Seit Ende Oktober ist der IT-Dienstleister von mehr als 100 Kommunen nach einem Hackerangriff offline. Jetzt räumt das Unternehmen erstmals Versäumnisse ein.
Mehr als 100 Kommunen lassen digitale Prozesse über das Unternehmen abwickeln. Daher gelang es mit nur einem Angriff auf diesen Dienstleister so viele Kommunen lahmzulegen.
Der WDR berichtet von Karsten Zimmer, einem IT Sicherheitsexperten. Und der holt gleich ganz in urdeutscher Manier aus.
Es brauche strengere Kontrollen der IT-Firmen: ‘Die Dienstleister müssten zertifiziert werden, sie müssten sich auch Hilfe holen.’ Einen großen Fehler sehe er in Systemhäusern, die alles aus einer Hand liefern. ‘Das heißt, das Systemhaus liefert Hard- und Software, macht Beratung und bietet gleichzeitig Sicherheitsberatung an. Stattdessen, so meint Zimmer, brauche es externe Beratung in puncto Sicherheit. So könnten etwa Hackerangriffe simuliert und Schwachstellen erkannt werden, bevor Kriminelle ganze Regionen digital lahm legten.
https://www1.wdr.de/nachrichten/landespolitik/vorwurf-hackerangriff-suedwestfalen100.html
Ja, Zimmer hat ja recht. Doch alleine schon die Aussage einer notwendigen Zertifizierung, lässt mir die Nackenhaare kräuseln. Wer soll denn zertifizieren? Und nach welchen Standards? Und überhaupt, angenommen, es kommt jemand des Weges, so wie ich, der gerne Zertifikate ausstellen möchte, weil er das fachliche Know-How hat, bekäme keine Chance, wenn erst eine Behörde wie das BSI dahinter steht. Siehe als passendes Beispiel die Zertifikate um die EN27032.
Nein, es braucht ein grundlegendes Verständnis über IT Sicherheit und kein Zertifikatsablasshandel, der am Ende nicht mal etwas bringt.