Diskussionen

• HLemke SV ist dagegen

  +4

  Die Idee widerspricht so ziemlich allen rechtsstaatlichen Prinzipien und geltendem Recht, z.B. Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme sowie §§ 202a, 202b StGB (nicht abschließend aber ausreichend für Ablehnung)

  22. April 2011 13:51 · melden

  • cschoen

    +1

    Die Schutzverantwortung des Staates und die Sicherung der Wahrnehmbarkeit hoheitlicher Aufgaben wiegen hier meines Erachtens schwerer. Die Natur dieser Tests wäre eher mit einem Manöver oder einer Katastrophenschutzübung (bei der der Verweis auf Brandstiftung ja auch nicht zur Ablehnung reicht,) zu vergleichen.

    29. Mai 2011 15:03 · melden

• pauleduard ist dagegen

  +1

  Vorschlag zur Entschärfung der rechtlichen Brisanz

  In der Projektgruppe „Zugang, Struktur und Sicherheit im Netz“ hat paukeduard mit der „Ertüchtigung des Artefakttransports im Internet“ einen entsprechenden Vorschlag gemacht. Dieser Vorschlag sieht vor, dass die im Netz zu transportierenden Artefakte (Daten(ströme) etc) in ihren Eigenschaften so ertüchtigt werden, dass aus den Artefakten selbst erkannt werden kann, ob sie authentisch und korrekt sind. Ein Empfänger im Netz kann dann jedes an ihn gerichtete Artefakt prüfen und ggf. zurückweisen. Sicherheitskontrollen von Seiten des Staates sind nicht erforderlich. pauleduard

  10. Juli 2011 22:12 · melden

• Jonas ist dagegen

  +1

  Sie wollen allen ernstes ein Behörde schaffen, welche zufällige Sicherheitstests durchführt? Angesichts dieses Vorschlages zweifel ich ein wenig daran, ob Sie jemals einer Behörde einen Besuch abgestattet haben. Damit solche Konstrukte ordentlich funktionieren ist es in unserem Land, soweit mir bekannt, üblich Vorschriften, über Regeln, über Standards anzuhäufen um eine reibungsloses Agieren zu gewährleisten. Und genau dort sehe ich einen starken Kritikpunkt, kaum etwas entwickelt sich so schnell weiter wie Technik und Software, mit welchem Aufwand wollen sie durchgehend die Vorschriften ändern um sich auf die ständig verändernde Struktur einzustellen? Die Alternative wäre sicherlich die Vorschriften und den behördlichen Apperat aussen vor zu lassen, was um Längen flexibler wäre, allerdings birgt dies wieder ein hohes Missbrauchspotential, zumindest in meinen Augen.

  28. Juni 2011 18:53 · melden

• Autolykos

  +1

  Ist nicht die Aufgabe des Staates. Wie die Sicherheit gewährleistet wird, ist den Anbietern überlassen (wenn sie dabei schlampen, sind sie aber möglicherweise für Schäden haftbar). Dieser Vorschlag wäre das selbe wie wenn die Polizei/Feuerwehr in Banken einbrechen (oder Häuser anzünden) würde um zu testen ob diese sicher sind. Von praktischen Problemen mal abgesehen ist das sicher nicht verhältnismäßig.

  4. Juni 2011 21:21 · melden

  • FlorianEbnet

    +2

    Eine Behörde, die wild in der Gegend herumhackt und -crackt, wird wohl weder zulässig noch zielführend sein.

    Es gibt aber durchaus "analoge" Beispiele für unangekündigte staatliche Kontrollen für bestimmte Rechtsbereiche. Ob das nun die Kontrolldienste der Gesundheitsämter sind, die LKW-Kontrollen des Bundesamts für Güterverkehr, oder feuerpolizeiliche Kontrollen, oder die Kontrollen der Aufsichtsbehörden für Krankenhäuser und Pflegeeinrichtungen. Es wäre also durchaus denkbar, dem BSI oder einer anderen Behörde Kompetenzen zur Prüfung der Sicherheit und des ordnungsgemäßen Betriebs von EDV-Anlagen in Behörden und bestimmten kritischen Unternehmen zu übertragen. Dies setzt aber voraus, dass für diese Bereiche stringente Vorschriften über die notwendigen Schutzmaßnahmen bestehen.

    Ich stehe dem Vorschlag - vor allem in der derzeitigen Fassung - neutral bis vorsichtig ablehnend gegenüber, aber ein durchaus ernstzunehmender Denkanstoß steckt schon darin.

    4. Juli 2011 14:45 bearbeitet · Historie · melden

• kichkasch ist dagegen

  +1

  Sicherheit der Infrastrukturen sollte weit mehr sein als nur die Ergebnisse aus Penetrationstest an diese zurückzuspiegel - ich stimme keineswegs zu, dass (wie im Hintergrund beschrieben) dies die einzige Möglichkeit zur Gewinnung von Informationen über Sicherheitsstandards darstellt. Derartige Angriffe ließen doch letztendlich nur (begrenzt) Rückschlüsse auf Sicherheitsmaßnahmen technischer Natur zu. Wie darauf auf Standards geschlossen werden soll, ist äußerst unklar. Zudem wird der (keineswegs weniger prioritäre) Aspekte von Management von Sicherheit, Organsation, Personalien etc. vollständig ausgeklammert. Warum auch gerade unangekündigt? Einerseits können auch angekündigte Pen-Tests das Bewusstsein heben; anderereseits können bei tatsächlich bestehenden Problemen (Risikoabwägung) unangekündigte Tests gerade in diesen Bereichen zu schwerwiegenden Auswirkungen führen.

  Weiterhin sollte man auch immer die Finanzierbarkeit im Hinterkopf behalten. Eine derartige Einheit müsste ja Spezialisten beherbergen (mögliche Stellen sind oben ja bereits aufgeführt) - wie wäre zu rechtfertigen, dass hier der Staat quasi Penetrationstest für Unternehmen finanziert?

  25. April 2011 17:05 · melden

  • cschoen

    +1

    Penetrationstests sind nicht die einzige Möglichkeit die Sicherheit zu verbessern. Aber sie sind einfach, günstig und entlarven Fehler in designten Sicherheitskonzepten. Zudem schärfen sie das Problembewußtsein.

    Zur Finanzierbarkeit: Warum sollte der Staat den Unternehmen dann so teure Dienstleistungen wie Feuerwehr, Rechtssicherheit, Infrastrukturversorgung zur Verfügung stellen?

    29. Mai 2011 15:13 · melden