Bereits 10853 Beiträge!
DAA(uditor)
Beitrag von Anonymous, am 15.03.2009
Durchschnittliches Voting: 7.762
Hallo,
ich möchte einmal eine Geschichte erzählen, die aufgrund der "Branche" normalerweise nicht in das das Licht der Öffentlichkeit tritt. Leider muss ich bei einigen Angaben aus mehreren, hoffentlich ersichtlichen Gründen sehr vage bleiben und ein paar Sachverhalte verdrehen, geht leider nicht anders...
Ich arbeite in einem europäischen Rechenzentrum, das mehr oder weniger auf IT-Sicherheit und Verfügbarkeit spezialisiert ist. Unser Kundenkreis ist sehr begrenzt. Und aufgrund der Garantien und (nationalen sowie international anerkannten) IT-Sicherheitszertifikate, die wir bieten, ist unseren potentiellen Kunden klar, a) dass sie ein außergewöhnliches IT-Sicherheitsniveau erwarten können, das u.a. den üblichen IT-Schutz weit übertrifft. b) dass sie normalerweise schon etwas Geld hertragen müssen, wenn sie zu uns kommen.
Aber nun hat Oberscheffchen ja auch ein Geschäft zu führen. Und deswegen werden in so einem Betrieb manchmal auch kleinere Dinge für Geschäftsfreunde gemacht, die sich finanziell nicht unbedingt rechnen, aber man hält sich damit gewisse wichtige Leute warm.
Nun isser da eben mal wieder mit so einer kleineren Sache von $FREUND angekommen, halber Schrank (20 HE), die verlangte Verfügbarkeit für uns kein Problem, IT-Sicherheitslevel lediglich auf kuschligem deutschem BSI-Grundschutzniveau (sowas hosten wir an sich eigentlich gar nicht, weil mit dem Geld, das mit IT-Grundschutz verdient werden kann, kann man unsere Technik nicht bezahlen), das Zeug steht bei uns nur übergangsweise ein paar Monate rum, alles kein Thema. Unser Sicherheitscheffchen war jetzt aus verschiedenen Gründen von dem Auftrag nicht so begeistert, zumal es verlangte, dass wir dafür eigens ein isoliertes Netz für das Ding aufbauen mussten (es soll ja quasi mit seinem niedrigeren Sicherheitsniveau nicht unsere anderen Systeme "gefährden") und manchmal Leute in unseren Zonen an die Rechner heranlassen mussten, denen wir dann eine ständige Aufsicht spendieren müssen. Eigentlich nur schlimm die Extrawurst, aber Oberscheffchen will es, nix zu machen.
Gut, das Zeug zusammen mit den fremden, aber netten Jungs aufgebaut, ab und zu mal Aufpasser gespielt, wenn jemand von denen an die Kisten ran musste, alles friedlich, alles entspannt.
Nun kommt es, dass $FREUND für das Ding plötzlich mindestens deutschen BSI IT-Grundschutz nachweisen soll und nur mit unseren Zertifikaten wedeln reicht diesmal leider nicht (warum lässt man sich dann ständig zertifizieren? Manche Sachen versteh ich einfach nicht). Also was macht er? Er bestallt mehrere unabhängige, selbständige, BSI-zertifizierte Auditoren, die mal bei uns vorbeikommen sollen, um nach dem Rechten zu sehen. Sein gutes Recht. Wir haben ausschließlich beglaubigte höherwertigere Zertifikate als BSI IT-Grundschutz, also kein Ding... sollte man meinen.
Nun schlagen bei uns in einer unpassenden, da hektischen Woche x Auditoren unter Leitung von Auditor $DUMMNASE auf, um nach dem Rechten zu sehen. Einen anderen Termin wollte nämlich $DUMMNASE nun nicht, denn man ist ja WICHTIG und hat, wen wunderts, angeblich nicht viel Zeit. So sitze ich also als verantwortlicher Nach-dem-rechten-Seher-und-Knöpfchendrücker-für-das-Ding mit Sicherheitsscheffchen und einem Vertriebler außerhalb der Sicherheitszonen in unserem Besprechungsraum $DUMMNASE und seinen Kollegen gegenüber, um vor der Raumbegehung einige Dinge abzuklären. $DUMMNASE ist es offensichtlich gewohnt zu zeigen, dass er ein SEHR harter Hund ist, der "sein WICHTIGES IT-Grundschutz-OK" nicht jedem in die Hand drückt. Sicherheitsscheffchen ist von seinem arroganten Theater schon zu recht angefressen, zumal mit dem Projekt für ihn nur Extraarbeit verbunden ist, es grad bei uns hektisch & der Termin völlig unpassend ist und dabei aber eben halt noch nicht mal viel Kohle rumkommt. Aber man ist ja professionell und frisst Kreide, so schreitet das Audit halt voran. Grundsatz: Streite nie mit einem Auditor bevor Du nicht seine Unterschrift hast, auch wenn es der letzte De... ach ich möchte nicht vorgreifen. Als es nun zu der Stelle kommt, wo wir unsere Zertifikate vorlegen stellt $DUMMNASE höchstselbst fest, dass da ja kein BSI-Grundschutzzertifikat dabei ist.
OH MEIN GOTT! PECH & SCHWEFEL!
$DUMMNASE: "Das ist ja unglaublich!!! Da stellen sie so einen wichtigen Server bei sich auf und haben noch nicht mal Grundschutz!!!11einseinself Wie sind sie überhaupt auf die dumme Idee gekommen, sich um das Projekt bewerben zu dürfen?"
(Naja eigentlich sind es ja n Server und mit einem Grundschutz-Zertifikat sollten wir bei den Sicherheitsinteressen unserer üblichen Kundschaft nicht mal versuchsweise wedeln. IT-Grundschutz können viele. Was wir können können nur ganz, ganz Wenige. Und wir haben uns nicht um das blöde Ding gerissen Du Hirsch, sondern Dein Brötchenbezahler hat uns Oberscheffchen angebettelt mal eben auszuhelfen bis $NOCH_IM_ROHBAU fertig ist.)
Sicherheitsscheffchen: "Aber in den Leisungsanforderungen steht ausdrücklich, dass auch andere gleich- oder höherwertigere Zertifikate zugelassen sind und $ERKLÄRBÄR"
$DUMMNASE schaut drauf, erkennt aber offensichtlich nicht, was er da vor sich liegen hat und meckert halt weiter nur rum. (Ja echt blöd, wenn man ausschließlich nur den BSI Grundschutzkatalog kennt...)
$DUMMNASE: "Ach wissen sie, was mir schon alles für Papiere vor die Nase gehalten wurden, wer sagt mir denn, was ihre Zertifikate überhaupt wert sind?"
(Wie wärs mal mit: Auf die Urkunden und die Aussteller schauen, da ist u.a. auch das deutsche BSI dabei, das Dir versehentlich eine Lizenz gegeben hat. Oder einfach mal beim BSI nachfragen/anrufen Du Knödel?).
Und 'Ach' und 'Zeter' und dass wir den Schrott bei uns ja gar nicht hätten aufstellen dürfen, weil wir ja nicht mal IT-Grundschutz nachweisen könnten und $DRAMAQUEEN und ob wir überhaupt sichergestellt hätten, dass bei uns überall Virenscanner installiert sind (Ja leider dürfen wir die normalerweise nicht installieren, ist für unser übliches Niveau nicht zugelassen oder verfügbar Du Würstchen, deswegen machen wir das anders) und was wir doch einen $SAULADEN hier hätten, da er bis jetzt noch nicht mal Zutrittsbeschränkungen bemerkt habe uswusf.
Sicherheitsscheffchen hat dann (sichtlich irritiert) eingesehen, dass mit dem Herrn nicht auf Vernunftbasis zu verhandeln ist und hat einfach mal vorgeschlagen, dass sich die Delegation die Sache vor Ort ansieht, um mal einen allgemeinen Eindruck zu bekommen.
Wir spazieren also gemütlich zum Eingang der Sicherheitszonen.
Ich leise zu Sicherheitscheffchen: "Dröhnung?"
Sicherheitsscheffchen leise zurück: "Prima Idee. Volle Breitseite!"
Also habe ich die ganzen Alarme halt mal nicht abgestellt, die bei uns angehen, wenn eine Tür ausser der Reihe (für betriebsfremde Personen) aufgemacht wird.
Ich hätte gerne ein Foto von dem Gesicht von $DUMMNASE und wenn wir schon dabei sind, auch einen dump von seinen Gedanken, als die Hupe und die volle Christbaumbeleuchtung losging und ihm unsere äußere Panzertür schräg hinter ihm unter schwerem Motorenächzen langsam entgegengeschwungen ist.
P.S. Bedauerlich ist aber, dass so ein Obertrottel wahrscheinlich sogar richtig viel Geld verdient, aber wenigstens hat er sich dafür einmal richtig zum Affen gemacht. Hinter der Tür war er wenigstens handzahm.
ACHTUNG Archivsystem!
Es sind keine neuen Einträge, Bewertungen oder Kommentare mehr möglich.
