Tuesday, December 4. 2007BarCamp Freiburg: Security MetricsWell, it's been on my mind for quite a while to set up some sort of security meeting in the area. It should have something to do with security and I want to learn something through it as well. Over at JollyOrc I got intrigued by the idea of a barcamp and, what can I say: the three items seem to match up nicely. We've been over the issue of security metrics time and time again in many different places and in many different company - without any meaningful result so far. I think it's time for a get-together and a discussion about what metrics make sense in what context. The format of a BarCamp seems to be ideally suited for exactly that: a get-together of like-minded people with different backgrounds working on the same topic. I'm sure the location could be provided, maybe even by my company. 
Friday, October 21. 2005RSA Conference: Conclusion
A final look at the organization of the RSA Conference in Vienna seems appropriate. Rather unexpectedly, the organizers of the conference found themselves with around 1,400 participants. That's quite a lot and certainly a lot more people than the last times if I'm to believe what I'm being told by others.
It remains a mystery to me, though, why they scheduled both talks by Ira Winkler and Bruce Schneier in somewhat small rooms instead of in the one large hall. In that light it was a good idea to shift the sessions that seemed to generate larger interest into other, larger, rooms. This, however, made the pre-made signs and schedules incorrect which in turn led to largely inaccurate plans and a whole lot of unnecessary walking. It would have been a good idea to set up screens to show the current (revised) schedule in front of every room instead of fixed, printed signs. It would also have been helpful had there been a schematic of the building at each room entrance for easy orientation. And, as a final note, even if I seem to be the only one blogging about RSA Conference Europe 2005, it would have been quite helpful if the lecture halls had been equipped with WLAN. What I did like was the provided lunch. It consisted of some fruit (banana, apple), a sandwich or two, some piece of dessert, some snack and a bottle of water. Granted, it wasn't anything warm, but one can't expect everything, now can we? 
Thursday, October 20. 2005RSA Conference: Networking
From a networking point of view the RSA Conference was a great success. I finally got to meet Candid Wüest, met with Frank Ackermann from the Munich Security Group and Steffen Müller from the Frankfurt one, met Patryk Geborys from ISSA Poland, saw Paul Wang (CISSP from PwC Geneva), Klara Wilhelm from (ISC)² Europe, Yves LeRoux (fellow CISSP and ISSA member) and Jon Colombo, a fellow member of the CISSPForum mailing list. Through him I met Andreas Mitrakas from Enisa. We had a lot of fun (and the wine was actually rather good, at least the white one).
Besides getting signed copies of books by Bruce Schneier and Ira Winkler, I got to know Katrin and Juri(?) from the F-Secure Antivirus Research Team and had a nice chat about mobile/cell phones, Nokia and SonyEricsson 
Thursday, October 20. 2005RSA Conference: European Information Security Awards (EISA)
After the Keynotes on Monday the European Information Security Awards were published. I found it rather interesting that two of the four awards went to Accenture. They must have changed a lot since I had anything to do with them. Quite a few other people I spoke to at the conference had equally bad experiences with them.
Monday, October 17. 2005RSA Conference: Matching CobiT, ISO17799 and ITIL, Yves LeRoux, CA
Yves LeRoux compared the three frameworks CobiT (oriented toward IT Governance and Audit), IT Infrastructure Library (geared toward Service Management in IT) and ISO17799 (International Standard for Information Security Management). His conclusions are that all three complement each other. CobiT could be used in conjunction with ISO17799 for evaluating the current IS state of an organization. ITIL can be used with CobiT to organize and improve processes and, finally, ITIL and ISO17799 together can be used to improve the security management posture of an organization.
Monday, October 17. 2005RSA Conference: Tim Mather on Changes in Information Security And The Implications For CISOs
I attended Tim Mather's talk on the Changes in Infosec and what it means for CISOs. It was rather disappointing as Mather didn't say anything new or anything out of the ordinary.
What he stated was more or less that from technical information security in the 70s the focus has shifted to processes and will shift more in the direction of Risk Management. Well, yes, Big Deal. I had expected slightly more than this from the CISO of Symantec. The one rather funny highlight was that he was talking about "point solutions" with isolated management consoles - alas, he talked about them as if they were a thing from the past. The console Symantec has in their portfolio is definitely nothing better. While it can integrate other security devices, there is no vendor-neutral standard for consolidating log entries, much less management of security devices. Symantec is nothing special in that regard, though. All the security vendors do it the same way. They offer some "vendor neutral" management approach. On looking closer one sees that it can only aggregate so much of other vendor's capabilities.
Monday, October 17. 2005First Impressions: RSA Conference Europe 2005
Just arrived this morning in Vienna. I'll be here at the RSA Conference Europe 2005 until Wednesday evening.
Great networking so far, even met someone I didn't know would be here. The big program starts tomorrow, so expect some more comments during the next two days.
Monday, April 4. 2005Antwort auf den offenen Brief von Andreas Pfitzmann an Udo Helmbrecht, Präsident des BSI
The following post is in German as it concerns primarily a German issue. If you want to know what it's all about, take a peek at my last entry.
Hallo Herr Pfitzmann, mit ihrem offenen Brief haben Sie eine große Aufmerksamkeit in der Blogsphäre (und demnächst vermutlich auch in weiteren Kreisen, siehe den heutigen Artikel im Heise Newsticker) hervorgerufen. In dieser Email möchte ich persönlich und direkt dazu Stellung nehmen. Es ist richtig, daß die Art und Weise der Absage durch Herrn Helmbrecht extrem seltsam und auch persönlich beleidigend ist. Allerdings müssen Sie sich vorwerfen lassen, daß Ihre Antwort auch nicht wesentlich "besser" oder niveauvoller ist. Ich werde diesen Vorwurf im folgenden detaillieren. Sie erwecken in Ihrem Brief den Anspruch von Wissenschaftlichkeit, indem Sie schreiben: "Statt sich den Überlegungen und Argumenten der Wissenschaft zu stellen,[...]". Damit stellen Sie sich als personifizierte Wissenschaft dar und alle Ihre Äußerungen des Vortrags auf dieselbe Stufe wie wissenschaftliche Arbeiten. Sieht man Ihr Papier durch, gelange zumindest ich zu der Überzeugung, daß Sie diesem Anspruch aber in keinster Weise gerecht werden: der Vortrag legt viele Meinungen und persönliche Befindlichkeiten dar, ohne selbige wissenschaftlich oder sonstwie zu untermauern. Auch die Aussage, daß Ihre Meinung "zensiert" werden soll, ist vollkommen überzogen: würden Sie zensiert werden, würden Sie weder Ihren öffentlichen Brief publizieren können noch könnten Sie anderweitig veröffentlichen. Alternative Plattformen sind Ihnen jedoch unbenommen. Insbesondere mit dem Hintergrund, den Zensur in Nazideutschland und der DDR hatte, machen Sie sich durch diesen Superlativ unglaubwürdig. Ein letzter Kritikpunkt an Ihrem Brief an Herrn Helmbrecht: es gibt keinerlei glaubwürdige Hinweise auf eine mittelbare Einflußnahme des BMI auf das BSI. Es mag nahe liegen, an einen derartigen Einfluß zu denken, Beweise jedoch existieren nicht. Insbesondere im Gebiet der Informationssicherheit wird viel zu häufig mit Halbwahrheiten, Mutmaßungen und Extrapolationen gearbeitet, für die es keinerlei Belege gibt. Diese Vorgehensweise ist für das Gebiet nicht förderlich. Gerade von einem Wissenschaftler erwarte ich eine zurückhaltende und sachorientierte Arbeitsweise - etwas, was Sie in Ihrem Brief vermissen lassen. Daß Sie ein Experte auf Ihrem Gebiet sind, mag ich Ihnen glauben (insbesondere durch die Aussagen meiner Peers, die Sie und Ihre Arbeit wohl besser kennen als ich). Daß die von Ihnen aufgezählten Argumente gegen die Vorhaben des BMI sprechen, ist unter Informationssicherheitsleuten sicher konsensfähig. Auch ich stehe den Plänen von Herrn Schily und der wiederholten Mißachtung von Parlamentsentscheidungen durch die Bundesregierung sehr skeptisch gegenüber. Daß Sie aber nicht über diesen Methoden stehen und nicht professionell agieren, ist nicht nur ungeschickt, es dient im Gegenzug weder der Sachlage noch Ihnen als Person. Durch Ihren offenen Brief, der sowohl von der Form als auch vom Inhalt das Ziel verfehlt, werden Sie keine öffentliche Debatte über die Themen erreichen, sondern lediglich über Ihre Person und Ihre Integrität. Das ist nicht nur schade für Sie persönlich, es dient vor allem nicht der Sachlage und macht Sie angreifbar. Ihre Argumente werden "by proxy" illegitimiert, was sicher nicht in Ihrem Sinne ist. Vielleicht gab es ja eine covert channel Kommunikation zwischen Herrn Helmbrecht oder anderen Mitarbeitern des BSI und Ihnen, in der zumindest der Zusammenhang mit dem BMI, den Sie vermuten, angedeutet wurde. In diesem Fall nehme ich meinen diesbezüglichen Vorwurf selbstverständlich gerne zurück. Mit freundlichem Gruß, Axel Eble Cc: an diverse Mailinglisten sowie als Eintrag in meinem Blog. -- Axel Eble, CISSP Trienter Str. 6b 87437 Kempten (Allgäu) Germany fon: +49 831 5753978 cell/fax: +49 178 2853265 email: [censored for the blog] blog: http://balrog.de/security/ Reply by Andreas Pfitzmann: Von: [email address censored for the blog] Betreff: Re: Ihr offener Brief bzgl. der Ausladung zur 9. Sicherheitskonferenz des BSI Datum: 5. April 2005 03:49:43 MESZ An: [email address censored for the blog] Cc: [email addresses censored for the blog] Hallo Herr Eble, Am 04.04.2005 um 22:38 schrieb Axel Eble: -----BEGIN PGP SIGNED MESSAGE----- sicherlich
das würde ich nicht behaupten
haben Sie genau gelesen? Es geht überhaupt nicht um meine Person, ich empfinde das ganze auch keinesfalls als beleidigend, es geht um den Austausch von Argumenten. und alle Ihre Äußerungen des Vortrags auf dieselbe Stufe wie wissenschaftliche Arbeiten. Sieht man Ihr Papier durch, gelange zumindest ich zu der Überzeugung, daß Sie diesem Anspruch aber in keinster Weise gerecht werden: der Vortrag legt viele Meinungen und persönliche Befindlichkeiten dar, ohne selbige wissenschaftlich oder sonstwie zu untermauern. Vielleicht haben Sie nicht genau genug gelesen (mir ist bewusst, dass ich klar meine Meinung geschrieben habe, persönliche Befindlichkeiten geschrieben zu haben, ist mir nicht bewusst), vielleicht ist Ihnen nicht bekannt, was ein eingeladener Vortrag (im Gegensatz zu einem eingereichten) soll: Ein eingeladener Vortrag soll Orientierung(swissen) vermitteln und nicht alle Details inkl. Belege dafür wiederholen, was typischerweise in eingereichten Beiträgen steht. Ich habe dies, da aus meiner Sicht eine Entwicklung ziemlich falsch läuft, sehr kurz und deutlich getan, denn ich wollte mit meinen Argumenten (und da wo exaktes Wissen bisher nicht verfügbar ist: mit meiner warnenden Meinung) Menschen erreichen, die nicht die Zeit haben (oder sie sich nicht nehmen), lange Texte zu lesen. Oder noch deutlicher gesagt: Ich wollte mit meiner Vortragsausarbeitung keinen Text schaffen, aus dem dann jede(r) das herausgreift, was ihm in den Kram passt, da der Text so lang und kompliziert ist, dass ihn keiner ganz liest. Ich halte den Text für kurz und einfach genug dass ich mich traue zu sagen: Bitte ganz lesen - und manchen vielleicht sogar: Bitte mehrfach und genau lesen ... Auch die Aussage, daß Ihre Meinung "zensiert" werden soll, ist vollkommen überzogen: würden Sie zensiert werden, würden Sie weder Ihren öffentlichen Brief publizieren können noch könnten Sie anderweitig veröffentlichen. Alternative Plattformen sind Ihnen jedoch unbenommen. Insbesondere mit dem Hintergrund, den Zensur in Nazideutschland und der DDR hatte, machen Sie sich durch diesen Superlativ unglaubwürdig. Halten Sie es für möglich, dass Begriffe je nach Verwendungszusammenhang etwas anderes bedeuten können, dass Zensur im Zeitalter von e-mail und www etwas leicht anderes bedeutet als früher? Ein Hinweis (falls Sie genau lesen) ist in meinem Brief, dass ich von Zensurversuch spreche. Es geht mir allerdings nicht um diesen Begriff, sondern um einen Sachverhalt, den ich durchaus genauer beschreiben kann, allerdings nicht in ein Wort verdichten: Im Umgang mit Wissenschaft(lerInnen) fragen Politik und Wirtschaft in der Regel nur diejenigen, von denen Sie eine genehme oder interessante Antwort/Gutachten, was auch immer, erwarten. D.h. bereits hier wird die Realitätssicht stark selektiv und die Wissenschaft(ler) aus Sicht der Öffentlichkeit lassen sich bereits hier teilweise missbrauchen. Noch mal selektiver ist ein Vorgehen, wenn Politik und/oder Wirtschaft erst aufgrund der Antwort entscheiden, ob sie sie hören wollen. Gegen ersteres habe ich keine einfache Methode, sich zu wehren, gegen letzteres wehre ich mich als Wissenschaftler sehr deutlich (und wie ich mit Freude feststelle, durchaus erfolgreich). Wenn Sie für diese Zeilen einen guten Begriff haben, der einfacher als "politisch motivierte ex-post Antworten/Gutachtenauswahl" ist, nehme ich den künftig statt "Zensurversuch". Ein letzter Kritikpunkt an Ihrem Brief an Herrn Helmbrecht: es gibt keinerlei glaubwürdige Hinweise auf eine mittelbare Einflußnahme des BMI auf das BSI. Die gibt es zuhauf: Lesen Sie genau, denken Sie nach und unterstellen Sie bitte dabei, dass ich keine weiteren Menschen in so einem Brief nennen möchte. Ich habe mal 1986/87 in Vorläufern der Kryptodebatte Kollegen schriftlich zitiert: Die wurden auf der Basis dieses Zitats von Ihrem Chef zu sich bestellt und vor die Wahl gestellt: Arbeitsplatz oder Gegendarstellung. Es gab Telefonate, wo sie sich bei mir für die Gegendarstellung entschuldigt haben, aber sie muessten ihre Familie ernähren. Kurzum: Bitte denken Sie auch darüber nach, ob es Dinge geben kann, über die man nicht schreibt. Es mag nahe liegen, an einen derartigen Einfluß zu denken, Beweise jedoch existieren nicht. Insbesondere im Gebiet der Informationssicherheit wird viel zu häufig mit Halbwahrheiten, Mutmaßungen und Extrapolationen gearbeitet, für die es keinerlei Belege gibt. Diese Vorgehensweise ist für das Gebiet nicht förderlich. Gerade von einem Wissenschaftler erwarte ich eine zurückhaltende und sachorientierte Arbeitsweise - etwas, was Sie in Ihrem Brief vermissen lassen. Bitte lesen Sie ihn noch mal unter dem oben genannten, Ihnen möglicherweise neuen Aspekt. Daß Sie ein Experte auf Ihrem Gebiet sind, mag ich Ihnen glauben (insbesondere durch die Aussagen meiner Peers, die Sie und Ihre Arbeit wohl besser kennen als ich). Daß die von Ihnen aufgezählten Argumente gegen die Vorhaben des BMI sprechen, ist unter Informationssicherheitsleuten sicher konsensfähig. Auch ich stehe den Plänen von Herrn Schily und der wiederholten Mißachtung von Parlamentsentscheidungen durch die Bundesregierung sehr skeptisch gegenüber. Daß Sie aber nicht über diesen Methoden stehen und nicht professionell agieren, Das sehe ich anders - und ich hoffe, Sie nach dem Lesen meiner kurzen Antworten auch. ist nicht nur ungeschickt, es dient im Gegenzug weder der Sachlage noch Ihnen als Person. Durch Ihren offenen Brief, der sowohl von der Form als auch vom Inhalt das Ziel verfehlt, werden Sie keine öffentliche Debatte über die Themen erreichen, sondern lediglich über Ihre Person und Ihre Integrität. Warten wir es ab. Ich bin zuversichtlich, dass es um Argumente geht, und nicht um Personen. Das ist nicht nur schade für Sie persönlich, es dient vor allem nicht der Sachlage und macht Sie angreifbar. Ihre Argumente werden "by proxy" illegitimiert, was sicher nicht in Ihrem Sinne ist. Ich habe mir mit meiner Antwort viel Zeit gelassen und kenne in diesem Feld viele Kollegen in der Wissenschaft, in der Politik und natürlich auch im BSI seit mehr als 20 Jahren, teilweise sehr persönlich. Ich habe mir gründlich überlegt, was ich schreibe. Ich sehe (bisher) keinen Anlass, daran inhaltlich irgendetwas zu ändern. Mit freundlichem Gruß,Trienter Str. 6b 87437 Kempten (Allgäu) Germany fon: +49 831 5753978 cell/fax: +49 178 2853265 email: [email address censored for the blog] blog: http://balrog.de/security/ -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.4 (Darwin) Comment: Axel Eble, CISSP iD8DBQFCUaWuwl7cdv6NorsRAu2UAJsGWXeslEtNnEFHh4S1MdLq9/+pBgCeIqMl H2dr5D+7Hndi8prhrflQsfU= =OAz2 -----END PGP SIGNATURE----- Viele Gruesse Andreas Pfitzmann Technische Universitaet Dresden Phone (mobile) +49 170 443 87 94 Fakultaet Informatik (office) +49 351 463 38277 Institut fuer Systemarchitektur (secretary) +49 351 463 38247 01062 Dresden, Germany Fax +49 351 463 38255 http://dud.inf.tu-dresden.de e-mail [email address censored for the blog]
Sunday, April 3. 2005Censorship in Germany?
I had wanted to keep this blog largely free of politics but obviously information security is so political a topic that this is no longer possible.
For the 9th German IT Security Congress, organized by the Bundesamt für Sicherheit in der Informationstechnologie (BSI, the Federal Office for Information Security), the BSI had invited a talk by Prof. Dr. Andreas Pfitzmann about the current state of biometrics and if a widespread deployment really will bring so much more security. About eight weeks before the congress Udo Helmbrecht, the president of the BSI, wrote to Pfitzmann telling him that his talk had to be removed because there were several new topics that were more interesting. Well, bad style, one might say. However, what really makes this smell fishy is that a) there's still a talk scheduled about a study by the BSI that has recently been cancelled and re-scheduled; b) the talk by Pfitzmann is pretty critical about the benefits of a widespread use of biometry and, c) the Federal Ministry for the Interior, to which the BSI is subordinate, wants to deploy biometry wherever possible. Pfitzmann has replied to Helmbrecht suspecting that the Ministry has influenced the decision. Of course, it does smell fishy, and, if was true, it would be really close to censorship (although Pfitzmann is not denied the opportunity to publish his opinion). Independent of the quality of the talk (which I find rather disappointing, more an opinion than a scientific article), the question remains: why did the BSI cancel the talk with a rather thin justification? However, I don't want to believe in any conspiracy at the moment. Via Kristian Köhntopps Wunderbarer Welt von Isotopp und Matthias Langes Abenteuerliche Abenteuer südlich der Elbe (Beitrag von Markus Hansen).
Thursday, March 24. 2005ISO17799
I've just come back from a very good event in Brussels, Belgium. The ISSA Chapter Bruxelles European had organized a one day event about ISO17799/BS7799 titled "Making progress on a work in progress".
The talks were excellent, ranging from the future of the standard to case studies. Apart from the educational aspect the networking part was really good: I met some people for the first time in person (like Lois Gamon and the On a related note, ISSA is currently working on taking part in the development of ISO 17799.
Thursday, November 27. 2003 |
Calendar
QuicksearchStatische SeitenBlog AdministrationArchivesKategorienlinksGetaggte Artikel anti-recruiting bürgerrechte barcamp security metrics blackout bundestrojaner crisis crisis management egoshooter federal trojan filme flickr geschichte incident management information investigations jobleads killerspiele law enforcement malware management media medien medienkompetenz power supply problem problem management recruiting security spam stöckchen strafverfolgung trojan umfragen zeitläufteTop ExitsBlog abonnierenMapflickr photostream
Powered by |
|||||||||||||||||||||||||||||||||||||||||||||||||
