etwas passiert! Punkt. Aus. Ende der Diskussion.

Es ist gar nicht so lange her, da war die Wahrscheinlichkeit sehr hoch bei Unternehmern diese Aussage zu bekommen. Vielleicht 3-4 Jahre? In letzter Zeit, hat sich die Situation aber gewandelt. Während vor ein paar Jahren ein lokaler Virenbefall noch das höchste der Gefühle war, sieht die Welt heute anders aus.

Die de facto Währung der Cyberkriminellen – Bitcoins – hat die Professionalisierung der kriminellen Industrie auf einem hohen Niveau erst möglich gemacht. Habe ich jetzt wirklich das Unwort Cyber in den Mund genommen ? Ich muss kurz duschen… fertig, zurück zum Thema: Natürlich gab es vorher auch Script Kiddies und Hacker, die Unternehmen einen  Schaden zufügen konnten und dies auch taten. Die Dimension der Kriminalität ist heute aber eine andere. Heute bekommt man von Unternehmen unter 4-Augen erzählt, dass man schon 1-2mal einen Krypto-Trojaner im Haus hatte oder sich gleich mit DDoS-Erpressungen und -Attacken auseinander setzen musste.

IT-Sicherheit kostet immer noch Geld, bringt immer noch keinen Umsatz und manchmal verkompliziert es im schlimmsten Fall tatsächlich noch die Arbeitsabläufe. Aber den Satz „Bei uns ist bisher noch nie etwas passiert!“ habe ich länger nicht mehr gehört. In gewisser Weise vermisse ich die alte Zeit, in der man als Sicherheitsspezialist noch einen Geschäftsführer von der Notwendigkeit überzeugen musste, in Sicherheit Geld zu investieren. Denn wo geht die Reise hin?

Ich möchte eigentlich nicht erleben, wie in ein paar Jahren fahrende Autos gehackt werden, und man dann während der Fahrt als GF eines Unternehmens per „Neues-Super-Mobile-Zahlungsmittel 6.0“ den Erpressern Geld überweist, damit das Auto nicht „autonom“ gegen die nächste Wand fährt. Oder halt gegen den nächsten LKW, je nach aktuellem Geolocation-Tracking.