Von: Hammer, Ingo <***********@dataport.de>
Gesendet: 15.11.2021 13:39
An: <********@lindenberg.one>, "Bizer, Johann" <************@dataport.de>, "Schmid, Reinhard" <***************@dataport.de>
Betreff: AW: Zusammenarbeit, Qualitätsmanagement, Sicherheit, und andere Defizite bei OSI und Dataport

 

Sehr geehrter Herr Lindenberg,

 

vielen Dank für ihre Hinweise, denen wir in jedem Fall nachgehen werden!

 

Ich bin, wie Sie, ebenfalls sehr daran interessiert, dass wir uns grundlegend als Dataport und speziell als Softwarehouse konstruktiv mit der aktuellen und zukünftigen Bedrohungs- und Sicherheitslage auseinandersetzen und uns entsprechend aufstellen.

Sie sprechen eine Reihe von überwiegend prozessualen Schwachstellen an, die wir größtenteils bereits adressiert haben, wenn auch nicht aufgrund des Wachstums in der gewünschten Breite und Tiefe

 

Ich lege Wert auf unsere Fehlerkultur, die solche Hinweise zulasst bzw. sogar fördert und niemanden unbeliebt macht.

 

In diesem Sinne,

Mit freundlichen Grüßen,

Ingo Hammer

 

Von: Lindenberg, Joachim
Gesendet: Donnerstag, 11. November 2021 18:04
An: Bizer, Johann <************@dataport.de>; Hammer, Ingo <***********@dataport.de>; Schmid, Reinhard <***************@dataport.de>
Betreff: Zusammenarbeit, Qualitätsmanagement, Sicherheit, und andere Defizite bei OSI und Dataport

 

Sehr geehrter Herr Dr. Bizer, sehr geehrter Herr Hammer, sehr geehrter Herr Dr. Schmid,

 

mein Vertrag bei OSI wird nicht verlängert. Natürlich ist so ein Vorgang auf den ersten Blick ganz normal, aber hier empfinde ich es als, man versucht den Überbringer der Nachricht kaltzustellen (s.a. https://de.wikipedia.org/wiki/Bote#Der_%C3%9Cberbringer_der_schlechten_Nachricht) – und viel lieber sehe ich, dass meine Kunden meine Empfehlungen erfolgreich umsetzen oder sich zumindest konstruktiv damit auseinandersetzen.

 

Ich bin seit März 2021 bei OSI als „Coach im Bereich Security Standards“ dabei. Ich musste miterleben/lernen, dass

·       Zusammenarbeit zwischen Teams und Abteilungen bei Dataport nicht gut funktioniert,

·       Qualitätsmanagement fehlt, und damit auch das Bewusstsein, wer was tun müsste,

·       Datenschutz, Grundschutz, verfahrensspezifische Anforderungen nicht beachtet oder umgesetzt werden,

·       eigene Richtlinien nicht eingehalten werden,

·       auf Tools (z.B. SonarQube, Artifactory)  vertraut wird, deren Eignung oder Einsatz nicht geprüft wird,

·       die (erreichte) Sicherheit mangelhaft ist,

·       mindestens ein Audit/Kurzrevision krachend scheiterte – und erst überlegt wird, den Kunden um Geld zu bitten statt zu prüfen, welchen Anteil man daran hat,

·       Mitarbeiter von Dataport originäre Aufgaben des Kunden wahrnehmen, und damit in Interessenskonflikte kommen.

 

Ich weiß dass ich mich bei einigen Beteiligten mit dieser Mail unbeliebt mache. Ich habe in den letzten Wochen mehrfach betont, dass ich das ungern an den OSI-Verantwortlichen  vorbei tun möchte, aber leider sehe ich da keine Bewegung, und ich will lieber zur Ultima Ratio intern greifen, als darauf zu warten, dass die Missstände irgendwann öffentlich werden.

 

Vielen Dank für Ihre Aufmerksamkeit,

Joachim Lindenberg

 

DS71/externer Berater für sichere Software – ********@lindenberg.onehttps://blog.lindenberg.one