Avatar von accolon
  • accolon

mehr als 1000 Beiträge seit 06.05.2002

Re: Da geht es scheinbar nicht um Sicherheit selbst...

Michael Logies schrieb am 13.10.2017 13:10:

Die Verbreitung der Empfehlungen per PDF, die das BSI gewählt hat, ist einfach aus der Zeit gefallen. Das konnte man vor 20-30 Jahren so machen.

Es ist zunächst mal eine Broschüre. Die von dir geschilderte Automatisierung wird von zahlreichen Tools angeboten, die das BSI auch auf der Website aufführt. So wie ich das sehe, gibt es mit verinice da sogar was kostenloses. Warum das BSI selbst keine Tools anbietet, weiß ich nicht. Bei einem Webtool kämen hier aber wieder die Leute aus den Löchern, die befürchten, der böse Staat will sie hintergehen, indem er sich ein Bild über die IT-Landschaft der unterjochten Bürger macht.

Die 44 Seiten für KMU "Leitfaden zur Basis-Absicherung" sind technisch völlig inhaltsleer. Hast Du ihn wenigstens quer gelesen?

Ich hab ihn mittlerweile komplett gelesen -- du auch? Natürlich ist er *technisch* inhaltsleer -- es geht um die Etablierung eines Prozesses, um IT-Sicherheit systematisch anzugehen. Dabei wird deutlich auf das Kompendium verwiesen, das als Nachschlagewerk (!) auf 700 Seiten sauber getrennt für viele IT-Komponenten konkrete technische Dinge beschreibt und in den Umsetzungstexten dazu sogar noch viel mehr ins Detail geht. Wer auf den Prozess verzichten mag, guckt dort. Jaja, du willst nicht puzzeln, aber wie will man denn sonst völlig unterschiedliche Themen angehen?

Mein Verständnis des Leitfadens steht hier:
https://www.heise.de/forum/heise-Security/News-Kommentare/IT-Grundschutz-BSI-schliesst-Modernisierung-ab/Re-Da-geht-es-scheinbar-nicht-um-Sicherheit-selbst/posting-31198855/show/

Meines Erachtens ist eine sichere EDV vor allem eine einfache EDV mit einer möglichst einfachen, überschaubaren und von vorneherein als sicher konzipierten Infrastruktur.

Da stimme ich dir 100%ig zu. Nur ist die Welt leider sehr heterogen, und daher halte ich ein systematisches Herangehen für so wichtig. Deine technische Umsetzung klingt gut, aber sie funktioniert sicher nicht für jeden und überall. Der Grundschutz versucht, eine allgemeine sichere Basis zu etablieren, die auf möglichst viele IT-Umgebungen passt. Der Ansatz ist nicht perfekt, und er erfordert Aufwand und Knowhow. Seltsamerweise scheint das die Leute bei IT-Sicherheit immer zu überraschen?!

Allein hier im Forum zu dem Artikel lese ich, dass der Grundschutz zu umfangreich ist -- oder zu inhaltsarm. Er überfordert die Leute, aber er ist zu banal. Er ist zu technisch, und gleichzeitig zu theoretisch. Er ist zu sehr ISO 27001, aber auch nicht nah genug dran. Es scheint nicht die eine wahre Lösung zu geben.

Bewerten
- +
Anzeige