ComputerBase Menü
Aktuelles

Security Schulungen

Also irgendwie verstehe ich das nicht so richtig, oder ich bin zu sehr in meinem Denkmuster gefangen. Vielleicht kannst/magst du ein paar Worte zum Aufgabengebiet deiner Firma sagen, um das ein bisschen besser einordnen zu können.

Wenn nur Software relevante ist, schau dir auf jeden Fall die Punkte Patch- und Changemanagement an. Zutritt/Zugang/Zugriff (das sind drei verschiedenen Sachen) sollten ebenfalls entsprechend geregelt sein.

Lies dir folgendes durch und schau was ihr an Maßnahmen diesbezüglich auf dem Plan habt:

https://www.bsi.bund.de/SharedDocs/...582F80.internet472?__blob=publicationFile&v=2

Generell wäre das auch erstmal meine Empfehlung. Blätter den gesamten Grundschutz durch und legt eure Systeme und bereits umgesetzten Maßnahmen daneben. Das hilft dir auch in einer späteren Schulung.

Die Argumentation für Entscheidungen und Prozesse muss schlüssig und im Notfall belegbar sein. Wenn es zu einem Vorfall kommt, reicht es nicht zu sagen: "so machen wir das!"
In so einem Fall sollte man schon die entsprechende technische, organisatorische oder personelle Maßnahmen parat liegen haben. Schulungsmaßnahmen und Unterweisungen müssen z.B. auch entsprechend nachgewiesen werden (das gilt aber nicht nur für den Grundschutz)

Es wird halt nix Out-of-the-Box geben was deine Anforderungen genau tritt. Alles was Grundschutz angeht, behandelt den ganzen Grundschutzkatalog.

Du suchst eher eine Schulung die den Bereich "sichere Entwicklung" abdeckt, zumindest verstehe ich das so.

Grüße
 
Zuletzt bearbeitet:
Die Software(-Suite) die ich mitentwickele ist für den Betrieb von Clustern zuständig. Ist ein Best-of-Breed Ansatz um beliebige HW die du einem hin wirfst zu einem nutzbaren System zu machen. Also eine umfassende Clusterlösung.

Wenn ein Kunde sagt ich brauche nen LDAP wird ein LDAP hinzugefügt, wenn der Kunde sagt ich brauch eine Monitoring Lösung wird Monitoring hinzugefügt, wenn der Kunde sagt ich brauch ne Intrusiondetection wird ne Intrusiondetection hinzugefügt usw.

Im Prinzip gibt es nur dadurch eine Grenze, dass der Kunde zu wenig Geld für eine Anforderung bezahlen will und man daher nicht anbietet.

Sprich je einfacher ich die Bereitstellung mache desto eher wird ein Deal gewonnen oder aber die Marge verbessert sich eben. Wenn die Lösung aber zu teuer ist, bringt es genau nichts, weil es nicht verkauft wird. Der Bereich ist preissensitiv. Wobei du aber auch durch life Science die Anforderungen bis zur Sinnhaftigkeitsgrenze und darüber hinaus treiben kannst.

In der Branche passiert es auch durchaus als das einfach niemand einen Deal machen will und die Anforderungen wieder runter geschraubt werden.

Wie überall werden die regulatorischen Anforderungen aber nicht weniger und da kannst dann halt auch teils nicht mehr diskutieren sondern dann geht es halt nicht was der Kunde will und fertig. Wegen Ukraine usw muss man aber sicherlich nur darauf warten, dass der nächste Schwung an Auflagen kommt oder die Konkurrenz auf den Trichter kommt und das als Sellingpoint sieht und die Sales Leute mit irgendwelchen Dingern durch die Lande ziehen...

In einer besseren Welt würde 99% der Kunden wahrscheinlich mit dem Usermanagement unter Linux schon zufrieden sein. Aber die Zeiten sind wohl rum
 
Danke für den Einblick, klingt spannend. Mich wundert, dass ihr da bisher Nix mit der ISO zu tun hattet.

bzgl. der regulatorischen Anforderungen und der Sicherheitslage:

ich arbeite in der Energiebranche (kritische Infrastruktu) und wir beobachten eine krasse Verschlechterung der allgemeinen Sicherheitslage. Die regulatorischen Anforderungen wurden erst Anfang März bearbeitet. Auch der BSI Katalog erfährt regelmäßige Überarbeitungen.

als Beispiel habe ich dir mal die technische Richtlinie zu kryptographischen Verfahren rausgesucht, die wurde im Januar überarbeitet.

Dort steht unter anderem:

Für einen Einsatzzeitraum über das Jahr 2022 hinaus wird durch die vorliegende Technische Richtlinie empfohlen, eine Schlüssellänge von 3000 Bits zu nutzen, um ein vergleichbares Sicherheitsniveau für alle asymmetrischen Verfahren zu erreichen. Eine Schlüssellänge von ≥ 3000 Bits wird ab dem Jahr 2023 für kryptographische DLIES- und DSA-Implementierungen verbindlich, die zu der vorliegenden Technischen Richtlinie konform sein sollen; für eine Konformität im Jahr 2022 reicht eine Schlüssellänge von ≥ 2000 Bits aus.
Zum Vergrößern anklicken....

Das sind natürlich alles Gründe die für eine kontinuierliche Weiterentwicklung und Anpassung sprechen. In eurem Zusammenhang könnte ich mir durchaus vorstellen, dass eine Zertifizierung, oder BSI Nahe Implementierung ebenso ein Verkaufsargument sein könnte,

Grüße
 
Nein, den CISSP lernst du nicht in 6 Tagen.
Den lernst du in den erforderlichen Praxisjahren vorher, in 2 Monaten Inhalte vorher durchlesen, und in den 6 Tagen machst du Prüfungsvorbereitung.
Ja, das ist viel, aber es hat eben auch genau den Anspruch.
 
Das kommt mir aber irgendwie wie ein Henne-Ei Problem vor. Um den Kurs zu machen muss man Praxiserfahrung haben, aber ich brauchen Kurs um das Rüstzeug für die Praxis zu haben ;(
 
Wenn du dir unsicher bist bzgl. der Schulungen lohnt es sich vielleicht auch bei einem entsprechenden Anbieter einen Zugang zur gesamten Schulungsbibliothek zu erwerben. Das könnte auch der ganzen Firma zu Gute kommen.
Da könnt ihr euch dann die entsprechenden Schulungen heraussuchen, durcharbeiten und so direkt in die Praxis einbringen.

LinkedIn Learning
IPProTV
Firebrand bietet sowas bestimmt auch an

Das Problem ist eben, dass du ewig nach der "richtigen" Schulung suchen kannst, aber sie vielleicht nie finden wirst. Trotzdem solltest du irgendwie mit dem Anfangen. Egal ob über freie Ressourcen, oder eben Portal bzw. große Anbieter.

Grüße
 
Der CISSP ist kein Kurs, der ist eine Zertifizierung deiner Kenntnisse.
Und die nötige Arbeitserfahrung (5 Jahre in 2 der Domains) scheinst du mir zu haben. Du scheinst ja auch schon eine Menge zu kennen.

Der CISSP hilft dir, deine Fachkenntnisse auf eine gewisse Metaebene zu hieven.
Ich persönlich bin da mit meinen Kenntnissen hingegangen, habe die Vorbereitung gemacht, vorher nicht/kaum gelernt, und bestanden. Ich hab aber halt auch schon sehr viel gesehen und gemacht.

Aber du hast schon richtig erkannt, das ganze Material kriegst du in den 6 Tagen â 16 Stunden nicht komplett gelernt, wenn du keine Ausnahme bist. Das wird aber auch erwartet, dass du das nicht musst, weil dein Leben dich genug vorbereitet hat, um deine Abstraktionsfähigkeit auf das Material anzuwenden.
Du wirst immer wieder unterbewusst gemachte Praktiken erklärt kriegen, und gefestigt kriegen, anhand von Beispielen aus deinem Alltag.

Du kannst mich ja mal kontaktieren, und ich kann dir ein wenig Lesestoff zukommen lassen.
 
  • Gefällt mir
Reaktionen: Skysnake
Skysnake schrieb:
Um den Kurs zu machen muss man Praxiserfahrung haben, aber ich brauchen Kurs um das Rüstzeug für die Praxis zu haben
Zum Vergrößern anklicken....
Nein, die Praxiserfahrung garantiert, dass im Kurs nicht bei IP und Festplatten-Grundlagen angefangen wird.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

D
HP EliteBook 835 G10
Antworten
3
Aufrufe
1.493
Tenferenzu
Tenferenzu
Nero Redgrave
Neuer Gaming Monitor für 4090 Setup
Antworten
15
Aufrufe
935
hahaqp
H
Weihnachtsman91
Linux Laptop - Ordentliche VM Unterstützung
2
Antworten
23
Aufrufe
1.349
Weihnachtsman91
Weihnachtsman91
M
Dauerhaft zu Linux wechseln - Checkliste vor dem "Umzug"
  • McMoneysack91
  • Linux
4 5 6
Antworten
117
Aufrufe
9.215
AlphaKaninchen
A
crustenscharbap
RTX 4060 + Netzteil
2
Antworten
20
Aufrufe
1.142
crustenscharbap
crustenscharbap
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz