16 Aug

Bis dass der TÜV uns scheidet…

Wer mit einem älteren Auto zum TÜV (oder einer der anderen Prüforganisationen) fährt, kennt das Spiel: Bei Mängeln gibt‘s keine Plakette. Der Reparatur folgt eine erneute Überprüfung – gegen Gebühr natürlich. Erst wenn wirklich alles in Ordnung ist, hat man längstens für zwei Jahre „Ruhe“, bevor der Prüfingenieur wieder zum Ortstermin bittet. Kneifen gilt nicht: Wer den Termin versäumt, riskiert mächtig Ärger.

Ein durchaus sinnvolles Verfahren, das für mehr Sicherheit auf unseren Straßen sorgt. Das ließe sich doch eigentlich gut auf IT-Systeme übertragen, die oft alles andere als sicher sind. Dachte sich wohl auch der TÜV und erschloss sich mit diversen IT-Zertifizierungen so manche Einnahmequelle. Heute gibt es ein regelrechtes Dickicht unterschiedlicher TÜV-Prüfsiegel mit IT-Bezug. Aber aufgepasst: Längst nicht alle beziehen sich auf Security-Aspekte!

Genau wie mit den Ergebnissen der Stiftung Warentest wird auch mit den TÜV-Zertifikaten gerne geworben. Die Marketingstrategen der Hersteller machen sich dabei die Tendenz der Verbaucher zunutze, ein bewusst allgemein gehaltenes Qualitätsurteil immer auf die Produkteigenschaft zu beziehen, die dem Verwendungszweck oder der eigenen Gewichtung am ehesten entspricht. Das tatsächliche Prüfschema hat mit diesen Vorstellungen mitunter nicht viel zu tun.

Fiktives Beispiel: Ein TÜV-geprüfter Virenscanner wird zwar als nachgewiesen sicher *erwartet*, aber die Untersuchung im Labor kann sich ebenso gut auf die Benutzerfreundlichkeit der Oberfläche bezogen haben. Zu erkennen ist das wohlweislich nicht. Anwender werden ihrem „ferngesteuerten“ Wunschdenken überlassen und greifen bedenkenlos zu. Dafür können die Prüfer nichts, aber der Käufer ist letztlich der Dumme.

Das mussten auch die Kunden des revisionssicheren E-Mail-Archivierungssystems Reddoxx erfahren. Nach Bekanntwerden einer schweren Sicherheitslücke musste eilends ein Patch für die TÜV-besiegelte Software eingespielt werden, damit das System nicht aus der Ferne übernommen werden kann. Schon klar: Auch beim Auto bedeutet eine beanstandungsfreie Hauptuntersuchung nicht den Schutz vor Unfällen für alle Zeiten. Und es wäre auch zu salopp gesagt, der TÜV prüfe und zertifiziere einfach alles, was nicht bei „Drei!“ auf den Bäumen sei. Aber es gilt: Prüfe, wer sich ewig bindet – und zwar nicht nur das Produkt, sondern vor allem die Kriterien einer Begutachtung.

IT-Sicherheitsüberprüfungen für Rechnersysteme und Netzwerke erfolgen am besten nach anerkannten Standards, die speziell zu diesem Zweck breite Anwendung finden. Die IT-Grundschutzkataloge des Bundesamts für Sicherheit in der Informationstechnik sind da immer eine gute Basis. Sie sind umfassend genug auch für komplexe Infrastrukturen und zeichnen sich durch bestmögliche Flexibilität aus. Wer hingegen seine betrieblich genutzte Internetpräsenz oder den Online-Shop auf Lücken checken lassen möchte, sollte eine Prüfung nach WASC-TC verlangen, um wirklich alle potenziellen Schwachstellen zu entdecken.

Es muss auch nicht immer gleich ein Audit nach ISO 27001 sein – eine IS-Kurzrevision folgt denselben Kriterien, bringt bereits viele Erkenntnisse mit geringem Aufwand und erlaubt zielgerichtete Verbesserung. Die Website-Sicherheitsanalyse liefert wiederum konkrete Tipps bis herunter auf Implementierungsebene. So bringen Webmaster eine Präsenz schnell wieder in Topform!

IT-Sicherheitsdienstleistungen erhalten Sie bei vielen namhaften digitalen Gemischtwarenläden. Oder aber individuell, maßgeschneidert und persönlich direkt von uns.