[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [Fwd: Sitzt ein Beamter am Computer...]

To: debate@fitug.de
Subject: Re: [Fwd: Sitzt ein Beamter am Computer...]
From: Rudolf Schreiner <ras@muc.de>
Date: Thu, 18 Jun 1998 16:28:14 +0200 (MET DST)
Comment: This message comes from the debate mailing list.
In-Reply-To: <3588BC5B.6DF9@aonix.de>
Sender: owner-debate@fitug.de

On Thu, 18 Jun 1998, Melanie Angele wrote:

> Es gibt sogar 2 Buecher, das IT-Grundschutzhandbuch und das
> IT-Sicherheitshandbuch. Und das IT-Sicherheitshandbuch enthaelt
> anscheinend eine ganz brauchbare Methodik zur Erstellung einer
> Security Policy (weiss jemand, ob das irgendwo online ist ? das
> IT-Grundschutzhandbuch ist auf den Webpages des BSI ...). Mit
> dem Hintergedanken, dass es halt keine Security Policy "out of the
> box" geben kann sondern sie firmenspezifisch zu erstellen ist.

Ja, aber die firmenspezifische Policy, der ganze Sicherheitsprozess, ist 
teuer. Und da Sicherheit "keine Pappschachteln produziert", wie mal 
jemand zu mir gesagt hat, wird oft ein bisschen abgekuerzt. Daraus ist 
dann das Grundschutzhandbuch entstanden: Man hat angenommen, dass die 
Anforderungen und die Bedrohungen in einer typischen Behoerde ziemlich 
aehnlich sind. Basierend darauf hat man einen Massnahmenkatalog erstellt, 
mit dem eine Durchschnittsbehoerde auf ein halbwegs akzeptables 
Sicherheitsniveau gebracht werden kann. Genau das ist das 
Grundschutzhandbuch, das man dem diesem Behoerden-Admin dringend 
empfehlen sollte.

> Erschreckender ist, dass auf Basis des englischen "Standards" 
> BS7799 der internationaler Standard (und das soll wirklich ein Standard
> werden) etabliert werden soll. Und Deutschland schaut da einfach zu, 
> dabei hat der BSI was besseres :( ...

BS7799 hat einen Riesenvorteil: Es ist ein duennes Heftchen. Die meisten 
Leute lesen lieber duenne Heftchen als dicke Buecher...
Sonst ist es in der Tat nicht allzu toll.
Gefaehrlich an BS7799 ist, dass danach auch zertifiziert werden 
soll. (Irrsinn!! Wie soll das gehen?) Es soll also gelten: "Bist Du 
BS7799-zertifiziert, dann trau ich Dir und wir machen ein ExtraNet."  :-(#

Das schlimme an der ganzen Angelegenheit ist, dass IT Sicherheit bei 
Behoerden und Unternehmen fuer uns alle eine sehr grosse Rolle spielt. 
Bei den Unternehmen geht es letzlich um Arbeitsplaetze, aber auch um 
intime Daten (Banken, Versicherungen usw.). Richtig uebel wird aber der 
unbefugte Zugriff auf die staatliche Verwaltung. (Der befugte Zugriff ist 
manchmal auch ein Problem...) Der Staat sammelt immer mehr Daten und 
schafft sich immer mehr Zugriffsmoeglichkeiten, kann aber andererseits 
auf diese Daten nicht gescheit aufpassen, siehe z.B. den SIS-Fall. 
Da kommen froehliche Zeiten auf uns zu... :-(#

Rudi

References:
- Re: [Fwd: Sitzt ein Beamter am Computer...]
  - From: Melanie Angele <mel@aonix.de>

Prev by Date: AP: "mit Bankvorstaenden einfacher ueber Linux reden als mit Gewerkschaftsbonzen"
Next by Date: Re: zur TkÜVO
Prev by thread: Re: [Fwd: Sitzt ein Beamter am Computer...]
Next by thread: Re: [Fwd: Sitzt ein Beamter am Computer...]
Index(es):
- Date
- Thread