Menü
Avatar von Ben Bucksch
  • Ben Bucksch

mehr als 1000 Beiträge seit 23.04.2000

Zertifizierung verlieren bei Sicherheitslücken

> So müsse oft neu zertifiziert werden, wenn in sicherheitsrelevanten
> Anlagen Sicherheitslücken abgedichtet werden.

Das habe ich jetzt schon mehrfach gelesen, auch in Gesetzen/Gesetzesentwürfen, z.B. zu staatlicher Verschlüsselungssoftware im Gesundheitsweser, Rechtswesen oder ePerso.

Das ist schon im Ansatz völlig falsch herum. Das kann nur von jemandem geschrieben worden sein, der aus der Analog-Welt kommt und vom Computersicherheit noch nie irgendetwas gehört hat.

Korrekt ist genau das Gegenteil: Sobald eine Sicherheitslücke entdeckt wurde, verliert die Zertifizierung sofort und automatisch ihre Gültigkeit.

Es sollte schlicht definiert sein: "Ein Gerät oder eine Software, die eine Sicherheitslücke *1 enthält, verliert damit automatisch ihre Zertifizierung. Derjenige, der die Anlage trotz bekannter Sicherheitlücken weiterhin betreibt, macht sich haftbar.
Eine Änderung des Geräts oder der Software, die Sicherheitslücken behebt, macht eine ansonsten bestehende Zertifizierung nicht ungültig.
*1 Kriterium Schweregrad definieren: Kritisch: unberechtigter entfernter Zugriff möglich; Schwer: unberechtigte Ausweitung von Zugriffsrechten etc."

Fertig, Problem gegessen, und Problem für Betreiber umgedreht. Jetzt ist man nicht mehr auf der "sicheren" Seite, alte, zertifizierte Geräte einfach blind weiterzubetreiben, sondern ist dazu verpflichtet, sich um die tatsächliche Sicherheit zu kümmern. Tut man das nicht, ist man halt haftbar (grobe Fahrlässigkeit etc.), für die negativen Folgen, die das für andere hat, und kann nicht mehr den Unbedarften "Ich habe ja nichts gewußt und Ich habe doch alles richtig gemacht" spielen. Die Anwender-Firmen werden dann schon ihren Teil dazu tun, ihre Anlagen-Bauer dazu anzuhalten, ihren Job richtig zu machen. Dann bleiben nicht mehr unbeteiligte Dritte am Ende diejenigen, die den Schaden tragen müssen.

Das Posting wurde vom Benutzer editiert (11.11.2016 22:21).

Bewerten
- +
Anzeige