LNP347 Pralinen zum Geburtstag

Maaßen — Feedback — ITSIG2 — PDSG — Corona Tracing — BILD vs. Drosten — DSGVO — OpenCoronaData

In dieser Woche gehen wieder langsam mal wie in Richtung etwas klassischer Themen und klappern ein paar unserer Lieblingsthemen wie Hans-Georg Maaßen, das IT-Sicherheitsgesetz, das Patientendatenschutzgesetz und die Datenschutzgrundverordnung ab. Dazu ein kleines Update zu den Fortschritten im Bereich der Corona Tracing Apps, den Forderungen der Datenjournalisten des RKI und wir schauen genüsslich zu, wie sich die BILD-Zeitung an Christian Drosten die Zähne ausbeißt.

Dauer: 1:28:37

On Air
avatar Linus Neumann Paypal Icon Bitcoin Icon Amazon Wishlist Icon
avatar Tim Pritlove Paypal Icon Bitcoin Icon Liberapay Icon Amazon Wishlist Icon
Liebesgrüße aus Köln-Chorweiler

Prolog

Feedback: Grundgesetz verstößt gegen die Geheimdienste

Feedback: Grundrechte

Feedback: Full Take

Feedback: Automatisierte Überwachung

IT-Sicherheitsgesetz 2 (ITSIG2)

Patientendatenschutzgesetz (PDSG)

Corona Tracing App

BILD vs. Drosten

2 Jahre DSGVO

OpenCoronaData Appell RKI

Bonus Track

31 Gedanken zu „LNP347 Pralinen zum Geburtstag

  1. Ich find euch richtig gut.
    Kapitel 3 zu Maaßen ist in der Argumentation superunkonkret und deshalb für mich nicht ganz plausibel. Ihr bringt keine konkrete Aktion von Maaßen/BND/wenauchimmer und sagt nicht einmal warum ihr das nicht tut. Ich kann das objektiv leiderleider nur als Stimmungmache interpretieren auch wenn ich instinktiv und vom Grundvertrauen in euch, euch zustimmen möchte.
    Warum bringt ihr nicht einfach ein konkretes Beispiel???

  2. Kleine Korrektur: Der Ausschnitt mit dem Rentner Alfons Blum stammt aus Gera an, nicht aus Pirna. Das sind 150km Unterschied :-)

  3. @ Linus

    If guns are outlawed ….

    Da machst du es dir doch sehr leicht.

    Wie willst du illegale Waffen aus der Bevölkerung holen?

    Wir hätten das verstanden, die Amis aber nicht?

    In Deutschland gibt es 5,5 Mio legale Schusswaffen. Je nach Schätzung obendrauf 20 – 40 Mio illegale Schusswaffen.

    Wir haben also, wie jedes andere Land auch, ein Problem damit. Nur unsere Schusswaffengewalt ist deutlich geringer. Warum, wenn wir auch sehr viele illegale Schusswaffen haben?

    Könnte es daran liegen, dass wir extrem weniger psychoaktive Substanzen verschreiben als die Amerikaner (die nachweislich Selbstmord und Gewaltphantasien bei falscher Dosierung hervorrufen)?
    Dass wir ein Sozialsystem (mit Krankenversicherung) haben, bei dem man nicht unbedingt am Ende auf der Straße landet?
    Das es bei uns eben noch keine breiten Schichten mit völliger Perspektivlosigkeit gibt?

    Wenn du dir die Gewalt verteilt über die USA anschaust, dann korreliert das nicht mit der Anzahl der Waffen in den Regionen, sondern mit sozialen Missständen vor Ort.

    Die Selbstmorde mit Schusswaffen gehen tatsächlich zurück, wenn man registrierte Schusswaffen einsammelt. Aber vor 2-3 Wochen machte ein DB Regio in Brandenburg, in dem ich saß, eine Notbremsung und kam zum Stillstand, so wie der abgetrennte Kopf der 29 Jährigen neben Wagon 4, die sich vor eben diesen geworfen hatte. 4 km vor dem nächsten Bahnhof, mitten im Wald. Da verstehe ich dann nicht, wie andere so etwas als Erfolg verkaufen würden, in Bezug auf „Weniger Selbstmorde mit Schusswaffen“.

    Bei Gewalttaten in ihrer Gesamtheit, sieht man niemals einen Rückgang, auch was die Zahlen der Opfer angeht, man sieht immer nur eine Verschiebung bei der Wahl des Tatmittels.

    Statistiken die Zeigen, viele Schusswaffen, viel Gewalt, lösen da nicht das Henne-Ei-Problem. Woher kam denn dort immer anfänglich die Motivation sich zu bewaffnen? Weil alles friedlich und sicher war?

    Ich kann dir hier leider keine Statistik zeigen, die einen Rückgang von Morden oder Gewalt ansatzweise belegt wenn man mit Verboten daher kommt, da ich einfach keine gefunden habe.

    Vielleicht kannst du das ja an dieser Stelle endlich tun.
    Und uns aufklären, wie man illegale Waffen aus Kellern, Schlafzimmern und von Dachböden holt, von dienen niemand weiß, außer die Besitzer.

    Kannst aber auch diesen düsteren Kommentar einfach ignorieren, wenn dich das zu sehr runter zieht.

    • Hallo,
      Erstmal vielen Dank für die vielen interessanten Fakten!
      In der Sache jedoch widerspreche ich dir nicht und widerspricht dir auch das von mir bemühte Zitat nicht:
      Es endet mit „…only outlaws have guns.“
      Und das wird nicht als positives, sondern als negatives Ergebnis gesehen: „dann sind wir ihnen schutzlos ausgeliefert.“
      Der Spruch ist Morgen-Gebet, Begrüßungs– und Abschiedsformel der Waffenlobby.
      Ich habe ihn adaptiert auf „Wenn Hacker-Tools verboten werden, haben nur Hacker solche Tools.“
      Die amerikanische Variante mit den Schusswaffen scheint aber nicht gut gealtert zu sein:
      Jetzt haben nicht nur Polizisten und Gesetzlose Schusswaffen, sondern auch jeder Idiot auf irgendeinem Parkplatz. Das Ergebnis ist entsprechend.
      Diese Analogie würde ich für Hacker-Tools nicht ziehen, deshalb habe ich das im Nebensatz betont.

      • “jeder Idiot”

        Ja, da geht es mir auch zu weit.
        Ein Verbot allerdings auch.

        Obwohl die USA inzwischen glaube ich mehr Schusswaffen als Einwohner haben, hat man in vielen Milieus (oder sogar ganzen Bundesstaaten) ein geringeres Risiko ermordet zu werden als in Deutschland.

        Dagegen sind die militärisch ausgebildete und ausgerüstete Polizei, mit ihrem tief verwurzeltem Rassismus, sowie die Drogen und Bandenkriminalität das eigentliche Problem. Und dort sieht man auch die Unterschiede zu Deutschland, die langsam beginnen kleiner zu werden.

        Rechte Netzwerke in unseren Sicherheitsbehörden und der Bundeswehr sind dabei immer mehr zu erstarken, und die wird man auch nicht mehr los.

        Ebenso was die Bandenkriminalität angeht, haben wir inzwischen sehr gefestigte Strukturen.

        Wenn das jetzt zu mehr Gewalt führt, sind nicht die Schusswaffen die Ursache, sondern ganz andere Missstände.

        Verbote erreichen nur die, die sich an Gesetze halten. Gewaltkriminelle tun das per Definition schon nicht.

        Generell triggert mich dieses Thema immer. Viele in meinem Umfeld sind bei so vielen Themen immer sehr reflektiert.

        Nur beim Thema Schusswaffen ist plötzlich sofort klar wer die Bösen und wer die Guten sind. Ohne darüber sachlich und logisch nachzudenken.

        Weil die Linken straffe Strukturen und auch Schusswaffen eher ablehnen, sich selbst untereinander immer als die größten Feinde begreifen, werden die evolutiv in den nächsten 200 – 300 Jahren von den Rechten rausgemendelt.

        Zumindest was die westliche Welt angeht.

    • Nur ein kurzer Kommentar zu deiner Aussage “Ich kann dir hier leider keine Statistik zeigen, die einen Rückgang von Morden oder Gewalt ansatzweise belegt wenn man mit Verboten daher kommt, da ich einfach keine gefunden habe.”

      Steven Pinker verweist in seinem Buch “Aufklärung Jetzt” auf eine Statistik von Manuel Eisner von 2014 zu sinkenden Mordraten. Er schreibt dazu: “Wann immer eine Regierung eine Grenzregion der Rechtsstaatlichkeit unterwirft und ihre Bewohner in eine Wirtschaftsgemeinschaft integriert werden, sinken die Verbrechensraten.”

      Die Aussage, dass Gewalttaten in ihrer Gesamtheit nie zurückgehen und Verbote keinen Einfluss haben, würde ich daher eher kritisch sehen.

  4. Weltraumfolter und Tim sagt (sinngemäß) “Was schreien sie denn ist doch legal im Weltraum”, wo ich dann beim zuhören sofort den Zusatz in meinem Kopf gemacht hab “In space no one can hear you scream” – gibt denen doch keine Ideen ;)

    • Ich sehe da noch gewisse Probleme, da die Mondnazis vermutlich die Vertretung des Deutschen Reiches im erdnahen Weltraum beanspruchen. Insofern gibt es hier vielleicht einen völkerrechtlichen Konflikt durch einen konkurrierenden Anspruch der Bundesrepublik Deutschland als Rechtsnachfolgerin. Mit anderen Worten wer von beiden sich nicht ans Grundgesetz halten darf bzw. muss – zum Beispiel zum Zweck der Folter – ist möglicherweise umstritten.

      (Ich hatte die gleiche Assoziation zu Alien.)

  5. Bin noch nicht durch mit der Sendung. Zu dem Punkt ITSIG2 19:10 mich wundert es nicht das Stadtwerke Kritisch sind. Strom, Gaß, Abwasser besonders aber Wasser. Sind kritisch. Mal davon ausgegangen das Transportsystem bricht zusammen. Und du kommst an Wasserflaschen nichtmehr hin. Dann wird dir bewusst wie wichtig frisches sauberes Wasser ist.
    Man sollte auserdem sowieso mehr aus der Leitung und weniger aus der Flasche trinken. (kann nicht für alle regionen in Deutschland sprechen aber bei mir ist es so das das Leitungswasser sehr gut ist.)
    Hat man noch Bleileitungen im Haus ist das z.B. anders.
    https://www.youtube.com/watch?v=lfA8pT-1eKM

    • „Hat man noch Bleileitungen im Haus ist das z.B. anders.“

      Nein ist es nicht und das wird auch in dem von dir verlinkten Video so erklärt. Bleileitungen sind nur noch selten ein Problem, meist nur nach Arbeiten an den Leitungen, wo die schützende Kalkschicht beschädigt wurde.

  6. Eigentlich ist das, was Drosten da mit der BILD gemacht, doch eigentlich ein Lehrstück in Sachen Kommunikation?

    Er hätte sicherlich auf die Mail schnell Stellung nehmen können, sogar erklären können, dass die Kritik der anderen Forscher auch in seiner Arbeit Erwähnung finden. Das hätte BILD am Ende aber, wenn überhaupt, irgendwie verkürzt und falsch dargestellt.

    Durch die Vorveröffentlichung hat er aber die Diskussion steuern können. Das kann man ja am Spiegel sehen, die haben sofort eine Art Gegendarstellung veröffentlicht, und dafür musste Drosten nicht mal mehr etwas tun. Klar, das kriegt der 08/15 BILD-Leser nicht mit – Aber den interessieren ja eh keine Fakten (sonst würde er nicht BILD lesen…)

    Vielleicht ist es gar nicht so verkehrt solche frechen Anfragen der BILD zu veröffentlichen. Klar empören sich ein paar Leute lautstark. Aber ich denke ein Großteil feiert es einfach nur.

  7. Linus hat uns mit seinem spielerischen Rant am Ende der Folge aus der Seele gesprochen!
    Es ist frustrierend, wie in Deutschland Diskurse medial geführt werden.

    Journalist_innen verstehen sich mehrheiltich als Mediator_innen von Meinungen und Fakten. Laut Wikipedia gaben 2005 in einer Umfrage 89% der befragten Journalist_innen an, dass sie “möglichst neutral und präzise informieren” wollen.

    400 v. Chr. markierte Herodot in seinen Historien jene Aussagen, welche er nicht überprüfen könne, mit einem Spruch. Daraus ging später die lateinische Redewendung “Relata refero.” hervor, sinngemäß: “Ich erzähle Erzähltes.”. Bereits damals wiesen einige Menschen darauf hin, wenn sie sich bei einer Berichterstattung etwas unwohl fühlten.
    So z.B. wenn sie die Quelle nicht gegenchecken oder öffentlich machen konnten. Das ist so gesehen in Ordnung, schließlich ist eine Meinung/Aussage bei dünner Faktenlage auch eine möglicherweise wichtige Information. Der innere Anspruch sollte aber sein das zu kommunizieren.

    Menschen der Medienwelt und besonders besagter Bild-Redakteur sind gleichzeitig Verkäufer_innen ihrer eigenen Berichterstattung und somit der Aufmerksamkeitsökonomie und Marktwirtschaft ausgeliefert. Im Kontext dieser Stimuli wird beispielsweise ein “relata refero” als hinderlich gesehen und schlicht weggelassen. Eine sachliche Berichterstattung ist nunmehr ein Konstrukt günstiger Gegebebenheiten. Besonders günstig sind diese Gegebenheiten, wenn jemensch anderes den sachlichen Teil übernimmt und die Medien gleichzeitig unsere Aufmerksamkeit behalten können. Christian Drosten ist ein gutes Beispiel dafür, wie es aussehen kann, wenn ehrlich auf dünne Faktenlagen hingewiesen wird und eigene Meinungen als solche kommuniziert werden. Streng genommen hat er diesen wissenschaftlichen Teil des Diskurses für die Medien geführt und durch seine Evaluation Informationen aufbereitet. Leider wird an dieser Stelle auch klar, was bei den Medien meist schmerzlich vermisst wird.

  8. Als Bibliothekar muss ich eine Lanze für die Fernleihe brechen (auch wenn ich sie als Student auch eher belächelt hab). Der Leihverkehr von Büchern ist immer noch ein wichtiger Teil der Informationsversorgung, v.a. weil er den beschränkten Bedarf an spezieller Literatur befriedigt.

    Ressourcentechnisch ergibt es keinen Sinn, diese Literatur in mehreren Bibliotheken (oder für manche Sachen überhaupt mehr als einmal) im Land vorzuhalten. Von daher ist es eig. ein schlaues und nachhaltiges Konzept, um alle flächendeckend mit Informationen versorgen zu können.

    Die Fernleihe ist übrigens in kaum einem anderen Land so gut und aufwändig organisiert wie in Deutschland! :)

  9. Tim sagte, die Corona-Warn-App-Entwickler hätten Open Source verstanden. Ich widerspreche. Hätte sie Open Source verstanden, würde sie den Code nicht auf Microsofts proprietärer Plattform GitHub zur Verfügung stellen. Es gibt genügend Open-Source-Alternativen.

    • Ach das habe ich komplett übersehen. Ich schreibe gleich mal alle anderen Entwickler, die auf GitHub hosten an, und weise sie darauf hin, dass sie Open Source nicht verstanden haben. Die werden sich sicherlich sofort um Alternativen bemühen.

      Ups, ich habe ja auch Code auf GitHub. Da habe ich wohl Open Source nicht verstanden. Was war das noch gleich?

    • Hätte sie Open Source verstanden, würde sie den Code nicht auf Microsofts proprietärer Plattform GitHub zur Verfügung stellen. Es gibt genügend Open-Source-Alternativen.

      Stimmt, so geht das natürlich nicht.
      Jetzt müssen sie noch mal von vorne anfangen.
      DIE App installiere ICH nicht.

      • Ich hätte es schön gefunden, wenn ihr mit Argumenten anstatt Sarkasmus geantwortet hättet.

        Selbstverständlich ändert es nichts an der Güte des Repository selbst, das war auch nicht mein Punkt. Der Punkt ist, dass ein zentrales, geschlossenes System dafür verwendet wird, obwohl es gleichwertige freie und nach Belieben auch dezentrale Alternativen gibt. Nicht nur Open Source zur Verfügung stellen, sondern auch Open Source nutzen.

        • Deinen “Punkt” haben wir schon erkannt, allerdings halten wir ihn für verdreht, denn GitHub ist kein “geschlossenes” System, zumindest nicht geschlossener als es eine selbst aufgesetzte Source Code Plattform.

          Ja, GitHub selbst ist nicht Open Source, aber das ist für dieses Projekt (und auch alle anderen dort gehosteten Projekte) vollkommen unerheblich, denn git selbst ist so offen wie nur möglich, komplett nachvollziehbar und von daher ist das für die Corona Warn App vollkommen unerheblich.

          Man muss schon aufpassen, dass man hier nicht päpstlicher als der Papst agiert. Das CWA Team hat bisher wirklich was offene Entwicklung und Dokumentation betrifft so ziemlich alles richtig gemacht und das muss man auch mal anerkennen.

          Was würde eine selbst gehostete git-Plattform in dieser Phase verbessern? Dass jeder Entwickler, der mitmachen möchte auf einem SAP-git-host erstmal einen neuen Account aufmachen muss? Dann würde all die auf GitHub gesammelte Reputation verloren gehen und die erlernten Workflows und betriebenen Integrationen neu aufgesetzt werden. Man hätte Probleme zu beurteilen, wer da jetzt mitmacht und mit welcher Expertise daher kommt und so weiter.

          Wäre dem Projekt oder der interessierten Öffentlichkeit damit irgendwie geholfen? Ich denke nicht. Daher musst Du uns den Sarkasmus mal nachsehen und vielleicht mal etwas zurückstecken und ggf. einsehen, dass Du hier gegen Windmühlen anläufst.

          • tl;dr: Ich finde sowohl deine Argumente als auch meins valide. Es wäre das i-Tüpfelchen.

            Ich finde es selbstverständlich völlig okay, wenn wir unterschiedlicher Meinung sind. Bei einem ernst gemeinten Kommentar freue ich mich jedoch eher über ebenso ernst gemeinte Antworten wie deine jetzt. Danke dafür.

            Ja, die CWA-Leute haben bisher viel geleistet. Das erkenne ich an, habe es nur nicht erwähnt. Ich wollte damit auch nicht das aussagen, dass das ganze Projekt schlecht oder für die Katz’ ist. Eher ein Schönheitsfehler.

            Klar, das Projekt als solches und git sind so offen wie es nur geht. Aber es ist eben git via GitHub. Und wenn man Open Source zu Ende denkt, gehört imho. auch die Plattform dazu. Das Problem mit GitHub – wie mit allen anderen zentralen, im Kern geschlossenen (wenn auch offen in der Benutzung) Plattformen – ist, dass es nur solange gut geht, bis es nicht mehr gut geht. Den Quellcode und die Commits bekommt man dann natürlich schnell woanders hin. Aber alles andere wird im besten Fall lästig zu migrieren.

            Bzgl. Expertise und Reputation kann ich nur Linus paraphrasieren: “Es ist egal, wer das Richtige sagt.” Es kommt auf den Inhalt an und nicht auf den Namen. Ich kann mir auch überhaupt nicht erklären, warum derart große Firmen nicht sowieso schon eigene git-Server haben.

            Ich weiß auch, dass es einem Don Quijote gleichkommt. Der Gesellschaft wäre damit jedoch geholfen. Denn auch wenn es nicht im Vordergrund steht, aber es stärkt das Selbstverständnis der Benutzung GitHubs und hilft damit nur dem einzelnen Unternehmen Microsoft, im Gegensatz zu Freier Software, die der Allgemeinheit zu Gute kommt und die hier nebenher propagiert werden könnte.

            Ich sehe nicht, dass sich unsere Standpunkte grundsätzlich widersprechen. Vielleicht können wir uns darauf einigen, dass das Projekt bis hierhin unsere Hochachtung verdient und zusätzliche Dezentralität und Unterstützung von Freier Software auch schön wäre.

  10. Ich habe diesen Podcast gerade gehört und möchte eine kurze Anmerkung zu dem Entwurf des IT-SiG 2.0 machen.

    Was den angesprochenen Interessenkonflikt des BSI angeht, bin ich absolut d’accord. Daneben sehe ich aber noch mindestens ein weiteres Problem.

    Die Formulierung im Entwurf zum IT-SiG 2.0 (“Maßnahmen zur Detektion von Schadprogrammen, Sicherheitslücken und anderen Sicherheitsrisiken in öffentlich erreichbaren informationstechnischen Systemen”) lässt zunächst an Vulnerability-Assessments (VA) denken, schließt aber Pentests auch nicht aus.

    Ich bleibe hier jetzt mal nur bei dem Thema der VAs. Wenn “wir” als Sicherheitsdienstleister VAs durchführen sollen, benötigen wir vorher zwingend die Einwilligung und Zustimmung des Eigentümers eines Zielsystems (system owner).

    Ohne diese Einwilligung würde man sich strafbar machen, also rechtlich gesehen als Hacker agieren (ihr hattet darauf hingewiesen). Soweit ich den Entwurf des IT-Sicherheitsgesetzes verstehe, soll nun für bestimmte staatliche Akteure in diesem Fall eine Ausnahmegenehmigung geschaffen werden.

    Der rechtliche Aspekt ist aber nur einer von mehreren Gründen, warum Assessments nur mit der Einwilligung des Eigentümers stattfinden sollten. Neben der rechtlichen Absicherung des Testers gibt es noch weitere Gründe, die aus Sicht des Eigentümers unter Umständen viel wichtiger sind. Denn IT-Security-Management, zu dem regelmäßige Tests ja gehören, ist im Wesentlichen eine unterstützende Funktion, um das Kerngeschäft abzusichern.

    Weil Vulnerability-Scans aber zu Schäden an den Zielsystemen führen können, müssen Sicherheitsprojekte dieser Art sorgfältig geplant werden. Im Vorfeld wird also mit allen technischen und nicht-technischen Verantwortlichen gesprochen. Es wird festgestellt, wie kritisch die zu testenden Systemkomponenten sind. Wann wurden die letzten Backups gemacht? Wann wurde zuletzt die Rücksicherung der Backups getestet? Es werden Notfallpläne gemacht, falls beim Testen Systeme ausfallen. Man bestimmt in den Rules of Engagement die Vorgehensweise und eben auch, was nicht gemacht werden soll; usw. usw.
    In den Rahmen dieser Überlegungen gehört nicht zuletzt auch die Frage, ob überhaupt an Produktivsystemen getestet werden soll. Denn es kann durchaus gute Gründe geben, das nicht zu tun und stattdessen an analog konfigurierten Systemen oder Klonen zu testen. Oder auf Source-Code-Reviews auszuweichen.

    Für den Vulnerability-Scan klärt man mit dem Kunden in dieser Phase unter anderem, ob intrusive oder nur non-intrusive Plugins eingesetzt werden sollen. Wenn man z. B. Nessus benutzt, kann man sogenannte “safe checks” vereinbaren und bewusst auf intrusive Plugins verzichten (ACT_DESTRUCTIVE_ATTACK, ACT_DENIAL, ACT_KILL_HOST, ACT_FLOOD). Eine ähnliche Unterscheidung findet man selbst beim Portscanner Nmap, wenn man dessen scripting engine (NSE) benutzt.

    Testet man hingegen “intrusive”, also aggressiver, muss der Eigentümer im Vorfeld über die Risiken vollständig aufgeklärt werden und dieser Vorgehensweise explizit zustimmen.

    Und genau an diesem Punkt sehe ich das Problem mit dem IT-SiG 2.0-Entwurf. Man hat als Sicherheitsdienstleister eine Verantwortung gegenüber den Ressourcen des Auftraggebers. Ethisches Handeln als Assessor oder Pentester impliziert genau das!

    Das scheint mir nun aber nicht mehr der Fall zu sein. Aus Sicht des Eigentümers gibt es jetzt eine dritte Gruppe von Angreifern, die für seine Systeme eine weitere Bedrohung darstellen. Bisher sind die Angreifer illegale Hacker, die man strafrechtlich oder zivilrechtlich belangen kann (wenn man ihrer habhaft wird), oder es sind Sicherheitsdienstleister die sich ethischen Prinzipien verschrieben haben und den Eigentümer als Auftraggeber über die Risiken im Vorfeld weitreichend aufklären.

    Jetzt käme diese dritte Gruppe hinzu, die man vermutlich rechtlich nicht belangen kann und die – aus meiner Sicht – methodisch unethisch agiert. Für mich klingt das alles nach einem Kaperbrief, frei nach dem Motto: Wir wollen den Spass haben, aber nicht die Verantwortung.

    Für den Eigentümer macht das alles wahrscheinlich keinen Unterschied. Auch wenn das BSI künftig mit guten Absichten nach Schwachstellen scannt oder sogar pentestet, ist das für den Eigentümer ein nicht-authorisierter Angriff gegen seine Systeme, der Schäden verursachen kann. Und der zusätzliche Kosten verursachen wird! Denn bei einem gut aufgestellten IT-Security-Management wird ein security incident festgestellt. Log-Files müssen ausgewertet werden. Der Vorfall wird forensisch analysiert. Man erstellt Reports und präsentiert diese dem Management. Reviews der Sicherheitsmaßnahmen werden durchgeführt, etc. All das kostet Geld.

    Ich würde sogar noch weiter gehen und die Sinnhaftigkeit dieses Ansatzes infrage stellen. Was ist mit credentialed Scans? Was ist mit der False-negative-Problematik von Vulneranbility-Scannern? Was soll eigentlich durch dieses Vorgehen genau abgebildet werden? Das scheint mir alles nicht wirklich durchdacht zu sein.

    Und über Pentests habe ich noch gar nicht geschrieben, aber ich höre jetzt einfach mal auf. Ich wollte gar nicht so viel schreiben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.