1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Verschlüsselungssoftware: BSI…

Das BSI benötigt einen Masterreset

Helft uns, die neuen Foren besser zu machen! Unsere kleine Umfrage dauert nur wenige Sekunden!
  1. Thema

Neues Thema Ansicht wechseln


  1. Das BSI benötigt einen Masterreset

    Autor: derdiedas 17.12.19 - 13:14

    und der ist wirklich überfällig.

    Das BSI fuhrwerkt an 1000 Dingen gleichzeitig, und das ohne jede erkennbare Struktur und Konzept.

    Es zertifiziert Software die eindeutig nicht zertifizierbar ist.

    Lässt Studien für Kryptografie APIs von denen erstellen die ein eigenes Interesse am Ergebnis der Studie haben (Ich habe mir die Studie über die ich nicht sprechen darf, und deren Ergebnisse weder ich noch Golem posten dürfen per Frag den Staat zusenden lassen).

    Und ansonsten bekommen die auch nichts wirklich hilfreiches zustande.

    Das dann der Hammer - das BSI weiss (angeblich) schon länger von den Datendiebstählen bei Abgeordneten des Bundestages und ist zu bequem sowas dem BKA zu melden.

    Und das man einen Menschen zum Präsidenten bestimmt der schon seit Beginn unter Lobbismusverdacht steht macht es auch nicht besser.

    Den "Versuch" BSI sollte man einfach auslaufen lassen und die nächsten Jahre dazu verwenden einen aus einer komplett neuer Belegschaft bestehenden Nachfolger zu etablieren. Dabei wäre auch eine Verzahnung mit anderen Behörden wünschenswert, damit das BSI auch ergebnisorientiert arbeitet.

    Gruß DDD

  2. Das BSI ist broken by design

    Autor: Schnarchnase 17.12.19 - 16:39

    Es untersteht dem BMI und somit der Regierung und taugt deshalb nichts als unabhängige Instanz die Sicherheit schafft. Selbst wenn die ihre Arbeitsweise in den Griff kriegen würden, wären sie immer noch nicht in der Lange unabhängig zu beurteilen und zu agieren.

  3. Re: Das BSI benötigt einen Masterreset

    Autor: nirgendwer 17.12.19 - 18:01

    Also laut Wikipedia arbeiten da fast 1000 Menschen. Das sind sicherlich so einige Abteilungen und eine ordentliche Hierarchie. Natürlich arbeiten die an 1000 verschiedenen Dingen. Wenn sie das nicht täten, sondern alle das Gleiche machen würden, dann würdest du dich sicher noch mehr beschweren (und dann auch zu Recht!).

    Und meinst du bei 1000 verschiedenen Dingen bei 1000 verschiedenen Mitarbeitern sollte wirklich jeder genau wissen was der andere macht? Das halte ich für unsinnig, denn dann wären alle nur noch damit beschäftigt darüber zu reden, was man denn eigentlich machen würde, wenn man nicht die ganze Zeit dahinter her wäre, zu erfahren, was die 999 anderen machen.

    Also Kritik insbesondere an Behörden mag ich ja eigentlich auch. Aber durch so viel unkonkretes Gemecker wird nichts besser. Du darfst also nichts über den Inhalt sagen, ok, aber um was für eine API handelt es sich denn? Welches Thema zumindest. Und welche Software soll denn fälschlicherweise zertifiziert worden sein? Und vor allem was für eine Zertifizierung? Es ist ja nicht so, dass es da nur eine gäbe.

    Und gerade Unabhängigkeit ist eine besondere Stärke. Eine verzahnte Behörde, möglichst gleichzeitig noch BKA und BfV mit eingemeindet, und am besten noch alle anderen dabei, so dass wir nur noch eine Behörde der Art haben, will ich wirklich nicht haben. Das gab es im 20. Jh. gleich zweimal auf deutschem Boden. Danke, verzichte.

  4. Re: Das BSI benötigt einen Masterreset

    Autor: Schnarchnase 18.12.19 - 08:34

    nirgendwer schrieb:
    --------------------------------------------------------------------------------
    > Und gerade Unabhängigkeit ist eine besondere Stärke. Eine verzahnte
    > Behörde, möglichst gleichzeitig noch BKA und BfV mit eingemeindet, und am
    > besten noch alle anderen dabei, so dass wir nur noch eine Behörde der Art
    > haben, will ich wirklich nicht haben. Das gab es im 20. Jh. gleich zweimal
    > auf deutschem Boden. Danke, verzichte.

    Das Problem hast du beim BSI gewissermaßen schon. Auf der einen Seite sollen sie für Sicherheit sorgen, auf der anderen Seite Trojaner für andere Bundesbehörden evaluieren. Das geht einfach nicht zusammen.

  5. Re: Das BSI benötigt einen Masterreset

    Autor: derdiedas 18.12.19 - 15:40

    Wo ist das BSI denn unabhängig?

    Das Grundproblem am BSI is das es sich mit Unsinnigkeiten wie dem evaluieren von Produkten beschäftigt - wofür Ihnen die Kompetenz und die Ressourcen fehlen.

    Und dann bringen sie einfachste Standards nicht zustande.

    Der Industrie und den Bürgern wäre eine rein juristische zertifizierung des BSI um potenzen hilfreicher als alles was sie in Summe aktuell machen.

    Das BSI soll von einem Top Juristenteam einen Zertifizierung mit entsprechenden Vertragsstrafen definieren bei denen sich Anbieter von Software/Hardware und Dienstleistungen verpflichten:

    1. die Vertraulichkeit der anvertrauten Daten zu gewährleisten
    2. die Integrität der anvertrauten Daten zu gewährleisten
    3. die Abwesenheit von Backdoors und Zugriff von Dritten zu gewährleisten

    Für alle Behörden sollte gelten das nur Software/Hardware und Dienstleistungen erweorben werden dürfen wenn diese Bedingungen erfüllt sind oder Alternativ die Lösung OpenSource ist.

    Diese einfache Zertifizierung bringt dann eindeutig Klarheit über die Vertrauenswürdigkeit von Anbietern. Wollen diese sich nicht zertifizieren lassen - ist das auch eine Aussage.

    Gruß DDD

  6. Re: Das BSI benötigt einen Masterreset

    Autor: nirgendwer 20.12.19 - 08:36

    Schnarchnase schrieb:
    --------------------------------------------------------------------------------
    > Das Problem hast du beim BSI gewissermaßen schon. Auf der einen Seite
    > sollen sie für Sicherheit sorgen, auf der anderen Seite Trojaner für andere
    > Bundesbehörden evaluieren. Das geht einfach nicht zusammen.

    Bestellen sie ihn? Entwickeln sie ihn? Setzen sie ihn ein? Entscheiden sie wer wo und warum? Meines Wissens nach lässt sich dies alles mit nein beantworten.
    Kriterien festzulegen, die eine solche Software zu erfüllen hat und zu prüfen, ob der Einsatz wegen etwaiger Sicherheitsbedenken untersagt gehört, das deckt sich wiederum sehr gut mit den Aufgaben des BSI.

  7. Re: Das BSI benötigt einen Masterreset

    Autor: nirgendwer 20.12.19 - 09:12

    derdiedas schrieb:
    --------------------------------------------------------------------------------
    > Wo ist das BSI denn unabhängig?

    Nichtexistenz beweisen ist nicht möglich. Daher lässt sich nur eine etwaig Abhängigkeit betrachten. Welche sollte dies sein? Besonders interessant wäre Frage bei Geheimdiensten oder einer Polizei. Ich sehe eine solche Abhängigkeit nicht. Kein BfV, BKA o.ä. kann dem BSI hier Anweisungen geben.

    Was es jedoch ist, es ist eine deutsche Behörde und als solche natürlich in die Struktur der Bundesrepublik Deutschland eingegliedert. Es gibt eine Aufsichtsbehörde und verschiedene andere Konstrukte. Das muss es geben, denn es muss die Aufgabe bestimmt und kontrolliert werden, ob diese auch umgesetzt werden. Wie jedoch im Detail, das ist nicht deren Aufgabe.

    Ergo: unabhängig

    > Das Grundproblem am BSI is das es sich mit Unsinnigkeiten wie dem
    > evaluieren von Produkten beschäftigt - wofür Ihnen die Kompetenz und die
    > Ressourcen fehlen.

    Was verstehst du denn unter evaluieren? Und was evaluieren sie demnach? Und warum sollte das nicht deren Aufgabe sein?

    Was ich hier vorwiegend sehe, ist dass sie nicht selber prüfen, sondern Prüfvorgaben erstellen und Ergebnisse der (privatwirtschaftlichen) Prüfer überwachen/kontrollieren, weniger selber durchführen, und das ist eben sehr wohl die Aufgabe einer staatlichen Institution. Und wenn das im Bereich IT nicht das BSI sein soll, wer dann?

    > Und dann bringen sie einfachste Standards nicht zustande.

    Beispiele?

    > Der Industrie und den Bürgern wäre eine rein juristische zertifizierung des
    > BSI um potenzen hilfreicher als alles was sie in Summe aktuell machen.

    Was verstehst du unter einer "juristischen Zertifizierung"?

    > Das BSI soll von einem Top Juristenteam einen Zertifizierung mit
    > entsprechenden Vertragsstrafen definieren bei denen sich Anbieter von
    > Software/Hardware und Dienstleistungen verpflichten:
    >
    > 1. die Vertraulichkeit der anvertrauten Daten zu gewährleisten
    > 2. die Integrität der anvertrauten Daten zu gewährleisten
    > 3. die Abwesenheit von Backdoors und Zugriff von Dritten zu gewährleisten

    Ach, Selbstverpflichtung der Hersteller ohne Kontrolle? Ehm... ja genau. Also so etwas wie das CE-Zeichen für Hochsicherheitssysteme? Ganz bestimmt nicht! Es hat schon einen guten Grund, weshalb man solche Selbstverpflichtungen zwar generell vorschreiben mag (ala CE-Zeichen), aber bei kritischen Systemen eben doch hinschauen möchte! Auf dem Markt befinden sich diverse Produkte, die das CE-Zeichen niemals tragen dürften, es aber tun. Das will man bei sicherheitskritischen Systemen sicher nicht.

    > Für alle Behörden sollte gelten das nur Software/Hardware und
    > Dienstleistungen erweorben werden dürfen wenn diese Bedingungen erfüllt
    > sind oder Alternativ die Lösung OpenSource ist.
    >
    > Diese einfache Zertifizierung bringt dann eindeutig Klarheit über die
    > Vertrauenswürdigkeit von Anbietern. Wollen diese sich nicht zertifizieren
    > lassen - ist das auch eine Aussage.

    Das wäre keine Zertifizierung! (wenn sich das reale Produkt letztendlich niemand anderes als der Hersteller genauer ansieht)

    Und überhaupt. Sicherheit gewährleisten? Wie soll das juristisch funktionieren? Welcher Hersteller würde das garantieren wollen in einer Zeit, in der klar ist, dass jedwedes einigermaßen komplexe System Lücken enthält? Die Forderung ist Unfug.

  8. Re: Das BSI benötigt einen Masterreset

    Autor: Schnarchnase 20.12.19 - 12:45

    nirgendwer schrieb:
    --------------------------------------------------------------------------------
    > Ich sehe eine solche Abhängigkeit nicht. Kein BfV, BKA o.ä. kann dem BSI
    > hier Anweisungen geben.
    >
    > […]
    >
    > Ergo: unabhängig

    Es untersteht dem BMI, ist entsprechend an deren Weisungen gebunden und somit auch nicht unabhängig.

  9. Re: Das BSI benötigt einen Masterreset

    Autor: nirgendwer 21.12.19 - 09:04

    Schnarchnase schrieb:
    --------------------------------------------------------------------------------
    > Es untersteht dem BMI, ist entsprechend an deren Weisungen gebunden und
    > somit auch nicht unabhängig.

    So pauschal kann man das nicht sagen. Was für Weisungen sind es denn? Nur organisatorische oder auch inhaltliche?

    Wenn das BMI die Haushaltsmittel festlegt, dann ist das etwas anderes als wenn es Anweisungen gibt, welche Produkte wie zu behandeln sind. Und so weit ich weiß ist ersteres der Fall, letzteres jedoch nicht.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. fodjan GmbH, Dresden
  2. über duerenhoff GmbH, Meckenbeuren
  3. CG Car-Garantie Versicherungs-AG, Freiburg
  4. GASAG AG, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 21€
  2. 19,49€
  3. 6,50€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme