Autor: Byron
« am: 17. Juli 2011, 14:52:21 »...Was für eine Umfrage soll das denn bitte sein?
1. eine Antwortmöglichkeit für "nein" und drei für "ja" -> Ungleichgewicht vorprogrammiert.
2. die Antwortmöglichkeit für "nein" könnte man nur auswählen, wenn man sich selbst die Schuld für Geschehenes geben würde, was natürlich keiner tut.
Ergebnis: Sieht für mich ein wenig, aber auch nur ein wenig populistisch aus ^^. So viel zu "Glaube keiner Statistik, die du nicht selbst gefälscht hast". Wenigstens eine weitere Antwortmöglichkeit wäre nett gewesen, wie bspw. "Nein, gehackte Unternehmen können nicht für Sicherheitslücken ihrer Dienstleister oder Verkäufer verantwortlich gemacht werden".
Aber letztendlich muss man sowieso sagen, dass laut der Umfrage letztendlich kein Unternehmen bestraft werden würde, da man wahrscheinlich keinem dieser Unternehmen Fahrlässigkeit vorwerfen kann, weil sie bspw. die gekauften Sicherheitsprodukte nicht nochmal selbst komplett auseinandergenommen und geprüft haben.
Zur Informationspolitik: Mehr Informationen wären garantiert wünschenswert, aber ich denke, dass man davon ausgehen kann, dass die Unternehmen meistens selbst gar nicht so schnell nachvollziehen können welche Daten aus ihren DBs gestohlen wurden.
Gruß
Jan
Entschuldige meine späte Antwort, aber lieber spät als nie.
Ich sehe in der Umfrage kein Ungleichgewicht. Viel mehr als Nein kann man schließlich nicht aussagen. Damit einhergehend spricht man die Unternehmen vollkommen von einer (Mit)Schuld frei. Bedeutet nichts anderes, dass es im Endeffekt einem selbst obliegt seine Daten erst gar nicht rauszugeben oder aber zumindest damit zu geizen. Die Möglichkeit, dass die Unternehmen nichts für Sicherheitslücken bei Dienstleistern oder Verkäufern können, würde nichts anderes implizieren. Zumal ich solch eine Auswahl nicht mit der eigentlichen Umfrage in Verbindung bringe. Hier geht es schließlich um die Unternehmen und nicht um irgendwen, mit dem sie zusammenarbeiten. Das ist völlig irrelevant.
Die differenzierte Auswahlmöglichkeit bei Ja ergibt sich daraus, dass es hier sinnvoll ist zu unterscheiden. Denn zur Rechenschaft kann man in vielerlei Hinsicht gezogen werden. Von Interesse ist hier die Sicht der Teilnehmer, ob sie für sich persönlich Recht in Anspruch nehmen wollen oder allgemein. In der letzten Auswahlmöglichkeit steckt deine gennante Auswahlmöglichkeit übrigens drin.
Fahrlässigkeit kann man den Unternehmen natürlich vorwerfen. Es geht dabei nämlich nicht darum, dass sie selber ihre Sicherheitssoftware schreiben und für 100%tige Sicherheit sorgen. Sondern es geht darum, dass sie sich einen gewissenhaften Schutz zulegen und diesen regelmäßig warten. Das Problem ist nämlich, dass zahlreiche Hacker durch bekannte Sicherheitslücken eindringen die aber schon gefixt sind. Hier liegt schlicht ein schlampiges Verhalten der Unternehmen bzw. der zustänigen Abteilung vor. Spricht der IT.
Bzgl. der Informationspolitik sehe ich nicht das Problem in der schnelligkeit der Bekanntgabe und dem feststellen des Umfangs, sondern dass schlichtweg nichts gesagt wird. Oder aber man versucht das Ganze unter den Tisch zu kehren und äußert sich nur lapidar und einmalig. Tut dabei aber so, als ob man jetzt Himmel und Hölle in Bewegung setzt um die pösen pösen Hacker zu finden, sie danach aufm Marktplatz zu erhängen und eigentlich trägt man selber ja gar keine Schuld. Ach ja am besten ist noch wie die Bedeutung der gestohlenen Daten runtergespielt wird. Ändert halt das Passwort und alles ist wieder in Butter. Doof nur, wenn man seine Email-Adresse auf einmal zusammen mit tausenden anderen frei im Internet in kompletten Listen wiederfindet.
Und trotzdem sollten Unternehmen für Sicherheitslücken verantwortlich gemacht werden können. Zumindest, wenn sie leichtsinnig bzw. fahrlässig mit dem Datenschutz umgehen. Wenn man sie einfach aus der Verantwortung entlässt, wird sich nie etwas verbessern.
Ich sehe vor allem deswegen Verbesserungsbedarf, weil ich denke, dass viele Unternehmen die Sicherheit bisher auf die leichte Schulter genommen haben. Da wurde das Gefahrenpotential nicht erkannt oder gar ignoriert. Schließlich ist es ein nicht unbedeutender Sicherheitsfaktor die IT zu strukturieren und abzusichern. Wird reden hier ja nur von großen Unternehmen, aber würde man sich mal im Mittelstand umschauen, bei den ganzen Betrieben mit ~50 Mann. Da wirds ganz ganz schnell richtig hässlich.
Gruß