TISP Community Meeting

7 05, 2017

Vortrags-Evaluation „Aussagekraft von Penetration Tests“ – TISP Community Meeting 2016

von |7. Mai 2017|Vorträge|2 Kommentare|

inIch hielt letztes Jahr beim T.I.S.P. Community Meeting 2016 einen Vortrag über die „Aussagekraft von Penetration Tests“:

„Sind Ihre IT-Systeme sicher?“ ist eine typische Werbefloskel, um Penetrationstests zu vermarkten. Aber erhält man durch einen Penetrationstest wirklich eine Antwort auf diese Frage? Welche Aussagekraft haben Penetrationstests überhaupt? Dieser Vortrag soll darüber aufklären, welche Aussagekraft und Grenzen Penetrationstests besitzen und unter welchen Gesichtspunkten sie dennoch ein wichtiger Bestandteil einer Sicherheitsstrategie sein können.

Es war mein zweiter Vortrag bei einem TISP Community Meeting. Der erste war 2014 mit dem Thema „Die Schwächen des Sicherheitsstandards PCI DSS“. Damals erhielt ich ein paar Monate später ein Auswertung der Teilnehmerbewertungen. Die Bewertungsskala reicht von 1 bis 5. Die Bewertung des Vortrags von 2014:

Erwartete Informationen erhalten: 2,77 (Ø 2,48)
Vortrags Verfolgung: 2,07 (Ø 1,96)
Vortragstempo und Stofffülle: 2,07(Ø 2,08)
Unterhaltungswert: 2,25 (Ø 2,33)
Gesamt: 2,29 (Ø 2,22)

Mein Vortrag 2014 war okay, aber mehr auch nicht. Das Thema hat nicht optimal zur Zielgruppe gepasst und mein Vortragsstil war damals noch sehr „normal“ frontallastig. Im Ergebnis einfach nur Durchschnitt. Für mich nicht zufriedenstellend. Für 2015 hatte ich wieder ein Thema eingereicht, allerdings ohne Erfolg. Erst 2016 hat es wieder geklappt.

Nun kam für 2016 kein Ergebnis, somit hatte ich explizit angefragt und folgende Informationen bekommen:

Erwartete Informationen erhalten: 2,1
Vortrags Verfolgung: 1,4
Vortragstempo und Stofffülle: 1,8
Unterhaltungswert: 1,6
Gesamt: 1,7

Leider habe ich keine Durchschnittswerte. Nachdem sich die Qualität der Vorträge meiner Ansicht nach insgesamt nicht wesentlich verschlechtert oder verbessert hat, sollte es da keine großen Unterschiede zu 2014 geben. Die absoluten Bewertungszahlen für meinen Vortrag von 2016 habe ich noch bekommen:

Hat Ihnen der Vortrag die
erwartete Information geliefert?
Sehr gut Okay Gar nicht
16 31 16 2 1
Wie leicht fiel es Ihnen,
dem Vortrag zu folgen?
Sehr leicht Okay

Sehr anstrengend

46 17 4 0 0
Wie bewerten Sie das Vortragstempo
und die Stofffülle?
Genau richtig Okay

Gehetzt & zu viel

30 20 16 0 0
Wie bewerten Sie den Unterhaltungswert
des Vortrags?
Hat Spaß gemacht Okay

Hat gelangweilt

32 26 4 2 0

 

Deutlich besser: Besseres Thema, deutlich besserer Vortragsstil. Mal schauen ob ich die Gesamtnote 1,7 beim Community Meeting 2017 schlagen kann..

5 05, 2017

Vortrag „Audits – Kämpfen in der Grauzone“ beim T.I.S.P Community Meeting 2017

von |5. Mai 2017|Vorträge|0 Kommentare|

Zum dritten Mal halte ich einen Vortrag beim T.I.S.P. Community Meeting, dieses Mal 2017 wieder in Berlin:

„Audits – Kämpfen in der Grauzone“

Es gibt absolut eindeutige Anforderungen. Und es gibt oftmals eine Grauzone, voller Interpretations- und Auslegungsmöglichkeiten. Wie gewinnt man in der Grauzone? Links vortäuschen, rechts /*zensiert*/? Welche Strategie ist die richtige – brachiale Ehrlichkeit oder mauern und sich keinen Millimeter bewegen? Ist die oftmals vorherrschende Prüferangst eigentlich berechtigt? Lassen Sie uns die Antworten finden..

Mehr Informationen zum offiziellen Programm:
https://www.teletrust.de/fileadmin/docs/projekte/tisp/community/2017/TeleTrusT-T.I.S.P._CM_2017_Programm_V1.pdf

10 12, 2016

Der didaktische Albtraum: Frontalvortrag + Folienschlacht mit PowerPoint!

von |10. Dezember 2016|Vorträge|0 Kommentare|

Die typische Konferenz, Hochschulvorlesung oder IT-Sicherheits-Schulung: Irgendjemand steht mit einer vorbereiteten PowerPoint-Präsentation vorne und hat nach 5 Minuten die Aufmerksamkeit seines Publikums verloren. Kennzeichen eines Frontalvortrags? Einer redet, der Rest schläft, sitzt am Laptop oder schaut besorgniserregend auf den bald leeren Handyakku.

Als Student wird man mit langweiligen Vorlesungen gequält, später auf Weiterbildungen mit 5-Tage Frontalvortrag am Stück und falls man freiwillig auf eine Konferenz geht, darf man sich zu 80% Referenten anhören, die besser hätten zu Hause bleiben sollen. Das Publikum bedankt sich aus professioneller Höflichkeit und denkt – warum sind wir hier? Was wollte er jetzt sagen? Ob der nächste besser ist?

Es gibt Ausnahmen. Manche haben mich begeistert, z.B.:

  • Dr. S. Paulus (Vorlesungen an der Technischen Hochschule Brandenburg)
  • C. Schäfer (Datenschutzvortrag TISP Community Meeting 2016)
  • A. Alsbih (OWASP Germany Day 2014)

Kennzeichen dieser Dozenten und ihrer Vorträge: Interaktion mit dem Publikum, Humor, Charisma und/oder didaktische Fähigkeiten. Aber vor allem: Kein langweiliger Frontalvortrag bzw. -unterricht.

Es ist ehrlich gesagt nicht einfach einen guten Vortrag oder Schulung zu halten. In einem Fachbuch über Didaktik hatte ich einmal die Aussage gelesen, dass in der ersten Entwicklungsphase eines Dozenten die Hauptangst vor dem Publikum der prägendste Bestandteil des Vortrags ist, sodass man sich in detailreiche Folien flüchtet. Sinngemäß wiedergegeben. Die Aussage hat einen wahren Kern.

Ich hatte meinen ersten Vortrag vor Publikum vor einigen Jahren in der gymnasialen Oberstufe. Ein Vortrag mit weiteren Schülern in der Aula im Rahmen eines Business-Projekts einer der Big4-WP-Gesellschaften. Die Folien waren für damalige Verhältnisse sehr gut, mein Vortragsstil miserabel – ich hatte meinen Text auswendig gelernt. Ein Reinfall, sobald man kurz hängen bleibt oder eine Zwischenfrage gestellt wird. Nie wieder habe ich mir auch nur im Ansatz vorher Textbausteine überlegt oder vorbereitet.

Seitdem hatte ich dennoch weiter Vorträge gehalten. Aus eigenen Fehlern gelernt, aus Fehlern anderer Referenten gelernt und gute Ideen anderer in meinen eigenen Stil integriert. Aktuell bin ich Lehrbeauftragter an Hochschulen, war Dozent in einem IHK-Lehrgang, halte Schulungen bzw. Trainings und gerne auch mal einen Vortrag auf einer Konferenz. Klingt alles gut und wichtig, aber selbst mit dieser Erfahrung gelingt nicht alles. Zu schnell zu sein ist wohl meine No1-Kritik. Ich versuche daran zu arbeiten.

Was sind die Erfolgsfaktoren eines guten Vortrags, Schulung oder Vorlesung? Meiner Meinung nach:

  • Humor und Witz schaden nicht. Sich selbst zu wichtig zu nehmen schon.
  • Zu viele Folien mit zu viel Text oder auch Stichwörtern ist der grundlegend falsche Ansatz. Bücher lesen können die Teilnehmer selbst.
  • Bilder sagen mehr als 1000-Worte. Es gibt günstige Bilddatenbanken.
  • Interaktion mit dem Publikum. Habe ich schon gesagt Interaktion mit dem Publikum? Ja oder? Interaktion mit dem Publikum!
  • Theorie lernt man durch? Praxis! Übungen, Rollenspiele.. echt, Rollenspiele? Ja!
  • Bulimielernen als Konzept ist kein Vorteil (schönen Gruß an CISSP-Vorbereitungskurse). Es ist Zeitverschwendung.
  • Die Vermittlung von Erfahrung schlägt das referieren von Theorie.
  • Was ist besser als Interaktion mit dem Publikum? Noch mehr Interaktion!

Anschließend noch ein Ratschlag: Macht Feedbackrunden – sofern möglich. Eine wahnsinnige Idee oder? Jemanden um kritische Rückmeldung bitten. Feedbackbogen sind nett.. ehrliches, hartes und direktes Feedback ist besser. Charakterstärke und Kritikfähigkeit vorausgesetzt.

13 06, 2014

Vortrag beim T.I.S.P Community Meeting 2014 in Berlin

von |13. Juni 2014|Vorträge|0 Kommentare|

Ich hatte einen Vortrag für das T.I.S.P Community Meeting 2014 in Berlin eingereicht. Er wurde akzeptiert und ist nun auch im offiziellen Programm.  Ich werde über die  Schwächen im PCI DSS (Payment Card Industry Data Security Standard) referieren. Am Montag 03.11.14 um 14:00 Uhr auf dem T.I.S.P. Community Meeting 2014. Ich hoffe auf zahlreiche Zuhörer und freue mich auf eine interessante Diskussion im Anschluss. Ich werde den Vortag später hier als PDF veröffentlichen.