Epic Fail

Unter der Überschrift: Die Illusion von Safer-Shopping nimmt Heise gerade das Online-Gütesiegel eines bekannten Anbieters auseinander:

»Nach der Datenpanne im vom TÜV Süd zertifizierten Online-Shop-System von Libri.de fanden sich nun Sicherheitslücken auf weiteren Sites, die das Safer-Shopping-Siegel tragen – und sogar auf dessen eigener Homepage. Neben Safer-Shopping.de waren Audible.de, ReifenDirekt.de und weg.de betroffen.«

Über Zertifizierung, Gütesiegel und den TÜV gab es hier ja schon einiges zu lesen. Als Sekundärliteratur empfehle ich noch: 10 Things Your Auditor Isn’t Telling You.

One thought on “Epic Fail

  1. Ich sage meinen Kunden schon seit Jahren, das öffentliche Gütesiegel in Security Audits nichts zu suchen haben – sie wirken kontraproduktiv. Ein Gütesiegel kann maximal die Einhaltung bestimmter Verfahrensstandards kennzeichnen – aber nicht deren Einhaltung. Würde sich das Siegel auf technische Details beziehen, so wären manche Vorgaben binnen weniger Stunden veraltet (siehe best. Teile der Grundschutzkataloge).

    Die tatsächliche Sicherheit spielt sich in der Praxis ab. Und da reicht u.U. schon ein einziger Fehler, um den GAU auszulösen. Ein hochwertiges Security Audit muss individuell auf das Unternehmen, seine Rahmenbedingungen, seine Risikolage und seinen Schutzbedarf abgestimmt sein. Da spielen “etablierte Standards” allenfalls eine Nebenrolle. Das Ergebnis ist dann eine echte und dauerhafte Verbesserung der Sicherheit – und keine Marketingkampagne. Die Frage ist halt, was von beidem das Unternehmen wirklich will.

Comments are closed.