certifier:
supported by:
ISSECO® - News
Der Phishing-Angriff gegen Kunden der Deutschen Emissionshandelsstelle (DEHSt) zeige, wie stiefmütterlich Sicherheit behandelt werde, rügt Prof. Dr. Sachar Paulus, Vorstandsvorsitzender des ISSECO e.V. und Professor für Unternehmenssicherheit und Risikomanagement. "Passwörter als Authentifizierungsmaßnahme für kritische Transaktionen sollten längst der Vergangenheit angehören", so Paulus. Es sei ganz klar die Verantwortung eines Dienstleisters, für sichere Authentifizierung zu sorgen. Phishing − ein Angriff, bei dem Personen über betrügerische E-Mails und Web-Seiten aufgefordert werden, ihre Passwörter preiszugeben − werde immer erfolgreich sein, das liege in der Natur der für heutige Anforderungen mangelhaften Passwörter.
Der heute übliche Standard seien im Bankenbereich TANs, und bei der Umsatzsteueranmeldung digitale Zertifikate. Dass diese bei der DEHSt bisher nicht zum Einsatz kommen, lasse weitere Schwachstellen vermuten, so Paulus: "Wer schon bei der Authentifizierung schlampt, bei dem sind die Anwendungen garantiert nicht Hacker-sicher". Paulus rät dringend, die Anwendungen der DEHSt auf Sicherheitsschwachstellen zu überprüfen und die verantwortlichen Mitarbeiter und Entwickler in sicherer Software-Entwicklung zu schulen, so etwa nach dem Qualifizierungsstandard von ISSECO.
Angesichts der vielfältigen Möglichkeiten des Internetbetruges sieht Prof. Sachar Paulus die Verantwortung bei der DEHSt, nicht bei den durch ihre Gutgläubigkeit geschädigten Firmen: "Man ist schnell dabei, die Verantwortung auf andere abzuwälzen. Natürlich ist im Verhältnis zum Gesamtumsatz der DEHSt nicht viel passiert, aber jeder einzelne Bankkunde, der Opfer von Phishing geworden ist, ärgert sich dennoch über die fehlenden Sicherheitsmaßnahmen seiner Bank".
Per E-Mail hatten Angreifer in den vergangenen Wochen von Firmen, die mit Emissionszertifikaten handeln, deren Kontozugangsdaten angefordert. Unter dem vertrauenswürdig anmutende Link zur angeblichen Website der Deutschen Emissionshandelsstelle (DEHSt) gaben mehrere Firmen ihre Zugangsdaten für den Emissionshandel preis − und verloren zum Teil mehr als eine Million Euro.
Der ISSECO-Verein hat eine neue Version des standardisierten Curriculums für sichere Software-Entwicklung fertiggestellt. Die neuen Lehrinhalte schließen neueste Trends und aktuelle Angriffe ein und berücksichtigen auch das Feedback der Schulungsteilnehmer und der Schulungsorganisationen. "Der neue Syllabus ist noch dichter geworden und besser abgestimmt auf die Bedürfnisse von Entwicklern in Software-Unternehmen", erklärt Prof. Dr. Sachar Paulus, Vorstandsvorsitzender von ISSECO und Leiter der Arbeitsgruppe Syllabus. Derzeit werden die Schulungsunterlagen, die den akkreditierten Schulungsanbietern zur Verfügung gestellt werden, sowie die Prüfungsfragen entsprechend überarbeitet, so dass die Prüfungen ab dem zweiten Quartal 2010 nach dem überarbeiteten Schema abgenommen werden können.
"Software-Sicherheit ist ein sehr dynamisches Feld, regelmäßige Anpassungen der Schulungsinhalte sind erforderlich und sichern die Qualität der Weiterbildung" so Stephan Goericke, Director des ISQI-Instituts, das die Zertifizierungsprüfungen abnimmt. "Wir freuen uns über die Aktualität der ISSECO-Prüfungen, die wir ab April in englischer Sprache weltweit abnehmen werden". ISSECO und seine Partner seien damit gut gerüstet für die erwartete starke Nachfrage nach sicherheitsrelevanter Weiterbildung im Laufe des Jahres, so Goericke.
Vom 30. November bis 3.Dezember 2009 nehmen Gäste des indischen Ministeriums für Kommunikation und Informationstechnologie am "ISSECO Certified Professional for Secure Software Engineering (CPSSE)" Seminar bei Secorvo in Karlsruhe teil. Damit veranstaltet Secorvo diesen Herbst schon die zweite ISSECO Schulung.
After a "dry-run" with students of the security management master curriculum at Brandenburg University of Applied Sciences as part of the "Secure Software Engineering" lectures, Secorvo, a high-profile Security Consulting and Training company will execute the first official ISSECO CPSSE training. All of the six participants successfully passed the exam on October 2nd, 2009 in Karlsruhe, Germany.
"This training should be mandatory for all software developers working on security critical components" said Dr. Gunter Bitz, responsible for Product Security at SAP, who passed the training himself.
ISSECO is a fast-paced activity: since the first get-together of interested parties in fall 2007 and the first 20 certificates there was only a time period of about 2 years. In the meantime, an organization for the ISSECO board activities was founded, a syllabus written, course material developed, and exam questions identified. The standard CPSSE: Certified Professional for Secure Software Engineering is ready for trainings and exams since 3 months now, and has already more than 20 certificates. The certification is performed by ISQI, the international leading provider of educational certifications in the software business.
Today ISSECO released the public version of the syllabus for the Certified Professional for Secure Software Engineering. It's available for download here ...
ISSECO Training begins in February 2009. The first training will be held by Secorvo on February 10-12, 2009 in Karlsruhe. For registration and more information please visit the website www.secorvo.de.
A second training will be held by VirtualForge on March 17, 2009. For further information please visit the website www.virtualforge.de
New Certification Standard for Secure Software Engineering Launched
A new certification standard for the ongoing education of software engineers was released today. It addresses requirements engineers, architects, designers, programmers and testers alike. The standard focuses on the integration of security measures in the software design phase, and was developed in reaction to the strong market demand for attack-resistant software.
The ISSECO Certified Professional for Secure Software Engineering Kick-Off at Conquest 2008 was a big success. More than one hundred interested IT professionals attended the official launch of the new certification standard.
On September 25, 2008 the ISSECO - Secure Software Engineering Council was officially founded and established as a German "Verein" (a registered not-for-profit association). Prof. Dr. Sachar Paulus was elected president; Ms. Petra Barzin and Prof. Dr. Peter Trommler will join the board as vice presidents.