Nicht falsch verstehen - ich bin absolut dafür, kritische Infrastrukturen zu beobachten und schützen und dafür den Betreiber auch zu bestimmten Maßnahmen zu zwingen.
Aber wir sind ja mittlerweile Weltmeister im weichspülen von Vorschriften und basteln von Gummiparagraphen.
Ich meine, das BSI hat sicher auch Empfehlungen für die IT Infrastruktur des Bundestags ausgesprochen. Das finale Endergebnis haben wir alle mitbekommen und das sorgt absolut nicht für ruhigen Schlaf, wenn ich das auf eine kritische Infrastruktur übertrage.
Man geht von max. 7 Vorfällen im Jahr aus?
Mh ist das noch Vertrauen in die eigenen Fähigkeiten oder schon Realitätsverleugnung?
Bei immer stärkere Vernetzung von Industrieanlagen, IoT und Geiz ist Geil Mentalität bei soetwas unprofitablen wie IT Security lassen sind hier Zweifel sicher mehr als gerechtfertigt.
Ein paar Fragen ergeben sich zumindest.
Wer legt das Sicherheitsniveau fest?
Wer testet das Sicherheitskonzept?
Wie oft erfolgt eine Prüfung?
Was ist ein "kritischer Vorfall" Manipulation? Ausfall? Datendiebstahl?
Was passiert, wenn Mängel festgestellt werden? Erhobener Zeigefinger oder Entzug der Betriebserlaubnis?
Wer ist verantworlich? Der kleine Admin als Bauernopfer oder immer der Geschäftsführer?
Gibt es öffentliche Informationen oder wird der Supergau wie immer als TopSecret unter den Teppich gekehrt?
Für mich ist das wieder ein riesiges Feigenblatt, um sinnlosen Aktionismus hinzustellen, als ist alles im grünen Bereich und man hat die Sache im Griff.
Ich hoffe ja, dass ich mich hier irre - aber ich befürchte leider nicht.