China plant seine Bürger einem Rating zu unterziehen

Wo sieht man das denn? Schau mal nach Südamerika. Was ist denn den Firmen passiert? Ach ja, nichts.

 

In solchen Fällen sollten die Unternehmen direkt rechtlich belangt werden, anstatt den Umweg über einen Social Credit Score zu gehen. Zumal hierzulande bei konkreten rechtlichen Verstößen womöglich das Verbot der Doppelbestrafung beachtet werden muss? Höhere Kreditzinsen sind ja keine Strafe im eigentlichen Sinne, haben aber durchaus den Charakter einer Strafe, insbesondere wenn gleichzeitig ein echtes Bußgeld verhängt wird.
Die Sache ist also die: Man muss zwischen rechtswidrigem und unerwünschtem Verhalten differenzieren. Zur Ahndung von rechtswidrigem Verhalten haben wir heute schon unser Rechtssystem, das man eben nur konsequent durchsetzen müsste. Leider würde wohl die Kapazität unseres Rechtsapparates nicht ausreichen, um jedes Unternehmen, das gegen die EU-Arbeitszeitrichtlinie verstößt, zur Kasse zu bitten. Unerwünschtes Verhalten hingegen ist ein zu recht belasteter Begriff aus der selben Schublade wie (Politkommissar, Parteidoktrin usw.). Unerwünschtes Verhalten kann es in unserer westlichen freiheitlichen Gesellschaft eigentlich per Definition nicht geben, also ist es auch nicht zu sanktionieren. Das gilt dann aber eben nicht nur für Einzelpersonen, sondern auch für Unternehmen und dementsprechend kann hier auch kein Social Credit Score eingesetzt werden.

 

Doch, klar. Du kannst die Vergabe oeffentlicher Auftraege z.B. an einen solchen Score knuepfen. Macht man ja heute mit Schwachsinnsnormen wie einer ISO 27001 Zertifizierung auch schon.

 

Hab das jetzt kurz überflogen, klingt aber im Wesentlichen nach einem Nachweis für nen Informationssicherheitsstandard? Inwiefern ist denn das Fehlen eines solchen Standards und daraus folgende Nachteile bei der Auftragsvergabe gleichzusetzen mit nem "unerwünschten Verhalten"?
Wenn sich ne Firma um nen öffentlichen Auftrag bemüht, der mit der Nutzung, Verarbeitung und Herstellung von Daten und Produkten einher geht, die der Geheimhaltung unterliegen, dann ist es doch klar, dass der öffentliche Auftraggeber hier einen qualifizierten Nachweis darüber sehen will, dass ein gewisser Sicherheitsstandard eingehalten wird... oder nicht? Ob dieser Standard dann inhaltlich sinnvoll definiert ist, oder nicht, ist ja ne ganz andere Frage..

Ich meine z.B., dass die Bundesdruckerei es bestimmt nicht so cool finden würde, wenn einer ihrer Farb-Zuliefererer für den Gelddruck seine Formel mit dem Passwort 1234 schützen würde.

 

Warum? Dann arbeiten wenigstens beide auf gleicher Datenbasis...

 

Sehr witzig... ja ich weiss, für Politik und Verwaltung sind IT-Sachen Neuland

 

Weil es meiner Erfahrung nach keinen Unterschied in der Haeufigkeit des 'Datenreichtums' zwischen Firmen mit und ohne ISO 27001 gibt. Stattdessen werden zigtausende Euros ausgegeben um die Zertifikate zu erfuellen, anstatt das Geld in tatsaechliche Schutzmassnahmen zu stecken.

Die richtige Antwort waeren hier hoehere Strafen beim Datenverlust, und zwar pro betroffener Person, meinetwegen noch mal abgestuft nach der Vertraulichkeit bzw. dem Schadenspotential.

Ansonsten setzt du die Schutzmassnahmen nicht zum Schutz der Daten, sondern fuer das Zertifikat ein. Und ob meine Daten jetzt mit oder ohne Zertifikat verkauft werden, ist mir doch herzlich egal. In dem Kontext ist vlt. auch der Talk von Jeff Bezos interessant.

 

Im Idealfall sollte doch die Erfüllung der Vorgaben für das Zertifikat einhergehen mit einer tatsächlichen Erhöhung des Sicherheitsniveaus, und zwar in dem Umfang, den die Anforderungen für das Zertifikat umfassen? Wenn du jetzt also sagst, dass die Erfüllung der Zertifikatskriterien nicht zwingend zu einer tatsächlichen Erhöhung des Schutzniveaus führt, dann ist die richtige Antwort doch eher, dass das Zertifikat mal überarbeitet werden soll, damit es nen sinnvollen Output generiert, oder?

Gut, ich mein ich verstehe vage, worauf du hinaus willst. Eines der Murphy's Laws of War lautet: "No combat ready unit has ever passed inspection; no inspection ready unit has ever passed combat"

Aus Sicht des öffentlichen Auftraggebers - jetzt wieder zurück bei der IT - ist das aber Blödsinn. Wenn ich nen Auftrag EU-weit ausschreibe und sich 100 Firmen darum bewerben, dann muss ich das Auswahlverfahren nach geltendem Recht transparent gestalten, Zuschlagskriterien definieren, irgendwie auf die Eignung der Bieterfirmen achten usw. Da ist es doch völlig utopisch davon auszugehen, dass der Auftraggeber die Kapazitäten oder auch nur das Know-how besitzt, um in alle 100 unzertifizierten Unternehmen zu gehen und sie selbst hinsichtlich ihrer IT-Sicherheit zu auditieren. Könnte man eine solche Vielzahl an unterschiedlichen Systemen und Prozessorganisationen überhaupt messbar machen?
Im Idealfall hat doch so ein Unternehmen das Zertifikat, was allgemein ein Nachweis für das entsprechende Sicherheitsniveau ist und es für die Teilnahme an entsprechenden Ausschreibungen qualifiziert. Aber das heisst ja nicht, dass sich die Firma darauf ausruhen kann und soll. Für den Auftraggeber ist es jedenfalls essentiell, dass er hier mit nem definierten Standard arbeiten kann, so dass er bei der Auftragsvergabe in möglichst vielen Punkten nur noch Häckchen setzen muss und sich dann mit dem inhaltliche Angebot befassen kann.

 

Das Problem liegt an den Zertifizierungen selbst. Es gibt nur wenige Dinge die man handfest im Zuge des Audit prüfen kann. Wie ich das kenne von uns ist das zuerst mal großteils Papierkrieg. Und dazu lassen die sich halt dann paar Beispiele zeigen (wie das gelebt wird, wie das ausgewertet wird, etc...)
In Teilbereichen geht es natürlich besser (z.B. Sicherheitsbereiche, Zutrittskontrollen, etc.) aber im Großen und Ganzen tappen die auch im Dunklen und müssen sich auf den Papierberg verlassen und was da drin steht.

Also unsere Firma ist auch zertifiziert worden, außer das es jetzt ein Wiki mit "Empfehlungen" gibt war die einzige Verbesserung der Umzug der Hardware in ein Rechenzentrum (jetzt erst!!!).

Das Gesetz selbst zeigt außerdem typische Probleme. Einerseits berücksichtigt es den Alltag und die Fälle nicht (was entsprechend Probleme verursacht, meist dann dort wo es eigentlich unkritisch wäre mit den Daten und nur "Eigengebrauch" der Firmen), die Kontrolle ist nur sehr schwer möglich und nicht jeder wird belangt werden...

Außerdem gibt es sofort die automatischen Zustimmungen (siehe Cookies, siehe Abwälzungen in den AGBs von den ganzen großen Konzernen, etc.) Dagegen geht man dann natürlich nicht vor und es ändert sich nicht wirklich was...

 

Kommen die skadinavischen Länder unbemerkt dem gläsernen Bürger immer näher?

"Die Deutschen lieben ihr Bargeld, wogegen Schweden schon auf dem besten Weg ist, es komplett abzuschaffen...
...Die Angst zum gläsernen Bürger zu werden, kennen die Schweden nicht. Für sie ist es völlig normal, dass personenbezogene Daten nicht getrennt bei Finanz-, Sozial- oder Gesundheitsbehörden, sondern unter einer einheitlichen Identifikationsnummer abgespeichert werden."
http://www.finanzen.net/nachricht/devisen/der-glaeserne-buerger-schweden-bald-ohne-bargeld-4834405


"Der nahezu gläserne Schwede
In Schweden ist die Steuererklärung jedes Bürgers öffentlich"
http://www.zeit.de/wirtschaft/2015-03/loehne-steuern-schweden-scheswig

"Schweden lassen sich Mikrochips in die Hand einpflanzen
Einen ganzen Bürokomplex im Stockholmer Stadtzentrum habe sein Verein mit den Chips ausrüsten lassen: Türen und Kopierer und bald auch das Rabattsystem in der Kantine könne über den RFID-Chip (Chip zur Identifizierung mit Hilfe elektromagnetischer Wellen) gesteuert werden. Implantiert wird er zwischen Daumen und Zeigefinger. In der Zukunft seien den Möglichkeiten keine Grenzen gesetzt, so Sjöbad. Identitäts- und Zugangskontrollen, Tickets für Bus und Flugzeug, Bezahlsysteme – alles scheint möglich."
https://www.derwesten.de/panorama/schweden-lassen-sich-mikrochips-in-die-hand-einpflanzen-id10446431.html

 

Thx für die Erläuterung. Wir reden hier also eher von einer mangelhaften Ausgestaltung dieser Zertifizierung selbst. Dass aber eine Zertifizierung per se einem Social Ranking gleich kommt, das sehe ich nach wie vor nicht. Nach der Lesart wäre jegliche Form der Studienplatzvergabe per NC rechtswidrig.

Auch wenns blöd klingt, aber ich hab auch schon mit dem Gedanken gespielt, mir nen Chip von I AM ROBOT einsetzen zu lassen...
Mein letzter Kenntnisstand ist aber, dass man die Dinger nicht so ohne Weiteres mit den Daten von Bezahlkarten bespielen kann. Ich zahl ja mittlerweile alles, was geht, mit dem Handy per NFC-SIM. Da wärs ja nur noch geiler, wenn ich das Handy gleich ganz stecken lassen könnte und stattdessen nur noch die Hand ans Lesegerät halten muss.
Und ja, ich weiss, dass die Meisten hier es anders sehen würden..

 

Ich fänds cool. Auch als Stempelkarte fürs Büro und so. Sogar als Hausschlüssel.

 

Ich mag euch. Die voellige Abwesenheit des gesunden Menschenverstandes und das rehkitzgleiche Erstarren vor den Wundern moderner Technik wird mir noch auf Jahre den Job sichern

 

Keine Widerrede von meiner Seite aus

 

Und ich sichere gerne anderer Leute Jobs

Aber Schnee schipp ich selbst, die wollen zu viel haben dafür