Stoppt die Vorratsdatenspeicherung! Jetzt klicken &handeln! Willst du auch an der Aktion teilnehmen? Hier findest du alle relevanten Infos
und Materialien:
Sie sind hier: Startseite Blog

Blog

Bestanden! ISO 27001 Lead Implementer

Heute kam das Resultat: Ich hab die Prüfung bestanden.

Bestanden! ISO 27001 Lead Implementer

Bestätigung der bestandenen Prüfung zum "ISO 27001 Lead Implementer (PECB)"

Buh, da bin ich froh! Ich hatte ja etwas Bedenken, ob ich nicht – ob meiner anderweitigen Erfahrung – Fragen "falsch" oder eben zu "ist doch alles klar"-einfach beantwortet. Aber das war anscheinend nicht der Fall.

Jetzt muss ich mich noch "Endorsen" lassen, also Nachweisen, dass ich genügend Erfahrung in der Praxis habe. Dann darf ich mich "ISO 27001 Lead Implementer (PECB)".

30.09.2015 18:36

Bewertung PGP-Verschlüsselung bei Web.de und GMX

Für Digitalcourage habe ich eine kurze Bewertung neuen PGP-Verschlüsselung bei web.de und GMX erstellt.

Laut einem Artikel in der Zeitschrift c't:

"Die [...] Variante des Plug-ins Mailvelope erstellt und verwaltet alle PGP-Schlüssel lokal im Browser."

Die Verschlüsselung erfolgt ebenfalls im Browser.

Aus einer Meldung bei heise online:

[... Sicherung...] dann wählt man das Schlüsselpasswort und sichert schließlich die automatisch erzeugten Schlüssel samt Passwort. Diese Daten werden in einen Container gepackt, der lokal verschlüsselt und dann bei 1&1 gespeichert wird. Das hierfür zufällig erzeugte 26-stellige Passwort bleibt beim Nutzer.

Bei der Sicherung Der private Schlüssel und dessen Passwort landet also bei GMX und web.de, geschützt mit einem 26-Zeichen langen Passwort. Dem Beispiel nach besteht das Passwort aber nur aus Kleinbuchstaben und Ziffern, entspricht also *sehr grob* geschätzt einem Passwort von 23 Zeichen mit Klein, Groß, Ziffern.

Laut http://img.ui-portal.de/cms/webde/produkte/sicherheit/pgp/lp/Anleitung-Verschluesselte-Kommunikation-WEB.DE.pdf ist die Sicherung optional, die Leute werden aber dazu angehalten bze. animiert, die Schlüssel zu sichern.

Mit dieser Sicherung kann man die Schlüssel auch auf andere Rechner übertragen. das geht jedoch auch, indem man die Schlüssel in der Browser-Erweiterung exportiert - ist nicht so bequem, verhindert aber, dass der Schlüssel beim Provider landet. Schade, dass GMX und web.de hier keine Möglichkeit anbieten, den als z.B. QR-Code Schlüssel auszudrucken, sondern die Leute dazu animieren, den Schlüssel zu ihnen hoch zu laden.

Unklar ist mir noch, ob die gesamte Nachricht verschlüsselt wird, oder nur der Inhalt und die Anhänge eben nicht. Siehe hier zu auch diese Hinweise von Posteo.

Bewertung

Insgesamt schient die Lösung ganz passabel. Es gibt jedoch einige kritische Punkte:

  1. Um diese Funktion zu benutzen, benötigt man ein Browser-Plug-in, man kann also nicht mehr den Rechner eines Bekannten nutzen (das sollte man sowieso eher nicht, aber das ist eine andere Frage). Weshalb liest man seine Mails dann überhaupt im Browser und benutzt nicht gleich ein richtigen Mail-Programm?!
  2. Es ist unklar, wie gut die Software-Komponente opnePGP.js ist, mit der die eigentliche Verschlüsselung erfolgt.
  3. Die Schlüssel werden innerhalb des Browsers verwaltet. Sie stehen anderen Anwendungen also nicht zur Verfügung.

Damit bleibt als einzige Begründung: Weil es bequem ist. Nun, das ist p≡p (Pretty Easy Privay) auch. Das verwendet aber Software-Komponenten, die seit langen Jahren ausgereicht sind, beispielsweise GnuPG.

[Update 2015-09-14: Bewertung aufgenommen]

01.09.2015 09:51

Fortbildung zum ISO 27001 Lead Implementer

Ich habe einige harte Tage hier mir, und ich hoffe, sie haben sich gelohnt.

Von Sonntag bis Mittwoch war ich auf einer Schulung zum "ISO 27001 Lead Implementer (PECB)". Dort wurde uns beigebracht, wie man ISO 27001 implementiert – also auf Firmenseite das vorbereitet, was die "Lead Auditoren" dann prüfen.

Der Kurs war die Kompaktversion eines 5-Tage-Kurses – wir hatten 3 Tage dafür. Das Meiste des Stoffes war mir schon bekannt. Weshalb ich aufpassen musste wie ein Fuchs, ob für den "Lead Implementer" etwas benötigt werde, das sich meinen Erfahrungen widerspricht. Bei der CISSP-Prüfung ist das ja so – bzw. war es, als ich die vor Jahren abgelegt habe -, dass man "deutsches Denken" über Bord werfen und "amerikanisch denken" musste. Bei diesem Kurs war mir solches dann doch nichts aufgefallen.

Der Kurs hat mich in dem Bestärkt, was ich bislang auch schon gemacht und gedacht habe. Sehr schön :-)

Im Anschluss an den Kurz gab es gleich die Prüfung. Jetzt heißt es 4–8 Wochen auf das Ergebnis warten. Dann, so hoffe ich, darf ich mich "ISO 27001 Lead Implementer (PECB)" nennen. Die dazu nötigen 5 Jahre Berufserfahrung und 300 Stunden Erfahrung in Information-Security-Projekten habe ich ja schon :-)

27.08.2015 17:20

Feiertagsarbeit bei Teletrust

Das Logo "SecurITy made in Germany" taugt sowieso nicht viel, aber es geht noch schlechter: Zertifikate werden schon mal an Feiertagen ausgestellt

Der TeleTrust Verein verleiht seit einigen Jahren das Zertifikat "SecurITy made in Germany". Das Zertifikat taugt in meinen Augen nicht viel, denn es bestätigt nur, das eine Firma ein paar Dinge "verbindlich erklärt".

Jetzt mach sich Teletrust völlig unglaubwürdig: Zertifikate werden schon mal am "01.01. 2015" ausgestellt (siehe Screenshot). Zu Erinnerung: der 1. Januar ist in Deutschland gesetzlicher Feiertag. Da arbeitet niemand, wenn er nicht unbedingt muss und darf.

Ach übrigens: Die URL des Zertifikats hat enthält übrigens den Verzeichnispfad "wp-content/uploads/2014/12/". Das deutet darauf hin, dass das Zertifikat bereits im Dezember hochgeladen wurde. Ich frage mich nur, wie dann er "01.01.2015" stimmen kann! Könnte das womöglich Urkundenfälschung sein?

21.01.2015 08:00

"Ehrlichkeit made in Germany"

Warum "Security made in Germany" nicht viel taugt.

"Ehrlichkeit made in Germany"

Das steht in einer Urkunde für das "Qualitätssiegel"

Seit einigen Jahren gibt es das "Qualitätssiegel" "SecurITy made in Germany", verliehen durch den Teletrust e.V.

In meinen Augen ist das ein reines Placebo, mit denen man versucht, Unbedarften "Sicherheit vorzugaukeln. Denn es bestätigt nur, das eine Firma ein paar Dinge "verbindlich erklärt". Wörtlich steht in dem Zertifikat:

Die [Firma] hat gegenüber TeleTrusT verbindlich erklärt: ...
Auf dieser Grundlage gestattet TeleTrusT die Verwendung des TeleTrusT-Qualitätszeichens [Logo]

Also ungefähr so: Ich erkläre Dir gegenüber, dass ich ehrlich bin, und Du gibt mir ein Zertifikat, dass ich das erklärt habe. Dafür bekommst Du ein paar hundert Euro und ich ein schickes Logo "Ehrlichkein made in Germany" für meinen Website.

Kann man glauben, sollte man aber nicht :-)

12.01.2015 12:25

Datenberge verhindern Strafermittlung

Laut Presseberichten sind die Strafverfolgungsbehörden hoffnungslos überlastet und können die Datenmengen, die als Beweismaterial anfallen, nicht bewältigen.

05.01.2015 14:43

Kleiner Erfahrungsbericht mit Online-OCR-Diensten

Ein paar habe ich ausprobiert und meinen Favoriten gefunden

heute wollte ich ein PDF, den ich gescannt hatte, als Text haben. Meine eigenen Versuche mit OCR (vor einigen Jahren) hatten unbrauchbare Ergebnisse geliefert. Da der Text, den ich haben wollte, aus einer Zeitschrift stammt und damit in keinster Weise vertraulich ist, beschloss ich, einen Online Service zu verwenden.

Hier meine Erfahrungen, unter den ersten Einträgen, die die Internetsuche ausgeschmissen hat:

  1. Ein "Free online OCR": verarbeitet nur die erste Seite des PDF. Das Ergebnis wäre aber insgesamt okay.
  2. Noch ein "Free online OCR": verarbeitet mehrere Seiten, im Ergebnis (RTF-Format) liegen aber alle Text-Rahmen auf einer Seite. Unbrauchbar. Zumal ich mehrere Anläufe gebraucht habe, um ein Ergebnis zu bekommen. Die beste Begründung dabei war: "Low Image Quality" – bei 660 dpi eine gewagte Aussage.
  3. …ich überspringe ein paar, die ich angesehen, aber nicht mehr getestet hat. Beispielsweise, weil sie auch nur die erste Seite des PDF verarbeiten.

 

Weiter unten in der List bin ich auf den Service von Abby Finereader gestoßen. Den hatte ich im ersten Durchgang übersprungen, weil er eine Registrierung verlangt. Es Ergebnis hat mich echt beeindruckt: Der Text scheint keine Rechtschreibfehler zu enthalten, die Bindestriche am Zeilenende werden sogar in "weiche" Trennzeichen umgewandelt, das Layout ist passabel erhalten. Ausserdem kann man viele Ausgabe-Formate wählen, unter anderem OpenDocument-Text. Was will man mehr?

Einziger "Haken" – soweit man das bei einem kostenlosen Dienst sagen kann –: Man kann nur 10 Seiten in 14 Tagen konvertieren.

Noch ein Tipp zur Registrierung: Bei meinem Versuch konnte ich irgendeine E-Mail-Adresse angeben. Denn es wird noch nicht einmal eine Bestätigungs-Mail verschickt. Ich gelange nach der Registierung direkt zum "Jetzt erkennen"-Schritt.

Ach, und um es nochmal ausdrücklich zu sagen: Vertrauliche oder persönliche Text würde ich einem Online-Dienst nicht anvertrauen.

29.10.2014 16:05

Filmgespräch zu „Citizenfour“ in Herrsching

18. Nov. 2014: Das Agenda-21-Kino Herrsching zeigt den neuen Film über Edward Snowden und die globale Überwachung. Anschließend Filmgespräch mit Hartmut Goebel von Digitalcourage e.V.

In der erfolgreichen Reihe "AGENDA-21-Kino Herrsching" zeigt die lokale Agenda-21-Gruppe seit 2004 jeden dritten Dienstag im Monat einen Film mit sozialem, ökologischem oder wirtschaftlichem Thema und lädt Gesprächspartner ein, um im anschließenden Filmgespräch das Publikum weiter zu informieren und zur Diskussion anzuregen.

Am Dienstag, den 18.11.2014 um 19.30 Uhr zeigen wir den brandaktuellen Film Citizenfour.

Als Gesprächspartner dabei ist diesmal Hartmut Goebel von Digitalcourage e.V..

Der Film beleuchtet den Skandal um den Whistleblower Edward Snowden, dessen Enthüllungen über den NSA die Welt verändert haben. Die Filmemacherin Laura Poitras war die erste Person, mit der Snowden unter dem Pseudonym „Citizenfour“ Kontakt aufnahm. Sie setzte von Beginn an ihre Kamera ein und machte Aufnahmen von den ersten Emails über die konspirativen Treffen mit dem Journalisten Glenn Greenwald in Hongkong bis hin zu Snowdens Odyssee ins russische Exil. Der Film wurde bei der Premiere am 10. Oktober in New York umjubelt.

Dienstag,  18. November 2014, 19.30 Uhr

Das Filmgespräch dauert in der Regel etwa eine Stunde (Ende spätestens 22.30 Uhr).

Veranstaltungsort: Kino Breitwand, Luitpoldstr. 5, 82211Herrsching – 5 Min. vom S-Bahnhof Herrsching. Kartenreservierung empfehlenswert unter 08152 / 39 96 10.

23.10.2014 07:35

Digitale Bürgerrechte in der Ära Snowden

23. Okt. 2014: Podiumsgespräch mit Hartmut Goebel im EineWeltHaus, München

Digitale Bürgerrechte in der Ära Snowden

Bodo Tasche (CC BY-NC-SA 2.0)

Seit mehr als eineinhalb Jahren wird ein Datenschutzskandal nach dem anderen aufgedeckt – weltweit, aber auch in Deutschland. Immer mehr staatliche Stellen sind in diese Enthüllungen verstrickt und es stellt sich die Frage, ob es überhaupt noch jemanden gibt, der sich um den Schutz der Daten und die damit verbundenen digitalen Bürgerrechte kümmert. Es nun an der Zeit, dieses Thema selbst in die Hand zu nehmen!

Christine Wittig vom Linksystem München ist zu diesem Thema im Gespräch mit Hartmut Goebel von Digitalcourage e.V. und klärt u.a. folgende Fragen:

Wie steht es um die digitalen Bürgerrechte im Jahr 2 nach Edward Snowdens Enthüllungen? Können sich politisch aktive Menschen gegen Abhörangriffe schützen? Gibt es eine Art digitale Selbstverteidigung, die auch „Otto Normalverbraucher“ umsetzten kann?

Sie berichten auch über den aktuellen Stand im „Fall Edward Snowden“ und beleuchten das Thema „digitale Bürgerrechte“ politisch wie praktisch.

Um Anmeldung an info@link-m.de wird gebeten.

Veranstaltungsort: EineWeltHaus München, Schwanthalerstr. 80, 80336 München
Veranstalter: Trägerkreis EineWeltHaus München e.V., Digitalcourage e.V.,und Linksystem München in Kooperation
Begin: 19 Uhr
Eintritt frei

17.10.2014 17:55

Ausgerechnet CSC will Websites-Sicherheit testen ...

... und die Mutterfirma arbeitet für die NSA, toll.

Die CSC Deutschland Solutions GmbH erhielt 2014 den Big Brother Award, da sie im Auftrag von 10 Bundesministerien an sicherheitsrelevanten Projekten arbeitet – und gleichzeitig ist die Mutterfirma die externe EDV-Abteilung der US-amerikanischen Geheimdienste und hat Entführungsflüge in Foltergefängnisse im Auftrag der CIA organisiert. (Ausführliche Begründung der Preisverleihung.)

Und ausgerechnet diese Firma bietet nun ein kostenfreie Sicherheitsüberprüfung von Webanwendungen. Klar, damit kann CSC mit Erlaubnis die Schwachstellen suchen und dann hintenherum an die NSA verkaufen.

Zitat aus dem Newsletter der Allianz für Cyber-Sicherheit des BSI:

2. Kostenfreie Sicherheitsprüfung von Webpräsenz oder Webapplikation durch CSC Deutschland Solutions

Die CSC Deutschland Solutions GmbH bietet den Teilnehmern eine kostenfreie Sicherheitsprüfung einer Webpräsenz oder Webapplikation an.

[...] richtet sich an Unternehmen, [...] deren Kerngeschäft außerhalb der IKT-Branche liegt. Insbesondere diese Unternehmen sind erheblichen Risiken ausgesetzt, während Unternehmen der IKT-Branche in diesem Feld erfahrungsgemäß bereits gut aufgestellt sind. [...]

Man kann das auch so interpretieren: Bei den Unternehmen der anderen Branchen finden sich noch Sicherheitslücken, die man leicht ausnutzen kann. Ideal für Industriespionage.

13.10.2014 08:00

(0) Kommentare