Poati schrieb:
Das ist eben nicht ganz einfach. Du möchtest wahrscheinlich Zahlen im Sinne "durch Angebot XY des BSI hat sich das Sicherheitsniveau an dieser oder jener Stelle erhöht?"
Naja. Sagen wir mal so. Zum Beispiel im Medikamentenbereich haben wir Studien, die belegen sollen, ob eine Medikament wirkt oder nicht (oder nicht sogar negative Auswirkungen hat).
Das kann für den Einzelfall natürlich immer noch bedeuten, das es nicht funktioniert oder unerwünschte Nebenwirkungen auftreten. Aber gemittelt sieht man doch einen positiven Effekt.
Ein Wirksamkeitsnachweis für irgendein Zertifikat wäre also: Wird ein zertifiziertes Unternehmen im Mittel weniger "gehackt" als ein nicht Zertifiziertes.
Poati schrieb:
Du könntest genauso mal erklären, warum du keinen Nutzen in all diesen Angeboten siehst.
Die Kritik an solchen Sachen ist nicht, das da totaler Quatsch drin steht. Meine Kritik daran ist, das dies Mindestanforderungen darstellt.
Und nun kann man natürlich sagen das Mindestanforderungen zu erfüllen immer noch besser ist als gar nichts zu haben. Das ändert aber nichts daran, das das immer noch ungenügend ist. Das sehen wir ja auch daran, das selbst Unternehmen/Institutionen "gehackt" werden, die über irgendwelchen Mindestanforderungen liegen.
Das bestreben muss also sein nicht irgendwelche Mindestlevel zu erfüllen, sondern das Maximum rauszuholen.
Und dann kommen wir direkt zum nächsten Problem. Solch ein Sicherheitsanforderungskatalog ist natürlich immer sehr allgemein gehalten und geht nie auf die spezifischen Situation des konkreten Unternehmens ein. Geht ja auch gar nicht.
Jedenfalls führt das dann dazu, das dann spezifische Sicherheitsmaßnahmen die relativ viel bringen würden aus den Augen verloren werden weil die Ressourcen dahin fließen lediglich Sicherheitsanforderungskatalog zu erfüllen und die fehlt dann an anderer Stelle wo es um konkrete Sicherheit geht.
Und Sicherheit in Unternhmen ist ohnehin ein schwieriges Thema, weil Sicherheit ja zum eigentlichen Produkt nichts beiträgt und aus Sicht des Unternehmers/Vorstands ein Kostenfaktor und notwendiges Übel ist. Die haben also das Bestreben die Kosten möglichst zu minimieren und das Nötigste zu machen.
Für alle Beteiligten ist daher die Verführung besonders groß nur das absolut Notwendigste zu tun und gleichzeitig aber ne Rechtfertigung zu haben, wenn was schief geht. Wenn was passiert, kann sich der Admin immer damit rausreden, das es ja das Zertifikat gab und man ja sein "möglichstes getan" hat.
Außerdem kann man sich mit so einem Zertifikat auch gut nach außen hin schmücken: "Seht mal her, ihr Kunden. Wir sind zertifiziert!"
Der ganze Zeritifkatszirkus führt also vor allem dazu, das alle Seiten damit leben können und nicht, das man da bestmögliche Sicherheit hat.
Poati schrieb:
Noch mal ein Wort zum BSI:
Ich sehe auch nicht, das da das BSI grundsätzlich besser machen könnte. Klar gibts immer Verbesserungspotential aber die sind ja politischen Vorgaben unterworfen und können nur in diesem Rahmen agieren. Insofern trifft die ja keine (wie auch immer geartete) Schuld und man kann sicherlich auch die Meinung vertreten, das die unter den gegebenen Umständen ziemlich viel rausholen.
Deswegen will ich an der Stelle noch mal betonen, das meine Kritik nicht primär ans BSI geht.
Poati schrieb:
Wenn du das mit zentraler Organisation meinst.
Der schwierige Punkt ist, wenn mein Kram irgendwo zentralisiert liegt, ist das ja auch ein attraktives Angriffsziel. Wenn man das knackt, hat man auch ein großen Impact.
Bei Cloudbetreibern kommt noch hinzu, das da nicht nur meine Sachen liegen, sondern auch die Sachen von anderen Unternehmen. Das macht das Angriffsziel, um zum Beispiel Daten abzugreifen, sogar hochattraktiv.
Die von Dir angesprochene Redundanz vergrößert das Problem noch, weil dann - jetzt mal vereinfacht gesagt - nicht nur ein Rechenzentrum dem Angriffsrisiko ausgesetzt ist, sondern Zwei (oder noch mehr).
Poati schrieb:
"die großen werden aber auch gehackt"
Meine Aussage war ja nicht: "Die Großen werden auch gehackt". Meine Aussage war, das selbst wenn man Firmen die über irgendwelchen Mindeststandards liegt 'gehackt' werden. Und das es daher kein sinnvolles Ziel sein kann lediglich irgendwelche Mindestanforderungen zu erfüllen, sondern am besten alles was machbar ist.
Und ja. 100%ige Sicherheit gibt es nicht. Und ein Ideal wird man natürlich in der Praxis auch nicht erreichen.
Aber man sollte es zumindest anstreben.
Poati schrieb:
Hat aber auch alles keinen Nutzen, richtig?
Ich verstehe nicht ganz, warum Du mir das unterstellst, obwohl ich das schon an mehreren Stellen richtig gestellt habe. Ist das so ein innerer Zwang gegen den Du Dich nicht wehren kannst oder so? :-)