The Quiet Earth - Meetings

BarCamp Freiburg: Security Metrics

nospam@example.com (Axel Eble) — Tue, 04 Dec 2007 21:54:27 +0100

Well, it's been on my mind for quite a while to set up some sort of security meeting in the area.

It should have something to do with security and I want to learn something through it as well.

Over at JollyOrc I got intrigued by the idea of a barcamp and, what can I say: the three items seem to match up nicely.

We've been over the issue of security metrics time and time again in many different places and in many different company - without any meaningful result so far. I think it's time for a get-together and a discussion about what metrics make sense in what context.

The format of a BarCamp seems to be ideally suited for exactly that: a get-together of like-minded people with different backgrounds working on the same topic.

I'm sure the location could be provided, maybe even by my company.

RSA Conference: Conclusion

nospam@example.com (Axel Eble) — Fri, 21 Oct 2005 08:39:45 +0200

A final look at the organization of the RSA Conference in Vienna seems appropriate. Rather unexpectedly, the organizers of the conference found themselves with around 1,400 participants. That's quite a lot and certainly a lot more people than the last times if I'm to believe what I'm being told by others.
It remains a mystery to me, though, why they scheduled both talks by Ira Winkler and Bruce Schneier in somewhat small rooms instead of in the one large hall. In that light it was a good idea to shift the sessions that seemed to generate larger interest into other, larger, rooms. This, however, made the pre-made signs and schedules incorrect which in turn led to largely inaccurate plans and a whole lot of unnecessary walking. It would have been a good idea to set up screens to show the current (revised) schedule in front of every room instead of fixed, printed signs. It would also have been helpful had there been a schematic of the building at each room entrance for easy orientation.
And, as a final note, even if I seem to be the only one blogging about RSA Conference Europe 2005, it would have been quite helpful if the lecture halls had been equipped with WLAN.
What I did like was the provided lunch. It consisted of some fruit (banana, apple), a sandwich or two, some piece of dessert, some snack and a bottle of water. Granted, it wasn't anything warm, but one can't expect everything, now can we?

RSA Conference: Networking

nospam@example.com (Axel Eble) — Thu, 20 Oct 2005 15:26:20 +0200

From a networking point of view the RSA Conference was a great success. I finally got to meet Candid Wüest, met with Frank Ackermann from the Munich Security Group and Steffen Müller from the Frankfurt one, met Patryk Geborys from ISSA Poland, saw Paul Wang (CISSP from PwC Geneva), Klara Wilhelm from (ISC)² Europe, Yves LeRoux (fellow CISSP and ISSA member) and Jon Colombo, a fellow member of the CISSPForum mailing list. Through him I met Andreas Mitrakas from Enisa. We had a lot of fun (and the wine was actually rather good, at least the white one).
Besides getting signed copies of books by Bruce Schneier and Ira Winkler, I got to know Katrin and Juri(?) from the F-Secure Antivirus Research Team and had a nice chat about mobile/cell phones, Nokia and SonyEricsson

RSA Conference: European Information Security Awards (EISA)

nospam@example.com (Axel Eble) — Thu, 20 Oct 2005 15:03:48 +0200

After the Keynotes on Monday the European Information Security Awards were published. I found it rather interesting that two of the four awards went to Accenture. They must have changed a lot since I had anything to do with them. Quite a few other people I spoke to at the conference had equally bad experiences with them.

RSA Conference: Matching CobiT, ISO17799 and ITIL, Yves LeRoux, CA

nospam@example.com (Axel Eble) — Mon, 17 Oct 2005 15:10:10 +0200

Yves LeRoux compared the three frameworks CobiT (oriented toward IT Governance and Audit), IT Infrastructure Library (geared toward Service Management in IT) and ISO17799 (International Standard for Information Security Management). His conclusions are that all three complement each other. CobiT could be used in conjunction with ISO17799 for evaluating the current IS state of an organization. ITIL can be used with CobiT to organize and improve processes and, finally, ITIL and ISO17799 together can be used to improve the security management posture of an organization.

RSA Conference: Tim Mather on Changes in Information Security And The Implications For CISOs

nospam@example.com (Axel Eble) — Mon, 17 Oct 2005 12:51:14 +0200

I attended Tim Mather's talk on the Changes in Infosec and what it means for CISOs. It was rather disappointing as Mather didn't say anything new or anything out of the ordinary.
What he stated was more or less that from technical information security in the 70s the focus has shifted to processes and will shift more in the direction of Risk Management. Well, yes, Big Deal.
I had expected slightly more than this from the CISO of Symantec.

The one rather funny highlight was that he was talking about "point solutions" with isolated management consoles - alas, he talked about them as if they were a thing from the past. The console Symantec has in their portfolio is definitely nothing better. While it can integrate other security devices, there is no vendor-neutral standard for consolidating log entries, much less management of security devices. Symantec is nothing special in that regard, though. All the security vendors do it the same way. They offer some "vendor neutral" management approach. On looking closer one sees that it can only aggregate so much of other vendor's capabilities.

First Impressions: RSA Conference Europe 2005

nospam@example.com (Axel Eble) — Mon, 17 Oct 2005 12:25:48 +0200

Just arrived this morning in Vienna. I'll be here at the RSA Conference Europe 2005 until Wednesday evening.
Great networking so far, even met someone I didn't know would be here. The big program starts tomorrow, so expect some more comments during the next two days.

Antwort auf den offenen Brief von Andreas Pfitzmann an Udo Helmbrecht, Präsident des BSI

nospam@example.com (Axel Eble) — Mon, 04 Apr 2005 21:46:13 +0200

The following post is in German as it concerns primarily a German issue. If you want to know what it's all about, take a peek at my last entry.

Hallo Herr Pfitzmann,

mit ihrem offenen Brief haben Sie eine große Aufmerksamkeit in der Blogsphäre (und demnächst vermutlich auch in weiteren Kreisen, siehe den heutigen Artikel im Heise Newsticker) hervorgerufen. In dieser Email möchte ich persönlich und direkt dazu Stellung nehmen.

Es ist richtig, daß die Art und Weise der Absage durch Herrn Helmbrecht extrem seltsam und auch persönlich beleidigend ist. Allerdings müssen Sie sich vorwerfen lassen, daß Ihre Antwort auch nicht wesentlich "besser" oder niveauvoller ist. Ich werde diesen Vorwurf im folgenden detaillieren.

Sie erwecken in Ihrem Brief den Anspruch von Wissenschaftlichkeit, indem Sie schreiben: "Statt sich den Überlegungen und Argumenten der Wissenschaft zu stellen,[...]". Damit stellen Sie sich als personifizierte Wissenschaft dar und alle Ihre Äußerungen des Vortrags auf dieselbe Stufe wie wissenschaftliche Arbeiten. Sieht man Ihr Papier durch, gelange zumindest ich zu der Überzeugung, daß Sie diesem Anspruch aber in keinster Weise gerecht werden: der Vortrag legt viele Meinungen und persönliche Befindlichkeiten dar, ohne selbige wissenschaftlich oder sonstwie zu untermauern.
Auch die Aussage, daß Ihre Meinung "zensiert" werden soll, ist vollkommen überzogen: würden Sie zensiert werden, würden Sie weder Ihren öffentlichen Brief publizieren können noch könnten Sie anderweitig veröffentlichen. Alternative Plattformen sind Ihnen jedoch unbenommen. Insbesondere mit dem Hintergrund, den Zensur in Nazideutschland und der DDR hatte, machen Sie sich durch diesen Superlativ unglaubwürdig.
Ein letzter Kritikpunkt an Ihrem Brief an Herrn Helmbrecht: es gibt keinerlei glaubwürdige Hinweise auf eine mittelbare Einflußnahme des BMI auf das BSI. Es mag nahe liegen, an einen derartigen Einfluß zu denken, Beweise jedoch existieren nicht. Insbesondere im Gebiet der Informationssicherheit wird viel zu häufig mit Halbwahrheiten, Mutmaßungen und Extrapolationen gearbeitet, für die es keinerlei Belege gibt. Diese Vorgehensweise ist für das Gebiet nicht förderlich. Gerade von einem Wissenschaftler erwarte ich eine zurückhaltende und sachorientierte Arbeitsweise - etwas, was Sie in Ihrem Brief vermissen lassen.

Daß Sie ein Experte auf Ihrem Gebiet sind, mag ich Ihnen glauben (insbesondere durch die Aussagen meiner Peers, die Sie und Ihre Arbeit wohl besser kennen als ich). Daß die von Ihnen aufgezählten Argumente gegen die Vorhaben des BMI sprechen, ist unter Informationssicherheitsleuten sicher konsensfähig. Auch ich stehe den Plänen von Herrn Schily und der wiederholten Mißachtung von Parlamentsentscheidungen durch die Bundesregierung sehr skeptisch gegenüber. Daß Sie aber nicht über diesen Methoden stehen und nicht professionell agieren, ist nicht nur ungeschickt, es dient im Gegenzug weder der Sachlage noch Ihnen als Person. Durch Ihren offenen Brief, der sowohl von der Form als auch vom Inhalt das Ziel verfehlt, werden Sie keine öffentliche Debatte über die Themen erreichen, sondern lediglich über Ihre Person und Ihre Integrität. Das ist nicht nur schade für Sie persönlich, es dient vor allem nicht der Sachlage und macht Sie angreifbar. Ihre Argumente werden "by proxy" illegitimiert, was sicher nicht in Ihrem Sinne ist.

Vielleicht gab es ja eine covert channel Kommunikation zwischen Herrn Helmbrecht oder anderen Mitarbeitern des BSI und Ihnen, in der zumindest der Zusammenhang mit dem BMI, den Sie vermuten, angedeutet wurde. In diesem Fall nehme ich meinen diesbezüglichen Vorwurf selbstverständlich gerne zurück.

Mit freundlichem Gruß,

Axel Eble

Cc: an diverse Mailinglisten sowie als Eintrag in meinem Blog.

--
Axel Eble, CISSP Trienter Str. 6b 87437 Kempten (Allgäu) Germany
fon: +49 831 5753978 cell/fax: +49 178 2853265
email: [censored for the blog] blog: http://balrog.de/security/

Reply by Andreas Pfitzmann:

Von: [email address censored for the blog]
Betreff: Re: Ihr offener Brief bzgl. der Ausladung zur 9. Sicherheitskonferenz des BSI
Datum: 5. April 2005 03:49:43 MESZ
An: [email address censored for the blog]
Cc: [email addresses censored for the blog]

Hallo Herr Eble,

Am 04.04.2005 um 22:38 schrieb Axel Eble:

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hallo Herr Pfitzmann,

mit ihrem offenen Brief haben Sie eine große Aufmerksamkeit in der Blogsphäre (und demnächst vermutlich auch in weiteren Kreisen, siehe den heutigen Artikel im Heise Newsticker) hervorgerufen. In dieser Email möchte ich persönlich und direkt dazu Stellung nehmen.

Es ist richtig, daß die Art und Weise der Absage durch Herrn Helmbrecht extrem seltsam

sicherlich

und auch persönlich beleidigend

das würde ich nicht behaupten

ist. Allerdings müssen Sie sich vorwerfen lassen, daß Ihre Antwort auch nicht wesentlich "besser" oder niveauvoller ist. Ich werde diesen Vorwurf im folgenden detaillieren.

Sie erwecken in Ihrem Brief den Anspruch von Wissenschaftlichkeit, indem Sie schreiben: "Statt sich den Überlegungen und Argumenten der Wissenschaft zu stellen,[...]". Damit stellen Sie sich als personifizierte Wissenschaft dar

haben Sie genau gelesen? Es geht überhaupt nicht um meine Person, ich empfinde das ganze auch keinesfalls als beleidigend, es geht um den Austausch von Argumenten.

und alle Ihre Äußerungen des Vortrags auf dieselbe Stufe wie wissenschaftliche Arbeiten. Sieht man Ihr Papier durch, gelange zumindest ich zu der Überzeugung, daß Sie diesem Anspruch aber in keinster Weise gerecht werden: der Vortrag legt viele Meinungen und persönliche Befindlichkeiten dar, ohne selbige wissenschaftlich oder sonstwie zu untermauern.

Vielleicht haben Sie nicht genau genug gelesen (mir ist bewusst, dass ich klar meine Meinung geschrieben habe, persönliche Befindlichkeiten geschrieben zu haben, ist mir nicht bewusst), vielleicht ist Ihnen nicht bekannt, was ein eingeladener Vortrag (im Gegensatz zu einem eingereichten) soll: Ein eingeladener Vortrag soll Orientierung(swissen) vermitteln und nicht alle Details inkl. Belege dafür wiederholen, was typischerweise in eingereichten Beiträgen steht.

Ich habe dies, da aus meiner Sicht eine Entwicklung ziemlich falsch läuft, sehr kurz und deutlich getan, denn ich wollte mit meinen Argumenten (und da wo exaktes Wissen bisher nicht verfügbar ist: mit meiner warnenden Meinung) Menschen erreichen, die nicht die Zeit haben (oder sie sich nicht nehmen), lange Texte zu lesen.

Oder noch deutlicher gesagt: Ich wollte mit meiner Vortragsausarbeitung keinen Text schaffen, aus dem dann jede(r) das herausgreift, was ihm in den Kram passt, da der Text so lang und kompliziert ist, dass ihn keiner ganz liest. Ich halte den Text für kurz und einfach genug dass ich mich traue zu sagen: Bitte ganz lesen - und manchen vielleicht sogar: Bitte mehrfach und genau lesen ...

Auch die Aussage, daß Ihre Meinung "zensiert" werden soll, ist vollkommen überzogen: würden Sie zensiert werden, würden Sie weder Ihren öffentlichen Brief publizieren können noch könnten Sie anderweitig veröffentlichen. Alternative Plattformen sind Ihnen jedoch unbenommen. Insbesondere mit dem Hintergrund, den Zensur in Nazideutschland und der DDR hatte, machen Sie sich durch diesen Superlativ unglaubwürdig.

Halten Sie es für möglich, dass Begriffe je nach Verwendungszusammenhang etwas anderes bedeuten können, dass Zensur im Zeitalter von e-mail und www etwas leicht anderes bedeutet als früher? Ein Hinweis (falls Sie genau lesen) ist in meinem Brief, dass ich von Zensurversuch spreche.

Es geht mir allerdings nicht um diesen Begriff, sondern um einen Sachverhalt, den ich durchaus genauer beschreiben kann, allerdings nicht in ein Wort verdichten:

Im Umgang mit Wissenschaft(lerInnen) fragen Politik und Wirtschaft in der Regel nur diejenigen, von denen Sie eine genehme oder interessante Antwort/Gutachten, was auch immer, erwarten. D.h. bereits hier wird die Realitätssicht stark selektiv und die Wissenschaft(ler) aus Sicht der Öffentlichkeit lassen sich bereits hier teilweise missbrauchen.

Noch mal selektiver ist ein Vorgehen, wenn Politik und/oder Wirtschaft erst aufgrund der Antwort entscheiden, ob sie sie hören wollen.

Gegen ersteres habe ich keine einfache Methode, sich zu wehren, gegen letzteres wehre ich mich als Wissenschaftler sehr deutlich (und wie ich mit Freude feststelle, durchaus erfolgreich).

Wenn Sie für diese Zeilen einen guten Begriff haben, der einfacher als "politisch motivierte ex-post Antworten/Gutachtenauswahl" ist, nehme ich den künftig statt "Zensurversuch".

Ein letzter Kritikpunkt an Ihrem Brief an Herrn Helmbrecht: es gibt keinerlei glaubwürdige Hinweise auf eine mittelbare Einflußnahme des BMI auf das BSI.

Die gibt es zuhauf: Lesen Sie genau, denken Sie nach und unterstellen Sie bitte dabei, dass ich keine weiteren Menschen in so einem Brief nennen möchte.

Ich habe mal 1986/87 in Vorläufern der Kryptodebatte Kollegen schriftlich zitiert: Die wurden auf der Basis dieses Zitats von Ihrem Chef zu sich bestellt und vor die Wahl gestellt: Arbeitsplatz oder Gegendarstellung. Es gab Telefonate, wo sie sich bei mir für die Gegendarstellung entschuldigt haben, aber sie muessten ihre Familie ernähren. Kurzum: Bitte denken Sie auch darüber nach, ob es Dinge geben kann, über die man nicht schreibt.

Es mag nahe liegen, an einen derartigen Einfluß zu denken, Beweise jedoch existieren nicht. Insbesondere im Gebiet der Informationssicherheit wird viel zu häufig mit Halbwahrheiten, Mutmaßungen und Extrapolationen gearbeitet, für die es keinerlei Belege gibt. Diese Vorgehensweise ist für das Gebiet nicht förderlich. Gerade von einem Wissenschaftler erwarte ich eine zurückhaltende und sachorientierte Arbeitsweise - etwas, was Sie in Ihrem Brief vermissen lassen.

Bitte lesen Sie ihn noch mal unter dem oben genannten, Ihnen möglicherweise neuen Aspekt.

Daß Sie ein Experte auf Ihrem Gebiet sind, mag ich Ihnen glauben (insbesondere durch die Aussagen meiner Peers, die Sie und Ihre Arbeit wohl besser kennen als ich). Daß die von Ihnen aufgezählten Argumente gegen die Vorhaben des BMI sprechen, ist unter Informationssicherheitsleuten sicher konsensfähig. Auch ich stehe den Plänen von Herrn Schily und der wiederholten Mißachtung von Parlamentsentscheidungen durch die Bundesregierung sehr skeptisch gegenüber. Daß Sie aber nicht über diesen Methoden stehen und nicht professionell agieren,

Das sehe ich anders - und ich hoffe, Sie nach dem Lesen meiner kurzen Antworten auch.

ist nicht nur ungeschickt, es dient im Gegenzug weder der Sachlage noch Ihnen als Person. Durch Ihren offenen Brief, der sowohl von der Form als auch vom Inhalt das Ziel verfehlt, werden Sie keine öffentliche Debatte über die Themen erreichen, sondern lediglich über Ihre Person und Ihre Integrität.

Warten wir es ab. Ich bin zuversichtlich, dass es um Argumente geht, und nicht um Personen.

Das ist nicht nur schade für Sie persönlich, es dient vor allem nicht der Sachlage und macht Sie angreifbar. Ihre Argumente werden "by proxy" illegitimiert, was sicher nicht in Ihrem Sinne ist.

Vielleicht gab es ja eine covert channel Kommunikation zwischen Herrn Helmbrecht oder anderen Mitarbeitern des BSI und Ihnen, in der zumindest der Zusammenhang mit dem BMI, den Sie vermuten, angedeutet wurde. In diesem Fall nehme ich meinen diesbezüglichen Vorwurf selbstverständlich gerne zurück.

Ich habe mir mit meiner Antwort viel Zeit gelassen und kenne in diesem Feld viele Kollegen in der Wissenschaft, in der Politik und natürlich auch im BSI seit mehr als 20 Jahren, teilweise sehr persönlich.

Ich habe mir gründlich überlegt, was ich schreibe. Ich sehe (bisher) keinen Anlass, daran inhaltlich irgendetwas zu ändern.

Mit freundlichem Gruß,

Axel Eble

Cc: an diverse Mailinglisten sowie als Eintrag in meinem Blog.

- -- Axel Eble, CISSP Trienter Str. 6b 87437 Kempten (Allgäu) Germany
fon: +49 831 5753978 cell/fax: +49 178 2853265
email: [email address censored for the blog] blog: http://balrog.de/security/
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (Darwin)
Comment: Axel Eble, CISSP

iD8DBQFCUaWuwl7cdv6NorsRAu2UAJsGWXeslEtNnEFHh4S1MdLq9/+pBgCeIqMl
H2dr5D+7Hndi8prhrflQsfU=
=OAz2
-----END PGP SIGNATURE-----

Viele Gruesse

Andreas Pfitzmann

Technische Universitaet Dresden Phone (mobile) +49 170 443 87 94
Fakultaet Informatik (office) +49 351 463 38277
Institut fuer Systemarchitektur (secretary) +49 351 463 38247
01062 Dresden, Germany Fax +49 351 463 38255
http://dud.inf.tu-dresden.de e-mail [email address censored for the blog]

Censorship in Germany?

nospam@example.com (Axel Eble) — Sun, 03 Apr 2005 19:23:24 +0200

I had wanted to keep this blog largely free of politics but obviously information security is so political a topic that this is no longer possible.

For the 9^th German IT Security Congress, organized by the Bundesamt für Sicherheit in der Informationstechnologie (BSI, the Federal Office for Information Security), the BSI had invited a talk by Prof. Dr. Andreas Pfitzmann about the current state of biometrics and if a widespread deployment really will bring so much more security.

About eight weeks before the congress Udo Helmbrecht, the president of the BSI, wrote to Pfitzmann telling him that his talk had to be removed because there were several new topics that were more interesting. Well, bad style, one might say. However, what really makes this smell fishy is that a) there's still a talk scheduled about a study by the BSI that has recently been cancelled and re-scheduled; b) the talk by Pfitzmann is pretty critical about the benefits of a widespread use of biometry and, c) the Federal Ministry for the Interior, to which the BSI is subordinate, wants to deploy biometry wherever possible.

Pfitzmann has replied to Helmbrecht suspecting that the Ministry has influenced the decision. Of course, it does smell fishy, and, if was true, it would be really close to censorship (although Pfitzmann is not denied the opportunity to publish his opinion).

Independent of the quality of the talk (which I find rather disappointing, more an opinion than a scientific article), the question remains: why did the BSI cancel the talk with a rather thin justification? However, I don't want to believe in any conspiracy at the moment.

Via Kristian Köhntopps Wunderbarer Welt von Isotopp und Matthias Langes Abenteuerliche Abenteuer südlich der Elbe (Beitrag von Markus Hansen).

ISO17799

nospam@example.com (Axel Eble) — Thu, 24 Mar 2005 00:07:48 +0100

I've just come back from a very good event in Brussels, Belgium. The ISSA Chapter Bruxelles European had organized a one day event about ISO17799/BS7799 titled "Making progress on a work in progress".

The talks were excellent, ranging from the future of the standard to case studies. Apart from the educational aspect the networking part was really good: I met some people for the first time in person (like Lois Gamon and the ~~notorious~~ famous Richard Starnes).

On a related note, ISSA is currently working on taking part in the development of ISO 17799.

Security-Meeting

nospam@example.com (Axel Eble) — Thu, 27 Nov 2003 19:05:11 +0100

Heute, 27.11.2003, 19:30 bei Avinci Mitte.