News Zitis: Kommission könnte künftig Sicherheitslücken bewerten

[Andy]

Einhergehend mit der offiziellen Eröffnung von Zitis stellt sich mehr denn je die Frage, wie deutsche Behörden mit Sicherheitslücken umgehen sollen. Im Gespräch ist nun eine Kommission nach amerikanischem Vorbild, berichtet die Süddeutsche Zeitung.

Zur News: Zitis: Kommission könnte künftig Sicherheitslücken bewerten

 

[Alefthau]

Hi,

Analogie zu Sicherheitslücken eines Hauses:

Ok, die Fenster sind nicht sicher, wir geben mal besser ne Warnung raus!

Hmm, die Seitentür zum Keller ist leicht zu öffnen, kommen nur wenige Einbrecher drauf, lass das mal ne weile Ausnutzen!

Oo

Gruß

Alef

 

[Shririnovski]

Bewerten von Sicherheitslücken. Wahrscheinlich brauchts da noch zig Qualifikationen um den Job machen zu können. Dabei ist es ganz einfach: Sicherheitslücke ja? Fazit: Kritisch. Immer.

Und für so nen Quark zahlt man dann noch Steuern.

 

[rob-]

Vor allem klopfen sich dafür die Demokraten auf die Schulter. Privat wandert man für so etwas direkt hinter Gitter, aber wenn es der Staat macht ist es ok.

 

[cruse]

Wie wollen die da noch was geheimhalten?
Lächerliche Idee.

 

[basilisk86]

Genau wie mit dem töten von Menschen.

Mach das privat, bist der größte Verbrecher schlechthin.

Mach das unter der Flagge eines Staates, bekommst dann noch nen Orden dafür.

 

[Sensei21]

Warum tun wir uns eigentlich das ganze an ?

Government Explained

Government Explained 2: The Special Piece of Paper


Sieht man ja, was die ganze Geheimhaltung bzw. das NICHT-Schließen von Sicherheitslücken bringt:

WannaCry, AfterMidnight, Assassin, PsSetLoadImageNotifyRoutin und das andere Gedöns

http://thehackernews.com/2017/05/windows-malware-framework.html

https://www.forbes.com/sites/thomas...r-wannacry-ransomware-nightmare/#787e0d1a3585

 

[Pandora]

Mach das privat, bist der größte Verbrecher schlechthin.

Mach das unter der Flagge eines Staates, bekommst dann noch nen Orden dafür.

Das ist Schwachsinn, erschießt der Jäger den Terroristen bekommt er auch einen Orden. Und Soldaten handeln mehr oder minder in Notwehr da sich beide Seiten gegenseitig beschießen.

 

[Axxid]

Die ganze Existenz einer solchen Behoerde basiert darauf, Sicherheitsluecken zu finden und auszunutzen.
Verbiete ich solch einer Behoerde also Luecken "fuer sich zu behalten" kann ich mir den ganzen Kasten sparen. Und jetzt kommen 5 Kommentare, dass man so etwas ja sowieso nicht braucht (wie die Bundeswehr oder Polizei) und man das Geld besser in Schulen investieren sollte. Denkt doch an die Kinder!

 

[Dr. MaRV]

Es geht darum, dass man den Menschen immer wieder und permanent eintrichtert, zum Wohle und der Sicherheit aller, müssen wir unsere Bürgerrechte ein Stück weit aufgeben, ebenso unser recht auf Privatsphäre. Jetzt kommt eine Behörde auf den Plan, die die Sicherheit aller schwächt um die Sicherheit aller zu erhöhen?! Ich begreife nicht wie dämlich unsere Bevölkerung mittlerweile schon geworden ist.

 

[KTelwood]

Wieso bezahlt man den Firmen/Entwicklern/Hackern nicht eine Abwrackprämie für Sicherheitslücken ? Das wäre zumindest sinnvoller als wenn ein paar Sesselfurzer noch mehr Referenten binden, die ihnen Erklären wie schwerwiegend eine Lücke ist.

 

[Madman1209]

Hi,

Unabhängige Experten sollen bewerten, ob der Staat eine Sicherheitslücke ausnutzen kann oder das Risiko zu groß ist.

jede Sicherheitslücke, die für Zitis nützlich wäre, um z.B. remote code auszurühren oder einzuschleusen ist doch automatisch auch von jedem anderen Angreifer auf die selbe Art und Weise nutzbar. Ergo: birgt ein immenses Risiko und müsste also gemeldet werden. Dann kann Zitis aber eben auch gleich wieder zusperren (was ich begrüßen würde).

Das wird also definitiv nicht passieren. Man kann nur hoffen, dass sich die wirklich fähigen Leute nicht von so einem Laden Honig um den Bart schmieren lassen. Aber nachdem das eine staatliche Unternehmung ist und dementsprechend wenig "Honig" bietet sehe ich dem noch einigermaßen gelassen entgegen.

In meinen Augen trotzdem unhaltbarer Standpunkt, den Zitis und auch die Regierung hier vertritt.

VG,
Mad

 

[KTelwood]

Wieso denn "Wenig" ? Wer "irgendwas mit Computern" kann, kann in dem Laden anfangen, Beamter werden und bekommt damit bis zum Lebensende HartzIV auf einem Niveau von mindestens 3600 Euro Brutto. Nur eben ohne Arbeiten zu müssen, garantierte Beförderung und Gehaltserhöhung, feste Arbeitszeiten, Private Krankenversicherung und ein Rentenniveau von 70%, Dank Pensionsansprüchen.

Doof+Faul ist ja nicht so schlimm.

Das zieht natürlich auch sehr gefährliche Leute an, nämlich diejenigen die das als Sprungbrett nutzen wollen, also dumm und ehrgeizig.

 

[Madman1209]

Hi,

Wieso denn "Wenig" ?

weil du als fähiger ITler und Programmierer deutlich mehr im freien Markt verdienst. Deutlich mehr!

Wer "irgendwas mit Computern" kann, kann in dem Laden anfangen

wie schon geschrieben: wegen diesen Leuten mache ich mir auch keine Sorgen. Die wirklich guten ITler sind die, von denen da eine Gefahr ausgehen würde. Und die machen soweit ich das sehe einen Bogen um Zitis.

Vor allen Dingen ist ja auch nicht gesichert, dass du bei Zitis automatisch verbeamtet wirst, zumindest habe ich das nirgends so gelesen. Oder gibt es dazu neuere Infos?

VG,
Mad

 

[fireblade_xx]

Das mit den Gehältern ist immer so ne Sache. Klar ist fer TVöD per se nicht vergleichbar mit IG Metall, aber als Master kommt man da auch auf 80k ohne Führung.

Nach meiner eigenen Erfahrung ist es heute in der freien Wirtschaft auch nicht gerade einfach auf so ein Gehalt zu kommen. Wenn es strategisch sinnvoll ist Erfahrungen zu sammeln und Zertifikate zu erhalten, warum nicht für ein paar Jahre und mal schauen.

Als ob jeder studierte Informatiker automatisch über 60k im Jahr verdient... was manche für eine Vorstellung haben.

PS: Es werden immer gerne Ausreiser nach oben als leuchtendes Beispiel genommen und verallgemeinert. Ich kenne auch einige von denen, der Durchschnitt sieht aber anders aus.

 

[Madman1209]

Hi,

Als ob jeder studierte Informatiker automatisch über 60k im Jahr verdient... was manche für eine Vorstellung haben.

erstens spreche ich nicht von "jeder", sondern von den richtig guten Leuten. Zweitens verdienen die das definitiv - vielleicht nicht unmittelbar nach dem Studium, aber mit 3600 gehen wirklich gute Leute selbst da nicht nach Hause (bei uns in der Firma waren es unmittelbar nach Uni bei Master Abschluß 4000 Brutto). Und drittens kann man das als guter ITler mit ein paar Jahren Berufserfahrung sogar ohne Studium verdienen.

Nochmal: mir geht es nicht um den Durchschnitt - mir geht es um wirklich gute und herausragende Leute. Genau solche braucht Zitis. Lieschen Müller mit einem Bachelor in Wirtschaftsinformatik bringt dir an so einer Front, an der Zitis da arbeiten will, nicht viel. Da brauchst du Hardcore-Nerds, die mit dem Linux-Handbuch in der Hand groß geworden sind. Sonst könnte das ja jeder machen, was Zitis da vor hat.

Und genau diese Speerspitze an IT Sachverstand hat in aller Regel

a) eh grundsätzlich ein Problem, überhaupt für den Staat arbeiten zu wollen und
b) in der freien Wirtschaft genug Angebote

Das war meine Aussage. Nicht "jeder Bachelor in irgendwas mit Informatik verdient auf dem freien Markt sofort 80k Euro im Jahr"...

Der Durchschnitt ist weder das, was Zitis wirklich braucht noch etwas, vor dem ich als ITler Angst hätte.

VG,
Mad

 

[fireblade_xx]

Dem kann ich mich nur anschließen. Bin irgendwie bei den „irgendwas mit Computer“ hängengeblieben Interessant ist, dass die Zitis stellen augenscheinlich eine Entgeltgruppe unter dem BSI stehen. Beim BSI wird mit Master 13/14 bezahlt, bei Zitis ist mit 13 Schluss. Zulagen wären natürlich interessant aber die eh schon raren Leute wird es nicht locken.

Interessant wäre es, ob die mal über ihre dämliche Gruppierung von formalen Abschlüssen hinwegkommen. Also die Laufbahnzuordnung.

 

[chithanh]

Wenn die Zentrale Stelle für Informationstechnik im Sicherheitsbereich – wie Zitis mit vollem Namen heißt – Technologien wie den Staatstrojaner entwickeln soll, muss die Behörde zwangsweise Sicherheitslücken ausnutzen. Nur so lässt sich die staatliche Malware in die Geräte der Verdächtigen einschleusen

Schon wieder verbreitet ihr so einen Unsinn, hatte ich doch neulich erst darauf hingewiesen.

Aktuelles Beispiel: FinFisher: Internetprovider schieben Spitzelopfern Malware unter

Laut ESET sind für die beschriebene Strategie weder ein Zero-Day-Exploit, wie er kürzlich im Zusammenhang mit FinFisher beobachtet wurde, noch Administratorenrechte nötig.

 

[R4Z3R]

Wenn du nicht mehr weiter weist, gründe einen Arbeitskreis.