lwulfe schrieb:
Aus aktuellem Anlass eine Frage ans Forum: seid ihr von Kunden schon mal mit den Grundschutz-Standards des BSI konfrontiert worden?
Wenn ja, hat das Einfluß auf eure Arbeit genommen?
Hallo Lutz,
Interessante Kunden hast Du!
Wobei es entscheidend ist, ob der Kunde wissen will, ob Du als Dienstleister BSI-GS konform bist, oder ob Du seinen Aufträge gemäß den Empfehlungen des BSI umsetzen kannst. Was z.B. beim Thema Webserver (https://www.bsi.bund.de/cln_192/ContentBSI/grundschutz/kataloge/baust/b05/b05004.html) eine recht komplexe Angelegenheit sein kann!
Generell gilt, das im BSI-GS jede menge wertvoller Information steckt (wie Heiko schon andeutete), die es aber in sich hat. Der Grudschutz ist als Rahmenwerk anzusehen, welches sicherheitsrelevante Themens/Aspekte benennt und Empfehlungen gibt - allerdings meistens recht neutral beschrieben. Konkrete Umsetzungen musst Du entweder selbst finden, oder man beauftragt dazu eine weitere Instanz, die sich damit auskennt.
Wenn man neu in der Thematik ist, oder ein neues Thema angeht, ist der BSI-GS ein wertvoller Hinweisgeber, denn dort findet man oft Hinweise und Erinnerungen an die man selbst gar nicht denkt. Allerdings meine ich (persönliche Ansicht), dass man eine 100% Umsetzeung bei großen Themen nicht hinbekommt, da es einfach zu aufwendig ist. Hier würde ich die 80:20-Regel nutzen. Wenn man 80% umgesetzt/erreicht hat, ist es Ok - denn die restlichen 20% stehen in einem ungünstigen Aufwandsverhältnis.
Einfluß auf die Arbeit ... ich meine, hier sollte ein JA stehen, denn wer Sicherheit ignoriert (hier vertreten durch den BSI-GS) wird irgendwann ein Problem bekommen. Denk nur mal an die Auswirkungen, die beispielsweise URL-Verkürzungen mit sich bringen (Eigenwerbung: www.kes.info/archiv/online/kurz-urls.html).
Was ich Dir raten würde wäre zu hinterfragen, was der Kunde möchte. Versuche das sicherheitstechnisch umzusetzen und lass Dich dabei ruhig durch den BSI-GS inspirieren. Vermeide aber eine sklavische Abhängigkeit und die 100% Umsetzung - denn das oft nicht erreichbar. Rede aber mit Deinem Kunden und sprich Empfehlungen aus, nenne Vor- und Nachteile und die entsprechenden aktuellen (und späteren) Aufwendungen die man betreiben muss. Wen Du z.B. einen Zugriff auf Daten nur nach Passwort-Abfrage erlaubst, ist das sicher - aber wie sieht es mit der Akzeptanz der Anwender aus. Wenn die wegbleiben, nützt die sicherste Webseite nichts. Nimm ruhig den Kunden in die Pflicht, denn Sicherheit geht alle an!
Viel Erfolg beim Balanceakt auf dem Drahtseil zwischen Sicherheit, Akzeptanz und Nutzen!
Grüße Ralph
Bitte nicht vergessen, Virenscanner und Co. zu aktualisieren!
SecuTipp: GRATIS Security-Informationen für die eigene Webseite und [url="http://twitter.com/secuteach"][img]http://w 
Beitrag erstellen
EinloggenKostenlos registrieren