Fragen? Antworten! Siehe auch: Alternativlos
Ich glaube, ich habe meine Position zu Zertifizierungen schon geäußert über die Jahre. Ich halte das im Wesentlichen für Geldschneiderei.
Das Argument für Zertifikate ist, dass es den Vendor dazu bringt, mal ordentliche Prozesse zu installieren.
Allerdings würde ich lieber bei jemandem kaufen, der 200k in gute Prozesse investiert, als in jemanden, der 100k in Prozesse investiert und 100k für Zertifizierungs-Bullshit ausgibt. Und, mal ganz zurückhaltend und vorsichtig formuliert: Die Existenz einer Zertifizierung ist kein Garant dafür, dass die Prozesse a) gut und b) gut umgesetzt wurden.
Zertifizierungen sind eine Mitesser-Branche, die sich an ansonsten profitable Branchen anhängt und deren Profite absaugt. Genau wie Anwälte :-)
Aber es gibt eine geradezu irrationale Hochachtung für Zertifikate, gerade in Deutschland. Vielleicht taugt dieses Beispiel, um da mal ein bisschen die Luft rauszulassen. Wer pfuschen will, wird auch zukünftig pfuschen, ob mit oder ohne Zertifikat. Und viele Zertifikate belegen nur die Existenz von Prozessen, nicht von guten oder sinnvollen Prozessen.
Beispielhaft für die pseudoreligiöse Verehrung von Zertifikaten sei hier mal die Pressemitteilung von Yubico verlinkt, als sie ansagten, dass sie aus Sicherheitsgründen (!) keine Open Source-Firmeware mehr verbauen wollen, sondern nur noch zertifizierte Qualität wie das Zeug von Infineon. (via)
Update: Das ist sogar noch ein bisschen peinlicher, denn die Prüfung war nicht vom BSI sondern von TÜV IT. Das BSI hat das dann abgestempelt. (Danke, Benjamin)