1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Verschlüsselungssoftware: BSI…

Das BSI benötigt einen Masterreset

  1. Thema

Neues Thema Ansicht wechseln


  1. Das BSI benötigt einen Masterreset

    Autor: derdiedas 17.12.19 - 13:14

    und der ist wirklich überfällig.

    Das BSI fuhrwerkt an 1000 Dingen gleichzeitig, und das ohne jede erkennbare Struktur und Konzept.

    Es zertifiziert Software die eindeutig nicht zertifizierbar ist.

    Lässt Studien für Kryptografie APIs von denen erstellen die ein eigenes Interesse am Ergebnis der Studie haben (Ich habe mir die Studie über die ich nicht sprechen darf, und deren Ergebnisse weder ich noch Golem posten dürfen per Frag den Staat zusenden lassen).

    Und ansonsten bekommen die auch nichts wirklich hilfreiches zustande.

    Das dann der Hammer - das BSI weiss (angeblich) schon länger von den Datendiebstählen bei Abgeordneten des Bundestages und ist zu bequem sowas dem BKA zu melden.

    Und das man einen Menschen zum Präsidenten bestimmt der schon seit Beginn unter Lobbismusverdacht steht macht es auch nicht besser.

    Den "Versuch" BSI sollte man einfach auslaufen lassen und die nächsten Jahre dazu verwenden einen aus einer komplett neuer Belegschaft bestehenden Nachfolger zu etablieren. Dabei wäre auch eine Verzahnung mit anderen Behörden wünschenswert, damit das BSI auch ergebnisorientiert arbeitet.

    Gruß DDD

  2. Das BSI ist broken by design

    Autor: Schnarchnase 17.12.19 - 16:39

    Es untersteht dem BMI und somit der Regierung und taugt deshalb nichts als unabhängige Instanz die Sicherheit schafft. Selbst wenn die ihre Arbeitsweise in den Griff kriegen würden, wären sie immer noch nicht in der Lange unabhängig zu beurteilen und zu agieren.

  3. Re: Das BSI benötigt einen Masterreset

    Autor: nirgendwer 17.12.19 - 18:01

    Also laut Wikipedia arbeiten da fast 1000 Menschen. Das sind sicherlich so einige Abteilungen und eine ordentliche Hierarchie. Natürlich arbeiten die an 1000 verschiedenen Dingen. Wenn sie das nicht täten, sondern alle das Gleiche machen würden, dann würdest du dich sicher noch mehr beschweren (und dann auch zu Recht!).

    Und meinst du bei 1000 verschiedenen Dingen bei 1000 verschiedenen Mitarbeitern sollte wirklich jeder genau wissen was der andere macht? Das halte ich für unsinnig, denn dann wären alle nur noch damit beschäftigt darüber zu reden, was man denn eigentlich machen würde, wenn man nicht die ganze Zeit dahinter her wäre, zu erfahren, was die 999 anderen machen.

    Also Kritik insbesondere an Behörden mag ich ja eigentlich auch. Aber durch so viel unkonkretes Gemecker wird nichts besser. Du darfst also nichts über den Inhalt sagen, ok, aber um was für eine API handelt es sich denn? Welches Thema zumindest. Und welche Software soll denn fälschlicherweise zertifiziert worden sein? Und vor allem was für eine Zertifizierung? Es ist ja nicht so, dass es da nur eine gäbe.

    Und gerade Unabhängigkeit ist eine besondere Stärke. Eine verzahnte Behörde, möglichst gleichzeitig noch BKA und BfV mit eingemeindet, und am besten noch alle anderen dabei, so dass wir nur noch eine Behörde der Art haben, will ich wirklich nicht haben. Das gab es im 20. Jh. gleich zweimal auf deutschem Boden. Danke, verzichte.

  4. Re: Das BSI benötigt einen Masterreset

    Autor: Schnarchnase 18.12.19 - 08:34

    nirgendwer schrieb:
    --------------------------------------------------------------------------------
    > Und gerade Unabhängigkeit ist eine besondere Stärke. Eine verzahnte
    > Behörde, möglichst gleichzeitig noch BKA und BfV mit eingemeindet, und am
    > besten noch alle anderen dabei, so dass wir nur noch eine Behörde der Art
    > haben, will ich wirklich nicht haben. Das gab es im 20. Jh. gleich zweimal
    > auf deutschem Boden. Danke, verzichte.

    Das Problem hast du beim BSI gewissermaßen schon. Auf der einen Seite sollen sie für Sicherheit sorgen, auf der anderen Seite Trojaner für andere Bundesbehörden evaluieren. Das geht einfach nicht zusammen.

  5. Re: Das BSI benötigt einen Masterreset

    Autor: derdiedas 18.12.19 - 15:40

    Wo ist das BSI denn unabhängig?

    Das Grundproblem am BSI is das es sich mit Unsinnigkeiten wie dem evaluieren von Produkten beschäftigt - wofür Ihnen die Kompetenz und die Ressourcen fehlen.

    Und dann bringen sie einfachste Standards nicht zustande.

    Der Industrie und den Bürgern wäre eine rein juristische zertifizierung des BSI um potenzen hilfreicher als alles was sie in Summe aktuell machen.

    Das BSI soll von einem Top Juristenteam einen Zertifizierung mit entsprechenden Vertragsstrafen definieren bei denen sich Anbieter von Software/Hardware und Dienstleistungen verpflichten:

    1. die Vertraulichkeit der anvertrauten Daten zu gewährleisten
    2. die Integrität der anvertrauten Daten zu gewährleisten
    3. die Abwesenheit von Backdoors und Zugriff von Dritten zu gewährleisten

    Für alle Behörden sollte gelten das nur Software/Hardware und Dienstleistungen erweorben werden dürfen wenn diese Bedingungen erfüllt sind oder Alternativ die Lösung OpenSource ist.

    Diese einfache Zertifizierung bringt dann eindeutig Klarheit über die Vertrauenswürdigkeit von Anbietern. Wollen diese sich nicht zertifizieren lassen - ist das auch eine Aussage.

    Gruß DDD

  6. Re: Das BSI benötigt einen Masterreset

    Autor: nirgendwer 20.12.19 - 08:36

    Schnarchnase schrieb:
    --------------------------------------------------------------------------------
    > Das Problem hast du beim BSI gewissermaßen schon. Auf der einen Seite
    > sollen sie für Sicherheit sorgen, auf der anderen Seite Trojaner für andere
    > Bundesbehörden evaluieren. Das geht einfach nicht zusammen.

    Bestellen sie ihn? Entwickeln sie ihn? Setzen sie ihn ein? Entscheiden sie wer wo und warum? Meines Wissens nach lässt sich dies alles mit nein beantworten.
    Kriterien festzulegen, die eine solche Software zu erfüllen hat und zu prüfen, ob der Einsatz wegen etwaiger Sicherheitsbedenken untersagt gehört, das deckt sich wiederum sehr gut mit den Aufgaben des BSI.

  7. Re: Das BSI benötigt einen Masterreset

    Autor: nirgendwer 20.12.19 - 09:12

    derdiedas schrieb:
    --------------------------------------------------------------------------------
    > Wo ist das BSI denn unabhängig?

    Nichtexistenz beweisen ist nicht möglich. Daher lässt sich nur eine etwaig Abhängigkeit betrachten. Welche sollte dies sein? Besonders interessant wäre Frage bei Geheimdiensten oder einer Polizei. Ich sehe eine solche Abhängigkeit nicht. Kein BfV, BKA o.ä. kann dem BSI hier Anweisungen geben.

    Was es jedoch ist, es ist eine deutsche Behörde und als solche natürlich in die Struktur der Bundesrepublik Deutschland eingegliedert. Es gibt eine Aufsichtsbehörde und verschiedene andere Konstrukte. Das muss es geben, denn es muss die Aufgabe bestimmt und kontrolliert werden, ob diese auch umgesetzt werden. Wie jedoch im Detail, das ist nicht deren Aufgabe.

    Ergo: unabhängig

    > Das Grundproblem am BSI is das es sich mit Unsinnigkeiten wie dem
    > evaluieren von Produkten beschäftigt - wofür Ihnen die Kompetenz und die
    > Ressourcen fehlen.

    Was verstehst du denn unter evaluieren? Und was evaluieren sie demnach? Und warum sollte das nicht deren Aufgabe sein?

    Was ich hier vorwiegend sehe, ist dass sie nicht selber prüfen, sondern Prüfvorgaben erstellen und Ergebnisse der (privatwirtschaftlichen) Prüfer überwachen/kontrollieren, weniger selber durchführen, und das ist eben sehr wohl die Aufgabe einer staatlichen Institution. Und wenn das im Bereich IT nicht das BSI sein soll, wer dann?

    > Und dann bringen sie einfachste Standards nicht zustande.

    Beispiele?

    > Der Industrie und den Bürgern wäre eine rein juristische zertifizierung des
    > BSI um potenzen hilfreicher als alles was sie in Summe aktuell machen.

    Was verstehst du unter einer "juristischen Zertifizierung"?

    > Das BSI soll von einem Top Juristenteam einen Zertifizierung mit
    > entsprechenden Vertragsstrafen definieren bei denen sich Anbieter von
    > Software/Hardware und Dienstleistungen verpflichten:
    >
    > 1. die Vertraulichkeit der anvertrauten Daten zu gewährleisten
    > 2. die Integrität der anvertrauten Daten zu gewährleisten
    > 3. die Abwesenheit von Backdoors und Zugriff von Dritten zu gewährleisten

    Ach, Selbstverpflichtung der Hersteller ohne Kontrolle? Ehm... ja genau. Also so etwas wie das CE-Zeichen für Hochsicherheitssysteme? Ganz bestimmt nicht! Es hat schon einen guten Grund, weshalb man solche Selbstverpflichtungen zwar generell vorschreiben mag (ala CE-Zeichen), aber bei kritischen Systemen eben doch hinschauen möchte! Auf dem Markt befinden sich diverse Produkte, die das CE-Zeichen niemals tragen dürften, es aber tun. Das will man bei sicherheitskritischen Systemen sicher nicht.

    > Für alle Behörden sollte gelten das nur Software/Hardware und
    > Dienstleistungen erweorben werden dürfen wenn diese Bedingungen erfüllt
    > sind oder Alternativ die Lösung OpenSource ist.
    >
    > Diese einfache Zertifizierung bringt dann eindeutig Klarheit über die
    > Vertrauenswürdigkeit von Anbietern. Wollen diese sich nicht zertifizieren
    > lassen - ist das auch eine Aussage.

    Das wäre keine Zertifizierung! (wenn sich das reale Produkt letztendlich niemand anderes als der Hersteller genauer ansieht)

    Und überhaupt. Sicherheit gewährleisten? Wie soll das juristisch funktionieren? Welcher Hersteller würde das garantieren wollen in einer Zeit, in der klar ist, dass jedwedes einigermaßen komplexe System Lücken enthält? Die Forderung ist Unfug.

  8. Re: Das BSI benötigt einen Masterreset

    Autor: Schnarchnase 20.12.19 - 12:45

    nirgendwer schrieb:
    --------------------------------------------------------------------------------
    > Ich sehe eine solche Abhängigkeit nicht. Kein BfV, BKA o.ä. kann dem BSI
    > hier Anweisungen geben.
    >
    > […]
    >
    > Ergo: unabhängig

    Es untersteht dem BMI, ist entsprechend an deren Weisungen gebunden und somit auch nicht unabhängig.

  9. Re: Das BSI benötigt einen Masterreset

    Autor: nirgendwer 21.12.19 - 09:04

    Schnarchnase schrieb:
    --------------------------------------------------------------------------------
    > Es untersteht dem BMI, ist entsprechend an deren Weisungen gebunden und
    > somit auch nicht unabhängig.

    So pauschal kann man das nicht sagen. Was für Weisungen sind es denn? Nur organisatorische oder auch inhaltliche?

    Wenn das BMI die Haushaltsmittel festlegt, dann ist das etwas anderes als wenn es Anweisungen gibt, welche Produkte wie zu behandeln sind. Und so weit ich weiß ist ersteres der Fall, letzteres jedoch nicht.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Statistisches Bundesamt, Wiesbaden
  2. Dataport, verschiedene Standorte
  3. InnoGames GmbH, Hamburg
  4. Universitätsklinikum Münster, Münster

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 14,99€
  2. 39,99€
  3. (-53%) 13,99€
  4. 9,49€


Haben wir etwas übersehen?

E-Mail an news@golem.de


SpaceX: Der Weg in den Weltraum ist frei
SpaceX
Der Weg in den Weltraum ist frei

Das Raumschiff hob noch ohne Besatzung ab, aber der Testflug war ein voller Erfolg. Der Crew Dragon von SpaceX hat damit seine letzte große Bewährungsprobe bestanden, bevor die Astronauten auch mitfliegen dürfen.
Ein Bericht von Frank Wunderlich-Pfeiffer

  1. Raumfahrt SpaceX macht Sicherheitstest bei höchster Belastung
  2. Raumfahrt SpaceX testet dunkleren Starlink-Satelliten
  3. SpaceX Starship platzt bei Tanktest

Sicherheitslücken: Microsoft-Parkhäuser ungeschützt im Internet
Sicherheitslücken
Microsoft-Parkhäuser ungeschützt im Internet

Eigentlich sollte die Parkhaussteuerung nicht aus dem Internet erreichbar sein. Doch auf die Parkhäuser am Microsoft-Hauptsitz in Redmond konnten wir problemlos zugreifen. Nicht das einzige Sicherheitsproblem auf dem Parkhaus-Server.
Von Moritz Tremmel

  1. Datenleck Microsoft-Datenbank mit 250 Millionen Support-Fällen im Netz
  2. Office 365 Microsoft testet Werbebanner in Wordpad für Windows 10
  3. Application Inspector Microsoft legt Werkzeug zur Code-Analyse offen

Europäische Netzpolitik: Die Rückkehr des Axel Voss
Europäische Netzpolitik
Die Rückkehr des Axel Voss

Elektronische Beweismittel, Nutzertracking, Terrorinhalte: In der EU stehen in diesem Jahr wichtige netzpolitische Entscheidungen an. Auch Axel Voss will wieder mitmischen. Und wird Ursula von der Leyen mit dem "Digitale-Dienste-Gesetz" wieder zu "Zensursula"?
Eine Analyse von Friedhelm Greis

  1. Mitgliederentscheid Netzpolitikerin Esken wird SPD-Chefin
  2. Nach schwerer Krankheit FDP-Netzpolitiker Jimmy Schulz gestorben

  1. Eclipse Foundation: Java-EE-Nachfolger Jakarta EE 9 soll Mitte 2020 erscheinen
    Eclipse Foundation
    Java-EE-Nachfolger Jakarta EE 9 soll Mitte 2020 erscheinen

    Nachdem Oracle den Code von Java EE an die Eclipse Foundation abgegeben hat, erfolgte die Umbenennung der Java Enterprise Plattform in Jakarta. Mit Jakarta EE 9.0 soll in diesem Jahr eine erste eigenständige Version erscheinen.

  2. Smartphones: Qualcomm nutzt RISC-V in Snapdragon-Chips
    Smartphones
    Qualcomm nutzt RISC-V in Snapdragon-Chips

    Einer der größten SoC-Entwickler setzt mittlerweile auf RISC-V: Qualcomm integriert Kerne mit der offenen Befehlssatzarchitektur für den Embedded-Einsatz in aktuellen und zukünftigen Snapdragon-Chips.

  3. Lenovo: Thinkpad-Firmware soll gegen defekte USB-Anschlüsse helfen
    Lenovo
    Thinkpad-Firmware soll gegen defekte USB-Anschlüsse helfen

    Viele Thinkpads haben offenbar fehlerhafte Controller, so dass nach einiger Zeit USB-Typ-C-Buchsen und Thunderbolt 3 ausfallen. Eine neue Firmware von Lenovo soll diesen Bug beheben. Eine große Anzahl an Geräten ist betroffen.


  1. 15:37

  2. 15:12

  3. 14:34

  4. 14:12

  5. 13:47

  6. 13:25

  7. 13:12

  8. 12:49