{"id":411,"date":"2007-12-21T18:42:25","date_gmt":"2007-12-21T16:42:25","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/411-it-security-per-gesetz"},"modified":"2025-04-05T23:02:54","modified_gmt":"2025-04-05T21:02:54","slug":"it-security-per-gesetz","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/411-it-security-per-gesetz","title":{"rendered":"IT-Security per Gesetz?"},"content":{"rendered":"<p>IT-Security per Gesetz? Eine Polemik.<\/p>\n<p>Ok, das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (kurz BSI, nicht zu verwechseln mit BSE) befindet sich gelegentlich in einem <a href=\"http:\/\/www.thediscworld.de\/index.php\/Scheibenwelt\">Morphischen Feld<\/a>, das verhindert einen <a href=\"\/blog\/31-bsi-grundschutz-fur-eine-kleine-organisation\">klaren Bezug zur Realit\u00e4t<\/a> herzustellen. Das es aber mit <a href=\"http:\/\/www.bsi.de\/bsi\/praesident.htm\">BSI-Pr\u00e4sident Dr. Udo Helmbrecht<\/a> so rapide abw\u00e4rts geht, war nicht abzusehen.<\/p>\n<p>In einem <a href=\"http:\/\/www.presseportal.de\/pm\/51879\/1105123\/technology_review\/\">Interview von Technology Review<\/a> sagte er laut <a href=\"http:\/\/www.heise.de\/newsticker\/meldung\/100860\">Heise<\/a> in einem Interview:<\/p>\n<ul>&#8222;Wenn das im Wettbewerb und auf freiwilliger Basis funktioniert, brauchen wir keine gesetzlichen Regelungen. Wenn man allerdings sieht, dass man Themen wie Phishing oder Trojaner oder Bot-Netze kurzfristig nicht in den Griff bekommt, dann muss man sich andere Schritte \u00fcberlegen&#8220;, sagte Helmbrecht. Ebenso stelle sich die Frage, ob das BSI eine Art Revisionsrecht bekommen sollte, &#8222;um nachzuschauen, ob das, was gemacht werden sollte, wirklich gemacht wird&#8220;.<\/ul>\n<p>Oder anders ausgedr\u00fcckt, Helmbrecht h\u00e4tte gerne eine gesetzliche Regelung die es Unternehmen in der freien Wirtschaft vorschreibt, welche IT-Sicherheitsma\u00dfnahmen notwendig und zweckf\u00fchrend sind und das BSI w\u00fcrde dann zu einer Mammutbeh\u00f6rde ausgebaut, die das dann alles kontrollieren sollte.<\/p>\n<p>Ich will mir das gar nicht weiter ausmalen. Alleine die weltfremde Sicht, dass eine &#8222;<a href=\"http:\/\/www.bsi.bund.de\/gshb\/deutsch\/hilfmi\/profil_kl_institution.pdf\">kleine Institution<\/a>&#8220; (PDF) mit drei Mitarbeitern ihre IT-Sicherheit nach BSI Grundschutz organisieren soll ist so 100% daneben, das kann sich nur ein Beamter einer Beh\u00f6rde ausdenken, die seit Jahren nicht mehr mit realen IT-Abteilungen zu tun hatte. Vermutlich w\u00fcrde die Helmbrecht&#8217;sche IT-Sicherheit verlangen, nur noch BSI-zertifizierte Firewalls (z.B. <a href=\"http:\/\/www.genua.de\/produkte\/firewall\/index.html\">GeNUA<\/a>, die Kisten sind so sicher, die muss man neu booten wenn man eine Regel oder das Routing \u00e4ndert, damit niemand im laufenden Betrieb daran herumfummeln kann &#8230; ich stelle mir das gerade in einer echten Produktivumgebung vor!), BSI-zertifizierte Virenscanner (gibt es leider nicht, <a href=\"\/blog\/213-ccc-camp-antivirus-insecurity\">macht aber nichts<\/a>), BSI-zertifizierte IPS (gibt es auch nicht) und BSI-zertifizierte Hacking-Tools (<a href=\"http:\/\/www.bsi.de\/produkte\/boss\/index.htm\">die <\/a>dann hoffentlich <a href=\"\/blog\/406-core-impact-und-der-stgb-202c\">vor dem \u00a7 202c sch\u00fctzen<\/a>).<\/p>\n<p>Ist das BSI zuf\u00e4llig auch f\u00fcr die IT-Sicherheit im Bundeskanzleramt zust\u00e4ndig? Dann ist mir das mit den <a href=\"http:\/\/www.heise.de\/newsticker\/meldung\/94899\">chinesischen<\/a> <a href=\"http:\/\/www.spiegel.de\/netzwelt\/tech\/0,1518,501954,00.html\">Trojanern<\/a> die jetzt <a href=\"http:\/\/www.heise.de\/security\/news\/meldung\/99821\">unter Verschluss<\/a> gehalten werden auch klar. Wahrscheinlich plant Herr Dr. Helmbrecht IT-Sicherheit nach dem <a href=\"http:\/\/de.wikipedia.org\/wiki\/Monte-Carlo-Simulation\">Monte Carlo Verfahren<\/a> zu implementieren &#8230; naja, damit <a href=\"http:\/\/de.wikipedia.org\/wiki\/Udo_Helmbrecht\">kennt er sich ja aus<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>IT-Security per Gesetz? Eine Polemik. Ok, das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (kurz BSI, nicht zu verwechseln mit BSE) befindet sich gelegentlich in einem Morphischen Feld, das verhindert einen klaren Bezug zur Realit\u00e4t herzustellen. Das es aber mit BSI-Pr\u00e4sident Dr. Udo Helmbrecht so rapide abw\u00e4rts geht, war nicht abzusehen. In einem Interview von Technology [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[10,4,14],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/411"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=411"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/411\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=411"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=411"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=411"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}