Kommentare zu: Neue Backdoor-Klausel nimmt IT-Systemanbieter in die Pflicht https://www.datensicherheit.de/neue-backdoor-klausel-nimmt-it-systemanbieter-in-die-pflicht Datensicherheit und Datenschutz im Überblick Sun, 17 Apr 2016 07:36:03 +0000 hourly 1 Von: Prof. Dr. Hartmut Pohl https://www.datensicherheit.de/neue-backdoor-klausel-nimmt-it-systemanbieter-in-die-pflicht#comment-47033 Sun, 17 Apr 2016 07:36:03 +0000 http://www.datensicherheit.de/?p=25292#comment-47033 Das ist aber noch lange nicht ausreichend: Die einfache Forderung der Öffentlichen Hand auf Hintertüren-Freiheit hilft hier natürlich überhaupt nicht weiter.

Unverzichtbar ist eine technische Überprüfung der Software (und auch Hardware!) wie sie z.B. die ISO 27034 vorgibt mit (1) Security Requirements Analyse, (2) Threat Modeling der Sicherheitsarchitektur, (3) Static Source Code Analysis des Quellcodes, (4) Penetration Testing und Dynamic Analysis – Fuzzing des ausführbaren Codes sowie insbesondere eine Konformitätsprüfung (!) auf Übereinstimmung von Code und Dokumentation:

Leistet das Produkt vielleicht mehr als dokumentiert ist? Und auch die Behauptung der Hersteller, ‚meine Entwickler tun das nicht‘ ist wirkungslos, wenn z.B. Open Source Suiten ungeprüft eingesetzt werden!

Insgesamt aber schon eine gute Marketingaktion und fachlich ein allererster Schritt in die richtige Richtung.

]]>
Von: admin https://www.datensicherheit.de/neue-backdoor-klausel-nimmt-it-systemanbieter-in-die-pflicht#comment-47032 Fri, 08 Apr 2016 02:35:41 +0000 http://www.datensicherheit.de/?p=25292#comment-47032 …neue ergänzende vertragsbedingungen? lächerlich, da nicht realisierbar, gerade auf seiten der hardware!

]]>