Oder warum kann ein Wurm wie Sasser einen solchen Schaden anrichten, obwohl schon lange genug ein Patch zur Verfügung stand?
Wenn, wie bei einigen UNs aufgrund Sasser die KD-Daten nicht mehr erreichbar sind, kann man wohl kaum von Kundenorientierung sprechen. Die Kunden erwarten von UNs, das ihre Daten nicht mißbraucht werden. Schließlich hätten mit Hilfe eines gefährlichen Wurms über das lange genug bekannte Sicherheitsloch diese Daten "gestohlen" oder manipuliert werden können, über den zweifelhaften Einsatz eines Win-Servers für sensible Daten ganz zu schweigen.
Wenn ich Richter wäre, würde ich den Autor zivilrechtlich (NICHT strafrechtlich!) freisprechen, weil die Schäden zum großen Teil auf Schlamperei der jeweiligen Admins zurückzuführen ist. Allerdings muß man denen gerade im KMU-Bereich zu Gute halten, daß gerade die Kundenorientierung Microsofts bezüglich deren Patches eine Qual sein kann (oft auch ist).
Aber trotz allem, sollten doch die entsprechenden IT-Verfahren zum QM gehören und auch bei der Zertifizierung vom Auditor berücksichtigt werden oder habe ich was falsch verstanden?
MfG

Hallo Oliver,
so verrückt es klingen mag, aber IT gehört nicht zwingend zum QM.
Die IT ist i.d.R. ein Supportprozess, der ISO 9000 technisch nicht zum QM gehört.
Jetzt ist es natürlich so, dass ein vernünftiges Unternehmen zusehen wird, die IT in das QM hineinzunehmen. Dein gedanklicher (Kurz-)schluss aus dieser Notwendigkeit allerdings entsetzt mich.
Warum? Ein Beispiel: Laut STVO ist jeder Fahrzeughalter vor Antritt einer Fahrt dazu angehalten, sich vom ordnungsgemäßen und verkehrssicheren Zustand seines Fahrzeuges zu überzeugen.
Nehmen wir an, Dein Nachbar kann Dich auf den Tod nicht leiden und legt Dir einen Nagel so unter den Reifen, daß Du beim Anfahren diesen in den Reifen hineinfährst. Dann Würde doch niemand sagen: Selbst Schuld, der Nachbar muß den Schaden nicht ersetzen.
Bei Viren und Würmern handelt es sich nach meinem Dafürhalten um das Ergebnis völlig falsch gelaufener Sozialisation gepaart mit einem kindlichen Geltungsbedürfnis und völliger Verantwortungslosigkeit.
Es ist wohl wahr, daß ein Unternehmen, das sich einen der üblichen Würmer einfängt den Leiter IT wie den QMB feuern sollte, aber irgend einen Idioten von einer Haftung freizustellen, weil dieser (immerhin als bedingt strafmündiger) etwas aus freien Stücken und ohne irgendeine Veranlassung getan hat, was anderen ganz erheblichen Schaden zugefügt hat verstehe ich nicht.
Ich persönlich bin sogar der Meinung, daß hier ruhig eine Art Exempel statuiert werden sollte und dieser Möchtegernexperte zu einer Schadensersatzleistung verdonnert wirt, daß er nie wieder finanziell auf die Beine kommt. - In der Tat gehe ich auch davon aus, daß das auch ohne Exempel so sein wird.
Grüße,
Tim

Hallo,
nach meiner bisherigen Erfahrung wird die Qualitative Betrachtung von SW durch den "software-Voodoo" vereitelt.
Selbst in meinem Job damals in der Medizintechnik wurde jede Schraube durch 5 Prüfverfahren gejagt - den Test der Firmware aber überliess man den Entwicklern gerne selbst. Auch die Zertifizierer und Auditoren liessen da hübsch die Finger weg. Es war fast so als hätten unsere Geräte keinen SW-Anteil.
Die folgenden Gründe habe ich zusammengetragen warum SW selbst in Betrieben mit funktionierendem QM und einer ständigen Überwachung nicht betrachtet wird:
* Zu komplex - da lassen wir's lieber gleich
* Unwissen der QMler und Auditoren - Das verstehen eh nur picklige 18 Jährige.
* Verdrängung der Bedeutung der SW - ist ja nur 'ne einfache Firmware
* Qualitätssicherung ist wegen fehlender Methoden nicht möglich - die Methoden sind eben abstrakter als einen Messschieber an nen Bolzen zu halten
* Man sieht sie nicht - deshalb gibt es sie nicht! Für die Disketten hatten wir übrigens eine QMVereinbahrung mit dem Lieferanten....
* So lange sie funktioniert ist sie gut, wenn nicht muss man eben noch mal was dran tun - QS durch den Kunden oder den Funktionsprüfer am Warenausgang.
* Man kann Softwerkern keine Vorgaben machen da die SW-Spezialisten praktisch "Künstler" sind die man damit nur einschränken würde. Und: Wer sollte die Vorgaben auch machen?
Diese Sichtweise zieht sich durch praktisch alle meine Beobachtungen (in grossen Läden). Und wenn es einmal eine QS/QM gibt ist diese auf dem Stand von 1950, sprich man versucht die Qualität in die SW hinein zu testen.
So ist es nicht weiter verwunderlich dass ein Wurm so einen Wurm ohne grössere Anstrengungen in die Welt setzen kann.
Bis dann,
Ralf Schmidt

Ich dachte immer, die Sichtweise: Der PC sei ein einfach zu bedienendes elektronisches Gerät wie z.B. eine Stereoanlage oder ein Toaster gibt es primär nur im privaten Bereich. Aber daß es das wahrscheinlich stark verbreitet in Firmen gibt, ist doch erschreckend. Dabei gibt es viele gute Bücher über QM-Standards im SW-Bereich. Einige UNs sollten sich wohl mal Gedanken machen, daß durchaus deren Existenz an den IT-Anlagen hängen kann (Ich habe mal gelesen, es soll mal ein Virus in einem UN sämtliche Rechnungsunterlagen gelöscht haben. Worauf das UN seine Kunden anschrieb, wer eine Rechnung erhalten habe, solle diese doch mit freiwillig zahlen, da nicht mehr nachvollziehbar sei, wer dem UN noch etwas schuldet. Ich frage mich nur, wo das Backup war. Damit wären nicht alle Rechnungen verloren gewesen!).
Wo ich arbeite wird leider auch nicht allzu stark auf Q in SW geachtet, sondern eher auf Standard, aber wenigstens die IT-Sicherheit wird im Rahmen der OS-Möglichkeiten doch optimal umgesetzt.
Es ist wohl ein grundlegender Bewußtseinswandel erforderlich. Zur Unterstützung eines solchen Wandels halte ich einen WWW-Führerschein für sinnvoll (natürlich nicht im Kostenumfang eines Kfz-Führerscheins, sondern deutlich geringer). Schließlich ist ein PC so komplex wie ein Kfz und man darf auch nicht nur weil man den Zündschlüssel rumdrehen kann auf den öffentlichen Verkehr losgelassen werden. In meinem Bekanntenkreis gibt es z.B. den Fall, daß jemand sein WIN nicht absichert, weil er ja mit einem analogem Modem noch im alten Internet surfe, da könne ja nichts passieren;-)

Hallo Tim,
von einem Exempel halte ich nichts, das hiese, er würde sein restliches Leben auf max. Sozialhilfeniveau leben. Bedenke, Mörder, Vergewaltiger und ähnliche Verbrecher kommen oft nach 15 Jahren mit intensiven Resozialisierungsmaßnahmen wieder raus. "Deine Exempelforderungen" bedeuten ihn härter zu bestrafen, da er kein Bein mehr auf den Boden bekommen würde und das, obwohl keine Menschen physisch verletzt wurden und die Schäden durch gravierende Schlamperei der Betroffenen entstanden. Sorry, das kann ich nicht nachvollziehen.
Ich würde auch nicht die Nägel im Reifen mit fehlenden Firewalls gleichsetzen. Ersteres sind Gott sei Dank nicht Standard, eine FW schon. Diese hätte bereits, auch ohne Patch, den Wurm "draussengelassen". Wenn UN nicht mehr wg. des Wurms auf ihre KD-Daten zugreifen können, so folgere ich daraus, diese Daten waren nicht geschützt. Das ist ein Verstoß gegen den Datenschutz und sollte den Staatsanwalt auf den Plan rufen!
MfG

:Interessante Frage Die Ihr da stellt,
Meine private Meinung:
Er müßte sicher 100000 Jahre Vollzeit arbeiten um den "Schaden" annähernd zu kompensieren. Ansich ist jedoch der Softwarehersteller Schadenersatzpflichtig im Rahmen der Produkthaftung, denn warum ist das Softwaresystem so löchrig? Wenn Ich Schweizer Käse kaufen will gehe Ich zum Lebensmitteldiscounter oder?
An sich hat er trotz allem eine Belohnung für seinen Aktionismus verdient, hätte es jedoch vorher mit Microsoft abstimmen sollen, wobei das wiederum nahezu unmöglich ist, das weiss jeder der schon einmal als Deutscher mit US UNternehmen über mehr als das Wetter sprechen wollte...
Gruss
Martin