Poati schrieb:
Eine Verschlechterung müsstest du mir genauer erklären.
Das liegt doch auf der Hand. Wenn Du Deinen Kram in zwei Rechenzentren hast, dann gibts platt gesagt halt auch zwei Möglichkeiten, wo Du die Daten abgreifen kannst.
Poati schrieb:
Wäre mir neu, bin aber interessiert. Wenn ich den Laden lahm legen möchte
Die Laden lahmlegen ist ja nur ein mögliches Angriffsziel. Du willst Dich aber möglichst alle Probleme wehren. GIbt ja so grundsätzlich drei Problemfelder die man bei IT-Sicherheit hat. Der IT-Kram soll funktionieren.
Die IT-Kram soll genau das machen, was ich möchte (was auch beinhaltet, das an meinen Daten nicht irgendwie herummanipuliert wird)
Meine Daten sollten nicht unbefugten zugänglich sein, weil es ja blöd wäre wenn z.B. der Konkurrenz irgendwelche Betriebsinterna in die Hände fallen. Außerdem gibt es ja auch datenschutzrechtliche Vorgaben usw.
Und natürlich können sich diese Schutzziele auch widersprechen. Für das Daten nicht klauen können-Schutzziel ist es besser, wenn Daten nicht redudant heraumliegen. Für das IT soll funktionieren ist es natürlich besser, wenn die Redudanz sind, damit ich weiter arbeiten kann, wenn irgendwo mal - salopp gesagt- ne Festplatte kaputt geht.
Eun brauchbares Sicherheitskonzept muss natürlich alle 3 Schutzziele angemessen berücksichtigen. Deswegen sind in der Diskussion auch diese Beispiele, die eindimensional auf irgendwas drauf gucken, wenig hilfreich.
Poati schrieb:
Naja das ganze ging los mit, der Aussage, dass der Nutzen des BSI in der Praxis sehr überschaubar ist. Was ich immer noch für eine sehr gewagte These halte bei einer Behörde mit so zahlreichen Themen und rund 1500 Mitarbeitenden
Wie gesagt. Ich will jetzt hier kein BSI-shaming betreiben, sondern eher darum, das ein bisschen einzuordnen und das irgendein Prüfsiegel nicht bedeutet alles gut.
Poati schrieb:
Die Probleme, die du jetzt allerdings beschreibst . sind zutiefst grundlegend im Bereich IT Sicherheit.
Naja. Was heißt grundlegend. Es wird häufig nicht konsequent genug auf Sicherheit gesetzt.
Exemplarisch sei hier man Ransomware genannt. Eigentlich eine Sache, die man relativ in der Firmen-IT gut in den Griff kriegen kann. Ein 100%iger Schutz wird schwierig aber das das diese Ransomware-Angriffe immer noch so erfolgreich sind, zeigt ja, das es da noch viel im Argen liegt. Und heutzutage kann sich auch keiner mehr damit rausreden, das es ein neues Phänomen ist.
Poati schrieb:
Deine Kritik an Zertifikaten und Mindestvorgaben sind berechtigt, leider hat man bisher keine bessere Lösung gefunden.
Mindestvorgaben sind ja auch nichts schlechtes. Aber wenn, dann halt nicht in der Form Wär schön, wenn ihr das hättet, sondern verpflichtend. Dann hätte man auch ne Basis auf der man weitergehende Sicherheitsmaßnahmen implementieren kann.
Haben wir ja in anderen Bereichen auch. Wenn Du was mit Lebensmitteln machst (Gastwirtschaft etc.) musst Du ja auch verpflichtend Mindestanforderungen z.B. bezüglich Hygiene erfüllen.
Poati schrieb:
Institutionen jeglicher Art handeln immer nach dem Prinzip, was ist genug wenn es um solche Fragen geht.
Naja. Aber das muss ja nicht notwendigerweise so sein. Außerdem gibts ja viele Möglichkeiten etwas zu verbessern. Das BSI könnte ja zum Beispiel sich um Open-Source-Software kümmern und/oder auch dafür sorgen, das die einer Qualitätsprüfung unterzogen wird etc.
So könnte man einerseits beispielsweise ne gesetzliche Vorgabe haben, das Kommunikation verschlüsselt ablaufen muss und dafür auch sichere Verfahren eingesetzt werden (und nicht etwa irgendwie was selbstzusammengefrickeltes) und das BSI kümmert sich darum, diese bereitzustellen oder von mir aus auch sowas wie LibreSSL zu auditieren.
Also jetzt nur mal als primitives Beispiel, was man noch so machen könnte.
Poati schrieb:
Außerdem kann es genauso in übertriebenen Maßnahmen enden.
Ja. Definitiv. Und Sicherheit ist natürlich nicht das einzige Ziel. Das liegt aber auf der Hand durch den einfachen Gedankengang: Die sicherste IT hätte man, in dem man gar keine IT hat.
Poati schrieb:
Als obere Bundesbehörde werden hoheitliche Aufgaben für den Staat ausgeübt. Am besten ließe sich die Wirksamkeit vielleicht noch messen indem man die Aufgaben mal auf Eis legt. Das ist aber aus vielerlei anderen Gründen schwierig.
Ja. Ich will mich jetzt auch gar nicht zu sehr an der Messbarkeit aufhängen.
Aber natürlich ist eine gewisse Evaluation wünschenswert.
Das Grundproblem in der IT ist, das es eben nicht so genau festgelegt ist.
Wir haben ja auch in anderen Bereichen (Sicherheits-)Standards. Regelungen zur Produktsicherheit, damit wenn Du ein Stecker in die Steckdose steckst nicht ein Schlag bekommst, weil da irgendwelche stromführenden Leiter blank rumliegen usw.
Für solche Dingen lassen sich leichter irgendwelche Standards setzen, weil die Problematiken konkret sind sich recht genau definieren lässt, wie ein sicheres Produkt aussehen muss.
IT ist da sehr viel schwammiger. Jeder hat individuelle Anforderungen und eine individuelle Ausgestaltung und das macht es dann schwierig, wenn man das mit einem Standard fassen will. Man kann natürlich Teilbereiche davon abdecken. Wie mit dem Verschlüsselungsbeispiel, wo man z.B. anerkannt sichere Verschlüsselungsstandards hat. Aber so das Große Ganze kriegt man nicht eingefangen oder es endet dann in komplexen und allgemein gehaltenen und damit schwer verständlichen Standards.
Außerdem ist es ein sehr dynamisches Feld dem Du mit festgezurrten Regelungen nur begrenzt beikommen kannst.
Poati schrieb:
Abschließend möchte ich nochmal betonen, dass die Leute da keine einfachen Aufgaben haben und in meinem Umfeld die Behörde sehr wohl geschätzt wird und viele Angebote gern gesehen und genutzt werden.
Das ist ja auch ok und das will ich auch niemanden wegnehmen oder so.
