Re: Xorg mal wieder

On Thu, 21 Aug 2014 04:30:26 +0200, Marc Santhoff wrote:
> On Do, 2014-08-21 at 09:43 +1000, Peter Ross wrote:
> > Auf lange Sicht ist ein freies OS auf Telephonen und
> > Ende-zu-Ende-Verschluesselung unverzichtbar, wenn wir nicht Orwell 1984
> > als akzeptablen Dauerzustand etablieren wollen.
>
> Das ist in der Umgebung von Firmen mit schutzwürdigen Intressen sowieso
> nötig. DAnn setzt es sich hoffentlich auch zum "Konsumenten" durch.

Eher nicht, die Voraussetzungen sind momentan noch nicht da.
Sicherheit ist ja kein Zustand, sondern ein Prozeß, der Geld
kostet - nicht für Schlangenöl und dumme Zertifikate, sondern
für qualifiziertes und motiviertes Personal. Unternehmen sehen
aktuell keinen Sinn darin, in "sowas" Geld zu investieren, sie
stecken es lieber in Marketing, denn das bringt schneller ein
"Return of investment". Sicherheit tut dies nicht.

Voraussetung ist also, daß viele Unternehmen derart Schaden
aufgrund mangelnder Sicherheit nehmen, daß ihre Existenz bedroht
bzw. beendet wird. Erst dadurch kann ein Umdenken erfolgen, denn
die Veränderung von Denkprozessen ist immer daran gebunden, daß
es einen Grund gibt. Existenzverlust ist ein solcher Grund. Ja,
ich weiß, das klingt wieder gemein, ist aber leider so. Man muß
erst auf die Schnauze fallen, damit man einen Grund hat, das
eigene Handeln zu hinterfragen.

Ich habe mal im Radio gehört, daß ca. jede dritte (!) Firma schon
IT-Sicherheitsprobleme gehabt haben soll und daß der Schaden im
Jahr bei mehreren hundert Millionen Euro liegen soll. Offenbar
kann das noch immer unter "Peanuts" verbucht werden. Erst wenn
finanziell signifikante Einbußen auflaufen, wird man "professio-
nelle Hilfe" suchen.

Und genau in diese zu erwartende "Marktlücke" werden die bekannten
und neu ausgerichteten Parasiten stoßen: Sie verkaufen "Sicher-
heit", Zertifikate, Gerätschaften, Software, Consulting und
anderes Schlangenöl, das ein "gutes Gefühl" gibt.

"Wir machen hier keine IT-Sicherheit, da haben wir 'ne Firma für."

Nimm als Beispiel mal die geplante Meldepflicht für IT-Sicherheits-
probleme: Wenn ein Unternehmen nicht weiß, daß es schon längst
übernommen worden ist, wie soll es da was melden? Und wann wäre
es dazu verpflichtet? Wenn es eine "kritische Infrastruktur" be-
treibt? Wann ist eine Infrastruktur kritisch? Wer legt das fest?
Und kann die Meldung anonym erfolgen? Warum sollen die Betroffenen
nichts erfahren? Antwort: Weil sie dem Unternehmen dann Lebewohl
sagen würden natürlich! Und wer wird die Standards ausarbeiten?
Antwort: Die Unternehmen selbst! Hier wird meiner Ansicht nach
der Bock zum Gärtner gemacht und vom Dorftrottel beaufsichtigt.
Das kann nur gegen den Baum gehen. (In 10 Jahren werde ich diese
meine Zeilen erneut lesen und mich erschrecken, wie rosig ich
die Zukunft, die dann Gegenwart ist, doch gesehen habe...)

Ich sollte _dringend_ was gegen meine Garstigkeit nehmen. ;-)

-- 
Polytropon
Magdeburg, Germany
Happy FreeBSD user since 4.0
Andra moi ennepe, Mousa, ...
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message