4:07 "nicht, dass wir angreifbar sind für Hacker" klar, das sind wir sowieso schon lange, aber noch viel angreifbarer sind wir für Rechtsanwälte und sonstige Juristen oder solche, die es gerne wären, schon oft genug Abmahnanwälte genannt.
Also ich finde es gut das sich Morpheus sich darüber freut, aber bitte sprecht normalerweise nicht das Gewicht von Leuten an (wenn die Person das selber nicht tut). Man kann nie wissen was das in Menschen auslöst.
@Vivendy1990 Darf jetzt nicht mal mehr Komplimente machen? Ich meine, wenn man stark Übergewichtige Personen darauf anspricht das man meint sie habe zugenommen, kann man das definitv schon als eine Art Beleidigung ansehen. Wobei es hier auch immer drauf ankommt von wem es kommt und wie man es rüber bringt. Aber wenn jemand abgenommen hat kann man es ruhig ansprechen, wenn man es wirklich so meint das man findet das es gut aussieht. Wenn wir jetzt sogar schon Lobe nicht aussprechen sollen, weil man Gefühle verletzen könnte. Dann sollten wir am besten garnicht mehr mit einander reden. Wenn man Erfolge erzielt darf man sich ruhig mal feiern lassen.
@@DocScheppa ja natürlich ist es relevant wie man es sagt. Aber sollte einfach nicht das Aussehen fremder Leute unaufgefordert kommentieren. Und sei es auch vermeindlich positiv. Das finde ich zumindest. Du kannst es natürlich auch anders machen.
In meiner Erfahrung (Software-Entwicklerin und bin jetzt in Rente) wurde das Thema Compliance formal möglichst pragmatisch und minimalistisch abgehandelt. Du hast Termindruck und Compliance kommt zum Schluss. Das führt vielleicht auch dazu, dass manche sinnvollen Regeln nicht im Sinne von IT-Security bearbeitet werden. Der überbordende Verwaltungsaufwand durch die Compliance-Regeln führt auch dazu, dass das Thema nicht wirklich ernst genommen wird. Teilweise findet man als Software-Entwickler die Regelungen auch nicht sinnvoll, teilweise versteht man auch nicht was wirklich gewollt ist. Also macht man das so, dass es abgenickt wird; also Checkliste abhaken. Bei den Prüfern hatte ich manchmal den Eindruck, dass nur das Datum geprüft wird und ob im Negativfall ein Kommentar vorhanden war. Erinnert mich auch an meine Zeit vor über 40 Jahren in der Verwaltung: da hieß es prüfungsfähige Akten produzieren!!!
Gerade als Software-Entwickler sollte man das Thema Compliance und die Regelungen eigentlich sinnvoll finden. Denn: Was ist oder wäre eine Software-Entwicklung ohne Regeln? „Zielorientierte Bereitstellung und systematische Verwendung von Prinzipien, Methoden und Werkzeugen für die arbeitsteilige, ingenieurmäßige Entwicklung und Anwendung von umfangreichen Softwaresystemen.“- Lit.: Balzert, S. 36; Prüfungsfähige Akten zu produzieren in der Verwaltung kommt wohl eher von den Rechtsabteilungen als Schutz vor teuren Abmahnungen, Klagen, Rechtsstreits, Gerichtsverfahren und -prozessen.
@@GenovevaFröschlein Das glaube ich gerne. Viele Rechte und Konservative wünschen sich nicht ohne Grunde die nationalen Grenzkontrollen zurück, weil sie mit den vielen und unzähligen landesrechtlichen Regelungen überfordert sind. Die nationale Vielfältigkeit verbarg und verbirgt sich hinter Zollgrenzen und Handelsbeschränkungen, die stetig versucht wurden und werden, abzubauen, weil sie teure Bürokratiekosten verursachten und verursachen. Es stimmt, dass die Transparenz anstrengend und mühselig ist, aber sie garantieren uns unsere Grundfreiheiten.
Kompliziertes Thema, ich verstehe was du meinst. Was du am Schluss sagst ist genau das Richtige, mit Kopf arbeiten. Aber das ist das schwierige, dafür müssen wirklich die Ziele verstanden werden. Der meiste Overhead an der Compliance ist die Doku. Die bringt erstmal nicht viel im operativen Bereich, kostet aber wahnsinnig Zeit. Aber einen positiven Effekt hat die Doku, man ist gezwungen sich Gedanken zu machen. Die grundsätzlichen Anforderungen (Sperarierung Kundendaten / Firmendaten, Logging, ggf. 2FA, Passwortsicherheit, ggf. Pentests, Schulungen, ...) sind schon gut und eigentlich die Basics worauf ein tiefergreifendes Security Konzept aufbauen kann. Ich denke der Schlüssel ist es den Firmen das Grundkonzept nahe zu bringen und am Anfang effiziente und intelligente Umsetzungswege aufzuzeigen.
Ich sage nur Abgabenordnung (AO) Zweiter Abschnitt Mitwirkungspflichten 1. Unterabschnitt Führung von Büchern und Aufzeichnungen (§§ 140-148) und 2. Unterabschnitt Steuererklärungen (§§ 149-153). Wer dabei den Überblick verliert, hat schon verloren und kriegt ganz schnell Probleme und Ärger mit sowas wie § 162 AO Schätzung von Besteuerungsgrundlagen und § 329 AO Zwangsgeld.
@@schachsommer12 Aber das ist ein geschäftlich operatives Thema welches nichts mit IT Security zu tun hat. Aber dennoch, easy going, du machst deine Buchführung (doppelte in der Regel) ung gibst deine Steuerklärungen fristgerecht ab. Selbst ein billiges Buchhaltungsprogramm wie Lexware ist hierfür ausreichend. Was du NICHT tun solltest sofern du nicht viel Ahnung hast, ist ein Open Source ERP in DE zu verwenden, zumindest nicht für Buchhaltung und Invoicing, für den Rest ists kein Problem.
Es ist kein Entweder, oder. Compliance und die operative Umsetzung gehen idealerweise Hand in Hand, insbesondere bei IT-spezifischeren regulatorischen Anforderungen. Nist csf, BSI Grundschutz, Dora und weitere bieten wichtige Vorgaben hinsichtlich diverser IT-Sec Maßnahmen und Kontrollen . Pentesting bzw red teaming gehört zusätzlich dazu. Hybrider Ansatz ist der richtige Weg. Das was du beschreibst was falsch läuft (Checklist Mentalität etc) ist eher die Variante, wie man es nicht machen sollte. Compliance ist auch nicht Compliance. Die DSGVO ist da kein gutes Beispiel, da sehr auf den Schutz von PII bezogen und kaum technisch/architekturell getrieben.
Für mich ist der finanzielle Anreiz für die ganzen Compliance Buden das größte Problem. Den Firmen geht es ja nie darum deine Sicherheit zu verbessern, sondern dir mit möglichst wenig Aufwand, ein Zertifikat zu verkaufen. Als Kunde wählst du dann natürlich auch den günstigsten Anbieter, kriegst ja überall dasselbe Zertifikat. Also wird der Kram soweit automatisiert und auf das absolute Minimum reduziert, damit der Profit am Ende stimmt. Die Entscheidung der beiden Seiten ist nachvollziehbar, das Endergebnis leider ziemlich nutzlos.
du sprichst mir aus der seele. ich muss bei uns grade die iso27001 umsetzen weil unsere kunden die verlangen und es ist einfach nur ein papier krieg ohne jegliche zusätzliche sicherheit.
Ist oder erscheint es einfach nur wie ein endloser Papierkrieg ohne jegliche zusätzliche Sicherheit? Darüber hinaus beinhaltet die Norm Anforderungen für die Beurteilung und Behandlung von Informationssicherheitsrisiken entsprechend den individuellen Bedürfnissen der Organisation. Sie schützt also auch die eigenen Interessen, besonders in einer so wettbewerbsorientierten Welt. Beispielsweise wäre es vermutlich fatal für die Glaubwürdigkeit und Integrität des Unternehmens und die Sicherheit der Arbeitsplätze, wenn das Unternehmen für die Speicherung und den Zugriff auf Kundendaten keine Sicherheit und Vertraulichkeit der Informationen sicherstellen kann. Ein Kundenvertrauen kann sehr leicht und schnell verlorengehen, während das (ggf. Wieder-)Aufbauen eines Kundenvertrauens äußerst langwierig und zermürbend sein kann.
@@schachsommer12 jein. Es ist ja durchaus möglich, dass "nur" der Papierkram fehlt, aber die technischen und organisatorischen Maßnahmen zumindest im Wesentlichen vorhanden waren.
@@zilla85 Der Papierkram für ISO27001 ist enorm. Man braucht für alles ein Dokument. Da muss auch Dokumentiert werden, was sowieso jeder weiß. Ein Beispiel ist für jedes System eine Recovery Dokumentation anzulegen, gegenzuprüfen, und dann abzunehmen. Und auch wenn das für alle Systeme gleich ist, will ISO27001 das für jedes System einzeln vorliegen haben.
was ist eingentlich mir der Compliance von Microsoft? Als beispiel dem Vorfall vom letzten Jehr (Sicherheits Certifikate der Cloud Infrastruktur wurden geklaut)
Die haben die ganzen Zerrifizierungen ISO 27001 usw usf, sind damit auf dem Papier compliant. Wegen des Vorfalls denke ich schon, dass die das gemeldet haben, war ja überall zu lesen. Dann sind sie aus dem Schneider.
1:37 Genaugenommen geht's um die Richtlinien, die nicht nur ein Staat vorgibt, sondern alle oder wenigstens viele Staaten vorgeben, zumindest bei international tätigen Unternehmen...und Deutschland ist bekanntlich eine Exportnation.
aber ich glaube du hast das nicht so ganz verstanden, weil grc in erster linie gar nicht wirklich was mit it-security zutun hat. wenn man jetzt seine it-security anhand der gesetze auslegt. dann macht man def. etwas falsch. sachen wie zero trust haben mit compliance einfach nix zutun.
Ich sehe das Thema eigentlich schon so wie am Ende des Videos. Ja, Compliance ist ein Zwang von den Behörden, aber sie versucht auch eine gewisse Grundordnung in die Strukturen der Unternehmen zu bringen. Hat man also eine gut laufende, sichere und strukturierte IT, dann treffen einen Compliance-Forderungen entweder gar nicht (weil schon umgesetzt) oder treffen einen weniger hart, weil der Grundgedanke der Forderung in der Firma längst umgesetzt ist. Muss man also jedes mal seine Firma komplett auf links drehen wenn eine neue Compliance-Forderung kommt , dann sollte man sich eher einmal Gedanken machen, was generell bei der IT im Unternehmen falsch läuft.
Du hast halt einen Haufen Altlasten in allen möglichen Codebasen drinstecken. Die meisten neuen Technologien sind nur Wrapper um bereits existierende Technologien mit ein bisschen was extra. Also Kubernetes ist zum Beispiel Linux cgroups und namespaces mit noch ein bisschen was extra. Und manchmal stößt man dann halt auf Komponenten die einfach von Anfang an nie sicher waren. Die Standards ändern sich auch - was gestern akzeptabel war ist heute zutiefst unsicher. Weil eben auch mehr digitalisiert wird und so mehr sensible Daten anfallen. Von daher wird einfach zu schnell digitalisiert, die heutige Technik ist im Prinzip noch gar nicht vollständig dazu in der Lage die Sicherheitsanforderungen zu erfüllen die sich durch ein digitales Leben automatisch ergeben.
Es ist nicht ratsam, über Jahre und Jahrzehnte nicht oder kaum zu modernisieren. "Die Deutsche Bahn setzt immer noch auf Systeme mit dem vor knapp 30 Jahren veröffentlichten Windows 3.11. Das belegt jedenfalls eine Stellenanzeige, mit der der Konzern nach einem passenden IT-Administrator sucht." Quelle: 29.01.2024, 12:08 Uhr, Przemyslaw Szymanski, Computerbild) Was soll man dazu noch sagen? Das kommt wohl davon, wenn die Unternehmensführung anscheinend keine Ahnung oder keine Kenntnis vom aktuellen Zustand des (Anlage-)Vermögens hat; eine Bilanz sagt selten etwas Konkretes über die einzelnen Vermögensbestandteile.
@@Henry-sv3wv In dem Punkt finde ich den § 7 Einkommensteuergesetz (EStG) Absetzung für Abnutzung oder Substanzverringerung faszinierend. "Die Absetzung bemisst sich hierbei nach der betriebsgewöhnlichen Nutzungsdauer des Wirtschaftsguts." Was ist betriebsgewöhnlich und wie misst man das im Unternehmen und im laufenden unternehmerischen und betrieblichen Prozess? "Bei Wirtschaftsgütern, deren Verwendung oder Nutzung durch den Steuerpflichtigen zur Erzielung von Einkünften sich erfahrungsgemäß auf einen Zeitraum von mehr als einem Jahr erstreckt, ist jeweils für ein Jahr der Teil der Anschaffungs- oder Herstellungskosten abzusetzen, der bei gleichmäßiger Verteilung dieser Kosten auf die Gesamtdauer der Verwendung oder Nutzung auf ein Jahr entfällt (Absetzung für Abnutzung in gleichen Jahresbeträgen)." und "Als betriebsgewöhnliche Nutzungsdauer des Geschäfts- oder Firmenwerts eines Gewerbebetriebs oder eines Betriebs der Land- und Forstwirtschaft gilt ein Zeitraum von 15 Jahren." Ob das vernunftbegabt ist, lässt sich wahrscheinlich bezweifeln, weswegen der Gesetzgeber in die Kaufentscheidung nicht eingreifen möchte, obwohl er das Konsumverhalten steigern will. Wenn doch der Gesetzgeber und die Unternehmer, Unternehmen und Mitarbeitenden sich gemeinsam mitverantwortlich statt eigenverantwortlich um den Grundsatz "Eigentum verpflichtet." kümmern würden. Traurig ist "Sein Gebrauch soll zugleich dem Wohle der Allgemeinheit dienen. Eine Enteignung ist nur zum Wohle der Allgemeinheit zulässig." im Sinne von "Alles können, nichts müssen".
Nur mal so, was bei der ganze Sache schiefgehen könnte: Nämlich wenn das Unternehmen der Ansicht ist, dass der Feind von innen kommt und alle Maßnahmen mit einem Mistrauen gegenüber den eigenen Angestellten rechtfertigt. Wenn einem als langjähriger Mitarbeiter unterstellt (bzw. diese Möglichkeit bedenkt) wird, dass man sich womöglich eine Hintertür in eine geschäftskritische Anwendung eingebaut hat. Das ist kränkend und dadurch demotivierend. Dieser Rant musste auch raus.
Kommt er ja auch und wenn es nur ein ohne nachzudenken geöffneter Mail Inhalt ist. Misstrauen ist da allerdings wenig Zielführend. Ich sage nur Fehlerkultur.
Jo Cedric. Beschwehrst du dich gerade über die Quadratur des Kreises oder endeckst du die Komplexität deines Gewekes?... 🧐😅 Alles halb so wild, bei Gesetzen oder Regulierungen geht es nicht darum irgentjemand zu schützen, sondern eher darum die Verantworlichkeiten zu definieren (oder Standartisieren) um im falle des Falles auf den Richtigen mit den Finger zu zeigen 🙊
Ähm, doch selbstverständlich geht es bei Gesetzen oder Regulierungen immer darum, irgendjemanden zu schützen (oder zu standardisieren) - wir leben schließlich in einem Rechtsstaat; die Verantwortlichkeiten zu definieren, "um im Falle des Falles auf den Richtigen mit den Finger zu zeigen", ist ein dummer Nebeneffekt von Gesetzen oder Regulierungen (Stichwort: örtliche und sachliche Zuständigkeit). "Alles halb so wild" kann ich definitiv nicht behaupten. Wer die Gesetze und Regulierungen auf die leichte Schulter nimmt, wird früher oder später meistens eine böse Überraschung erleben.
@@schachsommer12 danke für deine Perspektive. Vieleicht ist es auch etwas Resignation meinerseits. Wenn ich richtig verstanden habe, meinst du dass die Regulierfunktion der Haupteffekt ist und die Definition der Verantwortlichkeiten ein Nebeneffekt... Ich weiß nicht, vieleicht habe ich den Glauben daran verloren... 🙊 In meinem gewerk dreht es sich hauptsächlich um Verantwortlichkeiten, Haftung oder einfach gesagt die Vermeidung dessen's. Also egal was ich mach, ich darf nicht haftbar gemacht werden. Und das habe ich in dem Beitrag gespürt und versucht mit einfachen Frasen drauf einzugehen... Warscheinlich zu leichtfertig...
@@5ergius Ich denke, dass die Resignation von der unterschiedlichen Arbeitsweisen kommt: Der Staat soll das Wohle der Allgemeinheit schützen durch allgemeingültige Gesetze und Verordnungen, während ein Unternehmen und Unternehmen individuelle Verantwortlichkeiten hat und braucht. Ja, das erscheint oft wie die Quadratur des Kreises, aber das muss oder müsste es nicht, weil die allgemeingültigen Gesetze und Verordnungen den allgemeinen Grundrechten nicht widersprechen dürfen. Ich weiß, dass viele staatliche Entscheidungen es oft einem nicht leicht machen, aber den Glauben an die Rechtsstaatlichkeit zu verlieren, wäre fatal, weil eine verlorene Rechtsstaatlichkeit wiederzubekommen, ist noch gefährlicher und anstrengender. Die Angst, haftbar gemacht zu werden, kann lähmen, was im internationalen Wettbewerb brutal schlimm ist oder sein kann. Aber: Niemand ist unfehlbar und vor den üblichen Risiken schützt, solange man nicht vorsätzlich oder grob fahrlässig handelt, auch eine (z. B. Berufs-)Haftpflicht- oder Risikoversicherung.
Kurze Frage: Ist das Video nur bei mir A-Synchron was Lippen und Text angeht oder auch bei wem anders? Ist keine Kritik, ist nur ein nett gemeinter Hinweis, sollte es nicht nur bei mir so sein. :-) (Bin erst bei 05:10)
Danke für die Insights. Btw. Vordergrund nicht Fordergrund :) Fördergrund sollte es jedoch sein ;) Ich denke viele Unternehmen nehmen lieber das Angriffsrisiko in Kauf damit sie Kosten sparen. Für manche Unternehmen lohnt sich IT Security aktuell nicht. Soviele Hackerangriffe gibt es da nicht in der Realität. Daher funktioniert es nur wenn diese gezwungen werden oder wenn bereits etwas passiert ist. Manager die Kosten für IT Security ausgeben, erhalten keine Lorbeeren und werden stattdessen als paranoide Nerds abgestempelt. Hinzukommen übrigens nicht nur die Kosten für ein Framework oder Pentests sondern eben auch wieder lähmende Prozesse für die IT Security Compliance von Entwicklung z.B. das dann jedes Frontend im Intranet (Zero Trust) einem Pentest unterzogen werden muss bzw. Mitarbeiter geschult werden müssen wie sichere Software entwickelt werden soll. Dann ist es vorbei mit kostengünstiger Software. Von daher verstehe ich die Skrupel, da man das Angriffsrisiko nicht kennt.
Unsere Firma zieht die ganzen europäischen Richtlinien durch. CVE´s werden täglich bewertet und je nach Kritikalität noch am Tag des Erscheinens gepatcht. Und jedes Jahr wird das neu geprüft und neu zertifiziert. Weiter ins Detail kann ich natürlich nicht gehen. Diesen Umfang an Richtlinien, diese Bürokratie kann keine kleine Firma leisten. Keine kleine Firma kann sich einen, oder mehrere CISO´s leisten, und dazu noch die Mitarbeiter mit der technischen Umsetzung zeitlich binden.
Ich versteh zwar die Kritik, aber sind wir doch mal ehrlich - ohne gesetzlichen Druck würden viele Firmen sich überhaupt nicht mit solchen Themen befassen. Für mich das Hauptproblem : in fast allen kleineren und mittleren Unternehmen wird die IT-Security nur so nebenbei abgehandelt. Von Administratoren, die in ihrem Tagesgeschäft vor Arbeit eh schon ertrinken und oft im Bereich Security nur wenig Know-How haben. Daran ändern auch die diversen Complianceanforderungen erst mal nichts. Sie geben dem Thema aber auf jeden Fall schon mal eine höhere Priorität.
Viele kleine unternehmen könnten sich aber bis zu einer gewissen Größe spezifisches it personal gar nicht leisten und andererseits auch nicht umfangreich genug beschäftigen....
@@JPRuehmann es ruft zwar immer Gelächter hervor wie wenn man einen Spinner hört. Jedes Mal... Aber habe schon oft geäußert das der Große einzige Hack eventuell, ich schreibe eventuell, noch kommt. Der wird so schlimm das das Vertrauen komplett im Reißwolf landet für lange Zeit. Ich denke das das Gelächter auch der Grund sein könnte warum es nachher doch passiert 😅
@@JPRuehmann Globale Konzerne sind da meistens schon ganz gut aufgestellt. Denen fehlt es in der Regel auch nicht an Geld und Ressourcen. Deshalb hab ich mich auch eher auf die kleineren und mittleren Unternehmen bezogen.
@@BlackyRay_Patrick Das ist auf jeden Fall ein Problem. Meistens greift man dann auf externe Dienstleister zurück, aber auch da wird dann meistens gespart.
7 місяців тому
Wäre nett, wenn du in deinen Videos Untertitel / Transkript aktivieren würdest.
Was bin ich froh, dass das nicht mein Job ist. Ich hätte in der Firma eines guten Kumpels mit einsteigen können, aber wenn ich mir ansehe was der heute für Stress hat mit seinem Kleinunternehmen, war das ne Gute Entscheidung abzulehnen. Das hier kommt ja auch nur zusätzlich auf den ganzen anderen Stress und Bürokratie oben drauf. Von Behörden die Monate für simplen Schriftverkehr benötigen, zu Anträgen die nicht rechtzeitig bearbeitet werden, Mitarbeiter die ausfallen, Stress mit der Supply chain, etc. etc und das ist nur das bisschen, was ich so am Rand mitbekomme.
Hi Morpheus, ja, die Compliance Anforderungen an Unternehmen sind hoch und nehmen immer mehr zu und kosten eine Menge Geld, allerdings sehe ich es nicht so, das dadurch die IT-Security benachteiligt wird. Compliance bedeutet ja nicht nur dinge auf dem Papier zu tun, sondern auch im IT-Betrieb umzusetzen. Ohne die Compliance Anforderungen würden viele Firmen einfach gar nichts oder viel weniger im Bereich IT-Secuirty machen, zumindest bis es das erste mal knallt. Aus eigener Erfahrung kann ich sagen das der IT-Security Betrieb die nötogen Gelder oft erst durch die Compliance Anforderungen bekommt. Bzgl. deinem Beispiel CEO-Fraud spielt hier die Compliance Anforderung der Ausbildung der MItarbeiter die entsprechende Rolle. Ja, wenn mann Compliance nur der Compliance wegen macht. hat man es gar nicht verstanden, aber das liegt ja auch an den Mitarbeitern die es umsetzen und vor allem der Unternehmensführung.
warum nutzt du nicht das deutsche wort "Einhaltung"? ok das wort aleine ist mist,kann viel bedeuten.jedoch im kontext sagt es ja das es gebiete gibt, die das einhalten von gesetzen usw. vorschreiben???
@@guntherj.7765 ab 17.10. ...eine Privathaftung für einen Bereich,d er nicht kontrollierbar ist - Suopi, genau das was man braucht. Tipp für nen Firmenstandort ausserhalb der EU ? UK ? Ab 50 Ma. u 10 Mio Umsatz =))) Regulierunsgwahnsinn statt Unternehmertum ..
Also das Argument bei der Compliance zu sparen und dafür mehr Geld für IT-Security verfügbar zu haben ist wie beim Auto auf den jährlichen TÜV zu verzichten um mehr für Ersatzteile auszugeben zu können. Oder auf den Zahnarzt zu verzichten um sich mehr Essen leisten zu können. Gut implementierte Compliance ist die Voraussetzung für planbare Security. Aber das scheitert oft am mittleren Management, deshalb der schlechte Ruf!
Das TÜV Beispiel hingt ein wenig. Der TÜV stellt Mängel recht genau fest. Minimale IT Comliance ist eher schwammig und erkennt kritische Sicherheitslücken mit realer Bedrohung dafür nicht. Das heißt nicht, dass Compliance keinen Sinn hat, aber sie ist auch nicht besonders effektiv. Lösung wäre es die Compliance richtlinien zu schärfen und zu verhindern, dass es möglich ist mit pseudo Sicherheit durchzukommen. Von daher ist Compliance eben nicht hinreichend, ein TÜV schon ;)
Die Compliance wird immer dann ausgeweitet und es kommen "Regulierungen" hinzu, wenn vorher (u. a. aus Profitgründen) Mißbrauch betrieben oder Sicherheit massiv vernachlässigt wurde. Es geht bei Compliance regelmäßig darum Schuldige zu finden / Haftung auszuweiten. Da es sich häufig (wie von dir aufgelistet) um Gesetze handelt beginnt dann die Lobbyarbeit und dann verschwinden wichtige Aspekte wie bspw. Herstellerhaftung. Regulierung ist nie nur Selbstzweck, entscheidende Aspekte gehen leider nur bis zur in Kraftsetzung leider verloren. Im Rausch der Daten gibt einen Eindruck dazu. Ich bin vor diesem Hintergrund auch mal gespannt wie sich die Gesetzgebung zu E2E-Verschlüsselung verändern wird. Das Thema Kinderschutz ist mMn lediglich vorgeschoben...
Teile Deine Ansicht nicht komplett... Datenschutz IT-Security Informationssicherheit gehen Hand in Hand. Und mal zur Korrektur, bei Datenschutz geht es nicht primär um Sicherheit von Daten sondern um den Schutz von Menschen (bei der Verarbeitung der Daten dieser Menschen). Datensicherheit (IT-Sec, Inf-Sec) ist ein Teil davon...
Also im Finanzbereich heisst Compliance doch eher, den maximalen gesetzlichen Spielraum ausnützen. Am besten noch ein Stückchen mehr. Wahrscheinlich inklusive Berechnungen, ob das nicht-Einhalten mehr Gewinn produziert als die dann folgenden Strafen kosten. Ich gehe natürlich felsenfest davon aus, dass das in der IT völlig undenkbar ist.
Klassiker: Der Vorstand denkt "Wir sind compliant, und wir halten uns an alle Sicherheitsrichtlinien. Also sind wir sicher." Das Problem ist ja, dass Sicherheit dabei auch erstmal keinen Umsatz bringt. Das sieht man leider erst dann, wenn man nach einem IT-Security-Vorfall keinen Umsatz mehr hat...
>Das sieht man leider erst dann, wenn man nach einem IT-Security-Vorfall keinen Umsatz mehr hat... Und wo gehen die kunden dann hin? zu den anderen firmen die den gleichen misst machen?
Achtung, der Compliance-Wahn, welcher Compliance absolut in den Vordergrund rückt, betrifft nicht nur die IT, sondern die generelle Sicherheit. Also Arbeitssicherheit, Brand- und Explosionsschutz usw. Das wirklich gefährliche ist - meiner Meinung nach - die Einbildung, mit erfüllter Compliance hätte man automatisch (in Folge) auch Sicherheit. Insider ätzen dann 'administrativer Brandschutz' aufgrund der Anordnung 'hier brennt es nie'.
Ich schaue dieses Video ausnahmsweise auf einem Windows PC. Gegen Ende des Videos erscheint unten rechts eine Benachrichtigung: "Benachrichtigung von Setup deaktivieren? Wir haben festgestellt, dass Sie diese seit längerer Zeit nicht mehr geöffnet haben." - Wer ist WIR? Und was für ein Setup? 🤔
Nichts für ungut, man kann die Qualität oder den Inhalt deiner Checkliste nicht abschätzen. Zumindest finde ich in den ersten 4Minuten von deinem Video nichts und auf deinem Patreon gibt es nur das Angebot 14,5€ mindestens einmal zu zahlen um diese zu erhalten. Mach doch bitte eine grobe Inhaltsangabe, immerhin verlangst du fast 15€, da wäre gut zu wissen was man in etwa erhält.
Ob großer deutscher privater TV Sender, Fahrzeughersteller oder sonst was in der Größe: compliance macht entweder Zeug „sicher“ das nie unsicher war und Entwickler nur einschränken, oder ignoriert so viele offensichtliche Lücken und lässt keinen Spielraum an den Stellen richtig abzusichern. Schwachsinn.
So lange Admins und Management so grundlegende Unterschiede wie zwischen Permission-follows-Role und Role-follows-Permission nicht kapieren, kann man noch so wunderschön compliant sein, mit all den schönen Audit-Reports... die Security ist trotzdem im A****. Danke, guter Denkanstoss, leider werden die Verantwortlichen dieses Video mehrheitlich nicht schauen...
Menschen die sich die Compliance-Richtlinien ausdenken haben sonst nichts zu tun, und sind auch sonst nirgendwo sinnvoll einsetzbar. Sie erfinden Richtlinien, damit sich andere Menschen für die die obige Eigenschafften leider oft auch zutreffen sagen können, sie hätten etwas für die Sicherheit getan.
Stimmt so nicht für mittlere bis größere Unternehmen! 🤨 Wenn man dort an bereichsübergreifenden Prozesse und Arbeitsweisen arbeitet, stellt sich schnell die Frage nach Befugnissen. Dazu wäre ein Commitment vom Top-Management nötig oder eben Richtlinien mit Compliance. Leider wird hier eine falsche Darstellung von IT-Security vermittelt. Treat Modelling, Risk Assessment, Tooling usw. sind eher die kleinsten Aspekte der IT-Sicherheit in großen Unternhemen. Wesentlich schwieriger und aufwändiger ist die Erweiterung/Anreicherung von Arbeitsprozessen mit IT-Sicherheit. Zum Beispiel sind Schwachstellenscanner schnell in eine Pipeline integriert, versucht aber mal den Umgang mit Findings hunderten Entwicklern zu vermitteln. Mit unterschiedlichen Programmiersprachen in verschiedenen Abteilungen wird es noch viel interessanter .... Da ist man schnell aufgeschmissen ohne Anforderungen und Compliance
Warum läuft es so schlecht IT.... ahhhmmm .... Windows .... Das viele Firmen wie die Bahn, Bundestag, Bundeswehr... 98 Me sogar noch 3.1 also finde den Fehler? Und das war jetzt kein Diss gegen Windows aber es ist eben so dass man lieber Geld ausgibt für eine Lizenz/Key statt das Geld Bildung der User aber siehe DOC Bauer IT YT....
Was ist mit dem Video falsch? Du schaust teilweise wie wild durch die Gegend als ob du vor irgendwas Angst hast. Auch ist das Video teilweise stark asynchron... Inhaltlich gibt es aber nichts auszusetzen.
4:07 "nicht, dass wir angreifbar sind für Hacker" klar, das sind wir sowieso schon lange, aber noch viel angreifbarer sind wir für Rechtsanwälte und sonstige Juristen oder solche, die es gerne wären, schon oft genug Abmahnanwälte genannt.
Boohh du hast aber abgenommen. Stark 💪🏼 wenn es gewollt war.
War es, vielen Dank ❤️
Also ich finde es gut das sich Morpheus sich darüber freut, aber bitte sprecht normalerweise nicht das Gewicht von Leuten an (wenn die Person das selber nicht tut). Man kann nie wissen was das in Menschen auslöst.
@Vivendy1990 Darf jetzt nicht mal mehr Komplimente machen? Ich meine, wenn man stark Übergewichtige Personen darauf anspricht das man meint sie habe zugenommen, kann man das definitv schon als eine Art Beleidigung ansehen. Wobei es hier auch immer drauf ankommt von wem es kommt und wie man es rüber bringt. Aber wenn jemand abgenommen hat kann man es ruhig ansprechen, wenn man es wirklich so meint das man findet das es gut aussieht. Wenn wir jetzt sogar schon Lobe nicht aussprechen sollen, weil man Gefühle verletzen könnte. Dann sollten wir am besten garnicht mehr mit einander reden.
Wenn man Erfolge erzielt darf man sich ruhig mal feiern lassen.
@@DocScheppa ja natürlich ist es relevant wie man es sagt. Aber sollte einfach nicht das Aussehen fremder Leute unaufgefordert kommentieren. Und sei es auch vermeindlich positiv. Das finde ich zumindest. Du kannst es natürlich auch anders machen.
@@TheMorpheusTutorials 👍 vielleicht bald ein Sport und Ernährungskanal? 😉
In meiner Erfahrung (Software-Entwicklerin und bin jetzt in Rente) wurde das Thema Compliance formal möglichst pragmatisch und minimalistisch abgehandelt. Du hast Termindruck und Compliance kommt zum Schluss. Das führt vielleicht auch dazu, dass manche sinnvollen Regeln nicht im Sinne von IT-Security bearbeitet werden.
Der überbordende Verwaltungsaufwand durch die Compliance-Regeln führt auch dazu, dass das Thema nicht wirklich ernst genommen wird. Teilweise findet man als Software-Entwickler die Regelungen auch nicht sinnvoll, teilweise versteht man auch nicht was wirklich gewollt ist.
Also macht man das so, dass es abgenickt wird; also Checkliste abhaken.
Bei den Prüfern hatte ich manchmal den Eindruck, dass nur das Datum geprüft wird und ob im Negativfall ein Kommentar vorhanden war.
Erinnert mich auch an meine Zeit vor über 40 Jahren in der Verwaltung: da hieß es prüfungsfähige Akten produzieren!!!
Gerade als Software-Entwickler sollte man das Thema Compliance und die Regelungen eigentlich sinnvoll finden. Denn: Was ist oder wäre eine Software-Entwicklung ohne Regeln? „Zielorientierte Bereitstellung und systematische Verwendung von Prinzipien, Methoden und Werkzeugen für die arbeitsteilige, ingenieurmäßige Entwicklung und Anwendung von umfangreichen Softwaresystemen.“- Lit.: Balzert, S. 36; Prüfungsfähige Akten zu produzieren in der Verwaltung kommt wohl eher von den Rechtsabteilungen als Schutz vor teuren Abmahnungen, Klagen, Rechtsstreits, Gerichtsverfahren und -prozessen.
@@schachsommer12 sollte man, aber hier prallen Wunsch und Wirklichkeit aufeinander. Deshalb bin ich nicht wirklich traurig dass ich raus bin.
Compliance= prüfungsfähige Akten produzieren!!! 😅
@@schachsommer12eigentlich Aber beingrossen Firemen hat mankaumEinfluss und die juristen kein technisches Wissen.
@@GenovevaFröschlein Das glaube ich gerne. Viele Rechte und Konservative wünschen sich nicht ohne Grunde die nationalen Grenzkontrollen zurück, weil sie mit den vielen und unzähligen landesrechtlichen Regelungen überfordert sind. Die nationale Vielfältigkeit verbarg und verbirgt sich hinter Zollgrenzen und Handelsbeschränkungen, die stetig versucht wurden und werden, abzubauen, weil sie teure Bürokratiekosten verursachten und verursachen. Es stimmt, dass die Transparenz anstrengend und mühselig ist, aber sie garantieren uns unsere Grundfreiheiten.
Kompliziertes Thema, ich verstehe was du meinst. Was du am Schluss sagst ist genau das Richtige, mit Kopf arbeiten. Aber das ist das schwierige, dafür müssen wirklich die Ziele verstanden werden. Der meiste Overhead an der Compliance ist die Doku. Die bringt erstmal nicht viel im operativen Bereich, kostet aber wahnsinnig Zeit. Aber einen positiven Effekt hat die Doku, man ist gezwungen sich Gedanken zu machen. Die grundsätzlichen Anforderungen (Sperarierung Kundendaten / Firmendaten, Logging, ggf. 2FA, Passwortsicherheit, ggf. Pentests, Schulungen, ...) sind schon gut und eigentlich die Basics worauf ein tiefergreifendes Security Konzept aufbauen kann.
Ich denke der Schlüssel ist es den Firmen das Grundkonzept nahe zu bringen und am Anfang effiziente und intelligente Umsetzungswege aufzuzeigen.
Ich sage nur Abgabenordnung (AO) Zweiter Abschnitt Mitwirkungspflichten 1. Unterabschnitt Führung von Büchern und Aufzeichnungen (§§ 140-148) und 2. Unterabschnitt Steuererklärungen (§§ 149-153). Wer dabei den Überblick verliert, hat schon verloren und kriegt ganz schnell Probleme und Ärger mit sowas wie § 162 AO Schätzung von Besteuerungsgrundlagen und § 329 AO Zwangsgeld.
@@schachsommer12 Aber das ist ein geschäftlich operatives Thema welches nichts mit IT Security zu tun hat. Aber dennoch, easy going, du machst deine Buchführung (doppelte in der Regel) ung gibst deine Steuerklärungen fristgerecht ab. Selbst ein billiges Buchhaltungsprogramm wie Lexware ist hierfür ausreichend. Was du NICHT tun solltest sofern du nicht viel Ahnung hast, ist ein Open Source ERP in DE zu verwenden, zumindest nicht für Buchhaltung und Invoicing, für den Rest ists kein Problem.
Es ist kein Entweder, oder. Compliance und die operative Umsetzung gehen idealerweise Hand in Hand, insbesondere bei IT-spezifischeren regulatorischen Anforderungen. Nist csf, BSI Grundschutz, Dora und weitere bieten wichtige Vorgaben hinsichtlich diverser IT-Sec Maßnahmen und Kontrollen . Pentesting bzw red teaming gehört zusätzlich dazu. Hybrider Ansatz ist der richtige Weg. Das was du beschreibst was falsch läuft (Checklist Mentalität etc) ist eher die Variante, wie man es nicht machen sollte. Compliance ist auch nicht Compliance. Die DSGVO ist da kein gutes Beispiel, da sehr auf den Schutz von PII bezogen und kaum technisch/architekturell getrieben.
Für mich ist der finanzielle Anreiz für die ganzen Compliance Buden das größte Problem. Den Firmen geht es ja nie darum deine Sicherheit zu verbessern, sondern dir mit möglichst wenig Aufwand, ein Zertifikat zu verkaufen. Als Kunde wählst du dann natürlich auch den günstigsten Anbieter, kriegst ja überall dasselbe Zertifikat. Also wird der Kram soweit automatisiert und auf das absolute Minimum reduziert, damit der Profit am Ende stimmt.
Die Entscheidung der beiden Seiten ist nachvollziehbar, das Endergebnis leider ziemlich nutzlos.
du sprichst mir aus der seele. ich muss bei uns grade die iso27001 umsetzen weil unsere kunden die verlangen und es ist einfach nur ein papier krieg ohne jegliche zusätzliche sicherheit.
Ist oder erscheint es einfach nur wie ein endloser Papierkrieg ohne jegliche zusätzliche Sicherheit? Darüber hinaus beinhaltet die Norm Anforderungen für die Beurteilung und Behandlung von Informationssicherheitsrisiken entsprechend den individuellen Bedürfnissen der Organisation. Sie schützt also auch die eigenen Interessen, besonders in einer so wettbewerbsorientierten Welt. Beispielsweise wäre es vermutlich fatal für die Glaubwürdigkeit und Integrität des Unternehmens und die Sicherheit der Arbeitsplätze, wenn das Unternehmen für die Speicherung und den Zugriff auf Kundendaten keine Sicherheit und Vertraulichkeit der Informationen sicherstellen kann. Ein Kundenvertrauen kann sehr leicht und schnell verlorengehen, während das (ggf. Wieder-)Aufbauen eines Kundenvertrauens äußerst langwierig und zermürbend sein kann.
Habt ihr denn vorher schon alle SIcherheitsmaßnahmen gehabt, die in der ISO gefordert werden?
@@zilla85vermutlich nicht, sonst müsste es wahrscheinlich nicht umgesetzt werden^^
@@schachsommer12 jein. Es ist ja durchaus möglich, dass "nur" der Papierkram fehlt, aber die technischen und organisatorischen Maßnahmen zumindest im Wesentlichen vorhanden waren.
@@zilla85 Der Papierkram für ISO27001 ist enorm. Man braucht für alles ein Dokument. Da muss auch Dokumentiert werden, was sowieso jeder weiß. Ein Beispiel ist für jedes System eine Recovery Dokumentation anzulegen, gegenzuprüfen, und dann abzunehmen.
Und auch wenn das für alle Systeme gleich ist, will ISO27001 das für jedes System einzeln vorliegen haben.
Wie findet man denn raus, ob man in einem Leak drinne ist?
Einfach mit "Have i been pwned" oder gibt's da nen besseres Tool?
Das ist das beste 👍
was ist eingentlich mir der Compliance von Microsoft? Als beispiel dem Vorfall vom letzten Jehr (Sicherheits Certifikate der Cloud Infrastruktur wurden geklaut)
Die haben die ganzen Zerrifizierungen ISO 27001 usw usf, sind damit auf dem Papier compliant. Wegen des Vorfalls denke ich schon, dass die das gemeldet haben, war ja überall zu lesen. Dann sind sie aus dem Schneider.
microsoft macht einen auf total recall, dürft ihr sowas nicht programmieren?
1:37 Genaugenommen geht's um die Richtlinien, die nicht nur ein Staat vorgibt, sondern alle oder wenigstens viele Staaten vorgeben, zumindest bei international tätigen Unternehmen...und Deutschland ist bekanntlich eine Exportnation.
FYI: Typo bei 13:25 Vordergrund nicht "Fordergrund"
Bürokratie ist gefährlicher als jeder Hacker
aber ich glaube du hast das nicht so ganz verstanden, weil grc in erster linie gar nicht wirklich was mit it-security zutun hat. wenn man jetzt seine it-security anhand der gesetze auslegt. dann macht man def. etwas falsch. sachen wie zero trust haben mit compliance einfach nix zutun.
Ich sehe das Thema eigentlich schon so wie am Ende des Videos. Ja, Compliance ist ein Zwang von den Behörden, aber sie versucht auch eine gewisse Grundordnung in die Strukturen der Unternehmen zu bringen. Hat man also eine gut laufende, sichere und strukturierte IT, dann treffen einen Compliance-Forderungen entweder gar nicht (weil schon umgesetzt) oder treffen einen weniger hart, weil der Grundgedanke der Forderung in der Firma längst umgesetzt ist. Muss man also jedes mal seine Firma komplett auf links drehen wenn eine neue Compliance-Forderung kommt , dann sollte man sich eher einmal Gedanken machen, was generell bei der IT im Unternehmen falsch läuft.
Du hast halt einen Haufen Altlasten in allen möglichen Codebasen drinstecken. Die meisten neuen Technologien sind nur Wrapper um bereits existierende Technologien mit ein bisschen was extra. Also Kubernetes ist zum Beispiel Linux cgroups und namespaces mit noch ein bisschen was extra. Und manchmal stößt man dann halt auf Komponenten die einfach von Anfang an nie sicher waren. Die Standards ändern sich auch - was gestern akzeptabel war ist heute zutiefst unsicher. Weil eben auch mehr digitalisiert wird und so mehr sensible Daten anfallen. Von daher wird einfach zu schnell digitalisiert, die heutige Technik ist im Prinzip noch gar nicht vollständig dazu in der Lage die Sicherheitsanforderungen zu erfüllen die sich durch ein digitales Leben automatisch ergeben.
Es ist nicht ratsam, über Jahre und Jahrzehnte nicht oder kaum zu modernisieren. "Die Deutsche Bahn setzt immer noch auf Systeme mit dem vor knapp 30 Jahren veröffentlichten Windows 3.11. Das belegt jedenfalls eine Stellenanzeige, mit der der Konzern nach einem passenden IT-Administrator sucht." Quelle: 29.01.2024, 12:08 Uhr, Przemyslaw Szymanski, Computerbild) Was soll man dazu noch sagen? Das kommt wohl davon, wenn die Unternehmensführung anscheinend keine Ahnung oder keine Kenntnis vom aktuellen Zustand des (Anlage-)Vermögens hat; eine Bilanz sagt selten etwas Konkretes über die einzelnen Vermögensbestandteile.
@@schachsommer12 Never touch a running system denn ne Neue Waschmachine kostet Geld XD
@@Henry-sv3wv In dem Punkt finde ich den § 7 Einkommensteuergesetz (EStG) Absetzung für Abnutzung oder Substanzverringerung faszinierend. "Die Absetzung bemisst sich hierbei nach der betriebsgewöhnlichen Nutzungsdauer des Wirtschaftsguts." Was ist betriebsgewöhnlich und wie misst man das im Unternehmen und im laufenden unternehmerischen und betrieblichen Prozess?
"Bei Wirtschaftsgütern, deren Verwendung oder Nutzung durch den Steuerpflichtigen zur Erzielung von Einkünften sich erfahrungsgemäß auf einen Zeitraum von mehr als einem Jahr erstreckt, ist jeweils für ein Jahr der Teil der Anschaffungs- oder Herstellungskosten abzusetzen, der bei gleichmäßiger Verteilung dieser Kosten auf die Gesamtdauer der Verwendung oder Nutzung auf ein Jahr entfällt (Absetzung für Abnutzung in gleichen Jahresbeträgen)." und "Als betriebsgewöhnliche Nutzungsdauer des Geschäfts- oder Firmenwerts eines Gewerbebetriebs oder eines Betriebs der Land- und Forstwirtschaft gilt ein Zeitraum von 15 Jahren." Ob das vernunftbegabt ist, lässt sich wahrscheinlich bezweifeln, weswegen der Gesetzgeber in die Kaufentscheidung nicht eingreifen möchte, obwohl er das Konsumverhalten steigern will. Wenn doch der Gesetzgeber und die Unternehmer, Unternehmen und Mitarbeitenden sich gemeinsam mitverantwortlich statt eigenverantwortlich um den Grundsatz "Eigentum verpflichtet." kümmern würden.
Traurig ist "Sein Gebrauch soll zugleich dem Wohle der Allgemeinheit dienen. Eine Enteignung ist nur zum Wohle der Allgemeinheit zulässig." im Sinne von "Alles können, nichts müssen".
grc regeln sind eigentlich in erster linie die richtlinien der firma
Nur mal so, was bei der ganze Sache schiefgehen könnte: Nämlich wenn das Unternehmen der Ansicht ist, dass der Feind von innen kommt und alle Maßnahmen mit einem Mistrauen gegenüber den eigenen Angestellten rechtfertigt. Wenn einem als langjähriger Mitarbeiter unterstellt (bzw. diese Möglichkeit bedenkt) wird, dass man sich womöglich eine Hintertür in eine geschäftskritische Anwendung eingebaut hat. Das ist kränkend und dadurch demotivierend. Dieser Rant musste auch raus.
Kommt er ja auch und wenn es nur ein ohne nachzudenken geöffneter Mail Inhalt ist. Misstrauen ist da allerdings wenig Zielführend. Ich sage nur Fehlerkultur.
Ich glaube du musst mal nen Video ala "Abnehmen für ITler" machen.
Schaut gut aus, Glückwunsch!
😂 ich danke dir ❤️ kann ich gerne Mal machen 😂
Jo Cedric. Beschwehrst du dich gerade über die Quadratur des Kreises oder endeckst du die Komplexität deines Gewekes?... 🧐😅
Alles halb so wild, bei Gesetzen oder Regulierungen geht es nicht darum irgentjemand zu schützen, sondern eher darum die Verantworlichkeiten zu definieren (oder Standartisieren) um im falle des Falles auf den Richtigen mit den Finger zu zeigen 🙊
Musste nur einmal laut ranten 😂
Ähm, doch selbstverständlich geht es bei Gesetzen oder Regulierungen immer darum, irgendjemanden zu schützen (oder zu standardisieren) - wir leben schließlich in einem Rechtsstaat; die Verantwortlichkeiten zu definieren, "um im Falle des Falles auf den Richtigen mit den Finger zu zeigen", ist ein dummer Nebeneffekt von Gesetzen oder Regulierungen (Stichwort: örtliche und sachliche Zuständigkeit). "Alles halb so wild" kann ich definitiv nicht behaupten. Wer die Gesetze und Regulierungen auf die leichte Schulter nimmt, wird früher oder später meistens eine böse Überraschung erleben.
@@schachsommer12 danke für deine Perspektive. Vieleicht ist es auch etwas Resignation meinerseits. Wenn ich richtig verstanden habe, meinst du dass die Regulierfunktion der Haupteffekt ist und die Definition der Verantwortlichkeiten ein Nebeneffekt... Ich weiß nicht, vieleicht habe ich den Glauben daran verloren... 🙊
In meinem gewerk dreht es sich hauptsächlich um Verantwortlichkeiten, Haftung oder einfach gesagt die Vermeidung dessen's. Also egal was ich mach, ich darf nicht haftbar gemacht werden. Und das habe ich in dem Beitrag gespürt und versucht mit einfachen Frasen drauf einzugehen... Warscheinlich zu leichtfertig...
@@5ergius Ich denke, dass die Resignation von der unterschiedlichen Arbeitsweisen kommt: Der Staat soll das Wohle der Allgemeinheit schützen durch allgemeingültige Gesetze und Verordnungen, während ein Unternehmen und Unternehmen individuelle Verantwortlichkeiten hat und braucht. Ja, das erscheint oft wie die Quadratur des Kreises, aber das muss oder müsste es nicht, weil die allgemeingültigen Gesetze und Verordnungen den allgemeinen Grundrechten nicht widersprechen dürfen. Ich weiß, dass viele staatliche Entscheidungen es oft einem nicht leicht machen, aber den Glauben an die Rechtsstaatlichkeit zu verlieren, wäre fatal, weil eine verlorene Rechtsstaatlichkeit wiederzubekommen, ist noch gefährlicher und anstrengender.
Die Angst, haftbar gemacht zu werden, kann lähmen, was im internationalen Wettbewerb brutal schlimm ist oder sein kann. Aber: Niemand ist unfehlbar und vor den üblichen Risiken schützt, solange man nicht vorsätzlich oder grob fahrlässig handelt, auch eine (z. B. Berufs-)Haftpflicht- oder Risikoversicherung.
Kurze Frage: Ist das Video nur bei mir A-Synchron was Lippen und Text angeht oder auch bei wem anders?
Ist keine Kritik, ist nur ein nett gemeinter Hinweis, sollte es nicht nur bei mir so sein. :-) (Bin erst bei 05:10)
Ich danke dir für das Feedback, das sollte es natürlich nicht sein
Ist bei mir auch asynchron
Hier auch
Er spricht mir aus dem Herzen.
Ist nur bei mir der Ton asynchron?
Nein. Ist bei mir auch so.
Hi, hat jemand den Link oder die ID zum NIS2 Video?
Fefe wäre stolz auf dieses Video.
Danke für die Insights. Btw. Vordergrund nicht Fordergrund :) Fördergrund sollte es jedoch sein ;) Ich denke viele Unternehmen nehmen lieber das Angriffsrisiko in Kauf damit sie Kosten sparen. Für manche Unternehmen lohnt sich IT Security aktuell nicht. Soviele Hackerangriffe gibt es da nicht in der Realität. Daher funktioniert es nur wenn diese gezwungen werden oder wenn bereits etwas passiert ist. Manager die Kosten für IT Security ausgeben, erhalten keine Lorbeeren und werden stattdessen als paranoide Nerds abgestempelt. Hinzukommen übrigens nicht nur die Kosten für ein Framework oder Pentests sondern eben auch wieder lähmende Prozesse für die IT Security Compliance von Entwicklung z.B. das dann jedes Frontend im Intranet (Zero Trust) einem Pentest unterzogen werden muss bzw. Mitarbeiter geschult werden müssen wie sichere Software entwickelt werden soll. Dann ist es vorbei mit kostengünstiger Software. Von daher verstehe ich die Skrupel, da man das Angriffsrisiko nicht kennt.
Gibt es eigentlich einen allgemeinen Datenleck checker? Also z.B HaveIbennpwnd oder ähnliches, bzw welche die noch andere leaks haben?
Have I been pwned ist schon das Beste, aber alles kann man nicht haben, manche Daten werden ja nicht geteilt
Unsere Firma zieht die ganzen europäischen Richtlinien durch. CVE´s werden täglich bewertet und je nach Kritikalität noch am Tag des Erscheinens gepatcht. Und jedes Jahr wird das neu geprüft und neu zertifiziert. Weiter ins Detail kann ich natürlich nicht gehen.
Diesen Umfang an Richtlinien, diese Bürokratie kann keine kleine Firma leisten. Keine kleine Firma kann sich einen, oder mehrere CISO´s leisten, und dazu noch die Mitarbeiter mit der technischen Umsetzung zeitlich binden.
Ich versteh zwar die Kritik, aber sind wir doch mal ehrlich - ohne gesetzlichen Druck würden viele Firmen sich überhaupt nicht mit solchen Themen befassen. Für mich das Hauptproblem : in fast allen kleineren und mittleren Unternehmen wird die IT-Security nur so nebenbei abgehandelt. Von Administratoren, die in ihrem Tagesgeschäft vor Arbeit eh schon ertrinken und oft im Bereich Security nur wenig Know-How haben. Daran ändern auch die diversen Complianceanforderungen erst mal nichts. Sie geben dem Thema aber auf jeden Fall schon mal eine höhere Priorität.
Viele kleine unternehmen könnten sich aber bis zu einer gewissen Größe spezifisches it personal gar nicht leisten und andererseits auch nicht umfangreich genug beschäftigen....
Naja, so lange bis die ersten globalen Konzerne durch Hacker zu fall gebracht wurden.
@@JPRuehmann es ruft zwar immer Gelächter hervor wie wenn man einen Spinner hört. Jedes Mal... Aber habe schon oft geäußert das der Große einzige Hack eventuell, ich schreibe eventuell, noch kommt. Der wird so schlimm das das Vertrauen komplett im Reißwolf landet für lange Zeit.
Ich denke das das Gelächter auch der Grund sein könnte warum es nachher doch passiert 😅
@@JPRuehmann Globale Konzerne sind da meistens schon ganz gut aufgestellt. Denen fehlt es in der Regel auch nicht an Geld und Ressourcen. Deshalb hab ich mich auch eher auf die kleineren und mittleren Unternehmen bezogen.
@@BlackyRay_Patrick Das ist auf jeden Fall ein Problem. Meistens greift man dann auf externe Dienstleister zurück, aber auch da wird dann meistens gespart.
Wäre nett, wenn du in deinen Videos Untertitel / Transkript aktivieren würdest.
Kannst du einmal ein review über Nitrokey machen? Wäre interessant wenn du auf die Seriosität eingehst.
Was bin ich froh, dass das nicht mein Job ist. Ich hätte in der Firma eines guten Kumpels mit einsteigen können, aber wenn ich mir ansehe was der heute für Stress hat mit seinem Kleinunternehmen, war das ne Gute Entscheidung abzulehnen.
Das hier kommt ja auch nur zusätzlich auf den ganzen anderen Stress und Bürokratie oben drauf. Von Behörden die Monate für simplen Schriftverkehr benötigen, zu Anträgen die nicht rechtzeitig bearbeitet werden, Mitarbeiter die ausfallen, Stress mit der Supply chain, etc. etc und das ist nur das bisschen, was ich so am Rand mitbekomme.
Wir müssen mehr Geld für Compliance ausgeben, als für unserer eigenes Personal...
Jemand meinte mal sinngemäß "Standards sind das Minimum, nicht die obere Grenze."...
Hi Morpheus, ja, die Compliance Anforderungen an Unternehmen sind hoch und nehmen immer mehr zu und kosten eine Menge Geld, allerdings sehe ich es nicht so, das dadurch die IT-Security benachteiligt wird. Compliance bedeutet ja nicht nur dinge auf dem Papier zu tun, sondern auch im IT-Betrieb umzusetzen. Ohne die Compliance Anforderungen würden viele Firmen einfach gar nichts oder viel weniger im Bereich IT-Secuirty machen, zumindest bis es das erste mal knallt. Aus eigener Erfahrung kann ich sagen das der IT-Security Betrieb die nötogen Gelder oft erst durch die Compliance Anforderungen bekommt. Bzgl. deinem Beispiel CEO-Fraud spielt hier die Compliance Anforderung der Ausbildung der MItarbeiter die entsprechende Rolle. Ja, wenn mann Compliance nur der Compliance wegen macht. hat man es gar nicht verstanden, aber das liegt ja auch an den Mitarbeitern die es umsetzen und vor allem der Unternehmensführung.
warum nutzt du nicht das deutsche wort "Einhaltung"? ok das wort aleine ist mist,kann viel bedeuten.jedoch im kontext sagt es ja das es gebiete gibt, die das einhalten von gesetzen usw. vorschreiben???
Weil Compliance nunmal die Vokabel ist, die in Unternehmen für dieses Themengebiet verwendet wird.
Sehr interessant - THX!
Und wen man nicht compliant ist, dann haften CEOs, CIOs, Vorstäne, ... glaube ich auch mit ihrem Privatvermögen ..
... das ist korrekt für zumindest NIS-2.
@@guntherj.7765 ab 17.10. ...eine Privathaftung für einen Bereich,d er nicht kontrollierbar ist - Suopi, genau das was man braucht. Tipp für nen Firmenstandort ausserhalb der EU ? UK ? Ab 50 Ma. u 10 Mio Umsatz =)))
Regulierunsgwahnsinn statt Unternehmertum ..
@@guntherj.7765 Jetzt mus sich ein 50 ma. Unternhemen absichern, wie ein Banken, Versicherungskonzern ... oh ha
Also das Argument bei der Compliance zu sparen und dafür mehr Geld für IT-Security verfügbar zu haben ist wie beim Auto auf den jährlichen TÜV zu verzichten um mehr für Ersatzteile auszugeben zu können. Oder auf den Zahnarzt zu verzichten um sich mehr Essen leisten zu können.
Gut implementierte Compliance ist die Voraussetzung für planbare Security. Aber das scheitert oft am mittleren Management, deshalb der schlechte Ruf!
Das TÜV Beispiel hingt ein wenig. Der TÜV stellt Mängel recht genau fest. Minimale IT Comliance ist eher schwammig und erkennt kritische Sicherheitslücken mit realer Bedrohung dafür nicht. Das heißt nicht, dass Compliance keinen Sinn hat, aber sie ist auch nicht besonders effektiv. Lösung wäre es die Compliance richtlinien zu schärfen und zu verhindern, dass es möglich ist mit pseudo Sicherheit durchzukommen. Von daher ist Compliance eben nicht hinreichend, ein TÜV schon ;)
Dann lass mal in die Cloud gehen; die können es ja es besser und redundanter und patchen sogar schneller.
Da fällt mir noch der Satz ein "Für jedes technische Problem gibt es eine rechtliche Lösung" 😅
Die Compliance wird immer dann ausgeweitet und es kommen "Regulierungen" hinzu, wenn vorher (u. a. aus Profitgründen) Mißbrauch betrieben oder Sicherheit massiv vernachlässigt wurde. Es geht bei Compliance regelmäßig darum Schuldige zu finden / Haftung auszuweiten. Da es sich häufig (wie von dir aufgelistet) um Gesetze handelt beginnt dann die Lobbyarbeit und dann verschwinden wichtige Aspekte wie bspw. Herstellerhaftung. Regulierung ist nie nur Selbstzweck, entscheidende Aspekte gehen leider nur bis zur in Kraftsetzung leider verloren. Im Rausch der Daten gibt einen Eindruck dazu.
Ich bin vor diesem Hintergrund auch mal gespannt wie sich die Gesetzgebung zu E2E-Verschlüsselung verändern wird. Das Thema Kinderschutz ist mMn lediglich vorgeschoben...
Teile Deine Ansicht nicht komplett... Datenschutz IT-Security Informationssicherheit gehen Hand in Hand. Und mal zur Korrektur, bei Datenschutz geht es nicht primär um Sicherheit von Daten sondern um den Schutz von Menschen (bei der Verarbeitung der Daten dieser Menschen). Datensicherheit (IT-Sec, Inf-Sec) ist ein Teil davon...
Also im Finanzbereich heisst Compliance doch eher, den maximalen gesetzlichen Spielraum ausnützen. Am besten noch ein Stückchen mehr. Wahrscheinlich inklusive Berechnungen, ob das nicht-Einhalten mehr Gewinn produziert als die dann folgenden Strafen kosten. Ich gehe natürlich felsenfest davon aus, dass das in der IT völlig undenkbar ist.
starke Figur 👌🏼steht dir 😃
Klassiker: Der Vorstand denkt "Wir sind compliant, und wir halten uns an alle Sicherheitsrichtlinien. Also sind wir sicher."
Das Problem ist ja, dass Sicherheit dabei auch erstmal keinen Umsatz bringt. Das sieht man leider erst dann, wenn man nach einem IT-Security-Vorfall keinen Umsatz mehr hat...
>Das sieht man leider erst dann, wenn man nach einem IT-Security-Vorfall keinen Umsatz mehr hat...
Und wo gehen die kunden dann hin? zu den anderen firmen die den gleichen misst machen?
geiles info video - stellenweisen aber auch nicht video und audio sync.
Pfinde den Pfehler t=690 "(F) Vordergrund", dieses verenglischen ist leider auch in unserer Firma gang und gäbe.
8/8 Kommentaren Bots ayayay
Jup, seit meinem video dazu weigere ich mich zu löschen 😊
Wenn man nach Compliance Checkliste arbeitet, ist man ja auch super berechenbar 🤷♂️
DGSVO, das soll doch DSGVO heißen, oder? Ich kenne keine DGSVO.
Achtung, der Compliance-Wahn, welcher Compliance absolut in den Vordergrund rückt, betrifft nicht nur die IT, sondern die generelle Sicherheit. Also Arbeitssicherheit, Brand- und Explosionsschutz usw. Das wirklich gefährliche ist - meiner Meinung nach - die Einbildung, mit erfüllter Compliance hätte man automatisch (in Folge) auch Sicherheit. Insider ätzen dann 'administrativer Brandschutz' aufgrund der Anordnung 'hier brennt es nie'.
Ich schaue dieses Video ausnahmsweise auf einem Windows PC. Gegen Ende des Videos erscheint unten rechts eine Benachrichtigung: "Benachrichtigung von Setup deaktivieren? Wir haben festgestellt, dass Sie diese seit längerer Zeit nicht mehr geöffnet haben." - Wer ist WIR? Und was für ein Setup? 🤔
Das ist.. ungewöhnlich
Nichts für ungut, man kann die Qualität oder den Inhalt deiner Checkliste nicht abschätzen. Zumindest finde ich in den ersten 4Minuten von deinem Video nichts und auf deinem Patreon gibt es nur das Angebot 14,5€ mindestens einmal zu zahlen um diese zu erhalten. Mach doch bitte eine grobe Inhaltsangabe, immerhin verlangst du fast 15€, da wäre gut zu wissen was man in etwa erhält.
Unterschreibe ich zu hundert Prozent. Arbeite bei ner Bank.
Ob großer deutscher privater TV Sender, Fahrzeughersteller oder sonst was in der Größe: compliance macht entweder Zeug „sicher“ das nie unsicher war und Entwickler nur einschränken, oder ignoriert so viele offensichtliche Lücken und lässt keinen Spielraum an den Stellen richtig abzusichern.
Schwachsinn.
Ich finde das NIS2 Video gar nicht. Hat jemand einen Link für mich? 😥
So lange Admins und Management so grundlegende Unterschiede wie zwischen Permission-follows-Role und Role-follows-Permission nicht kapieren, kann man noch so wunderschön compliant sein, mit all den schönen Audit-Reports... die Security ist trotzdem im A****.
Danke, guter Denkanstoss, leider werden die Verantwortlichen dieses Video mehrheitlich nicht schauen...
top, thx!
"Nicht schön" Joa, hätte nie geahnt, dass sowas so enorm viel Geld kostet, au weia...
Menschen die sich die Compliance-Richtlinien ausdenken haben sonst nichts zu tun, und sind auch sonst nirgendwo sinnvoll einsetzbar. Sie erfinden Richtlinien, damit sich andere Menschen für die die obige Eigenschafften leider oft auch zutreffen sagen können, sie hätten etwas für die Sicherheit getan.
Stimmt so nicht für mittlere bis größere Unternehmen! 🤨 Wenn man dort an bereichsübergreifenden Prozesse und Arbeitsweisen arbeitet, stellt sich schnell die Frage nach Befugnissen. Dazu wäre ein Commitment vom Top-Management nötig oder eben Richtlinien mit Compliance. Leider wird hier eine falsche Darstellung von IT-Security vermittelt. Treat Modelling, Risk Assessment, Tooling usw. sind eher die kleinsten Aspekte der IT-Sicherheit in großen Unternhemen. Wesentlich schwieriger und aufwändiger ist die Erweiterung/Anreicherung von Arbeitsprozessen mit IT-Sicherheit. Zum Beispiel sind Schwachstellenscanner schnell in eine Pipeline integriert, versucht aber mal den Umgang mit Findings hunderten Entwicklern zu vermitteln. Mit unterschiedlichen Programmiersprachen in verschiedenen Abteilungen wird es noch viel interessanter .... Da ist man schnell aufgeschmissen ohne Anforderungen und Compliance
Aber ist das nicht das Kernproblem? It security muss in die Chefetage, um wirksam zu sein
Danke @TheMorpheusTutorials für deine Videos :)
Warum läuft es so schlecht IT.... ahhhmmm .... Windows .... Das viele Firmen wie die Bahn, Bundestag, Bundeswehr... 98 Me sogar noch 3.1 also finde den Fehler?
Und das war jetzt kein Diss gegen Windows aber es ist eben so dass man lieber Geld ausgibt für eine Lizenz/Key statt das Geld Bildung der User aber siehe DOC Bauer IT YT....
Völliger Unsinn! Der Grund sind Heuschrecken!!!
Musste lachen, danke 😊
Was ist mit dem Video falsch?
Du schaust teilweise wie wild durch die Gegend als ob du vor irgendwas Angst hast.
Auch ist das Video teilweise stark asynchron...
Inhaltlich gibt es aber nichts auszusetzen.
Die Video und Ton Spur passt nicht überein würde ich sagen.... Eine halbe Sekunde bis 30 Millisekunden würde ich schätzen
Boah Compliance.... 😅😅 Ja..
Gesetze sind doch keine Richtlinien. 🤔
Nein Sie täuschen sich leider, gerade diese Gesetze führen zu Qualifikationspflicht und mehr Arbeitsstellen.
*Vordergrund
🎉
Bequemlichkeit und Resignation.
Pentester als Minijobber? Halbe Std im Monat? 😂. Annette Halbe Stunde.