Zertifikate zur Weiterbildung im Bereich IT-Sicherheit

Der Dschungel der Zertifikate im Bereich der IT-Weiterbildung wuchert schneller als das Unkraut im Garten. Das dürfte im Wesentlichen dem Umstand geschuldet sein, dass es in vielen Ländern kein geregeltes berufliches Ausbildungssystem gibt. Dort wird man Akademiker oder Eurojobber – „dazwischen“ gibt es fast nichts. Fachkaufleute, Kammerbetriebswirte, Meister, Techniker, Betriebsinformatiker … unbekannt.

Diese Feld-, Wald- und Wiesenzertifiziererei von Herstellern, Fachverbänden und wirtschaftsnahen Organisationen hat sich auch im Deutschland verbreitet, da es auch hier im IT-Bereich an geregelten und vor allem in der Breite der Unternehmen akzeptierten Fortbildungsabschlüssen in der IT mangelt.

Und so gibt es mittlerweile auch zahlreiche Zertifikatsangebote für die Fortbildung von IT-Sicherheitsexperten, wie die Computerwoche zusammenfassend berichtet. Da reicht das Spektrum von CISCO-geprüften Routerkonfigurierer und Firewalleinrichter über den von einem Fachverband angebotenen Certified Information Systems Security Professional (CISSP) oder dem Certified Information Systems Auditor (CISA) bis zum Certified Professional for Secure Software Engineering (CPSSE)-Zertifikat.

Bei dieser Vielfalt verlieren weiterbildungsinteressierte ITler schon mal den Überblick, welches Zertifikat nun für welche Inhalte in welcher Breite und Tiefe steht. Und in Personalabteilungen oder bei Personalberatern, die Qualifikationsstichworte oft genug ohnehin nur vom Blatt aus der Fachabteilung ablesen, ohne deren genauere Bedeutung einschätzen zu können, ist sowieso schon Schluss.

Es bleibt also abzuwarten, ob dieser Wildwuchs weiter wuchert und wir irgendwann sogar „Bildungstransparenzberater“ brauchen, um im Rahmen der persönlichen Bildungsplanung oder der unternehmensinternen Personalentwicklung Inhalt und Wertigkeit einer Zertifikatsfortbildung realistisch einschätzen zu können. Oder ob sich Ansätze wie z.B. die „arbeitsprozessorientierte Weiterbildung“ (APO) durchsetzen können. Auch wenn sich bei dieser die Unternehmen nicht in eine bequem Kundenposition zurückziehen können, sondern konkrete zähl- und messbare Eigenleistungen in Form von Projekten und Teilfreistellungen beisteuern müssen, um so dem tatsächlichen oder auch nur “gefühlten” Fachkräftemangel abzuhelfen.

Regierung legt erneut Entwurf zum Arbeitnehmerdatenschutz vor

Als vor einigen Wochen der erste Referentenentwurf eines Arbeitnehmerdatenschutzgesetzes vorgelegt wurde, zerrissen Experten das Papier förmlich in der Luft, da es in vielen Teilen Verschlechterungen des Datenschutzes für Beschäftigte vorsah, anstatt ihn zu verbessern.

Wir erinnern uns: Die ganze Debatte wurde in den letzten beiden Jahren erst durch zahlreiche Datenschutzskandale in der deutschen Wirtschaft ausgelöst. Es wurde immer mehr klar, dass in Sachen Datenschutz etwas grundsätzlich falsch läuft in den Unternehmen. Und dass man sich dort den Äußerungen diverser Entscheider nach wohl als rechtsfreien exterritorialen Raum ansah.

Nun wurde ein überarbeiteter Entwurfstext vorgelegt. Das Bundeskabinett will ihn in den nächsten Tagen auf den Gesetzgebungsweg bringen. Oberflächlich gelesen verspricht der Entwurf tatsächlich Verbesserungen. Allerdings wird er bereits mit den Worten „Mit den Neuregelungen werden Mitarbeiter an ihrem Arbeitsplatz zudem wirksam vor Bespitzelungen geschützt und gleichzeitig den Arbeitgebern verlässliche Grundlagen für die Durchsetzung von Compliance-Anforderungen und den Kampf gegen Korruption an die Hand gegeben“ eingeleitet, d.h. er wurde wohl bereits sehr deutlich wirtschaftslobbyistisch weichgespült.

Sehr intensiv hat man sich darin u.a. mit dem Thema Verarbeitung von Beschäftigtendaten zur Korruptionsbekämpfung befasst. Denn diese wurde in den Datenskandalen der Vergangenheit meist als Ausrede bemüht, wenn es galt Massenscreenings, Profiling und Arbeitnehmerüberwachung im Nachhinein halbwegs zu rechtfertigen. Auch wenn sich faule Deals auf Managerebene, Mauscheleien im Rahmen von Übernahmeverhandlungen, Bilanzbetrug, „goldene Handschläge“ bei der Entsorgung managerialer Altlasten, Kursmanipulationen zum Pushen eigener Aktienoptionen, Kartellvergehen sowie die meisten anderen Formen der Wirtschaftskriminalität so nicht nachweisen lassen. Massenscreenings werden nun wieder zulässig, sofern der Arbeitgeber „tatsächliche Anhaltspunkte“ für einen Verdacht auf Ordnungswidrigkeiten, Straftaten und andere Vergehen hat, die ggf. eine Kündigung aus wichtigen Grund rechtfertigen können. Die ergriffenen Maßnahmen der innerbetrieblichen „Horch & Guck“-Abteilung im Dienste der Compliance dürfen dabei „nicht unverhältnismäßig“ und sollten auch „erforderlich“ sein, um die Vergehen „aufzudecken oder um weitere schwerwiegende Vertragsverletzungen zu Lasten des Arbeitgebers, oder weitere Ordnungswidrigkeiten und Straftaten zu verhindern“. Da dürfte bald die windelweiche Rechtsprechung zur Verdachtskündigung, für die es auch keinen substanziell belastbaren Grund bedarf, durch die Hintertür hereinschwappen.

Als Fortschritt wird z.B. das ausnahmslose Verbot der heimlichen Videoüberwachung dargestellt sowie das Verbot des Ausspähen von Betriebsstätten, die überwiegend der privaten Lebensführung dienen (Toiletten, Umkleiden usw.). Tatsächlich schreibt das nur den Ist-Stand weiter fort. Das das den Unternehmen gesetzlich ins Stammbuch geschrieben werden muss, spricht eigentlich bereits Bände.

Offene Videoüberwachung beispielsweise an Firmeneingängen oder zur Qualitätskontrolle soll dagegen möglich sein – „soweit sie zur Wahrung wichtiger betrieblicher Interessen erforderlich“ ist, Interessen der Angestellten nicht entgegenstehen und sie auf die Kameras hingewiesen werden. Damit wird der Ist-Stand klar zugunsten der Unternehmen aufgeweicht, denn derzeit gilt: Offene Videoüberwachung widerspricht Grundrechten der Beschäftigten und ist daher nur auf der Basis aufwendiger Mitbestimmungsprozesse möglich. Zudem hat der Unternehmer im Rahmen einer Grundrechteabwägung („geeignet – erforderlich – angemessen“) darzulegen, dass andere (ggf. auch teurere) Mittel, die weniger stark in die Grundrechte der Beschäftigten eingreifen, nicht ausreichen. Das muss er jetzt nicht mehr.

Tendenzbetrieben (Kirchen, politische Organisationen) werden erweiterte Zugriffsmöglichkeiten auf Beschäftigtendaten eingeräumt. So erhalten sie nun eine Rechtsgrundlage auf deren Basis sie Dinge wie Religionszugehörigkeit, Partei- und Gewerkschaftsmitgliedschaft oder auch Details zur Weltanschauung von Bewerbern abfragen und nutzen können.

Arbeitgeber könnten auf Basis des Entwurfes ganz legal Daten von Bewerbern aus sozialen Netzwerken recherchieren, sofern sie „für die Feststellung der Eignung des Beschäftigten für eine in Betracht kommende Tätigkeit oder für die Entscheidung über die Begründung des Beschäftigungsverhältnisses erforderlich“ sind. Also auch wieder sehr auslegungsfähig. Bislang bewegten sie sich dabei in einer Art rechtlichen Grauzone, da nur klassische Business-Netzwerke wie XING den Schluss nahe legen, dass die darin veröffentlichten Daten der Nutzer zur Anbahnung von Geschäftskontakten verwendet werden können. Und soziale Netzwerke sind im Gegensatz zu Websites und Blogs nicht öffentlich, da man zu ihnen i.d.R. eine Nutzerkennung benötigt.

Auch das leidige Thema der regulierten Privatnutzung von Internetdiensten und die damit zusammenhängende Providereigenschaft des Unternehmens i.S.d. TKG wird neu geregelt, bestehende Unschärfen im Zusammenspiel von BDSG und TKG beseitigt. Allerdings wird dem Arbeitgeber auch eine Möglichkeit zur „stichprobenartigen oder anlassbezogenen Leistungs- oder Verhaltenskontrolle, einschließlich der Verhinderung oder Aufdeckung von Vertragsverletzungen zu Lasten des Arbeitgebers, Ordnungswidrigkeiten oder Straftaten im Beschäftigungsverhältnis“ eingeräumt. An jeder betrieblichen Mitbestimmung vorbei und als Standard.

In etlichen Bereichen des Textes werden den Unternehmen Rechte an Beschäftigtendaten eingeräumt, deren Reichweite an unbestimmte Rechtsbegriffe mit Auslegungsspielräumen gebunden wird. Beispiel: Häufig darf dem Text nach der Arbeitgeber etwas nur dann tun, wenn es „zur Wahrung seiner berechtigten Interessen erforderlich“ ist. Welcher Unternehmer wird im Zweifel seine Interesse nicht als berechtigt und die ergriffene Maßnahme als erforderlich ansehen? Und wer will ihm im Einzelfall als Lohnabhängiger widersprechen? Zumal die heute noch oftmals vorgesehenen rechtlich anspruchsvollen Güterabwägungen entfallen. Da kommt Arbeit auf die Herausgeber von Gesetzeskommentierungen sowie die Gerichte zu. Dementsprechend enthält der Text auch zu 12 Seiten Gesetzesentwurf bereits 23 Seiten Erläuterungen.

Zusammenfassend kann man sagen, dass dieser Entwurf zwar keine komplette Themenverfehlung ist, wie der zuletzt vorgelegte. Man sieht ihm aber sehr deutlich an, dass Unternehmer- und Arbeitgeberinteressen bei Abfassen des Textes Vorrang hatten während Grund- und Bürgerrechte sowie der Gedanke der informationellen Selbstbestimmung außen vor blieben.

Auch dieser Text ist in der vorliegenden Form unbrauchbar und sollte zurückgewiesen werden. Obgleich er streckenweise zumindest gute Ansätze aufweist, die in einem dritten Entwurf aufgegriffen werden können.

Sollte das Gesetz in ähnlicher Form in Kraft treten, dürften Betriebs- und Personalräte es mit als Erstes bemerken. Denn vieles was Arbeitgeber zuvor mit ihnen mühsam und unter Inkaufnahme von Kompromissen aushandeln mussten, stünde ihnen dann einfach so zu. An jeder Mitbestimmung elegant vorbei.

Datenlecks durch Green IT – Arbeitnehmerüberwachung per Steckdose

Grüne Informationstechnik, kurz auch Green IT genannt, ist immer mehr im Kommen. In der Regel allerdings nicht, weil Lohas und grüne Gutmenschen das IT-Management in den Unternehmen übernommen hätten. Sondern weil der Ausgabenposten für die Energieversorgung von Rechenzentren,  dezentralen Serverclustern und Arbeitsplatzrechnern einen immer größeren Teil des IT-Budgets der Unternehmen wegfrisst. Das macht es Firmen zunehmend schwerer in innovative Technik zu investieren oder den Investitionsstau an anderer Stelle abzubauen um so Wettbewerbsvorteile zu gewinnen.

Energie sparen wird so zur schlichten Notwendigkeit in den Unternehmen. Ein Hilfsmittel dafür ist die bereits erwähnte grüne Informationstechnik, bei der eine Kombination aus energieeffizienterer Technik, verbrauchsbewussterem Nutzungsverhalten sowie Konsolidierung und Abbau ungenutzter Gerätekapazitäten die Stromrechnung senken soll.

Allerdings kann grüne Informationstechnik auch Datenlecks an Stellen aufreißen, an denen man bislang nicht damit gerechnet hatte. Dazu zählt z.B. das Smart Metering, also die sog. „intelligenten Stromzähler“ in Haushalten und Firmen. Mit ihnen ist es möglich den Stromverbrauch  eines Haushaltes in kurzen Abständen und teilweise gerätespezifisch zu messen. Da diese Daten z.T. an Energieversorger gehen und dort die Bildung verhaltensabhängiger persönliche Lastprofile aus den gesammelten Kundendaten ermöglichen würden, werden sie von Datenschützern sehr kritisch gesehen. So ist es für die Versorger z.B. möglich personen- und gruppenbezogene Verbrauchsmuster zu bilden und in der Folge tageszeitabhängige Stromtarife anzubieten. Über kurz oder lang wäre der feste Strompreis abgeschafft und der Verbraucher verlöre jeden Überblick über das dann explosionsartig wachsende Chaos an Stromtarifen. Das Einschalten der Waschmaschine zur Unzeit könnte dann ähnliche Folgen haben wie das unüberlegte Nutzen des Handys im Auslandsurlaub, wenn sich durch Roaming mal eben die Telefongebühren orts- und zeitabhängig unbemerkt völlig legal verfünfzigfachen.

Inzwischen gibt es spezielle Energiemanagementsoftware für Unternehmen wie z.B. das auf der letzten CeBit vorgestellte Produkt „Greentrac“, mit der sich das Verbrauchsverhalten von PCs und damit indirekt das Arbeitsverhalten der Nutzer davor „managen“, d.h. in erster Linie überwachen lässt. Schließlich zieht ein PC an dem intensiv gearbeitet wird und auf dem mehrere Programme laufen auch mehr Strom aus dem Netz als ein Rechner im Leerlauf. Eine Software aber, die Daten über Aktiv- und Leerlaufphasen von PCs erhebt und auswertet, kann damit auch für Aussagen über die Arbeitszeiten an den Geräten genutzt werden. Wenn man weitere Umstände heranzieht, lassen sich auch präzise Angaben über die jeweilige Leistung und das Arbeitsverhalten der PC-Nutzer machen. Denn in Verbindung mit anderen Daten aus betrieblichen Informationssystemen, etwa einem Terminkalender, können so Rückschlüsse über die Anwesenheit am Arbeitsplatz und die Arbeitsleistung gegeben werden.

Damit wird das fortgeschrittene Energiesparen „mit Zusatznutzen“ zum Fall für die betriebliche Mitbestimmung. Denn § 87 Abs. 1 BetrVG räumt dem Betriebsrat weitreichende Mitbestimmungsrechte beim Einsatz von Programmen ein, die zur Überwachung der Arbeitnehmer geeignet ist. Zumindest dort wo er existiert.

In der Fachliteratur wird zudem kontrovers diskutiert in wie weit eine Betriebsvereinbarung zudem überhaupt als „andere Rechtsvorschrift“ i.S.d. §4 BDSG zu werten ist, die eine individuelle Einwilligung jedes einzelnen Betroffenen ersetzen kann. Zumal es Betriebsräten bei Ausgestalten von Betriebsvereinbarungen rechtlich gar nicht erlaubt ist, gesetzliche Schutzstandards zu unterlaufen oder zu verringern (Ausnahme: das Gesetz sieht hierfür eine Öffnungsklausel vor). Arbeitgeber gehen also das Risiko ein, im Konfliktfall ggf. mit einer zwar ordnungsgemäß abgeschlossenen aber inhaltlich nichtigen Betriebsvereinbarung dazustehen.

Arbeitgeberorientierte Rechtsberater empfehlen ihren Klienten daher, die Betriebsvereinbarung so auszuformulieren, dass sie eine „Erlaubnis für Zwecke des Beschäftigungsverhältnisses“ nach § 32 Abs.1 BDSG enthält und die Arbeitnehmerüberwachung per Steckdose über die neu ins BDSG gekommene Regelung zur Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses legitimiert.

Ob sich allerdings Arbeitnehmerüberwachung damit rechtlich wirksam begründen lässt, bezweifle ich. Der Paragraph ist allerdings erst 2009 in Gesetz gekommen und es gibt dazu noch kaum Aussagen im Schrifttum oder gefestigte Rechtsprechung.

Es zeigt sich einmal mehr, dass auch Betriebs- und Personalräte ohne fundierte Kenntnisse der Entwicklungen im Bereich der Informationstechnik auf aktuellem Stand der Dinge immer weniger auskommen.

Der Datenbrief des Chaos Computer Club

In den Datenbanken der Unternehmen sammeln sich immer mehr Daten an. Vieles wird erst durch das Herstellen von Zusammenhängen zwischen vormals unabhängig voneinander entstandenen Datenbeständen für die Firmen ersichtlich. Oftmals eher zum Schaden als zum Nutzen der Bürger und Kunden, die meist gar nicht wissen, wer alles Daten über sie in welchem Umfang und wofür eigentlich speichert und verwertet.

Unternehmen aber reagieren in wettbewerbsintensiven Umfeldern zunehmend sensibel auf Kostensteigerungen. Da lag es nahe, das Sammeln und Halten von Daten zu einem bemerkbaren Kosten- und Aufwandstreiber für Firmen zu machen.

Genau das soll die Idee des Datenbriefes vom CCC tun. Die Bürger dafür sensibilisieren, wer aus welchem Grund wie viele und welche Daten genau über sie speichert. Und das Speichern der Daten bei den Unternehmen und Behörden zu verteuern. Der Datenbrief soll die Funktion eines „Kontoauszugs“ übernehmen, der gesamthaft und vollständig auflistet, wer was warum über den „Kontoinhaber“ speichert. Undokumentierte Datenhaltung auf „Schwarzkonten“ an der „Bilanz“ und den „Büchern“ vorbei wäre dann illegal.

Denn die sollen durch den Datenbrief gesetzlich dazu verpflichtet werden, Betroffene regelmäßig über die über sie gespeicherten Daten zu informieren. Schriftlich und in jedem Einzelfall. Das umfasst auch Daten, die erst durch Anreicherung und Verknüpfung mit anderen Datenquellen zustande kommen, also Profilbildung, Scoring, Annahmen über Vorlieben, interne Kundenklassenzuordnungen usw. Der so entstehende Verwaltungsaufwand soll Wirtschaft und Verwaltung dazu bewegen, verstärkt „Datencontrolling“ zu betreiben, also die schlichte Notwendigkeit einer weiteren Speicherung der Daten regelmäßig zu überprüfen und so schon aus Kostengründen Datensparsamkeit und Datenvermeidung (§ 3a BDSG) umzusetzen.

Das Ziel des Datenbriefes aus Sicht des CCC ist es, für jeden Bürger transparent zu machen, wer wo die eigenen Daten verarbeitet. Der Bürger oder Verbraucher wird zukünftig bewusster mit seinen Daten umgehen, wenn er erst mal einen Überblick bekommen hat, welche Daten über ihn gespeichert sind. Das Recht des Betroffenen auf Auskunft hat dabei Vorrang vor etwaigen Geschäfts- oder Behördengeheimnissen der speichernden und verarbeitenden Firmen. Persönlichkeitsrechte Dritter müssten selbstverständlich gewahrt werden.

Die eher wirtschaftsfreundlich agierende Bundesregierung steht dem Vorhaben eher skeptisch gegenüber obwohl sich Bundesinnenminister Thomas de Maizière (CDU) zunächst interessiert zeigte und sich die Forderung zueigen machte, womit er der  Debatte um das Thema erst so richtig Schub gab. Während die Wirtschaft dagegen ist, dass Unternehmen künftig einmal jährlich schriftlich mitteilen müssen, welche Daten sie gespeichert haben, wird das Vorhaben von Verbraucherschützern begrüßt.

Unternehmen und Wirtschaftsverbände lehnen die Idee ab. Denn wenn der Datenbrief nicht zügig zur großen Löschaktion in Unternehmen und Behörden führte, so würde er jährlich beträchtliche Mengen an Papier in die Briefkästen der Bürger (und oft genug von dort in die Mülleimer) befördern. Zumal Geschäftsmodelle, die auf der Ausbeutung von quasi erzwungenen“ Datenbeständen (Stichwort „Schufa-Klausel“) wie z.B. durch Wirtschaftsauskunfteien oder Versichertendatenbanken schwieriger umzusetzen wären und erheblich mehr Geld kosten würden.

Dennoch sehen Datenschützer die dahinter stehende Idee positiv, so dass darüber auf Fachkongressen und in Projektgruppen zur Entwicklung neuer Gesetzesentwürfe für notwendige Veränderungen der Datenschutzgesetze beraten wird. Erstmals würde den Bürgern klar werden wer alles ihre Daten speichert und nutzt. Verständlich, dass darin die Wirtschaft kein Interesse haben kann, weshalb auch der Interessensverband der Informationswirtschaft BITKOM die Idee des Datenbriefes in einer Stellungnahme als unverhältnismäßig kritisiert, dabei aber auch durchaus berechtigte Einwände gerade zur daten(schutz)technischen Abwicklung eines Datenbriefes erhebt. Etwa wenn Firmen vormals getrennt geführte Datenbestände für den Datenbrief zusammenlegen und dessen Erstellung an einen Dienstleister auslagern. Zumal es oft auch um Daten geht, die aufgrund ihrer Sensibilität nicht dazu geeignet sind, mit einfacher Briefpost oder gar per Mail und Fax zum Empfänger transportiert zu werden. Hinzu käme der Umstand, dass ein solches Regularium nur dann flächendeckend funktionieren würde, wenn Verstöße dagegen aufgedeckt und bestraft werden könnten. Doch die Aufsichtsbehörden haben mit ihrer zu knapp bemessenen Stellenzahl heute bereits Probleme, Datenschutzverstöße durch Betriebsprüfungen aufzudecken und zu ahnden.

Der CCC hat mit seiner mit seiner Datenbrief-Idee aber bereits einen ersten Teilerfolg  erreicht: Über die Ideen eines Pradigma-Wechsels (Datenspeicherung muss regelmäßig geprüft und legitimiert werden), einem Streben nach mehr informationeller Transparenz sowie der Rechtfertigungsnotwendigkeit von Wirtschaft und Verwaltung dem Kunden und Bürger gegenüber solle Dinge wieder ins Lot gebracht werden, die im Laufe der Zeit durch Aneignungs- und Vereinnahmungsbestrebungen gerade der Wirtschaft immer mehr aus dem Gleichgewicht geraten sind. Dass darüber auf Fachebene sowie in der Öffentlichkeit diskutiert wird, ist ein klarer Fortschritt.

IREB „Requirements Engineering“-Foundation Level mit neuem Lehrplan

Anforderungsmanagement ist eine Teildisziplin der Softwareentwicklung, die speziell für Fragen der IT-Sicherheit und Softwarequalität immer mehr an Bedeutung gewinnt. Denn die meisten Sicherheitslücken und Qualitätsmängel in Softwareprodukten sind auf nicht, unzureichend oder falsch implementierte Anforderungen zurückführbar. Meist weil diese entweder nicht, unzureichend oder falsch spezifiziert wurden.

Daher kann man sich seit einigen Jahren auch im Bereich Anforderungsmanagement fortbilden und dies durch Fach- und Branchenzertifikate wie den „Certified Professional for Requirements Engineering (CPRE)“ dokumentieren. Für dieses Zertifikat gibt es zum 01.09. dieses Jahres im Foundation Level einen überarbeiteten Lehrplan sowie entsprechend angepasste Prüfungsordnungen und Bewertungsschemata, nachdem das International Requirements Engineering Board (IREB e.V.) den Lehrplan überarbeitet hat.

Die neuen Dokumente stehen auf www.certified-re.de als PDF-Download bereit. Man findet dort neben der Datei zur neuen Prüfungsordnung zwei Dateien zum neuen Lehrplan, bei denen eine im Änderungsmodus das schnelle Auffinden der Neuerungen im Vergleich zum bisherigen Lehrplan ermöglicht.

Wer aktuell also eine CPRE-Zertifizierung plant, sollte die paar Wochen bis Monatsende also noch abwarten und sich dann ausgehend vom aktuellen Stand der Zertifizierung prüfen lassen. Und sich vorab vergewissern, dass der Schulungsanbieter auch diesen Stand der Dinge in seinen Kursen lehrt.

ct‘-Serie „Tatort Internet“

Wer schon immer mal wissen wollte, wie Hacker und IT-Forensiker im Detail arbeiten, wenn sie Schadsoftware und Angriffen aus dem Internet auf der Spur sind, dem empfehle ich die Serie „Tatort Internet“ in der ct‘, die dort seit einigen Wochen, konkret seit Ausgabe 13 des 14-tägig erscheinenden IT-Fachmagazins erscheint.

Jeder Teil dreht sich um eine konkret durchgeführte und ausführlich beschriebene IT-forensische Analyse eines Angriffs. Bislang waren Attacken mit Schadsoftware, die in unscheinbaren Mediendateien versteckt wurde, Gegenstand der Artikel. Jedes mal werden Ideen, Ansätze, Vorgehensweise sowie die eingesetzten (meist frei verfügbaren) Tools beschrieben. Oder auch mal erklärende Codefragmente aufgeführt. Oft sind Kombinationen mehrerer Angriffstechniken und Abwehrmethoden Gegenstand der Artikel und Schadcode wird sorgfältig und detailliert auseinandergenommen.

Die zurückliegenden Artikel werden zudem, auf Heise.de in der Rubrik Security veröffentlicht. Momentan findet man dort die drei Folgen „Alarm beim Pizzadienst“, „Zeig mir das Bild vom Tod“ und „PDF mit Zeitbombe“. Folge vier „Angriff der Killervideos“ kann  man in der aktuellen ct‘ nachlesen. Man sollte allerdings ein belastbares Verständnis informationstechnischer Zusammenhänge mitbringen, denn fachlich wird schon tiefer in die Materie eingestiegen.

Sehr empfehlenswert!