Sehr geehrter Herr Dr. Bizer, sehr geehrter Herr Hammer, sehr geehrter Herr Dr. Schmid,

 

mein Vertrag bei OSI wird nicht verlängert. Natürlich ist so ein Vorgang auf den ersten Blick ganz normal, aber hier empfinde ich es als, man versucht den Überbringer der Nachricht kaltzustellen (s.a. https://de.wikipedia.org/wiki/Bote#Der_%C3%9Cberbringer_der_schlechten_Nachricht) – und viel lieber sehe ich, dass meine Kunden meine Empfehlungen erfolgreich umsetzen oder sich zumindest konstruktiv damit auseinandersetzen.

 

Ich bin seit März 2021 bei OSI als „Coach im Bereich Security Standards“ dabei. Ich musste miterleben/lernen, dass

·        Zusammenarbeit zwischen Teams und Abteilungen bei Dataport nicht gut funktioniert,

·        Qualitätsmanagement fehlt, und damit auch das Bewusstsein, wer was tun müsste,

·        Datenschutz, Grundschutz, verfahrensspezifische Anforderungen nicht beachtet oder umgesetzt werden,

·        eigene Richtlinien nicht eingehalten werden,

·        auf Tools (z.B. SonarQube, Artifactory)  vertraut wird, deren Eignung oder Einsatz nicht geprüft wird,

·        die (erreichte) Sicherheit mangelhaft ist,

·        mindestens ein Audit/Kurzrevision krachend scheiterte – und erst überlegt wird, den Kunden um Geld zu bitten statt zu prüfen, welchen Anteil man daran hat,

·        Mitarbeiter von Dataport originäre Aufgaben des Kunden wahrnehmen, und damit in Interessenskonflikte kommen.

 

Ich weiß dass ich mich bei einigen Beteiligten mit dieser Mail unbeliebt mache. Ich habe in den letzten Wochen mehrfach betont, dass ich das ungern an den OSI-Verantwortlichen  vorbei tun möchte, aber leider sehe ich da keine Bewegung, und ich will lieber zur Ultima Ratio intern greifen, als darauf zu warten, dass die Missstände irgendwann öffentlich werden.

 

Vielen Dank für Ihre Aufmerksamkeit,

Joachim Lindenberg

 

DS71/externer Berater für sichere Software – ********@lindenberg.one – https://blog.lindenberg.one