Post B0HbADryYO364feWB6 by jakob@soc.schuerz.at
(DIR) More posts by jakob@soc.schuerz.at
(DIR) Post #B0HbADryYO364feWB6 by jakob@soc.schuerz.at
2025-11-15T17:51:16Z
0 likes, 0 repeats
Ich finde ja den #fefe meist nur so mittel...Aber diese Slides zu einem Vortrag der er anscheinend einmal irgendwo gehalten hat, finde ich höchst interessant... und demoralisierend.Damit ist eigentlich genau das, was mich in der Arbeit grad ganz furchtbar stört bestätigt, dass es mich zurecht stört und frustet.ptrace.fefe.de/Zero%20Trust/#0Manager wollen Managen.Patches z.B.Und dabei müssen Patches einfach nur eingespielt werden. Fertig aus. Und das schnellstmöglich.Aber Manager wollen Managen und nicht Probleme lösen.
(DIR) Post #B0HbAFA5kW8O598V3Q by pmj@social.pmj.rocks
2025-11-15T18:13:56Z
0 likes, 0 repeats
@jakob "ISO 27001 verlangt nur Prozesse, nicht dass sie funktionieren!" 🥳
(DIR) Post #B0HbAGdYGTIGenvXc0 by publicvoit@graz.social
2025-11-15T21:59:24Z
0 likes, 0 repeats
@pmj @jakob #ISO27001 (und andere Zertifikate) verhindern nicht Beschiss, sondern helfen denen, die einen Framework für ein ISMS wollen.Wer ISO nur für den Zettel macht, der kann immer Bullshit produzieren, der fürs Audit reicht.Allerdings ist das dann IMO nicht die Schuld der Norm.Ohne dieser Normen wäre es allerdings auch deutlich schwieriger, im B2B-Umfeld halbwegs brauchbare Partnerbeurteilungen zu haben. Wer dem Zertifikat seines Partners misstraut, sollte Kundenauditrechte in die Verträge schreiben und auch durchführen. Aber das ist dann natürlich auch Aufwand, den man investieren muss.YMMV
(DIR) Post #B0HenltEIi6Gk5mybA by jakob@soc.schuerz.at
2025-11-15T22:31:27Z
0 likes, 0 repeats
@publicvoit @pmjWenn ich ein Zertifikat habe, dem ich per se nicht vertrauen kann, weil es vom zertifizierten abhängt, was der draus macht... und ich selbst erst recht wieder auditieren muss.... brauch ich das Zertifikat gleich gar nicht.Ich weiß es von hier, dass beim letzten Audit Firewallrules verlangt wurden. Die hat der Kollege mit viel Aufwand zusammengestellt und in einer Liste dem Protokoll beigefügt.Der Auditor hat bloß gesehen, "Aha! Da sind Firewallrules auf einem Zettel" und sein OK dazugegeben.Ob die Rules etwas taugen... wurde nichtmal stichprobenartig kontrolliert. Ob sie zur Netzwerkstruktur oder den Anforderungen passen, auch nicht.Und ob die überhaupt implementiert wurden, war nicht einmal Thema...Wofür brauch ich dann ein Zertifikat nochmal?
(DIR) Post #B0Henn7RjL4AYTRqOe by publicvoit@graz.social
2025-11-15T22:40:14Z
0 likes, 0 repeats
@jakob @pmj Du brauchst das Zertifikat nicht, um ein gewisses Sicherheitslevel zu erreichen.Aber die Norm hilft dir, nichts Wesentliches zu vergessen, wenn du tatsächlich an realer Sicherheit Interesse haben solltest.Und so ein Zertifikat gibt dir zumindest ein gewisses Grundvertrauen, dass ein Geschäftspartner keine besonderen Dinge übersehen hat.Wenn du annimmst, dass alle(?) beim Audit bescheissen, dann nützt dir das Zertifikat vermutlich nix, du musst aber alle(!) Partner dann selbst auditieren. Und dann kommst du wieder den Aufwand mit n × (n - 1) / 2 für n Firmen. Findest du das besser?Insofern vertraut man darauf, dass man die Partner gut einschätzt, ob sie beim Audit faken und im Schnitt ist es damit besser als ohne die Summe von Zertifikat + überall Kundenaudits.Fazit: wenn eine Firma bei ISO bescheissen will, tut sie es auch ohne ISO und du gewinnst nix.🤷
(DIR) Post #B0HhsxYsdHGIFhR6cy by jakob@soc.schuerz.at
2025-11-15T22:47:56Z
0 likes, 0 repeats
@publicvoit @pmjEs geht gar nicht mal ums bescheißen...Wenn ich heute Matura mache, reicht es nicht aufzuschreiben, wie man eine Rechnung durchführen würde um zu bestehen.Ich muss die schon auch machen, um zu zeigen, ich kann das.Wenn ich mich aber zertifizieren lasse, reicht es aus, aufzuschreiben, so täten wir es wollen... ohne zu zeigen, wie man es gemacht hat.Kaufe ich heute ein zertifiziertes Biohuhn, gehe ich davon aus, dass der Bauer regelmäßig überprüft wird, dass er die geringen mindeststandards auch tatsächlich einhält.Aber bei der Iso-Zertifizierung reicht es, zu schreiben, was man täte...Wenn ich mit der Norm arbeite ist das wieder etwas anderes als das Audit.
(DIR) Post #B0HhsyDeBhs6I8VfAe by jakob@soc.schuerz.at
2025-11-15T22:56:05Z
0 likes, 0 repeats
@publicvoit @pmjUnd wenn beim Audit rauskommt, ich muss Windows verwendfn, weil da per Gruppenrichtlinie eine Bildschirmsperre nach X Minuten Idle-Time verordnet werden kann, aber am Linux-Rechner geht das nicht... dann greift das zu kurz.Cortana/Copilot wird aber nicht abgedreht per Gruppenrichtlinie...Und ein Hardwaretoken deg den Rechner sperrt, sobald ich ihn abziehe und zum Anmrldfn zwingend brauche... zählt aber nicht.Keinerlei Awareness bzgl. Mitnahme des ssh-agent auf Kundensysteme, oder ein vorgeschriebener Einsatz von pkcs11 mit Hardwaretoken...Das kommt nichtmal in Randnotizen vor. Aber der Bildschirm muss nach 10min Idle-Zeit gesperrt werden...Da hab ich mein ganzes Vertrauen in diese Zertifizierung wirklich verloren. Windowszentrierte Auditoren, die von Linux nicht wirklich Ahnung haben... aber alle Server laufen mit Linux...Da passt ja nix zusammen.Ja. Ein Papierl gibts.Das kann man managen.Sicherheit oder Bewusstsein dafür schafft es aber nicht.Meine Meinung.
(DIR) Post #B0HhsyxjQMjcb44T0C by publicvoit@graz.social
2025-11-15T23:14:46Z
0 likes, 0 repeats
@jakob @pmj Dem letzten Teil kann ich voll zustimmen: wenn man nicht möchte, nutzt das Zertifikat allein nix. Aber dann liegt das Problem auch auf Seiten des Managements und dessen Prioritätensetzung. Also wäre dein Problem mit der ISO nur ein Symptom aber nicht die Ursache.
(DIR) Post #B0IXYXgELQrFo6SYjI by publicvoit@graz.social
2025-11-16T08:53:46Z
0 likes, 0 repeats
@jakob @pmj Dann habt ihr euch die falsche Norm herausgesucht, wenn ihr das wollt.27k ist so ausgelegt, dass es für einen Tischler genauso funktioniert wie für einen Weltkonzern.Wenn ihr striktere Vorgaben braucht, dann wäre IT Grundschutz oder andere Zertifikate besser geeignet.