-
Wenn Menschen das Problem sind hat CERT ein Problem...
Autor: derdiedas 03.02.14 - 12:46
Denn das Risiko das jemand von vornherein als Spion in die Firma geht, oder das eingene Mitarbeiter bestochen werden ist von der Risikobewertung gleichzusetzen. (Sieht man ja an den gestohlenen Daten der Schweizer Banken).
Also muss das Konzept so sein das das Risiko Mensch Limes gegen Null gedrückt wird. Ich erwarte gerade vom Cert wasserdichte Prozesse die dafür sorgen das etwa Schlüssel niemals sichere Umgebungen wie Smartcards/Hardwaretoken oder Hardware Security Module verlassen und auch in diesem Format an Kunden Übermittelt werden. Der Kunde kann dann diesen Schlüssel auf seine eigenen Infrastruktur übertragen. Aber innerhalb von Cert sollte kein Mensch die Möglichkeit besitzen an ein Schlüsselpaar zu kommen.