Here is an example of a simple conversion of a simple repository:

PROJECT=ssl-audit
svnrepo=https://svn.origo.ethz.ch/$PROJECT
gitrepo=/tmp/$PROJECT-git

cd /tmp
repopuller $svnrepo

reposurgeon <<EOF
read /tmp/$PROJECT-mirror
prefer git
edit
references lift
rebuild $gitrepo
EOF

Mein Artikel "Qualifikation zahlt sich nicht aus" ist im IT Freelancer Magazin 3/2012 veröffentlicht. Auszüge aus dem Heft (darunter mein Artikel) gibt es als PDF zum Download.

Haben Sie anmerkungen dazu? Dann schicken Sie mir bitte eine Mail.

Die Domains drehen sich alle um IT-Security Management. Damit möchte ich meinen Schwerpunkt Rent a CISO oder Freiberuflicher Information Security Officer leichter zugänglich machen.

Mich erstaunt wirklich, dass diese Domains alle noch frei waren:

Meiner Meinung nach völlig zu unrecht. Es ist ist zu kurz gedacht. Compliance bedeutet erst einmal lediglich, Regeln zu erfüllen, die von der Industrie, von Verbänden, Banken, Versicherungen oder dem Gesetzgeber aufgestellt wurden – etwa der Sarbanes Oxley Act von der US-Regierung, PCI-DSS vom der Kreditkartenindustrie, Basel III von der Bank für Internationalen Zahlungsausgleich und so weiter. Ein Unternehmen, das „compliant“ ist, hat bisher genau ein einziges Risiko ausgeschlossen: Den Verstoß gegen diese Regeln.

Keine Frage, bestimmte Geschäftsmodelle sind zwangsläufig darauf angewiesen, Compliance-Anforderungen zu befolgen: Wenn etwa daran eine Zulassung hängt wie an PCI-DSS für Anbieter von Kreditkarten oder die Erfüllung von Basel III-Kriterien die Kreditwürdigkeit beeinflusst. Ich empfehle jedoch, genau zu prüfen, ob und in welchem Maße Ihr Unternehmen Compliance-Vorschriften nachkommen muss – oder aber, ob der Compliance-Vorwand nicht nur als Geschäftsführerschreck und Honorarmaschinerie für Unternehmensberater und Security-Anbieter angeführt wird.

Dieser Tage habe ich folgende Anfrage bekommen:

Wir betreiben einen Server, über den man auf verschiedene Systeme bei sensiblen, öffentlichen Kunden zugreifen kann. Zu dem Server existiert eine technische Beschreibung, aber es gibt keine Beschreibung der zugehörigen Prozesse. Es sein kann, dass unser Kunde einen Audit nach dem IT-Grundschutzhandbuch bzw. nach der ISO 27001 fordert. Darauf wollen wir vorbereitet sein.

Wie können Sie uns helfen?

Trifft genau mein Tätigkeitsfeld :-) Meine Vorgehensweise wäre folgende:

Sowohl das Grundschutzhandbuch (GSHB) als auch die ISO 27001 legen viel Wert auf Verantwortung, Nachvollziehbarkeit und Kontrolle/Überprüfung. In diesem Fall würde ich daher folgendes tun:

die bestehenden Prozesse rund um den Server auf die technische Umsetzung und auf die drei genannten Punkte hin überprüfen und dokumentieren

• Benutzerverwaltung

• Security-Patches und Software-Updates

• Admin-Berechtigungen

• Abschottung vom restlichen Netzwerk (falls relevant)

• ...

Punkte im Prozess festlegen, an denen festgestellt werden kann, ob es Abweichungen vom Regelprozess gibt und ob der Prozess funktioniert oder verbessert werden muss (sog. Controls).

Die einen Server mit Benutzerverwaltung wäre eine typische "Control", regelmäßig zu prüfen, ob die berechtigten User noch Zugang haben dürfen. Dies dient gleichzeitig dazu, die nicht mehr berechtigten Accounts zu sperren, und dazu, zu erkennen, ob nicht mehr Berechtigte zeitnah gesperrt wurde. Beispiel: Wenn nach einem Jahr 20% der Benutzer nicht mehr berechtigt sind, funktioniert der Prozess nicht. Oder wenn über längere Zeit immer ein paar "durchrutschen".

die Verantwortlichkeiten festlegen

Ergänzend würde würde ich auch eine paar Kennzahlen entwickeln, um das Funktionieren der Prozesse "managebar" zu machen. Beispielsweise die Fehlerrate für die genannten Controls, oder statistische Auffälligkeiten: Benutzer die sich sehr häufig oder sehr selten anmelden (natürlich anonymisiert, da es sonst unerlaubte Leistungsüberwachung sein könnte).

Am Ende hätte der Auftraggeber ein Handbuch, mir dem er einen Audit überstehen sollte.

Jetzt ist der Sündenfall passiert: Ich habe eine Webanalyse-Software in meine Website integriert. Ich möchte damit ermitteln, woher und ggf. mit welchen Suchbegriffen Besucher auf meine Seiten gelangen, was sie dort suchen und ob sie es finden.

Mal sehen, ob es das bringt. Wenn nicht -- oder falls ich das gar nicht auswerten sollte -- kommt es wieder weg. Versprochen!

Damit hat meine Website jetzt doch auch ein Datenschutzerklärung.

Yes, decompyle, the Python byte-code decompiler, is still alive and functioning. It simply is not longer available for download and ancient versions are not able to decompile recent Python byte-code.

Wer schon einmal versucht hat, Webseiten als PDF zu speichern -- und zwar so, wie sie am Bildschirm erscheinen --, kennt das Problem: es geht nicht. Entweder kann der Browser gar kein PDF erzeugen, oder man kann nur "als PDF drucken". Beim Drucken bekommt man aber die Druck-Ansicht, und nicht das, was am Bildschirm steht (zum Hintergrund unten mehr).

Meine Software erzeugt ein PDF, das den Bildschirminhalt wiedergibt (so wie links zu sehen).

Das kann die Software:

Erzeugt ein PDF einer beliebigen, öffentlichen Webseite

Fast alle Webseiten lassen sich gut darstellen, denn als Render Engine wird die gleicher verwendet, die auch in Safari steckt (Webkit)

Die Webseite wird automatisch auf die Seitenbreite skaliert

Seitenformat, -ränder und -orientierung können angegeben werden

Firefox-Addon: 1 Klick und das PDF wird geliefert

• kleiner HTTP-Server, der die Umwandlung übernimmt (den verwendet das Addon)

• Kommandozeilen-Tool

kann leicht an die Bedürfnisse der Kunden angepasst werden, beispielsweise

• andere Seitenaufteilungen, andere Dateiformate

• Integration in komplexere Tools (siehe Successtory unten)

Die Software ist plattformunabhängig (Linux, Windows, Mac), benutzt Qt und Python.

Also riskieren die CEOs und Chef-Personaler lieber nichts – es wäre ja auch angesichts des latent drohend Fachkräftemangels fahrlässig. So versorgt man lieber die kontraproduktiven und larmoyanten Security-Spezialisten mit extra-breitem Leukoplast, um sie ruhig zu stellen und entwickelt sogar fleißig weitere „Bring-Your-Own-x“-Angebote, um die kostbaren Fachkräfte zu binden. Spannende White Paper, die kürzlich aus den Personalabteilungen großer Konzerne an die Öffentlichkeit gelangt sind, lassen bahnbrechende Innovationssprünge in Sachen „BYOx“ erwarten.

Einem hessischer Mittelständler beispielsweise setzte bei einer Einrichtung an, die bisher ständig für Klagen sorgte – der Firmenkantine. Mit BYOF (Bring Your Own Food) wurde aus dem Stein des Anstoßes ein Erfolgskonzept. Das langweilige Kantinenessen wurde abgeschafft, die Mitarbeiter bringen nun abhängig von den individuellen Geschmacksvorlieben und gesundheitlicher Vorgeschichte ihre Verpflegung selbst mit ins Büro. Das Unternehmen unterstützt das Projekt, indem es formschöne Henkelmänner in den Saisonfarben Hellgrün und Orange zum Kauf anbietet, die individuell mit den Lieblingsspeisen befüllt werden können.

Spannend auch das Konzept BYOC, das im Ingolstädter Stammhaus von Audi seit Januar diesen Jahres praktiziert wird. Die Idee zu „Bring Your Own Car“ lag insofern nahe, da zumindest bei den deutschen Arbeitnehmern das Auto noch wichtiger als sein iPhone ist. Sie erspart dem Mitarbeiter den doch eher lästigen Umstieg in den unpersönlichen Firmenwagen: In Ingolstadt müssen sich die Mitarbeiter nicht mehr an die firmeneigenen Audi A4 und A5 umgewöhnen, sondern dürfen ohne Druck seitens der Firmenleitung im eigenen Toyota oder Fiat zur Arbeit kommen.

Auch Anbieter werden aktiv. Das Möbelhaus Ikea hat bereits eine ganze Abteilung in seinem Showroom auf den neusten BYOC-Trend (Bring Your Own Chair) abgestimmt. Ergänzt wurde – synonym zur Family Card – eine Office-Karte, mit der Mitarbeiter bestimmter Firmen ihre eigenen Büroausstattung zu günstigen Preise einkaufen und dann ihr Büro damit möblieren können.

Einige Modelle enthalten jedoch gehörigen Sprengstoff. So der neuste Ansatz von IBM, die erst kürzlich mit provokanten Personalstrategien von sich reden machte. Mit seinen Konzepten IBM-BYOW (Bring Your Own Work) und IBM-BYOM (Bring Your Own Money) – beide noch „Non Disclosure“ – könnte das Unternehmen allerdings für Uweiter Schlagzeilen sorgen: Sie gewähren in einer klassischen win-win-Situation einerseits dem Mitarbeiter alle nur vorstellbare Individualität und Freiheit, andererseits dem Arbeitgeberunternehmen eine Toprendite: BYOW stellt dem Mitarbeiter frei, die eigenen Arbeit mitzubringen und erspart IBM damit unter anderem die Vertriebsabteilung. Mit BYOM endet sogar die finanzielle Abhängigkeit der Mitarbeiter, indem er sein Gehalt selbst übernimmt. So können die Arbeitgeber entlastet werden und neue Arbeitsplätze schaffen, die sich wiederum mit BYOM selbst finanzieren. Das perfekte Perpetuum-Mobile, bei dem jedoch unsere Arbeits- und Wirtschaftsministerien noch ein Wörtchen mitzureden haben werden.

When trying to move a working script to a different machine and a different user-account, my rsync-script failed with this message:

rsync error: protocol incompatibility (code 2) at io.c(1332) [sender=3.0.8]
rsync: connection unexpectedly closed (2668 bytes received so far) [receiver]
rsync error: error in rsync protocol data stream (code 12) at io.c(601) [receiver=3.0.7]
rsync: connection unexpectedly closed (70 bytes received so far) [generator]
rsync error: error in rsync protocol data stream (code 12) at io.c(601) [generator=3.0.7]

Now in this special constellation, there are many possible reasons, since the machines are quite different:

Server: Fedora 13, x86_64, openssh 5.4p1, rsync  version 3.0.8  protocol version 30

Old client: Mageia 1, i686, openssh 5.8p1, rsync  version 3.0.8 protocol version 30

New Client: Debian Squeeze, armv5tel, openssh 5.5p1, rsync  version 3.0.7  protocol version 30

To make a long story short: The error message is absolutely misleading. The error is not caused by a protocol incompatibility, but simply by my forced command. And the error is simply triggered by using --dry-run.