Wenn die Mühlen täglich mahlen und man den Nebenmann, die Nebenfrau, kurz den ‘nebenan’ gar nicht so kennt, dann – ja dann wird es doch mal Zeit die Perspektive zu wechseln. Wie wär’s mal mit ein wenig von dort die Welt anzuschauen, von wo man sie sonst nie sieht? Also gut: ab ins Kanu, einmal “Slowdown” pur, einmal ganz nah an der Natur und an den Anderen sein.
KeyIdentity Security-Breakfast 2018 – von Cyberhaftung und dem toten Pferd der Passwörter
Am 23.08.2018 fand das KeyIdentity Security-Breakfast im NH Hotel Airport West in Raunheim bei Frankfurt a.M. statt. Das Event stand ganz im Fokus des nachhaltigen Schutzes der IT-Infrastruktur sowie der Applikationen und der digitalen Identitäten und Transaktionen. So wurde mit insgesamt drei Vorträgen sowohl die rechtliche Lage, wirtschaftlichen Folgen als auch persönliche Auswirkungen eines Identitätsdiebstahls beleuchtet.
Duales Studium IT-Sicherheit bei KeyIdentity
Mein Name ist Michael, ich bin 23 Jahre alt und habe im Oktober 2015 mein duales Studium bei der Firma KeyIdentity (damals noch LSE GmbH) begonnen. Mit diesem Blogpost möchte ich einen kleinen Einblick in meine Zeit bei der Firma und das duale Studium an sich geben. Dafür beleuchte ich 4 Aspekte: Die Auswahl der Firma als Arbeitgeber, der Aufbau des Studiums, die Praxisphasen und zuletzt mein persönliches Fazit (bis jetzt).
KeyIdentity als Arbeitgeber
Bereits während meiner Ausbildung zum Fachinformatiker für Systemintegration wurde ich 2014 durch einen Zufall (genauer gesagt eine Mitfahrgelegenheit) auf die Firma LSE aufmerksam gemacht. Auf der Website wurde der Sieg beim “Deutsche Post Security Cup 2012” hervorgehoben und unter Karriere las ich den Spruch “Krawattenlose werden bei gleicher Eignung bevorzugt”. Ich versprach mir Expertise im Bereich Penetration Testing und ein kollegiales Miteinander, also bewarb ich mich. Nach einem Telefoninterview und einigen telefonischen organisatorischen Gesprächen bekam ich die Zusage – das Studium konnte beginnen. Continue reading Duales Studium IT-Sicherheit bei KeyIdentity
LinOTP MFA Integration in Windows Umgebungen
Bei immer größer werdenden Ansprüchen an die IT Sicherheit wird auch die Multi-Faktor-Authentisierung (MFA) wichtiger.
Um sich via MFA zu authentisieren, bietet LinOTP viele verschiedene Token Typen an. Es eignet sich als universelle Gegenstelle für MFA.
Praktisch in allen IT Umgebungen finden wir heute Desktop-Umgebungen von denen aus mit sensiblen Daten gearbeitet werden soll und das nicht nur im
Büro, sondern auch von unterwegs, oder von zu Hause aus (Bild 1).
Continue reading LinOTP MFA Integration in Windows Umgebungen
5 ways to organize multi-product Scrum teams
In this blog post I’d like to share some of our experiences with fitting the Scrum workflow into a process that has more products than teams.
Introduction
As with many companies introducing Scrum to their existing teams, implementing the process involves introducing a lot of new concepts and changing the way the team works together. One of the problems we had was that we didn’t have teams aligned with products in a way that allowed us to naturally turn them into agile teams. This is the story about how those teams have evolved since we started out with Scrum.
At KeyIdentity our development team is tasked with managing a lot of separate products. A quick look in our product archive reveals 100 repositories! Thankfully those are not all active, but we regularly commit to about 15 of those. With a team of 10, that does not fit exactly with the concept of self contained agile teams, where each team is working on one product.
We started gradually introducing Scrum in product development a couple of years ago. If you have not heard of Scrum itself, you might want to head over to the Scrum Guide to have a look at what it is all about.
Team organisation
The question that we had to ask ourselves is whether to split the team, and if so, how? We tried a number of approaches: Continue reading 5 ways to organize multi-product Scrum teams
Digitalisierung und künstliche Intelligenz, wie weit ist die Technik wirklich?
Unser CEO Dr. Amir Alsbih erklärt Themen der Digitalisierung und künstliche Intelligenz bei Rhein Main TV: https://keyidentity.com/unternehmen/news/rhein-main-tv.html
What is Refactoring?
Refactoring might present itself as a dreaded beast, with hundreds of raging heads, eager to devour developers. At the same time, it also can be a fulfilling experience. And an opportunity to better know your application, its architecture and idiosyncrasies. The code base grows and rots, software gains technical debt, dirty fixes and quick hacks. After some time, there might be no easy, or quick, way of adding features and changing behavior. This article sheds light on the refactoring process and its concepts.
“The fundamental problem with program maintenance is that fixing a defect has a substantial (20-50 percent) chance of introducing another. So, the whole process is two steps forward and one step back.”
– Frederick P. Brooks, Jr. (The Mythical Man-Month)
What is Refactoring
Refactoring is the process of clarifying and simplifying the design of existing code, without changing its behavior. We can categorize them by goal and size: code refactoring and architecture refactoring. Code Refactoring aims to increase the quality of the code. It contains small tasks chained together, or not. Architecture Refactoring is the bigger counterpart. It reorganizes the existing code into new logical layers and represents deeper changes. It is usually done by changing the software architecture/infrastructure. Continue reading What is Refactoring?
TeleTrusT veröffentlicht Handreichung 2018 zum aktuellen „Stand der Technik“ in der IT-Sicherheit
Mit dem “Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme” (IT-Sicherheitsgesetz bzw. ITSiG) verfolgt der Gesetzgeber das Ziel, Defizite in der IT-Sicherheit abzubauen. Daneben gilt seit dem 25.05.2018 die EU-Datenschutz-Grundverordnung (DSGVO) mit ihren hohen Anforderungen an die technischen und organisatorischen Maßnahmen. Beide Rechtsquellen fordern die Orientierung der IT-Sicherheit am Stand der Technik, lassen aber unbeantwortet, was im Detail darunter zu verstehen ist.
Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) hat seine Handreichung zum Stand der Technik überarbeitet und im Lichte neuer Erkenntnisse erweitert. TeleTrusT flankiert und ergänzt die Rechtslage mit der fachlichen Kompetenz der organisierten IT-Sicherheitswirtschaft in Deutschland. Eine Expertengruppe hat die bestehende “TeleTrusT Handreichung zum Stand der Technik” überarbeitet und ergänzt.
Konkrete Empfehlungen zu Sicherheitsmaßnahmen
Um den Schutz personenbezogener Daten nach der DSGVO zu gewährleisten, sind unter anderem zwei Maßnahmen wichtig: Einerseits die Multi-Faktor-Authentifizierung, die Zugänge deutlich besser als ein einfaches Passwort absichert und damit digitale Identitäten sowie die Daten dahinter DSGVO-konform schützt. Andererseits kryptographische Verfahren zum Verschlüsseln und Signieren von Daten. Verfahren die das Kerckhoffs’sche Prinzip verletzten, in dem die Kryptographie nicht offengelegt wird, müssen als potentiell unsicher angesehen werden. Zudem sollte stets ein stringentes Patch-Management dafür sorgen, Lücken schnellstmöglich zu schließen und IT-Systeme immer auf dem neuesten Stand zu halten.
Als Mitglied im TeleTrusT Arbeitskreis „Stand der Technik im Sinne des IT-Sicherheitsgesetzes“ wirkte auch Dr. Amir Alsbih, CEO von KeyIdentity, aktiv bei der Aktualisierung der Handreichung mit. Insbesondere zu den Themen Multi-Faktor-Authentifizierung sowie kryptographische Verfahren stellte Dr. Alsbih seine Expertise bereit.
„Datenlecks, Hacks und gestohlene digitale Identitäten gehören leider noch immer zur traurigen Realität der IT-Branche. Wir begrüßen daher die hohen Anforderungen an die Cybersecurity, die sowohl auf deutscher wie auch EU-Ebene durch den Gesetzgeber erlassen wurden“, erklärt Dr. Amir Alsbih. „Die vage Formulierung vom »Stand der Technik« im Gesetzestext flankieren wir mit konkreten Hinweisen und Handlungsempfehlungen. So erhalten Unternehmensleiter und IT-Verantwortliche eine umfassende Übersicht, um ihre internen Sicherheitsmaßnahmen gesetzeskonform gestalten zu können.“
- Die neue TeleTrusT-Handreichung zum „Stand der Technik“ kann unter dem folgenden Link kostenlos heruntergeladen werden: https://www.teletrust.de/fileadmin/docs/fachgruppen/ag-stand-der-technik/TeleTrusT-Handreichung_Stand_der_Technik_-_Ausgabe_2018.pdf
KeyIdentity mit dem INNOVATIONSPREIS-IT 2018 ausgezeichnet
KeyIdentity ist für LinOTP als Landessieger Hessen mit dem INNOVATIONSPREIS-IT 2018 ausgezeichnet worden! Der Preis wird von der Initiative Mittelstand und dem Huber Verlag für Neue Medien GmbH vergeben.
Die KeyIdentity-Lösung LinOTP konnte die unabhängige und hochkarätige Fachjury von ihrem hohen Nutzwert und Innovationsgehalt sowie ihrer Eignung für den Mittelstand überzeugen.
„Wir freuen uns sehr über die Auszeichnung der Initiative Mittelstand und sind besonders stolz, direkt bei unserer ersten Teilnahme als Landessieger in Hessen hervorzugehen“, sagt Dr. Amir Alsbih, CEO von KeyIdentity. „Die Auswahl durch die namhafte Jury des INNOVATIONSPREIS-IT aus Professoren, Wissenschaftlern und Branchenvertretern unterstreicht, dass unsere MFA-Lösung bestens geeignet ist, die hohen Sicherheitsanforderungen von deutschen Unternehmen dank ‚Security made in Germany‘ zu erfüllen. Durch die Auszeichnung wird deutlich, dass besonders der Mittelstand von unserer einfach implementierbaren und hoch skalierbaren Lösung profitiert, die sich schnell und problemlos in jeder IT-Infrastruktur einsetzen lässt.“ Continue reading KeyIdentity mit dem INNOVATIONSPREIS-IT 2018 ausgezeichnet
GitLab + GitLab Runner (Pitfalls and Good Practices)
Recently we started using GitLab including the CI/CD features here at KeyIdentity. During the first weeks we stumbled upon some issues, which can make it a bit hard to get it up and running. Our Setup includes a GitLab Server installed via Omnibus (https://docs.gitlab.com/omnibus/README.html) and some GitLab-runners within docker. In addition, we are using a docker registry which requires authentication for pull and push. In this article we wanted to share how, we solved problems, when setting up the CI/CD system of GitLab.
1) Using own CA or a self-signed certificate on GitLab and trying to connect a GitLab-runner to it
You may see an error like this, when trying to register the runner:
x509: certificate signed by unknown authority
Fix it by adding the “–tls-ca-file” parameter to the gitlab-runner register command. Continue reading GitLab + GitLab Runner (Pitfalls and Good Practices)