Alles was einem manchmal durch den Kopf oder sonstige Organe geht. Vornehmlich nachts, manchmal auch tagsüber.

Freitag, Mai 26, 2006

Zertifiziert?

Im Rahmen einiger Kundenprojektes beschäftige ich mich momentan ein wenig intensiver mit den vielen Papieren, welche vom BSI - Bundesamt für Sicherheit in der Informationstechnologie produziert wurden. Enttäuschenderweise musste ich dabei feststellen, dass sich ein leise gehegter Verdacht von mir leider bestätigt: Das BSI stellt zwar einen hohen sicherheitstechnischen Anspruch in der Informationstechnik, hinkt aber in der Realität um mindestens zwei Generationen hinterher, speziell im Firewall-Umfeld. Die Firewall-Studie vom BSI ist von 2001, beschreibt u.a. die CheckPoint FW-1 in der Version 4.1. Aktuell ist hier NGX und da liegen nicht nur fünf Jahre Weiterentwicklung dazwischen, sondern zwei Generationen. Bei den anderen Firewalls in der Studie dürfte es sich ähnlich verhalten, bzw. dürfte es einen Hersteller aktuell gar nicht mehr geben. Einzig sympathisch an der Studie war mir, dass das BSI dem CheckPoint-eigenen Firewall-Slang auch nicht viel abgewinnen konnte: O-Ton BSI "Was sind Enforcement Points?" (Anhang A, Seite 19, A4.2).
Bei dieser Problematik stellt sich mir die Frage, was eine BSI-Zertifizierung wert ist, die soweit von der technischen Realität entfernt ist? Schlimm ist dabei aber auch, wenn Kunden (speziell aus dem öffentlichen Dienst) oder auch externe IT-Datenschutzrevisoren auf diesen veralteten BSI-Veröffentlichungen herumreiten ohne die Realität, wie wir sie heute vorfinden, zu berücksichtigen!