Zurück   Echte-Abzocke.de > Forum > Allgemein

Jetzt kostenlos registrieren. Mitglieder surfen ohne Werbung auf Echte-Abzocke.de!

Antwort

 

Themen-Optionen Ansicht
Alt 19.04.2015, 01:06   #1 (permalink)
Super-Moderator
 
Benutzerbild von kruemeltee
 
Registriert seit: 07.05.2009
Ort: im Tal der Ahnungslosen
Beiträge: 661
Standard ISO Zertifizierung benötigt? schaut genau hin!

Hallöchen Gemeinde,

endlich kann ich etwas aus meinem Erfahrungskreis berichten. Aber eins Vorweg: es ist eigentlich keine Abzocke, sondern eher eine Augenwischerei (wie bei so vielen Gesetzen).

Es geht hier um die ISO Zertifizierung 27001 (Informations- und Sicherheitsmanagement-System).
http://de.wikipedia.org/wiki/ISO/IEC_27001
Im Grunde eine Art Nachweis, dass ein Unternehmen sich tatsächlich um die Abläufe im Unternehmen kümmert, für die Sicherheit der Daten sorgt und selbstständig Schwachstellen entdeckt und diese behandelt (so ganz grob).

Manche Institute benötigen in Zusammenarbeit mit anderen Unternehmen oder Dienstleistern dringend diese Zertifizierung (etwa analog zur PCI Zertifizierung, die zwingend benötigt wird, wenn man in Datenverarbeitenden Systemen mit Kreditkarten und deren Daten arbeiten will; einfaches Beispiel: ein Shop der es Euch ermöglicht, mit Kreditkarte zu zahlen). Die ISO 27001 ist etwas vergleichbares, leider nur nicht so zwingend benötigt.

Die ISO 27001 ist leider (wie vermutlich viele Gesetze) sehr allgemein veranschlagt und lässt nicht nur Spielraum für Interpretationen sondern auch in der Argumentation. Sie beginnt mit dem sogenannten Scope, eine Art "worauf im Unternehmen beziehe ich mich". Der Erfahrung nach fragen die meisten Unternehmen nur "seid Ihr ISO zertifiziert?", hat das Unternehmen eine solche, dann sagen sie "ja", und das wars. Die Frage "was habt Ihr denn zertifiziert?" stellt kaum einer, sie sehen das Zertifikat und dann nur noch das "ok".

Das Problem? Machen wir es an einem Beispiel (etwas extrem, aber durchaus möglich). Nehmen wir ein Kreditkarten-Institut: die Zertifzierung bedeutet für mich als Kunde: die Daten sich sicher, können nicht entwendet werden. Und falls eine Schwachstelle auftritt, welches durch regelmäßige ernsthafte interne Kontrollen ermittelt wird, dann behebt man diese. Was aber wenn der "Scope" sich nur auf die Herstellung der Karten selbst bezieht, nicht aber auf die Datenverarbeitung dahinter? Dann ist das Unternehmen immer noch "ISO 27001 zertifziert" und lässt uns damit im Glauben, es sei alles halbwegs sicher. Wenn die aber nur eine Gütekontrolle bei der Herstellung der Kreditkarten im Scope haben, dann nützt mir das herzlich wenig wenn es um meine Daten auf der Karte geht.

Daher der gut gemeinte Rat: achtet auf den Scope (den müssen die Euch zur Verfügung stellen). Lest diesen genau durch und nehmt nicht einfach ein solches Zertifikat hin.

Grüße
kruemeltee
__________________
Meine Beiträge spiegeln lediglich meine Meinung wieder (und meine Erfahrungen) und ersetzen in keinem Fall den Weg zu einem Anwalt.

Geändert von kruemeltee (19.04.2015 um 01:09 Uhr)
kruemeltee ist offline   Mit Zitat antworten
Antwort

Lesezeichen

Themen-Optionen
Ansicht

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus


Ähnliche Themen

Thema Autor Forum Antworten Letzter Beitrag
Branchenbuch: Medienverlag Moritz UG schreibt – genau hinsehen schnippewippe Allgemein 0 14.01.2013 15:08
Jessy-Meyer.de Abzocke??? Schaut euch die selbst Seite an huskas Computer & Internet 109 22.12.2012 09:06
Wie genau schauen Inkasso-Anwälte hin? schnippewippe Allgemein 1 16.02.2012 12:09
wo ist der edates thread hin ? Herrxyz Computer & Internet 12 18.11.2011 00:04
Smilies wüten, wo mann nur hin schaut kruemeltee Smalltalk und Offtopic 30 02.12.2009 01:08

Wichtig: Nach Rechtsberatungsgesetz darf nur ein zugelassener Rechtsanwalt eine Rechtsberatung
im Einzelfall durchführen. Diskutiert daher bitte nur allgemeine Rechtsfragen in unserem Forum.


Alle Zeitangaben in WEZ +2. Es ist jetzt 21:37 Uhr.


Powered by vBulletin® Version 3.8.7 (Deutsch)
Copyright ©2000 - 2019, vBulletin Solutions, Inc.

Content Relevant URLs by vBSEO 3.3.2