Leserreporter: Wer schöne Verschwörungslinks für mich hat: ab an felix-bloginput (at) fefe.de!
[zurück][ältere Posting][neuere Posting] Mittwoch, 18 Oktober 2017 | Blog: 8 | No: 39483
Ein Hinweis sei noch gestattet, anlässlich der Infineon-RSA-Geschichte. Die Infineon-RSA-Bibliothek war zertifiziert. Von wem? Na ratet mal! Vom BSI!
Ich glaube, ich habe meine Position zu Zertifizierungen schon geäußert über die Jahre. Ich halte das im Wesentlichen für Geldschneiderei.
Das Argument für Zertifikate ist, dass es den Vendor dazu bringt, mal ordentliche Prozesse zu installieren.
Allerdings würde ich lieber bei jemandem kaufen, der 200k in gute Prozesse investiert, als in jemanden, der 100k in Prozesse investiert und 100k für Zertifizierungs-Bullshit ausgibt. Und, mal ganz zurückhaltend und vorsichtig formuliert: Die Existenz einer Zertifizierung ist kein Garant dafür, dass die Prozesse a) gut und b) gut umgesetzt wurden.
Zertifizierungen sind eine Mitesser-Branche, die sich an ansonsten profitable Branchen anhängt und deren Profite absaugt. Genau wie Anwälte :-)
Aber es gibt eine geradezu irrationale Hochachtung für Zertifikate, gerade in Deutschland. Vielleicht taugt dieses Beispiel, um da mal ein bisschen die Luft rauszulassen. Wer pfuschen will, wird auch zukünftig pfuschen, ob mit oder ohne Zertifikat. Und viele Zertifikate belegen nur die Existenz von Prozessen, nicht von guten oder sinnvollen Prozessen.
Beispielhaft für die pseudoreligiöse Verehrung von Zertifikaten sei hier mal die Pressemitteilung von Yubico verlinkt, als sie ansagten, dass sie aus Sicherheitsgründen (!) keine Open Source-Firmeware mehr verbauen wollen, sondern nur noch zertifizierte Qualität wie das Zeug von Infineon. (via) (Danke, Benjamin)
[zurück]
[ältere Posting][neuere Posting]
[zurück][ältere Posting][neuere Posting] Mittwoch, 18 Oktober 2017 | Blog: 8 | No: 39483
Von wem?
Die Infineon-RSA-Bibliothek war zertifiziert
Ich glaube, ich habe meine Position zu Zertifizierungen schon geäußert über die Jahre. Ich halte das im Wesentlichen für Geldschneiderei.
Das Argument für Zertifikate ist, dass es den Vendor dazu bringt, mal ordentliche Prozesse zu installieren.
Allerdings würde ich lieber bei jemandem kaufen, der 200k in gute Prozesse investiert, als in jemanden, der 100k in Prozesse investiert und 100k für Zertifizierungs-Bullshit ausgibt. Und, mal ganz zurückhaltend und vorsichtig formuliert: Die Existenz einer Zertifizierung ist kein Garant dafür, dass die Prozesse a) gut und b) gut umgesetzt wurden.
Zertifizierungen sind eine Mitesser-Branche, die sich an ansonsten profitable Branchen anhängt und deren Profite absaugt. Genau wie Anwälte :-)
Aber es gibt eine geradezu irrationale Hochachtung für Zertifikate, gerade in Deutschland. Vielleicht taugt dieses Beispiel, um da mal ein bisschen die Luft rauszulassen. Wer pfuschen will, wird auch zukünftig pfuschen, ob mit oder ohne Zertifikat. Und viele Zertifikate belegen nur die Existenz von Prozessen, nicht von guten oder sinnvollen Prozessen.
Beispielhaft für die pseudoreligiöse Verehrung von Zertifikaten sei hier mal die Pressemitteilung von Yubico verlinkt, als sie ansagten, dass sie aus Sicherheitsgründen (!) keine Open Source-Firmeware mehr verbauen wollen, sondern nur noch zertifizierte Qualität wie das Zeug von Infineon. (via) (Danke, Benjamin)
Twiter-Ticker
Fefes Latest Youtube Video Links
Der Betrieb der KraftZeitung kostet Geld. Da wir auch weiterhin unabhängig, überparteilich und ohne kommerzieller Werbung für Sie da sein wollen, sind wir auf Ihre Spende angewiesen. Vielen Dank.
