Keine Sorge, für solch ein Meldungssystem muss die nötige Infrastruktur bereitgestellt werden, und da wird es dem BSI gehen wie dem LaGeSo in Berlin: die Inbox wird immer größer.
Dabei verstehe ich die Notwendigkeit nicht, obwohl sie typischem Juristendenken entspricht: wenn das BSI dieselbe Energie in Schulung und Prävention investieren würde, wäre das Problem wohl weniger dringend.
Das Problem sind die Unternehmen - die müssten ihre Mitarbeiter, Anwendungsentwickler, Admins, Ingenieure usw. zu Schulungen schicken. Tun sie aber nur ausgesprochen ungern, weil das Geld kostet und der Mitarbeiter in der Zeit nichts arbeitet. Dass der hinterher deutlich zielgerichteter und damit schneller und besser arbeiten könnte, kommt denen nicht in den Sinn.
Entwickler stehen zudem unter dem ständigen Druck, schnell schnell fertig zu werden, der Kundentermin ist gesetzt, für Sicherheitsaspekte ist da auch keine Zeit. Sobald die Funktionalität zu 90 Prozent gesichert ist, wird ausgeliefert. Dieser ganze Wahnsinn geht für die Homepage eines Kleintierzuchtvereins, aber ansonsten muss man das den Leuten zügig abgewöhnen.
500.000? Jetzt soll der Betroffene beurteilen, ob das Problem relevant wird? Warum ĂĽbernimmt er nicht dann gleich die Beseitigung?
Beseitigen muss er ja sowieso. Aber es soll eben verhindert werden, dass derlei Vorfälle unter den Teppich gekehrt werden. Wenn eine Meldung erfolgen muss, ist die Motivation höher, Schwachstellen auch tatsächlich zu beseitigen... und nicht nur notdürftig zu überkleistern.
Es ist tatsächlich ein Problem für viele Unternehmen, gemeldete (oder auch in einem teuer bezahlten Audit oder Pentest herausgefundene) Schwachstellen auch tatsächlich zu beseitigen.
Aber halt: es mĂĽssen ja Statistiken gefĂĽhrt werden... Wetten, dass es bald 200.000 sind, ein typisches Thema fĂĽr Profilierungsparteien.
Denke ich nicht. Die wollen, dass die Zahlen sinken, denn das bedeutet Erfolg - steigende Zahlen nĂĽtzen nur Panikmachern, die sehe ich hier aber nicht.
Nach Examina in Juristerei und WiWi und dreissig Jahren IT kann ich eins behaupten: nirgendwo wird soviel Unsinn betrieben wie im Grenzbereich Jura/IT. Neuland, Oettinger (=one Exxeppschn=).
Juristen sind es gewohnt, sich mit ihren Werten und Prinzipien in einer realen Lebenswelt einzusortieren bzw. umgekehrt die reale Lebenswelt in ihre Schemata zu pressen. Da fällt es naturgemäß schwer, dasselbe in einer Welt zu tun, deren Basis die reine Logik ist - und bei der aus einfachsten Protokollen und Technologien ausgesprochen komplexe Gebilde entstehen. Sie können es sich aber nicht aussuchen - sie müssen es tun, weil die IT eben so eine Bedeutung hat heutzutage.
Du glaubst gar nicht, wie viele anderen Berufsgruppen vergleichbare Probleme haben oder hätten, wenn sie auf IT treffen... aber die können sich da ja irgendwie durchmogeln, und wenn es schiefgeht, betrifft es ja nur ihren Wirkungsbereich, also alles ganz harmlos...
Womit wir beim ursprünglichen Problem wären: Unternehmen der (zum Beispiel, auch in dem Dokument adressiert) Lebensmittelindustrie oder Abwasserbeseitigung haben ebenfalls (wie die Juristen) keinerlei Affinität zu IT-Sicherheit, IT wird bei denen nur als Werkzeug eingesetzt, weil es nicht mehr anders geht. Und jetzt rate mal, warum wir diese Regulierung brauchen... weil der "Wirkungsbereich" im Einzelfall eben sehr weit reichen und ganze Regionen lahmlegen kann.
fr.osch