emden09

nie angepasst

Posts Tagged ‘Qualität

Sony: Verbindliche IT-fachliche Standards müssen her – schnell!

leave a comment »

Der SPON schreibt Das Ausmaß des Sicherheitslecks bei Sony*wird*immer größer.

Das stimmt so natürlich nicht! Das Ausmaß der Auswirkungen des Sicherheitslecks wird immer größer, wäre richtig. Aber ein solches Leck kann man ja nicht einfach mit Brettern vernageln. Dazu bedarf es mehr.

Aus IT-fachlicher Sicht spricht zunächst nichts dafür, Rechner, auf denen die Daten von Kunden dauerhaft gespeichert werden,  auch nur irgendwie von „außen“ zugänglich zu machen. Das ist fachlich gesehen eine Stümperei beim Entwurf der Systemarchitektur.  Mit wie wenig fachlichem Sachverstand werden der Entwurf und die Tests solcher Systemlandschaften bewerkstelligt?

Wann gibt es in der IT endlich internationale fachliche Befähigungsnachweise für jede Fachrichtung? Ein Dipl. Ing ist ein Bildungsabschluss, aber eben kein Befähigungsnachweis, wenn es um Anforderungmanagement, Systemarchitektur, Systemsicherheit, Implementierung , Testen oder Betrieb von IT-Systemen geht. ISO 9000, ISO 20000 usw. sind Qualitätsstandards aber eben keine Qualitätsnachweise für die Produktion und den Betrieb von Systemen.

Es muss m.E. sehr kurzfristig eine Qualifizierungs- und Qualitätsinfrastruktur geschaffen werden. Diese muss zu einer Lückenlosen Zertifizierungskette von der ersten Systemidee, über den Betrieb bis zur Außerbetriebnahme eines Systems führen. Nur auf Systemen für die eine lückenlose Zertifizierung vorliegt dürfen künftig personenbezogene Daten gespeichert werden.

Auch bei Kfz hat man den Garagenbastlern den Schraubenschlüssel aus der Hand genommen und im Straßenverkehr, wo andere gefährdet werden, nur noch Fahrzeuge zugelassen, wenn diese (immer noch sehr weichen) Zulassungskriterien entsprechen. Dasselbe muss innerhalb kürzester Zeit für IT-Systeme gelten auf denen personenbezogene Daten gespeichert werden.

Wer hier Freiwilligkeit, „Selbstverpflichtungen“, „Wandel durch Handel“ (die Verbraucher) oder einen „Augenmaß“ fordert, hat das Ausmaß des Problems nicht begriffen.

Es gibt anerkannte fachliche Standards. Es ist eine Frage des Willens das KnowHow der Beteiligten Personen bzgl. dieser Standards regelmäßig abzufragen und fortlaufend zu zertifizieren. Danach muss einfach klar sein, dass keiner mehr an solchen Systemen arbeitet, der keinen entsprechenden Befähigungsnachweis hat.

Es muss fälschungssicher dokumentiert werden, wer, wann, was und mit Berechtigungserteilung durch wen an solchen Systemen konstruiert oder geändert hat. Dann ist innerhalb kürzester Zeit klar, wer für eine solche Panne verantwortlich ist.

Und nach einer solchen Panne muss es dann laufen, wie heute schon bei Ärzten (auch dort werden ja nur die schwärzesten der schwarzen Schafe ausgesondert). Es muss ein öffentliches Verfahren geben, das solchen Stümpern den Befähigungsnachweis (analog zur Aprobation bei Ärzten) aberkennt.

Danach dürfen solche Personen einfach nicht mehr an solchen Systemen arbeiten, bis sie durch eine langwierige und aufwändige Fortbildung einen erneuten Befähigungsnachweis erlangt haben. Wie bei der MPU (aka „Idiotentest“) für Kfz-Führerscheininhaber muss es wirklich hart sein, den Befähigungsnachweis zurück zu erhalten, wenn man einmal für eine Panne verantwortlich war, bei der Personen durch Preisgabe personenbezogener Daten zu Schaden kamen.

Ja ich behaupte selbst nach den spärlichen bisher bekannt gewordenen Informationen über die Sony-Pannen, dass die mindestens grobe Fahrlässigkeit mit der Sony hier die Privatsphäre und die Finanzen seiner Kunden gefährdet das Ausmaß einer Trunkenheitsfahrt mit mehr als 1,5 Promille Alkohol im Blut mindestens erreicht, wenn nicht übersteigt.

Eine Branche, die auf die Politik wartet, um solche Pannen zukünftig zu vermeiden wartet (un)sicher vergebens.

Advertisements

Written by emden09

03.05.2011 at 15:21

Veröffentlicht in Internet, IT-Sicherheit

Tagged with , , , , ,

%d Bloggern gefällt das: