Lange Rede...welcher Sinn?

1. Es handelt sich um ein Programm, dessen Entwicklung vor etlichen Jahren eingestellt wurde.

2. Die Entwickler selbst hatten damals kein Interesse daran, durch das BSI informiert zu werden.

3. Kommunen verwenden Software, die seit Jahren nicht gepflegt wird.

So what?

Na wenn du schon nicht drauf kommst...
1. Das Ding ist per Definition unsicher, weil immer mal wieder geschlampt wurde.
2. das BSI hat das erkannt, aber niemandem gesagt, weil doof.
3. Das BSI ist verwaltungstechnisch nicht dazu in der Lage zusammengehörige Dokumente ordentlich und gesetzeskonform herauszugeben.

Schlussfolgerung: Macht das BSI dicht. Diese Aufgaben werden sowieso an Extern übergeben. Und wenn das BSI sowieso seinen Job nicht macht, und dann noch mauert wenn man sie danach fragt, brauchen wir das Amt nicht. Es war ja nun nicht das erste mal, dass das BSI sich als unfähig, inkompetent oder komplett vertrottelt präsentiert hat.

Sharra schrieb:
--------------------------------------------------------------------------------
> 2. das BSI hat das erkannt, aber niemandem gesagt, weil doof.

Also im Artikel steht explizit, dass der Hersteller informiert wurde.

Sharra schrieb:
--------------------------------------------------------------------------------
> Schlussfolgerung: Macht das BSI dicht.

Toll, dass in einer Demokratie jeder alles fordern kann, oder?

Gut, dass nicht alles umgesetzt werden muss.

Und über die Qualifikation der Fordernden wollen wir lieber nicht im Detail sprechen.

Wenn Du noch mal ganz genau liest, siehst Du dass Teile der Lücken (Überschreibungen) bi sheute im Veracrypt Code enthalten sind... Veracrypt bi sheute "state-of-the-art" -- bis heute gibt es also Risiken...

heinzi13 schrieb:
--------------------------------------------------------------------------------
> Sharra schrieb:
> ---------------------------------------------------------------------------
> -----
> > Schlussfolgerung: Macht das BSI dicht.
>
> Toll, dass in einer Demokratie jeder alles fordern kann, oder?
>
> Gut, dass nicht alles umgesetzt werden muss.
>
> Und über die Qualifikation der Fordernden wollen wir lieber nicht im Detail
> sprechen.

Ob ich in irgend einer Form qualifiziert bin, spielt doch überhaupt keine Rolle. Man muss es selbst nicht besser machen können, um Unfähigkeit zu erkennen. Ich kann z.B. kein Dach decken, aber Löcher erkenne ich als solche.

Ausserdem sage ich ja nicht ersatzlos streichen, sondern das BSI dicht machen, weil untauglich. Und dann kann man sich Gedanken darüber machen, wie man es ersetzt. So kostet das Ding nur Geld, bringt nutzlose Empfehlungen, glaubt Propaganda und verbreitet sie weiter, und verheimlicht bekannte Sicherheitsprobleme. Braucht man das? Nein bestimmt nicht.

Ah, auf dem Niveau wollen wir reden?

Alle staatlichen Instanzen sind böse und so. Und müssen sowieso weg und so.

Und der "kleine Mann" hat eh den Durchblick und könnte alles besser als "die da oben" und so.

Und Klima retten und Leute aus Afrika gleich mit uns so.

No, gracias, will ich nicht.

Nein, du willst es offensichtlich missverstehen. Wo habe ich das bitte gesagt? Das interpretierst du hinein, weil du das lesen willst, und sonst nichts.

heinzi13 schrieb:
--------------------------------------------------------------------------------
> Ah, auf dem Niveau wollen wir reden?
>
> Alle staatlichen Instanzen sind böse und so. Und müssen sowieso weg und so.
>
> Und der "kleine Mann" hat eh den Durchblick und könnte alles besser als
> "die da oben" und so.
>
> Und Klima retten und Leute aus Afrika gleich mit uns so.
>
> No, gracias, will ich nicht.

Wie kommst du zu dieser Aussage?
Brannte dir wohl unter den Nägeln, leider komplett ohne einen Anhaltspunkt deines Vorredners..

Sharra schrieb:
--------------------------------------------------------------------------------
> Na wenn du schon nicht drauf kommst...
> 1. Das Ding ist per Definition unsicher, weil immer mal wieder geschlampt
> wurde.

Man muss nicht schlampen und jeder Consumer-Software ist per Definition unsicher.
Ein sicheres System ist so gut wie unbenutzbar und langweilig für Bediener.

Da gibt es mehrere Sachen die Widersprüche auslösen
Security vs Easy of Use
Assurance vs Scalability
etc.pp.

Capability based security wird nur in extrem kleinen Umfang eingesetzt. Bei vielen Sachen ist bekannt, wie man Systeme sicher machen kann - aber es ist schlicht nicht umsetzbar, wenn jemand noch damit arbeiten soll.

Analogie: Die könntest in jedem Auto Totwinkelassistenten, Notbremseinrichtungen, weichere Oberflächen für Fussgängerschutz, RunOnFlat-Reifen, größere Knautschzonen, Kugelsichere Scheiben etc.pp. fordern, weil ohne ist das Ding ja unsicherer. Und starten natürlich nur nach negativem Drogentest. Ist nur zu teuer und nicht praktisch.

> 2. das BSI hat das erkannt, aber niemandem gesagt, weil doof.

Die BSI hat das erkannt und die Programmierer informiert - also Fehlaussage von dir.

> 3. Das BSI ist verwaltungstechnisch nicht dazu in der Lage zusammengehörige
> Dokumente ordentlich und gesetzeskonform herauszugeben.

Na das ist eine Vermutung deinerseits. Du schreibst ganz naiv ja selbst: "Diese Aufgaben werden sowieso an Extern übergeben. " - ja und genau da kommt dann auch das Urheberrecht ins Spiel. Ist etwas für eine interne Prüfung gedacht, wird eben nicht viel Geld an Externe gezahlt damit man das ganze auch extern veröffentlichen darf. Interessiert schlicht nicht wenn man etwas nur intern einsetzen will.

Bei der 2015 Studie zu Truecrypt die für andere Behörden in Auftrag gegeben wurde - wurden die Ergebnisse auch veröffentlicht.

> Schlussfolgerung: Macht das BSI dicht. Diese Aufgaben werden sowieso an
> Extern übergeben.

Und wer beauftragt dann die Externen und kann fachlich beurteilen was diese machen? Möchtest du dann eine Sammelstelle einrichten? Nennen wir sie Deutsches Amt für Sicherheit in der Informationstechnologie? DSI? oder vielleicht Bundesamt... ;-)

>Und wenn das BSI sowieso seinen Job nicht macht, und dann
> noch mauert wenn man sie danach fragt, brauchen wir das Amt nicht.

Was ist der Job des BSI für dich?

BSI ist unter anderem Ansprechpartner für Bund Behörden etc.
Im oberen Fall: die Abteilung BL die diese Studie in Auftrag gegeben hat ist eigentlich sogar nur für diese zuständig.

Heist: Sie haben genau das gemacht, was sie in dem Bereich sollen.

> Es war
> ja nun nicht das erste mal, dass das BSI sich als unfähig, inkompetent oder
> komplett vertrottelt präsentiert hat.

Reine Hetze.