Risikomanagement und IT-Grundschutz

Emmentaler.jpgVon User:Zerohund~commonswikiEigenes Werk, CC BY-SA 3.0, Link Home-Office, Fernbegutachtung, Notebook refurbished / gebraucht != neu,  Dokumente in Word- oder PDF-format zum Download, unverschlüsselte Kommunikation ….

Corona offenbart interne Schwächen schonungslos. Wäre jetzt nicht der richtige Zeitpunkt für eine erste, schnelle Ermittlung des Risikostatus!

Die DIN17025:2018-3 gilt! Auch die Überwachungsstrukturen sollten einen hinreichenden Kompetenzstatus erreicht haben. Viele gewohnte Prozesse verlaufen nun in einem neuen Modus. Die Pause vor der 2. Welle soll nicht ungenutzt verstreichen, denn hier können bleibende Schäden und hohe Folgekosten entstehen.

Weiterlesen

Urteil mit Sprengkraft erwartet

Sorgt Industriesilikon für die Haftung benannter Prüfstellen?

Industriesilikon in fehlerhaften Brustimplantaten führte zu Schäden für Verbraucherinnen [1]. Die Implantate mussten entfernt oder getauscht werden. Schäden sind zu mindern. Es entstanden und entstehen Kosten für notwendige Operationen und Beerdigungen. Die Verwendung von Industriesilikon statt Spezialsilikon, um Kosten zu sparen, ist Betrug. Es gab ein Urteil. Der Hersteller wurde schuldig gesprochen. Fertig? Eine akkreditierte und notifizierte Prüfeinrichtung hatte den Produktionsprozess des Implantateherstellers zertifiziert. Die Frage, inwieweit eine akkreditierte Prüfeinrichtung für ihre Beurteilung haftet und inwieweit eine Verantwortung über die Zeritifizierung des reinen Herstellungsverfahrens hinaus besteht, beurteilten Gerichte unterschiedlich. Einer Verurteilung in erster Instanz folgte ein Freispruch in zweiter Instanz.

Unbedenklichkeitserklärungen als Ergebnis einer akkreditierten Prüfeinrichtung erwiesen sich auch im Fall einer Prüfung der Standfestigkeit des Staudamms einer brasilianischen Mine als falsch. Der Damm brach kurz Zeit nach der Prüfung.

Die beiden angeführten „Irrtümer“ stehen für eine Reihe zweifelhafter Prüfergebnisse, die aus Sicht der Verbraucher schädlich waren. Nach Freisprüchen der Prüfeinrichtung, verwies der BGH das Verfahren über die Mitverantwortung der zertifizifikatauststellenden Prüfeinrichtung in Bezug auf die Brustimplantate an das Oberlandesgericht zurück, um prüfen zu lassen, ob eine deliktische Haftung in Frage komme [2].

Weiterlesen

Ergebnisverantwortung

Die Verantwortung für Untersuchungsergebnisse und deren Bewertung endet nicht mit der Übergabe eines Untersuchungsberichtes und der Akzeptanz des Untersuchungsberichts durch den Auftraggeber. Sie endet nicht mit der einem kritischen Review-Prozess folgenden Publikation in einer Fachzeitschrift. Im Gegenteil beginnt an diesem Punkt eine neue Verantwortungskette.

Die Maßgaben der Qualitätssicherung entsprechend der Guten Laborpraxis (GLP)[1] , des Research & Development Guide (RD-Guide)[2] und der aktuellen DIN 17025:2018:03[3] beheben einen wesentlichen Mangel nicht. Sie unterlassen Vorgaben zur Folgeverantwortung, wie sie zum Beispiel insbesondere in wissenschaftlicher Forschung und Entwicklung zu fordern ist. Auch die aktuelle Version der Guten wissenschaftlichen Praxis (GWP)[4] entzieht sich dieser Verantwortung.

Weiterlesen

Manches reift, manches veraltet: Einsatz von Computersystemen

Meyers b9 s0153 b1.png

Von Autor unbekannt – Diese Datei ist ein Ausschnitt aus einer anderen Datei: Meyers b9 s0153.jpg , Gemeinfrei, Link

Janusköpfige Computersysteme?

Die elektronische Datenverarbeitung steht für Vereinfachung, Beschleunigung sowie neue Möglichkeiten und Horizonte in Auswertung von Messung und Prognose ebenso wie für Datenverlust, Verlust an Vertraulichkeit, finalisierte Existenzen.

Prüfeinrichtungen verwenden moderne Analyseverfahren, mit ebenso modernen Labormanagementsystemen. Die klassische, papierbasierte Prüfeinrichtung wurde abgelöst. Selbst einfache Fotometer, Waagen, Zugangssysteme, Spülmaschinen enthalten heute Mikrocontroller mit Programmen. Viele dieser Systeme kommunizieren miteinander, mit dem Labormanagementsystem und verfügen über eigene, aktualisierbare Software (BIOS) zur Auswertung und Steuerung. Damit gehören sie ebenso zur EDV von Prüfeinrichtungen, wie Autoklaven, Switche, Router, IP-Telefone und Notebooks mit Standardsoftware. Sie können ebenso kompromittiert werden, wie Notebooks mit Standardsoftware. Ob Cloud oder nicht spielt keine Rolle.

Wie erleichternd, dass es Handreichungen wie zum Beispiel das Dokument 71 SD 0 004 der DAkkS gibt. Auf den ersten Blick – und dann?

Weiterlesen

Nicht dokumentiert != gemacht

Rückverfolgbarkeit, Nachvollziehbarkeit sind Kern von Qualitätssicherung

Für Nichtprogrammierende: Das != steht im Code für „ist nicht gleich“

3-ball cascade movie.gifVon Koxinga in der Wikipedia auf Französisch – Übertragen aus fr.wikipedia nach Commons. Eigenes Werk, created by using jugglinglab (Originaltext: image générée avec Jugglinglab), CC BY-SA 3.0, Link

Auf Heise-Developer erschien heute der Beitrag „Was zeichnet lesbaren Code aus?„. Der Beitrag beschreibt ein Phänomen, das nicht nur Codeentwicklern bekannt sein dürfte. Mitten im Entwicklungsprozess verhalten sich alle Elemente wie Bälle eines Jongleurs: Sie sind unter Kontrolle, Sinn und Position sind dem Handelnden bekannt.

Weiterlesen