[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [Fwd: Sitzt ein Beamter am Computer...]
- To: debate@fitug.de
- Subject: Re: [Fwd: Sitzt ein Beamter am Computer...]
- From: Rudolf Schreiner <ras@muc.de>
- Date: Thu, 18 Jun 1998 16:28:14 +0200 (MET DST)
- Comment: This message comes from the debate mailing list.
- In-Reply-To: <3588BC5B.6DF9@aonix.de>
- Sender: owner-debate@fitug.de
On Thu, 18 Jun 1998, Melanie Angele wrote:
> Es gibt sogar 2 Buecher, das IT-Grundschutzhandbuch und das
> IT-Sicherheitshandbuch. Und das IT-Sicherheitshandbuch enthaelt
> anscheinend eine ganz brauchbare Methodik zur Erstellung einer
> Security Policy (weiss jemand, ob das irgendwo online ist ? das
> IT-Grundschutzhandbuch ist auf den Webpages des BSI ...). Mit
> dem Hintergedanken, dass es halt keine Security Policy "out of the
> box" geben kann sondern sie firmenspezifisch zu erstellen ist.
Ja, aber die firmenspezifische Policy, der ganze Sicherheitsprozess, ist
teuer. Und da Sicherheit "keine Pappschachteln produziert", wie mal
jemand zu mir gesagt hat, wird oft ein bisschen abgekuerzt. Daraus ist
dann das Grundschutzhandbuch entstanden: Man hat angenommen, dass die
Anforderungen und die Bedrohungen in einer typischen Behoerde ziemlich
aehnlich sind. Basierend darauf hat man einen Massnahmenkatalog erstellt,
mit dem eine Durchschnittsbehoerde auf ein halbwegs akzeptables
Sicherheitsniveau gebracht werden kann. Genau das ist das
Grundschutzhandbuch, das man dem diesem Behoerden-Admin dringend
empfehlen sollte.
> Erschreckender ist, dass auf Basis des englischen "Standards"
> BS7799 der internationaler Standard (und das soll wirklich ein Standard
> werden) etabliert werden soll. Und Deutschland schaut da einfach zu,
> dabei hat der BSI was besseres :( ...
BS7799 hat einen Riesenvorteil: Es ist ein duennes Heftchen. Die meisten
Leute lesen lieber duenne Heftchen als dicke Buecher...
Sonst ist es in der Tat nicht allzu toll.
Gefaehrlich an BS7799 ist, dass danach auch zertifiziert werden
soll. (Irrsinn!! Wie soll das gehen?) Es soll also gelten: "Bist Du
BS7799-zertifiziert, dann trau ich Dir und wir machen ein ExtraNet." :-(#
Das schlimme an der ganzen Angelegenheit ist, dass IT Sicherheit bei
Behoerden und Unternehmen fuer uns alle eine sehr grosse Rolle spielt.
Bei den Unternehmen geht es letzlich um Arbeitsplaetze, aber auch um
intime Daten (Banken, Versicherungen usw.). Richtig uebel wird aber der
unbefugte Zugriff auf die staatliche Verwaltung. (Der befugte Zugriff ist
manchmal auch ein Problem...) Der Staat sammelt immer mehr Daten und
schafft sich immer mehr Zugriffsmoeglichkeiten, kann aber andererseits
auf diese Daten nicht gescheit aufpassen, siehe z.B. den SIS-Fall.
Da kommen froehliche Zeiten auf uns zu... :-(#
Rudi