IT-Security per Gesetz? Eine Polemik.
Ok, das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI, nicht zu verwechseln mit BSE) befindet sich gelegentlich in einem Morphischen Feld, das verhindert einen klaren Bezug zur Realität herzustellen. Das es aber mit BSI-Präsident Dr. Udo Helmbrecht so rapide abwärts geht, war nicht abzusehen.
In einem Interview von Technology Review sagte er laut Heise in einem Interview:
- „Wenn das im Wettbewerb und auf freiwilliger Basis funktioniert, brauchen wir keine gesetzlichen Regelungen. Wenn man allerdings sieht, dass man Themen wie Phishing oder Trojaner oder Bot-Netze kurzfristig nicht in den Griff bekommt, dann muss man sich andere Schritte überlegen“, sagte Helmbrecht. Ebenso stelle sich die Frage, ob das BSI eine Art Revisionsrecht bekommen sollte, „um nachzuschauen, ob das, was gemacht werden sollte, wirklich gemacht wird“.
Oder anders ausgedrückt, Helmbrecht hätte gerne eine gesetzliche Regelung die es Unternehmen in der freien Wirtschaft vorschreibt, welche IT-Sicherheitsmaßnahmen notwendig und zweckführend sind und das BSI würde dann zu einer Mammutbehörde ausgebaut, die das dann alles kontrollieren sollte.
Ich will mir das gar nicht weiter ausmalen. Alleine die weltfremde Sicht, dass eine „kleine Institution“ (PDF) mit drei Mitarbeitern ihre IT-Sicherheit nach BSI Grundschutz organisieren soll ist so 100% daneben, das kann sich nur ein Beamter einer Behörde ausdenken, die seit Jahren nicht mehr mit realen IT-Abteilungen zu tun hatte. Vermutlich würde die Helmbrecht’sche IT-Sicherheit verlangen, nur noch BSI-zertifizierte Firewalls (z.B. GeNUA, die Kisten sind so sicher, die muss man neu booten wenn man eine Regel oder das Routing ändert, damit niemand im laufenden Betrieb daran herumfummeln kann … ich stelle mir das gerade in einer echten Produktivumgebung vor!), BSI-zertifizierte Virenscanner (gibt es leider nicht, macht aber nichts), BSI-zertifizierte IPS (gibt es auch nicht) und BSI-zertifizierte Hacking-Tools (die dann hoffentlich vor dem § 202c schützen).
Ist das BSI zufällig auch für die IT-Sicherheit im Bundeskanzleramt zuständig? Dann ist mir das mit den chinesischen Trojanern die jetzt unter Verschluss gehalten werden auch klar. Wahrscheinlich plant Herr Dr. Helmbrecht IT-Sicherheit nach dem Monte Carlo Verfahren zu implementieren … naja, damit kennt er sich ja aus.
Kommentare gesperrt wegen Spam
Comment by Christian — 7. Juni 2012 @ 09:51