Gehört IT nicht zum QM?
- Oliver
- Topic Author
- Visitor
-
#7255
by Oliver
Gehört IT nicht zum QM? was created by Oliver
Oder warum kann ein Wurm wie Sasser einen solchen Schaden anrichten, obwohl schon lange genug ein Patch zur Verfügung stand?
Wenn, wie bei einigen UNs aufgrund Sasser die KD-Daten nicht mehr erreichbar sind, kann man wohl kaum von Kundenorientierung sprechen. Die Kunden erwarten von UNs, das ihre Daten nicht mißbraucht werden. Schließlich hätten mit Hilfe eines gefährlichen Wurms über das lange genug bekannte Sicherheitsloch diese Daten "gestohlen" oder manipuliert werden können, über den zweifelhaften Einsatz eines Win-Servers für sensible Daten ganz zu schweigen.
Wenn ich Richter wäre, würde ich den Autor zivilrechtlich (NICHT strafrechtlich!) freisprechen, weil die Schäden zum großen Teil auf Schlamperei der jeweiligen Admins zurückzuführen ist. Allerdings muß man denen gerade im KMU-Bereich zu Gute halten, daß gerade die Kundenorientierung Microsofts bezüglich deren Patches eine Qual sein kann (oft auch ist).
Aber trotz allem, sollten doch die entsprechenden IT-Verfahren zum QM gehören und auch bei der Zertifizierung vom Auditor berücksichtigt werden oder habe ich was falsch verstanden?
MfG
Wenn, wie bei einigen UNs aufgrund Sasser die KD-Daten nicht mehr erreichbar sind, kann man wohl kaum von Kundenorientierung sprechen. Die Kunden erwarten von UNs, das ihre Daten nicht mißbraucht werden. Schließlich hätten mit Hilfe eines gefährlichen Wurms über das lange genug bekannte Sicherheitsloch diese Daten "gestohlen" oder manipuliert werden können, über den zweifelhaften Einsatz eines Win-Servers für sensible Daten ganz zu schweigen.
Wenn ich Richter wäre, würde ich den Autor zivilrechtlich (NICHT strafrechtlich!) freisprechen, weil die Schäden zum großen Teil auf Schlamperei der jeweiligen Admins zurückzuführen ist. Allerdings muß man denen gerade im KMU-Bereich zu Gute halten, daß gerade die Kundenorientierung Microsofts bezüglich deren Patches eine Qual sein kann (oft auch ist).
Aber trotz allem, sollten doch die entsprechenden IT-Verfahren zum QM gehören und auch bei der Zertifizierung vom Auditor berücksichtigt werden oder habe ich was falsch verstanden?
MfG
Please Anmelden to join the conversation.
- Tim Gerdes
- Topic Author
- Visitor
-
#7260
by Tim Gerdes
Replied by Tim Gerdes on topic Re: Gehört IT nicht zum QM?
Hallo Oliver,
so verrückt es klingen mag, aber IT gehört nicht zwingend zum QM.
Die IT ist i.d.R. ein Supportprozess, der ISO 9000 technisch nicht zum QM gehört.
Jetzt ist es natürlich so, dass ein vernünftiges Unternehmen zusehen wird, die IT in das QM hineinzunehmen. Dein gedanklicher (Kurz-)schluss aus dieser Notwendigkeit allerdings entsetzt mich.
Warum? Ein Beispiel: Laut STVO ist jeder Fahrzeughalter vor Antritt einer Fahrt dazu angehalten, sich vom ordnungsgemäßen und verkehrssicheren Zustand seines Fahrzeuges zu überzeugen.
Nehmen wir an, Dein Nachbar kann Dich auf den Tod nicht leiden und legt Dir einen Nagel so unter den Reifen, daß Du beim Anfahren diesen in den Reifen hineinfährst. Dann Würde doch niemand sagen: Selbst Schuld, der Nachbar muß den Schaden nicht ersetzen.
Bei Viren und Würmern handelt es sich nach meinem Dafürhalten um das Ergebnis völlig falsch gelaufener Sozialisation gepaart mit einem kindlichen Geltungsbedürfnis und völliger Verantwortungslosigkeit.
Es ist wohl wahr, daß ein Unternehmen, das sich einen der üblichen Würmer einfängt den Leiter IT wie den QMB feuern sollte, aber irgend einen Idioten von einer Haftung freizustellen, weil dieser (immerhin als bedingt strafmündiger) etwas aus freien Stücken und ohne irgendeine Veranlassung getan hat, was anderen ganz erheblichen Schaden zugefügt hat verstehe ich nicht.
Ich persönlich bin sogar der Meinung, daß hier ruhig eine Art Exempel statuiert werden sollte und dieser Möchtegernexperte zu einer Schadensersatzleistung verdonnert wirt, daß er nie wieder finanziell auf die Beine kommt. - In der Tat gehe ich auch davon aus, daß das auch ohne Exempel so sein wird.
Grüße,
Tim
so verrückt es klingen mag, aber IT gehört nicht zwingend zum QM.
Die IT ist i.d.R. ein Supportprozess, der ISO 9000 technisch nicht zum QM gehört.
Jetzt ist es natürlich so, dass ein vernünftiges Unternehmen zusehen wird, die IT in das QM hineinzunehmen. Dein gedanklicher (Kurz-)schluss aus dieser Notwendigkeit allerdings entsetzt mich.
Warum? Ein Beispiel: Laut STVO ist jeder Fahrzeughalter vor Antritt einer Fahrt dazu angehalten, sich vom ordnungsgemäßen und verkehrssicheren Zustand seines Fahrzeuges zu überzeugen.
Nehmen wir an, Dein Nachbar kann Dich auf den Tod nicht leiden und legt Dir einen Nagel so unter den Reifen, daß Du beim Anfahren diesen in den Reifen hineinfährst. Dann Würde doch niemand sagen: Selbst Schuld, der Nachbar muß den Schaden nicht ersetzen.
Bei Viren und Würmern handelt es sich nach meinem Dafürhalten um das Ergebnis völlig falsch gelaufener Sozialisation gepaart mit einem kindlichen Geltungsbedürfnis und völliger Verantwortungslosigkeit.
Es ist wohl wahr, daß ein Unternehmen, das sich einen der üblichen Würmer einfängt den Leiter IT wie den QMB feuern sollte, aber irgend einen Idioten von einer Haftung freizustellen, weil dieser (immerhin als bedingt strafmündiger) etwas aus freien Stücken und ohne irgendeine Veranlassung getan hat, was anderen ganz erheblichen Schaden zugefügt hat verstehe ich nicht.
Ich persönlich bin sogar der Meinung, daß hier ruhig eine Art Exempel statuiert werden sollte und dieser Möchtegernexperte zu einer Schadensersatzleistung verdonnert wirt, daß er nie wieder finanziell auf die Beine kommt. - In der Tat gehe ich auch davon aus, daß das auch ohne Exempel so sein wird.
Grüße,
Tim
Please Anmelden to join the conversation.
- Ralf Schmidt
- Topic Author
- Visitor
-
#7273
by Ralf Schmidt
Replied by Ralf Schmidt on topic Re: Gehört IT nicht zum QM? - Offensichtlich nicht!
Hallo,
nach meiner bisherigen Erfahrung wird die Qualitative Betrachtung von SW durch den "software-Voodoo" vereitelt.
Selbst in meinem Job damals in der Medizintechnik wurde jede Schraube durch 5 Prüfverfahren gejagt - den Test der Firmware aber überliess man den Entwicklern gerne selbst. Auch die Zertifizierer und Auditoren liessen da hübsch die Finger weg. Es war fast so als hätten unsere Geräte keinen SW-Anteil.
Die folgenden Gründe habe ich zusammengetragen warum SW selbst in Betrieben mit funktionierendem QM und einer ständigen Überwachung nicht betrachtet wird:
* Zu komplex - da lassen wir's lieber gleich
* Unwissen der QMler und Auditoren - Das verstehen eh nur picklige 18 Jährige.
* Verdrängung der Bedeutung der SW - ist ja nur 'ne einfache Firmware
* Qualitätssicherung ist wegen fehlender Methoden nicht möglich - die Methoden sind eben abstrakter als einen Messschieber an nen Bolzen zu halten
* Man sieht sie nicht - deshalb gibt es sie nicht! Für die Disketten hatten wir übrigens eine QMVereinbahrung mit dem Lieferanten....
* So lange sie funktioniert ist sie gut, wenn nicht muss man eben noch mal was dran tun - QS durch den Kunden oder den Funktionsprüfer am Warenausgang.
* Man kann Softwerkern keine Vorgaben machen da die SW-Spezialisten praktisch "Künstler" sind die man damit nur einschränken würde. Und: Wer sollte die Vorgaben auch machen?
Diese Sichtweise zieht sich durch praktisch alle meine Beobachtungen (in grossen Läden). Und wenn es einmal eine QS/QM gibt ist diese auf dem Stand von 1950, sprich man versucht die Qualität in die SW hinein zu testen.
So ist es nicht weiter verwunderlich dass ein Wurm so einen Wurm ohne grössere Anstrengungen in die Welt setzen kann.
Bis dann,
Ralf Schmidt
nach meiner bisherigen Erfahrung wird die Qualitative Betrachtung von SW durch den "software-Voodoo" vereitelt.
Selbst in meinem Job damals in der Medizintechnik wurde jede Schraube durch 5 Prüfverfahren gejagt - den Test der Firmware aber überliess man den Entwicklern gerne selbst. Auch die Zertifizierer und Auditoren liessen da hübsch die Finger weg. Es war fast so als hätten unsere Geräte keinen SW-Anteil.
Die folgenden Gründe habe ich zusammengetragen warum SW selbst in Betrieben mit funktionierendem QM und einer ständigen Überwachung nicht betrachtet wird:
* Zu komplex - da lassen wir's lieber gleich
* Unwissen der QMler und Auditoren - Das verstehen eh nur picklige 18 Jährige.
* Verdrängung der Bedeutung der SW - ist ja nur 'ne einfache Firmware
* Qualitätssicherung ist wegen fehlender Methoden nicht möglich - die Methoden sind eben abstrakter als einen Messschieber an nen Bolzen zu halten
* Man sieht sie nicht - deshalb gibt es sie nicht! Für die Disketten hatten wir übrigens eine QMVereinbahrung mit dem Lieferanten....
* So lange sie funktioniert ist sie gut, wenn nicht muss man eben noch mal was dran tun - QS durch den Kunden oder den Funktionsprüfer am Warenausgang.
* Man kann Softwerkern keine Vorgaben machen da die SW-Spezialisten praktisch "Künstler" sind die man damit nur einschränken würde. Und: Wer sollte die Vorgaben auch machen?
Diese Sichtweise zieht sich durch praktisch alle meine Beobachtungen (in grossen Läden). Und wenn es einmal eine QS/QM gibt ist diese auf dem Stand von 1950, sprich man versucht die Qualität in die SW hinein zu testen.
So ist es nicht weiter verwunderlich dass ein Wurm so einen Wurm ohne grössere Anstrengungen in die Welt setzen kann.
Bis dann,
Ralf Schmidt
Please Anmelden to join the conversation.
- Tim Gerdes
- Topic Author
- Visitor
-
#7284
by Tim Gerdes
Replied by Tim Gerdes on topic Gehört IT nicht zum QM?
Hallo Oliver
"das hiese, er würde sein restliches Leben auf max. Sozialhilfeniveau leben"
Richtig. Das würde er. Wir leben in einer freiheitlich demokraischen Gesellschaft wo es den BürgerInnen zumutbar sein muss, für die Konsequenzen ihres Handelns gerade zu stehen.
"Bedenke, Mörder, Vergewaltiger und ähnliche Verbrecher kommen oft nach 15 Jahren mit intensiven Resozialisierungsmaßnahmen wieder raus."
Du redest hier von Strafrecht, ich von Schadensersatzforderungen die sich aus einer Zivilklage ergeben würden.
"Deine Exempelforderungen" bedeuten ihn härter zu bestrafen"
Nein, sie bedeuten, den rechtlichen Rahmen auszuschöpfen. Etwas anderes kann in einer Demokratie nicht Option sein.
"die Schäden durch gravierende Schlamperei der Betroffenen entstanden. Sorry, das kann ich nicht nachvollziehen."
Die Schäden sind nicht durch gravierende Schlamperei entstanden, sondern dadurch, dass ein kleiner Idiot der Meinung war, andere Leute mit seinen Programmierfähigkeiten beeindrucken zu müssen.
Wie bereits angedeutet, hier muss abstrahiert werden. Die betroffenen IT-Verantwortlichen müssen selbstverständlich eins auf die Mütze bekommen. Aber von ihren Vorgesetzten.
"Ich würde auch nicht die Nägel im Reifen mit fehlenden Firewalls gleichsetzen."
Ich auch nicht, ich vergleiche Nägel im Reifen mit einem Virus und das Unterlassen der Überprüfung auf Verkehrssicherheit mit der Firewall. Abgesehen davon ist ein Beispiel immer nur ein Hilfsmittel und setzt darauf, dass der Zuhörer versucht, die Analogie zu erkennen. Ich denke aber, Du hast meinen Punkt schon verstanden.
"diese Daten waren nicht geschützt. Das ist ein Verstoß gegen den Datenschutz und sollte den Staatsanwalt auf den Plan rufen!"
Ich bin im Datenschutzrecht nicht so firm, aber wenn Deine diesbezüglichen Ausführungen richtig sind, dann hat der Staatsanwalt auf den Plan zu treten. Fragt sich nur, wer die Anzeige erstattet - das müsten ja die sein, deren Daten ausspioniert wurden - und ob hier wirklich Daten ausspioniert wurden oder "nur" Computersysteme lahmgelegt wurden.
Aber davon abgesehen hat das nichts mit unserer Diskussion zu tun. Hier ging es - am Anfang - nicht um die strafrechtliche Verantwortlichkeit der IT-Leute, sondern um die zivil- und strafrechtliche Verantwortlichkeit des Virenprogrammierers.
Wiederum das, aus dem BGB Grundkurs wohlbekante Abstraktionsprinzip.
Grüße,
Tim
"das hiese, er würde sein restliches Leben auf max. Sozialhilfeniveau leben"
Richtig. Das würde er. Wir leben in einer freiheitlich demokraischen Gesellschaft wo es den BürgerInnen zumutbar sein muss, für die Konsequenzen ihres Handelns gerade zu stehen.
"Bedenke, Mörder, Vergewaltiger und ähnliche Verbrecher kommen oft nach 15 Jahren mit intensiven Resozialisierungsmaßnahmen wieder raus."
Du redest hier von Strafrecht, ich von Schadensersatzforderungen die sich aus einer Zivilklage ergeben würden.
"Deine Exempelforderungen" bedeuten ihn härter zu bestrafen"
Nein, sie bedeuten, den rechtlichen Rahmen auszuschöpfen. Etwas anderes kann in einer Demokratie nicht Option sein.
"die Schäden durch gravierende Schlamperei der Betroffenen entstanden. Sorry, das kann ich nicht nachvollziehen."
Die Schäden sind nicht durch gravierende Schlamperei entstanden, sondern dadurch, dass ein kleiner Idiot der Meinung war, andere Leute mit seinen Programmierfähigkeiten beeindrucken zu müssen.
Wie bereits angedeutet, hier muss abstrahiert werden. Die betroffenen IT-Verantwortlichen müssen selbstverständlich eins auf die Mütze bekommen. Aber von ihren Vorgesetzten.
"Ich würde auch nicht die Nägel im Reifen mit fehlenden Firewalls gleichsetzen."
Ich auch nicht, ich vergleiche Nägel im Reifen mit einem Virus und das Unterlassen der Überprüfung auf Verkehrssicherheit mit der Firewall. Abgesehen davon ist ein Beispiel immer nur ein Hilfsmittel und setzt darauf, dass der Zuhörer versucht, die Analogie zu erkennen. Ich denke aber, Du hast meinen Punkt schon verstanden.
"diese Daten waren nicht geschützt. Das ist ein Verstoß gegen den Datenschutz und sollte den Staatsanwalt auf den Plan rufen!"
Ich bin im Datenschutzrecht nicht so firm, aber wenn Deine diesbezüglichen Ausführungen richtig sind, dann hat der Staatsanwalt auf den Plan zu treten. Fragt sich nur, wer die Anzeige erstattet - das müsten ja die sein, deren Daten ausspioniert wurden - und ob hier wirklich Daten ausspioniert wurden oder "nur" Computersysteme lahmgelegt wurden.
Aber davon abgesehen hat das nichts mit unserer Diskussion zu tun. Hier ging es - am Anfang - nicht um die strafrechtliche Verantwortlichkeit der IT-Leute, sondern um die zivil- und strafrechtliche Verantwortlichkeit des Virenprogrammierers.
Wiederum das, aus dem BGB Grundkurs wohlbekante Abstraktionsprinzip.
Grüße,
Tim
Please Anmelden to join the conversation.
- Oliver
- Topic Author
- Visitor
-
#7280
by Oliver
Replied by Oliver on topic Re: Gehört IT nicht zum QM?
Hallo Tim,
von einem Exempel halte ich nichts, das hiese, er würde sein restliches Leben auf max. Sozialhilfeniveau leben. Bedenke, Mörder, Vergewaltiger und ähnliche Verbrecher kommen oft nach 15 Jahren mit intensiven Resozialisierungsmaßnahmen wieder raus. "Deine Exempelforderungen" bedeuten ihn härter zu bestrafen, da er kein Bein mehr auf den Boden bekommen würde und das, obwohl keine Menschen physisch verletzt wurden und die Schäden durch gravierende Schlamperei der Betroffenen entstanden. Sorry, das kann ich nicht nachvollziehen.
Ich würde auch nicht die Nägel im Reifen mit fehlenden Firewalls gleichsetzen. Ersteres sind Gott sei Dank nicht Standard, eine FW schon. Diese hätte bereits, auch ohne Patch, den Wurm "draussengelassen". Wenn UN nicht mehr wg. des Wurms auf ihre KD-Daten zugreifen können, so folgere ich daraus, diese Daten waren nicht geschützt. Das ist ein Verstoß gegen den Datenschutz und sollte den Staatsanwalt auf den Plan rufen!
MfG
von einem Exempel halte ich nichts, das hiese, er würde sein restliches Leben auf max. Sozialhilfeniveau leben. Bedenke, Mörder, Vergewaltiger und ähnliche Verbrecher kommen oft nach 15 Jahren mit intensiven Resozialisierungsmaßnahmen wieder raus. "Deine Exempelforderungen" bedeuten ihn härter zu bestrafen, da er kein Bein mehr auf den Boden bekommen würde und das, obwohl keine Menschen physisch verletzt wurden und die Schäden durch gravierende Schlamperei der Betroffenen entstanden. Sorry, das kann ich nicht nachvollziehen.
Ich würde auch nicht die Nägel im Reifen mit fehlenden Firewalls gleichsetzen. Ersteres sind Gott sei Dank nicht Standard, eine FW schon. Diese hätte bereits, auch ohne Patch, den Wurm "draussengelassen". Wenn UN nicht mehr wg. des Wurms auf ihre KD-Daten zugreifen können, so folgere ich daraus, diese Daten waren nicht geschützt. Das ist ein Verstoß gegen den Datenschutz und sollte den Staatsanwalt auf den Plan rufen!
MfG
Please Anmelden to join the conversation.
- Martin
- Topic Author
- Visitor
-
#7281
by Martin
Replied by Martin on topic Re: Gehört IT nicht zum QM?
:Interessante Frage Die Ihr da stellt,
Meine private Meinung:
Er müßte sicher 100000 Jahre Vollzeit arbeiten um den "Schaden" annähernd zu kompensieren. Ansich ist jedoch der Softwarehersteller Schadenersatzpflichtig im Rahmen der Produkthaftung, denn warum ist das Softwaresystem so löchrig? Wenn Ich Schweizer Käse kaufen will gehe Ich zum Lebensmitteldiscounter oder?
An sich hat er trotz allem eine Belohnung für seinen Aktionismus verdient, hätte es jedoch vorher mit Microsoft abstimmen sollen, wobei das wiederum nahezu unmöglich ist, das weiss jeder der schon einmal als Deutscher mit US UNternehmen über mehr als das Wetter sprechen wollte...
Gruss
Martin
Meine private Meinung:
Er müßte sicher 100000 Jahre Vollzeit arbeiten um den "Schaden" annähernd zu kompensieren. Ansich ist jedoch der Softwarehersteller Schadenersatzpflichtig im Rahmen der Produkthaftung, denn warum ist das Softwaresystem so löchrig? Wenn Ich Schweizer Käse kaufen will gehe Ich zum Lebensmitteldiscounter oder?
An sich hat er trotz allem eine Belohnung für seinen Aktionismus verdient, hätte es jedoch vorher mit Microsoft abstimmen sollen, wobei das wiederum nahezu unmöglich ist, das weiss jeder der schon einmal als Deutscher mit US UNternehmen über mehr als das Wetter sprechen wollte...
Gruss
Martin
Please Anmelden to join the conversation.
Time to create page: 0.193 seconds