Cyber-Verteidigung ist nur eine Frage von Geld und Willen, Schließlich wurde jedes Mega-Projekt allein dadurch gelöst Einstellungen

[Camouflage]

Ich habe gedacht, München geht wieder von Linux zu Windows zurück?

[der_finne]

Ich habe gedacht, München geht wieder von Linux zu Windows zurück?

Gehen sie auch, ist aber nicht unumstritten.

https://www.heise.de/newsticker/meldung/End...er-3900439.html

Der Beitrag wurde von der_finne bearbeitet: 21. Mar 2018, 22:15

[MeckieMesser]

München hat sich im Stile eines Strauß für MS entschieden.

Entscheidend für Souveränität ist aber nicht das Office Paket an sich, sondern das Format.
Microsofts Pseudo offenes 6500 Seiten Format ist auf jeden Fall nicht die Lösung.
Ist doch logisch, dass keiner dies sauber implementieren kann.

Stattdessen könnte man es wie die Briten machen und ODF einfach als Standard setzen:
http://www.zdnet.com/article/uk-makes-odf-...ormat-standard/

Dann entsteht überhaupt mal ein Markt. Was aktuell passiert ist ein staatlich gefördertes Monopol.

Statt Excel Sheets, groß wie Fototapeten und Word Frickelei für einfachste Kommunikationsarbeiten könnte man ja auch mal das Jahr 1995 verlassen und Prozesse konsequent digitalisieren. Dann kann man die Office Monster wieder abrüsten.

Ist aber bei der Sicherheit ein Nebenschauplatz. Wie gesagt: Keine Blackboxen.

Und ich erwarte von BSI, BW, Innenministerium, etc, dass man das in die Hand nimmt.

In dem Thread merkt man ja: Bloß kein Expertise! Immer schön fertig kaufen und Verantwortung ablehnen.
Und dann, wenn man technologische Exzellenz mal braucht, dann fehlt sie. Dann läuft das Projekt gegen die Wand.
Warum das SAP Projekt der BW gegen die Wand lief? Weil sie keine guten Leute hat. Alles ausgelagert.

Gunter Dueck hatte dafür einen schönen Titel: Wir lassen uns helfen, bis wir dumm sind
http://www.faz.net/aktuell/beruf-chance/be...d-15285320.html

Übrigens: Diese ganzen massiven Auslagerungsprozesse fallen gerade auf die Unternehmen zurück.
Es werden IT Abteilungen massiv aufgerüstet, weil man merkt: Digitalisierung gibt's nicht im Regal.
Indien hat mitten im globalen Aufschwung die größte IT-Krise. Da werden Mitarbeiter in 10.000er Wellen entlassen.

Ich vermute nur unser Staat wird der letzte sein, der Kompetenzen aufbaut.
Das kann doch nur gutgehen.

[SailorGN]

OpenOffice? orly? Seit 2011 nicht mehr das "alte" OS-Projekt, die Apache Foundation findet keine Programmierer, bspw. wurde 2015 eine bekannte Schwachstelle über Monate nicht gefixt. Ebenfalls über Monate gabs keinen Release Manager... Darauf sollte man sich natürlich deutlich mehr verlassen können als auf "proprietäre Software" Dazu kann man nie sicher sein, ob ein Gegenüber die offenen Formate auch lesen kann, bei einer Verbreitung der Office-Formate von MS von deutlich über 60% weltweit wäre es schon peinlich, wenn man "crap" schickt. Das Nicht speichern können von Office XML Formaten und die damit verbundenen Kommunikationsprobleme haben mich privat OO deinstallieren lassen.

Schlimmer wird das Problem beim Export aus Fachverfahren, dort werden Arbeitsergebnisse idR als docs oder Tabellen ausgeworfen und weiterverarbeitet. Habe ich nun in einer Behörde eine "Exotenlösung", muss ich entweder konvertieren (wobei man Garantien für die Datenintegrität braucht) oder brauche die nächste Schnittstelle, Handgeklöppelt. Die meisten Fachverfahren bringen aufgrund der Verbreitung von Office die entsprechenden Formate schon mit, wodurch "Extra-Aufwand" entfällt.

Ganz ehrlich, Standardsoftware heisst so, weil sie a) den Standard vorgibt (und da ist Office wieder vor OpenOffice, auch zuvor waren die Unterschiede eher marginal) und b) weil sich keiner tiefeer drum kümmern will. Es soll laufen, niemand will in Standardbüroanwendungen nach dem Kauf noch Ressourcen stecken, die man anderweitig braucht.

[bill kilgore]

OpenOffice? orly? Seit 2011 nicht mehr das "alte" OS-Projekt, die Apache Foundation findet keine Programmierer, bspw. wurde 2015 eine bekannte Schwachstelle über Monate nicht gefixt. Ebenfalls über Monate gabs keinen Release Manager... Darauf sollte man sich natürlich deutlich mehr verlassen können als auf "proprietäre Software" Dazu kann man nie sicher sein, ob ein Gegenüber die offenen Formate auch lesen kann, bei einer Verbreitung der Office-Formate von MS von deutlich über 60% weltweit wäre es schon peinlich, wenn man "crap" schickt. Das Nicht speichern können von Office XML Formaten und die damit verbundenen Kommunikationsprobleme haben mich privat OO deinstallieren lassen.

Schlimmer wird das Problem beim Export aus Fachverfahren, dort werden Arbeitsergebnisse idR als docs oder Tabellen ausgeworfen und weiterverarbeitet. Habe ich nun in einer Behörde eine "Exotenlösung", muss ich entweder konvertieren (wobei man Garantien für die Datenintegrität braucht) oder brauche die nächste Schnittstelle, Handgeklöppelt. Die meisten Fachverfahren bringen aufgrund der Verbreitung von Office die entsprechenden Formate schon mit, wodurch "Extra-Aufwand" entfällt.

Ganz ehrlich, Standardsoftware heisst so, weil sie a) den Standard vorgibt (und da ist Office wieder vor OpenOffice, auch zuvor waren die Unterschiede eher marginal) und b) weil sich keiner tiefeer drum kümmern will. Es soll laufen, niemand will in Standardbüroanwendungen nach dem Kauf noch Ressourcen stecken, die man anderweitig braucht.

Aber der aktuelle Standard docx/xlsx/pptx ist auch nicht das gelbe vom Ei. Eher das komplette Ei, mit Schale. Offene Formate sind grundsätzlich zu bevorzugen. Ob das jetzt ODF oder (mit Einschränkungen) PDF ist. Solange man das Geld Microsoft gibt (die ja an sich keine schlechten Produkte auf den Markt werfen) hat man es halt nicht an anderer Stelle. Wie ein offenes Format, bzw. die Anwendungen schöner und schlanker sind als MS-Office. "Hier" gibts auch einige die meinen Outlook wäre cooler, obwohl der Rest vom Laden Thunderbird einsetzt. Ohne Exchange Server hat man halt auch nur nen sehr fetten Mailclient.

Sagt der Windows10-Chrome-Thunderbird-Office2016User.

[revolution]

@SailorGN

The police force in Lithuania has switched to using LibreOffice. This free and open source suite of office productivity tools is implemented on over 8000 workstations. The police have started to test the use of workstations running Ubuntu Linux.

Savings were the main motive for the switch to LibreOffice, the police confirmed in an email to the European Commission’s Open Source Observatory (OSOR). The switch will save the police EUR 1 million.
https://joinup.ec.europa.eu/news/lithuanian-police-switched

Italian Government Ditching Microsoft for Open Source LibreOffice
The Italian Defense Ministry, in collaboration with an organization that promotes open source software and standards, plans to switch from Microsoft Office to Libre Office.
http://www.channelfutures.com/open-source/...rce-libreoffice

GendBuntu is a version of Ubuntu adapted for use by France's National Gendarmerie. The Gendarmerie pioneered the use of open source software on servers and personal computers since 2001 when it adopted the OpenOffice.org office suite, making the OpenDocument .odf format its nationwide standard.
https://en.wikipedia.org/wiki/GendBuntu

....

[SailorGN]

Und nun? Daran sieht man doch, dass jeder™ sein eigenes Süppchen kocht. Da hat jetzt die (militär-)Polizei bspw. in Frankreich ein offenes Datenformat. Schön und gut... nur haben auch die Gerichte das Gleiche? Oder andere Behörden, welche auskunftspflichtig ggü. dieser Behörde sind? Haben die anderen Polizeien (Police nationale, Police municipale) das gleiche oder muss man rumpfuschen beim konvertieren... oder geht man gleich über ein drittes Format wie pdf mit OCR?

[Schwabo Elite]

Schön, dass sich hier alle an Office-Programmen aufhängen, wo doch genau die das kleinste Problem wären, wie ich oben schrieb. Nun nutzen Behörden aber auch diverse spezialisierte Produkte für die Kernaufgaben der einzelnen Arbeitskräfte: Layoutprogramme, Bildbearbeitungsprogramme, Literaturverwaltung, CAD etc. All das muss nicht nur intra-behördlich sondern auch inter-behördlich und vor allem auch mit der Außenwelt der Bürger (und darüber hinaus) kommunizieren können.

Und da hilft es überhaupt nicht, wenn man, wie hier von manchem vorgeschlagen, zurück zu Partikularlösungen will, wo jeder machen kann, was er will und es auch muss, weil es keine Normen mehr gibt. Drei sächsische Polizei-Fuß machen dann eben doch keinen kölnischen Finanzmeter.

[Merowinger]

Ich weiss nicht genau wohin damit, aber lesenswert:

Chinas Social-Credit-System: Wer schlecht bewertet wird, darf nicht mehr reisen
Wer in der Datenbank der chinesischen Regierung negativ erfasst wird, muss damit rechnen, in Zukunft kein Zug- oder Flugticket kaufen zu können.

Für das Baltikum wäre das ein Weg die guten von den schlechten Bürgern zu unterscheiden. *grusel* Der Gedanke an einer Art Geheimdienst Schufa in/für Lettland liegt eigentlich recht nahe.

Der Beitrag wurde von Merowinger bearbeitet: 22. Mar 2018, 15:06

[xena]

Schön, dass sich hier alle an Office-Programmen aufhängen, wo doch genau die das kleinste Problem wären, wie ich oben schrieb. Nun nutzen Behörden aber auch diverse spezialisierte Produkte für die Kernaufgaben der einzelnen Arbeitskräfte: Layoutprogramme, Bildbearbeitungsprogramme, Literaturverwaltung, CAD etc. All das muss nicht nur intra-behördlich sondern auch inter-behördlich und vor allem auch mit der Außenwelt der Bürger (und darüber hinaus) kommunizieren können.

Wer hat denn mit Office Programmen angefangen?

Es geht, wenn man will und kein M$-Versteher ist. Anscheinend verwenden sie alle das Standard-Libre Office, ohne es selbst zu verändern. Anscheinend reichen den Behörden die Funktionen. Ups... die ganze Aufregung umsonst...

Das Problem sind nicht die speziellen CADs, Bildbearbeitungsprogramme usw... sondern eben das Office Paket, das von jedem behördenweit eingesetzt wird und nicht kontrollierbar ist. Ein Backdoor im Office Paket und man kann die komplette Korrespondenz der ganzen Behörde, ja des ganzen Staates, abhören. SAP kann man, als europäisches Unternehmen, so wie esauch Behörden in den USA mit ihren Zulieferern machen, an die Kette legen und zu strengeren Sicherheitsvorkehrungen zwingen. Immerhin sind Behörden ein guter Kunde. Aber solche Regeln sollte die EU aufstellen, damit es ein einheitliches Sicherheitskonzept gibt.

Ein Witz wäre es auch noch, wenn Behörden M$-Server verwenden. Dann kann man gleich NSA Mitarbeiter direkt in die Behörden rein setzen und einen Zusammenarbeitsvertrag schließen.

Genau das ist das Problem. Und zwar durch die Bank mit allen Open-Source-Lösungen. Da definiert jede Behörde ihre eigenen Standards und macht mit ihren Leuten was sie wollen - die müssten übrigens alle erstmal auf dem Mark sein und dann eingekauft werden - und am Ende nutzt nicht nur jeder ein andere Office, sondern auch zu einander nicht kompatible Systeme in anderen Bereichen. Genau mein Beispiel.

Nein, das ist nicht das Problem. Du konstruierst dir immer die unsinnigsten Szenarien. Warum sollte jede Behörde sein eigenes Süppchen kochen? Kauft jedes Bataillon seinen eigenen Panzer? Streng doch mal dein Gehirn an und nimm mal eines der immer wieder geforderten Beispiele einer zentralen Stelle, die Standards setzt? Und selbst wenn jede Behörde ihr maßgeschneidertes Office-Paket bekommt, so sind das Datenformat und die Schnittstellen immer die gleichen.

Der Beitrag wurde von xena bearbeitet: 22. Mar 2018, 15:17

[Schwabo Elite]

Du kannst Dich winden wie Du willst, meiner erster Post sprach zunächst von Spezialprogrammen, die über Windows laufen. Office-Pakete waren immer sekundär.

Und Du warst es, die davon sprach jeder könnte sich sein eigenes OO machen:

Im Prinzip könnte sich jede Behörde ihr eigenes OO machen, denn jeder darf den SourceCode für sich verwenden und verändern. Dann hat man auch jemanden, der dafür gerade steht. Garantien? LOL. Hat z.B. OO jemals nicht funktioniert?

Und natürlich verwenden Behörden MS-Server. Outlook ist eben nicht nur ein Emailprogramm, wenn man nicht gerade bei Outlook Express und Windows 95 stehengeblieben ist.

Die Diskussion war hier zunächst wie gesagt, dass gefordert wurde, man dürfe kein Windows verwenden bei Behörden. Dabei scheint hier ein etwas enger Behördenbegriff vorzuherrschen, Beispiele kommen nur von Sonderfällen wie Polizeien. Aber im Klartext reden wir hier über knapp 6 Millionen Angestellte, Beamte, Richter und Soldaten, die nicht nur über die Ministerien von Bund und 16 Ländern verteilt sind, sondern auch 12.000 Kommunen und über 400 Hochschulen.

Und die EU-Einheitslösung wurde sehr früh von der M$-pöse-Fraktion verworfen. Weil Standards sind ja pfui.

[xena]

Jetzt benimmst Du dich aber wie ein trotziges Kind.

Standardprogramme werden wohl kaum nur für die Verwaltung verwendet, sondern quer durch alle Behörden und Ministerien. Und ja, Windoofs ist für eine Behörde extrem böse, weil es nicht kontrollierbar ist, was dieses BS überhaupt macht und mit wem es kommuniziert wenn es nach Hause telefoniert. Man kann davon ausgehen, dass Windoofs nen Backdoor hat. In Medien wird auch immer mal wieder davon berichtet. Linux hat definitiv keine Backdoors. Versuche wurden von der Entwicklergemeinde immer wieder entdeckt und unterbunden. Das wird bei der chinesischen Version sicherlich anders sein, aber das Linux, was in der freien Welt verbreitet wird, ist sauber.

Dumm bei der Sache ist, dass Behörden ein Einfallstor für Lobbyisten ist und sich mit Software verdammt viel Geld verdienen lässt. Kein Wunder, dass München wieder zu M$ zurück findet, wenn M$ kräftig Lobbyarbeit macht und den ahnungslosen Beamten nen dicken Bären aufbindet. Open Source, wie z.B. Linux, hat keine Lobby. Das verwenden die, die Ahnung haben und wissen was sie tun, in jeder Konsequenz. Da kann man von staatliche Stellen leider nicht von ausgehen. Aber das ist nur ein Teilaspekt.

Wichtig ist aber auch die komplette Infrastruktur und wie man die Netztechnik implementiert. Wenn man einfach Komponenten blind aus dem Regal kauft und anstöpselt, muss man sich nicht wundern, wenn man ein offenes Buch ist. Und wenn man ausländischen Firmen erlaubt Datenströme abzugreifen, dann muss man sich auch nicht wundern. Während man zu Postzeiten noch strikt auf Datengeheimnis geachtet hat und nur eine Behörde Zugriff auf die Telekommunikation hatte, kann heute in der Netzstruktur nahezu jeder rein pfuschen der will. Da gibt es kaum Konzepte des Schutzes. Ausländische Dienste haben ihre Tarnfirmen in Deutschland, die fröhlich und ohne Belästigung die Datenströme abgreifen. Investigative Journalisten berichten schon seit über 10 Jahren darüber, aber es interessiert niemanden auf Behördenseite. Bei der Ignoranz und Industriegläubigkeit von Seiten der Behörden, glaube ich nicht, dass die behördliche Netzinfrastruktur und Informatik in Deutschland nennenswert verbessert werden wird.

[Hummingbird]

Outlook ist eben nicht nur ein Emailprogramm, wenn man nicht gerade bei Outlook Express und Windows 95 stehengeblieben ist.

[SailorGN]

@xena: Wenn du jetzt noch die Beschaffung der BW mit zivilen Behörden vergleichst... Nur mal zur Erklärung, Deutschland hat ein föderatives System, in dem es sowohl vertikale wie horizontale Selbstständigkeit gibt. Das bedeutet, dass bspw. schon jede Kommunalverwaltung faktisch selbst entscheiden kann, was sie nutzen will, wieviel sie dafür ausgeben will und was für Personal sie vorhält. Je nach politischem Beschluss der entsprechenden Gremien sieht das sehr... heterogen aus. Dazu kommen noch die unterschiedlichen Größen dann in der Vertikalen: Gemeinden und kleine Städte haben ganz andere Bedarfe als größere Landkreise, von den unterschiedlichen Pflicht- und Selbstverwaltungsaufgaben ganz abgesehen. Über "Sonderfälle" wie die Stadtstaaten Berlin, Bremen und Hamburg will ich gar nicht sprechen. Es gibt schlicht und ergreifend kaum eine Möglichkeit tiefe Systemgleichheit herzustellen. Was möglich ist: Über die Vorschriften bei den "Aufgaben zur Erfüllung nach Weisung" Datenformate vorzuschreiben. Bei den Selbstverwaltungsaufgaben geht das nicht, da sind die jeweiligen Organisationen frei und werden diese Freiheit nur für sehr viel Geld und Zugeständnisse hergeben.

Was die "ahnungslosen Beamten" angeht, die von gierigen Lobbyisten umgarnt und betört ständig "schlechte Entscheidungen" treffen: Beweise doch mal, dass es Lobbyisten waren, die Münchens Beamte "verführt" haben. Vieleicht haben sich für die entsprechenden "ahnungslosen Beamten" aber auch Probleme mit den OpenSourceProgrammen ergeben? Wenn man mal etwas schaut sieht die Sache nämlich anders aus:

Die Gutachter gehen auftragsgemäß auch auf die Frage der Client-Betriebssystem-Welten ein, ohne jedoch eine Empfehlung dahingehend auszusprechen, entweder nur mit dem LiMux-Basisclient oder nur mit dem Windows-Standard-Client die zukünftige Client-Architektur fortzuentwickeln. Die Gutachter empfehlen punktuelle Verbesserungen beim LiMux-Client und einen vollständigen Neuaufbau beim Windows-Client. Für die nächsten Jahre bleibt damit der Einsatz beider Client-Alternativen erforderlich.

Aus dem Ratsinformationssystem der Stadt München (Hatte schonmal jemand erwähnt, dass diese "ahnungslosen Beamten" mittlerweile fast flächendeckend solche Rats- (bzw. Bürger-)Informationssysteme zur Verfügung stellen?)

Und wer sagt, dass sowas Behörden nicht interessiert und sie nix tun? Mittlerweile gibts genug öffentlich-rechtliche Gesellschaften, welche sich nach modernen Gesichtspunkten um die IT vieler öffentlich rechtlicher Einrichtungen kümmern. Muss man wissen. Nur mal als Beispiele hier aus dem Norden: Dataport, kommunit

[Hummingbird]

Das Microsoft-Dilemma

19.02.2018 | 44 Min. | UT | Verfügbar bis 19.05.2018 | Quelle: Das Erste

http://mediathek.daserste.de/Reportage-Dok...mentId=50159194

[Merowinger]

Danke für den Link, ist tatsächlich interessant was das Ausschreibungs- und Vergaberecht betrifft. Aber ob PayPal und Amazon sowie Google tatsälich Microsoft nicht (grossflächig) einsetzen?

Der Beitrag wurde von Merowinger bearbeitet: 22. Mar 2018, 23:56

[kato]

Angriffsvektor für den aktuellsten Angriff war übrigens die Open-Source-Software ILIAS, die in einem vollkommen veralteten Softwarestand durch die BAkÖv betrieben wurde. Nach einem erfolgreichen Angriff auf diese wurden über diese präparierte Software auf die Rechner von Kursteilnehmern verteilt. ILIAS ist als freie Open-Source-Software ein Standardprodukt im Öffentlichen Dienst im Fortbildungsbereich, in Deutschland werden im öffentlichen Bereich im wesentlichen neben diesem nur zwei ebenfalls freie Konkurrenzprodukte verwendet (moodle und stud.ip), kommerzielle Software ist hier faktisch chancenlos.

https://www.golem.de/news/bundeshack-hack-a...803-133227.html

[xena]

Da sieht man was passiert, wenn man nicht updatet.

[Arado-234]

Micro$oft (Deutschland) mit Sitz in München wird der Stadt München
sicherlich entgegenkommen. Einer der Gründe weshalb man keine
Kostenplanungen erhält. Die Verhandlungen mit MS laufen sicherlich noch.

Die Campus Lizenz dürfte ein Schnäppchen sein.

[Schwabo Elite]

Micro$oft (Deutschland) mit Sitz in München wird der Stadt München
sicherlich entgegenkommen. Einer der Gründe weshalb man keine
Kostenplanungen erhält. Die Verhandlungen mit MS laufen sicherlich noch.

Die Campus Lizenz dürfte ein Schnäppchen sein.

Campus Lizenz? München? Verwechselst Du gerade Kommune und Land? Die Hochschulen unterstehen nämlich den Ländern.

[rekrats]

Ich verstehe tatsächlich auch nicht, wie SAP nicht als kritisch eingestuft werden kann. Darüber laufen ja nicht nur X Industrie- und Dienstleistungsbetriebe sondern auch eine ganze Menge Banken, die das als Kernsystem im Einsatz haben.

SAP ist so eine Sache, es ist extrem Wichtig aber ob es wirklich "kritisch" ist kann man überlegen. In sämtlichen europäischen Banken, welche ich kenne, ist SAP im Einsatz aber nicht für die kritischen Kernaufgaben einer Bank. Ja es ist wichtig beim Geldverdienen, berechnet oft Steuern, Gebühren, Gehälter, macht Reportung usw. aber das Kontokorrentsystem, also das System welches das Geld bucht und die Salden führt ist nicht SAP. Genauso ist SAP nicht das System in dem die Kundenaufzeichungen/Kreditaufzeichnungen geführt werden. Für die Geldversorgungen ist es auch nicht zuständig. Dh. im Notfall kann eine grundsätzlich ohne SAP betrieben werden.

Auch wenn es in Europa eventuell kleinere Banken geben mag die ohne SAP nicht mehr funktionieren in einer US Bank oder auch einer russischen (Chinesische kenne ich nicht) würde ein SAP, oder auch jedes andere nicht US/russische System niemals in den Kernbereich kommen.

Wie anderer Staaten vorgehen kann man hier -> Vorgehen USA gut sehen (Die Aktivitäten im Artikel wurden übrigens lange vor Trump gestartet). Da gibt es die klare Ansage was die Politik möchte und wenn sich untergeordnete Einheiten wie auch die Privatwirtschaft nicht daran halten dann gibt es einfach keinen Zugang zu Geld.

Die USA haben eine sehr effiziente Technik wie sie ihre Interessen, bei denen klar und Diskussionslos die USA an erster Stelle kommen, durchsetzen. Mit einem Mehrstufigen Konzept kann man lokale Konkurrenz durchaus erzeugen und fördern. Die USA/Russland/China machen es ja vor wie so etwas funktioniert.

[SailorGN]

Kritisch ist SAP allemal, weil man darüber die Produktions- und Logistikketten vieler Großunternehmen "beherrschen" kann. Schon das Löschen einer Artikeldatenbank kann tödlich sein.

Das Beispiel aus den USA mit Huawei ist eigentlich insofern ganz bezeichnend: Man reagiert auf eine "Bedrohung" indirekt und erwischt so nur die Unternehmen, die auf Staatsgelder zugreifen (wollen). Damit erreicht man aber nur, dass die Anzahl der Unternehmen, die Staatsaufträge annimmt, sinkt. Schon jetzt gibt es das Phänomen, dass Unternehmen auf das Mitbieten bei öffentlichen Ausschreibungen verzichten, weil der Aufwand bei der Angebotserstellung zu groß ist. Für das Begreifen und Abarbeiten der geforderten Nachweise, Zertifikate etcpp sind auch schon ohne "sensible Themen" eigene Mitarbeiter erforderlich, weshalb schon mittlere Unternehmen aussteigen. Und das vor dem Hintergrund, dass EU und Nationen eigentlich kleine und mittlere Unternehmen fördern wollen... für IT bedeutet das eine Entkoppelung und einen Teufelskreis: "Staatsnahe" Unternehmen nehmen die Einschränkungen ernst und reduzieren eventuell ihre Innovationsfähigkeit, da sie neue Technologien nicht nutzen können/dürfen. Damit sind sie im freien Markt weniger konkurrenzfähig und noch mehr auf Staatsaufträge angewiesen. Umgekehrt werden Unternehmen, die aus welchen Gründen auch immer auf "fremde" Technologien angewiesen sind, von Staatsaufträgen ausgeschlossen. Beides hat zur Folge, dass Staatsaufträge teurer werden, eventuell sogar die Qualität abnimmt oder gar nicht mehr erfüllt werden können.

Zielführender erscheint mir eine strikte Trennung und Konzentration von "sicherheitsrelevanten" Aufträgen (bei denen solche Dinge vertraglich eine Rolle spielen, aber bei denen eben nicht gleich ganze Unternehmen ausgegrenzt werden) und Standardaufträgen... warum sollte eine Firma, die pöse, pöse US-/RUssen-/China-/Reptiloidenchips (für persönliche Meinung nichtzutreffendes bitte streichen) keine Straßenbrücke oder Schulgebäude bauen dürfen? Gleichzeitig sollte man überlegen, wie man über Beteiligungen oder auch öffentlich-rechtliche Organisationen direkt sensible Projekte oder auch Wartung durchführen kann. Natürlich kann man da auch Unteraufträge vergeben, aber eben nur in definierten Bereichen und mit entsprechenden Abnahmen.

[revolution]

Kritisch ist SAP allemal, weil man darüber die Produktions- und Logistikketten vieler Großunternehmen "beherrschen" kann. Schon das Löschen einer Artikeldatenbank kann tödlich sein.

Langweilig. Backup einspielen und gut. Lustiger wäre die Artikelnummern bei einem Grosshändler oder in Produktionsbetrieb zu vertauschen... So ein automatisches Lager mit Hochregalen neu zu sortieren ist ein großer Scheiss.

Aber auch hier läge die Achillesferse des Betriebs nicht an SAP abwich, sondern an dessen mangelnder Überwachung bzw. Überwachung der IT insgesamt. Egal ob die Betriebskritische SW SAP, APS, oder PAS heisst. Das ist nicht wirklich von Bedeutung denke ich.

[rekrats]

Kritisch ist SAP allemal, weil man darüber die Produktions- und Logistikketten vieler Großunternehmen "beherrschen" kann. Schon das Löschen einer Artikeldatenbank kann tödlich sein.

Das Beispiel aus den USA mit Huawei ist eigentlich insofern ganz bezeichnend: Man reagiert auf eine "Bedrohung" indirekt und erwischt so nur die Unternehmen, die auf Staatsgelder zugreifen (wollen). Damit erreicht man aber nur, dass die Anzahl der Unternehmen, die Staatsaufträge annimmt, sinkt. Schon jetzt gibt es das Phänomen, dass Unternehmen auf das Mitbieten bei öffentlichen Ausschreibungen verzichten, weil der Aufwand bei der Angebotserstellung zu groß ist. Für das Begreifen und Abarbeiten der geforderten Nachweise, Zertifikate etcpp sind auch schon ohne "sensible Themen" eigene Mitarbeiter erforderlich, weshalb schon mittlere Unternehmen aussteigen. Und das vor dem Hintergrund, dass EU und Nationen eigentlich kleine und mittlere Unternehmen fördern wollen... für IT bedeutet das eine Entkoppelung und einen Teufelskreis: "Staatsnahe" Unternehmen nehmen die Einschränkungen ernst und reduzieren eventuell ihre Innovationsfähigkeit, da sie neue Technologien nicht nutzen können/dürfen. Damit sind sie im freien Markt weniger konkurrenzfähig und noch mehr auf Staatsaufträge angewiesen. Umgekehrt werden Unternehmen, die aus welchen Gründen auch immer auf "fremde" Technologien angewiesen sind, von Staatsaufträgen ausgeschlossen. Beides hat zur Folge, dass Staatsaufträge teurer werden, eventuell sogar die Qualität abnimmt oder gar nicht mehr erfüllt werden können.

Zielführender erscheint mir eine strikte Trennung und Konzentration von "sicherheitsrelevanten" Aufträgen (bei denen solche Dinge vertraglich eine Rolle spielen, aber bei denen eben nicht gleich ganze Unternehmen ausgegrenzt werden) und Standardaufträgen... warum sollte eine Firma, die pöse, pöse US-/RUssen-/China-/Reptiloidenchips (für persönliche Meinung nichtzutreffendes bitte streichen) keine Straßenbrücke oder Schulgebäude bauen dürfen? Gleichzeitig sollte man überlegen, wie man über Beteiligungen oder auch öffentlich-rechtliche Organisationen direkt sensible Projekte oder auch Wartung durchführen kann. Natürlich kann man da auch Unteraufträge vergeben, aber eben nur in definierten Bereichen und mit entsprechenden Abnahmen.

Wenn man nicht gerade ein Logistikunternehmen ist dann ist die Logistikkette unkritischer als man denken mag. Für eine konkurrenzfähige Produktion ist sie sehr wichtig, für den Notfall aber eher weniger. Genau das gleiche gilt für "Produktdatenbanken". Im Notfall ist das letzte dass man benötigt die Produktdatenbank. SAP gehört deshalb, zumindest in Banken, normalerweise nicht zur kritischen Infrastruktur.

Das Beispielt mit Huawei zeigt sehr gut wie es funktioniert. Man sieht in Russland/China die es etwas extremer angehen, wie auch in den USA, wie man kritische Infrastruktur schützt bzw. sich das Know How aneignet um kritische Infrastruktur sicher aufzubauen. Auch die Methode über Staatsaufträge ist sehr effizient, wenn man es nicht so wie die Chinesen über den Markteintritt machen denn über die Staatsaufträge bekommt man alle großen Unternehmen im Land. Wenn sich dort Standards verbreiten dann sorgen die schon dafür dass auch alle kleinen/mittleren mitziehen müssen. Notfalls kann man über indirektere Regeln hervorragend nachsteuern. So etwas impliziert auch keine "staatliche" Industrie wie man an den USA sehr gut sehen kann.

Hier geht es um Protektionismus denn die kritische Infrastruktur kann man nur sicher anlegen wenn man alle wichtigen Komponenten unter nationaler Kontrolle hat. Man hat sie aber nur unter Nationaler Kontrolle wenn dass Know-How im eigenen Land ist. Was man keinesfalls braucht sind irgendwelche "staatlichen oder halbstaatlichen" Unternehmungen wie du vorschlägst denn so etwas funktionier nicht. Besser sind private, kapitalistisch geführte Unternehmen, die an staatlicher Leine gehalten werden (siehe dazu China/USA und teilweise Russland).

Die USA waren Protektionismus auch nie abgeneigt wenn es um eigene Interessen geht. Freiheit und Öffnung der Märkte ist bei anderen wichtig, bei sich selbst eher weniger...

[MeckieMesser]

Alle Nationen mit Größenwahn versuchen die IT zu kontrollieren. Der Unterschied zwischen den USA und Russland/China ist, dass die USA immer noch ein Rechtsstaat sind.
Microsoft, Google und Apple können sich wehren. Im Rahmen der Gesetzgebung.
In Russland und China gibt's die Kugel zwischen die Augen.

In Russland gibt es auch gar keine Rechtssicherheit in der IT. Wir haben das mal geprüft. Der völlige Wahnsinn. Da wird eine Firma gerne einfach mal vom Lokalpolitiker beschlagnahmt.
Deshalb profitiert das Land trotz billiger und guter IT Leute nicht vom Near Shoring, während Länder wie Rumänien und Tschechien durch die Decke gehen.

Was soll daran funktionieren oder ein Vorbild sein?

@Revolution: Mach das mit den SAP Customized Zombies. Da klappt nichts wie im Handbuch. Weil jede Firma ihre Müllprozesse in SAP hackt.
SAP Consulting macht man nur wegen dem Geld.

Der Beitrag wurde von MeckieMesser bearbeitet: 23. Mar 2018, 19:12

[Kameratt]

Alle Nationen mit Größenwahn versuchen die IT zu kontrollieren. Der Unterschied zwischen den USA und Russland/China ist, dass die USA immer noch ein Rechtsstaat sind.
Microsoft, Google und Apple können sich wehren. Im Rahmen der Gesetzgebung.
In Russland und China gibt's die Kugel zwischen die Augen.

Und anschließend 50 Jahre Gulag.

[rekrats]

Alle Nationen mit Größenwahn versuchen die IT zu kontrollieren. Der Unterschied zwischen den USA und Russland/China ist, dass die USA immer noch ein Rechtsstaat sind.
Microsoft, Google und Apple können sich wehren. Im Rahmen der Gesetzgebung.
In Russland und China gibt's die Kugel zwischen die Augen.

In Russland gibt es auch gar keine Rechtssicherheit in der IT. Wir haben das mal geprüft. Der völlige Wahnsinn. Da wird eine Firma gerne einfach mal vom Lokalpolitiker beschlagnahmt.
Deshalb profitiert das Land trotz billiger und guter IT Leute nicht vom Near Shoring, während Länder wie Rumänien und Tschechien durch die Decke gehen.

Was soll daran funktionieren oder ein Vorbild sein?

@Revolution: Mach das mit den SAP Customized Zombies. Da klappt nichts wie im Handbuch. Weil jede Firma ihre Müllprozesse in SAP hackt.
SAP Consulting macht man nur wegen dem Geld.

Es geht hier ja gar nicht um Rechtsstaat oder nicht. Es geht darum ob und wie man sich das notwendige Know-How ins Land holt. Hier gibt es zwei Ansätze, den chinesischenund den amerikanischen. Entweder direkter Zwang zum Know-How Transfer für einen Marktzugang oder indirekter über Protektionismus der eigenen Industrie. Der russische ist so ein Mittelding. Mit "Rechtsstaat" oder ähnlichem hat das Ganze nichts zu tun.

[kato]

Da sieht man was passiert, wenn man nicht updatet.

Ist allerdings ein eher ungewöhnlicher Angriffsvektor, der ausschließlich sehr gezielt eingesetzt wird (man hatte es gezielt auf Rechner von Kursteilnehmern aus dem Auswärtigen Amts abgesehen). Wenn man bei solchem gezielten Vorgehen lang genug sucht findet man immer irgendwo eine Lücke.

Na dann Butter bei die Fische und eines benannt, was billig und sicher(er) ist...

IBM Lotus/Domino, auch wenn jetzt jeder ders kennt stöhnen wird. Billig ist dabei relativ. Einen Exchange-Server zu betreiben kommt finanziell aufs selbe raus, wenn man die Personalkosten berücksichtigt.

Google Docs löst nichtmal die Hälfte der Alltagsprobleme, die sich MS-Office lösen lässt. Abgesehen davon, dass ich alles und jeden umschulen lassen müsste.

Und bringt für Behörden dazu das Problem Auftragsdatenverarbeitung, mangelndes Nearshoring der Datenhaltung und sehr mangelnde Verfahrenstransparenz.

[MeckieMesser]

Man muss nichts erzwingen oder Protektionismus anlegen.
Es geht um Investition die einen Mehrwert bringt: Sicherheit
Vieles was heute zu Novell und RedHat gehört hatte hier seinen
Ursprung. Ein europäisches oder deutsches OS wäre möglich gewesen.
IT wurde und wird zum Teil immer noch nicht als strategische Komponente
angesehen. Und damit gehts dann halt nur um den Preis und Bequemlichkeit.

Jetzt haben wir so Buden wie T-Systems statt Google.
PayDirekt statt Paypal und DeMail statt Slack.
Sprich Rohrkrepierer

Wenn mich einer fragt, was das innovativste IT Unternehmen
In DE ist: Zalando
Kann man jetzt sagen: Ein Schuhlanden?
Was war Amazon doch gleich mal?

Die nehmen die IT richtig in die Hand. Motiviert, innovativ und offen für Ideen
Damit entsteht auch Sicherheit. Die wollen verstehen.

So eine Kultur muss man schaffen und dann geht auch was voran.

[SailorGN]

@Meckie: Gerade darin liegt doch das Kulturproblem. "Staat" (vor allem der Bürger als Kunde staatlicher Dienstleistung) will Kontinuität, Berechenbarkeit, Beständigkeit. Innovative Unternehmen, Start-Ups leben vom Chaos, sie produzieren es und beziehen daraus Energie. Sie sehen erstmal Chancen statt Risiken (und nehmen letztere auch deutlich mehr in Kauf, wie viele IT-Startup krepieren innerhalb der ersten 5 Jahre, 9 von 10?) wo der Staat sehr risikoavers ist... bzw. Risiken als Grund nimmt, etwas nicht zu tun. Bestes Beispiel ist derzeit die Debatte um die DSGVO der EU (ja die Tage zählen runter), wenn man sich die ersten 10 Artikel durchliest kann man sich ausmalen, dass viele Gerichte in Zukunft eigene IT-Senate brauchen werden. Gleiches gilt für (semi-)automatische Prozesse in Staat und Verwaltung. Da redet man sich die Köpfe heiß wegen der Rolle der Unterschrift!

Was ich damit sagen will: Der Fisch in der Digitalisierung und damit in der IT-Sicherheit fängt am Kopf an zu stinken. Es müssen vom Bund mal explizite Gesetze erlassen werden, die den Verwaltungen mit (Begriffs-)Definitionen und -Abgrenzungen Handlungssicherheit geben. Das fängt bei Unterschriften an und geht bis zu einer neuen Definition von "Aktenrelevanz" (Mein Lieblingswort in dieser Hinsicht). Stehen die Begriffe fest kann man daraus auch ableiten, wo besonders schutzwürdige Gebiete liegen... und was eben nicht den Aufwand wert ist. Für letzteres kann man dann auch COTS-Software verwenden.