1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Computersicherheit: GI fordert…

Informationsgewinn?

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Informationsgewinn?

    Autor Tuxianer 14.02.13 - 18:08

    Jetzt stelle ich mir mal eine "objektive", sprich: nicht von den Hard- und Softwareherstellern selbt verwaltete Liste der Sicherheitslücken vor, so eine "KnownSecurityProblems.org".

    Platz 1: Java. Halbstündlich aktualisiert.
    Platz 2: Flash. Stündlich aktualisiert.
    Platz 3: Browser allgemein. Täglich aktualisiert.
    Platz 4: Medienwiedergabeprogramme. Alle 4 Tage relevant.
    Platz 5: Spiele - wenn man die vom Hersteller eingebauten Botfunktionen als sicherheitskritisch erkennt. Aktualisierung einmal pro Woche.
    Platz 6: Diverse Programme, Applikationen, Werkzeuge ... .
    Platz 7: Betriebssysteme.
    Platz 8: Hardwarefehler.

    Frage 1: Wie kommen die Meldungen dahin? Darf / soll / muss da jeder, der meint, etwas zu finden, hinschreiben? Wie viele Millionen Falschmeldungen werden dann wohl täglich dort eintgreffen?

    Frage 2: Wie soll diese Einrichtung das überprüfen? Soll sie jedes Gerät und jedes Programm kaufen und versuchen, die gemeldeten Sicherheitslücken nachzuprüfen? Oder glaubt sie den Meldenden?

    Frage 3: Wer bezahlt diese Einrichtung? Und wie soll sichergestellt werden, dass diese Einrichtung nicht massiv korrumpiert wird? Geld für das Unterlassen einer Meldung wäre ja durchaus im Interesse gewisser Firmen.

    Frage 4: Wem nützt es denn wirklich etwas, wenn diese Internet-Liste dann täglich um Hunderte von gelisteten Sicherheitslücken anwächst und von den alten eine Handvoll rausfliegt, weil sie behoben wurden?

    Man kann sich dort wunderbar informieren. Nur: Besser wird es dadurch nicht, weil ja alle Hersteller dort vertreten sind; es gibt keine Ausnahme. Wer stellt das sichere Betriebssystem her? Wessen Browser, wessen Plugin ist nicht angreifbar? Welche Applikation hat keine sicherheitskritischen Fehler? Lauter leere Mengen, angefüllt mit den fast schon zwanghaften Überzeugungen sogenannter Fans, pseudo-religiös entsachlicht: Da ist und bleibt allein der Wunsch der Vater der Gedanken; die vermeintliche Sicherheit stellt sich, sachlich betrachtet, als nicht gegeben heraus.

    Gäbe es denn Lösungen?
    Spätestens seit der Mitte der 90-er-Jahre existiert der Forschungsansatz "beweisbar korrekte Hard- und Software". Nur ist er über einen universitären Forschungsansatz nie wirklich herausgekommen, von Proof-of-concept-Beispielchen abgesehen. Warum? Weil dieser Ansatz vollständige Spezifikation verlangt, und das bedeutet nun mal deutlich mehr Zeit- und Kosteneinsatz. Und weil dieser Ansatz nicht auf die schnellstmögliche, sondern auf eine garantiert sichere Funktion der Hardware setzt. Und weil er genau deswegen bislang teuer und langsam ist, denn anders als im Rest der IT-Welt fließen diesen Ansätzen keine relevanten Geldvolumina zu. Würde man das ändern, dann wären auch solche Systeme bald schnell genug für den Alltag, und solche Software könnte auch hinreichend komplexe Aufgaben erledigen.

    Solange aber die Kunden vom "Endverbraucher" (Was für ein deterministischer Unbegriff...) bis zur militärischen oder Kraftwerks-IT-Sicherheitstechnik lieber "billig und schnell" kaufen, wird sich daran nichts ändern. Solange der, der als erster eine (gekaufte oder geklaute) Idee als "seine" und als "neu" anpreist, mehr verkauft, gehen sicherheitsorientierte Ansätze den Bach runter, weil sie logischerweise mehr Zeit und Geld kosten. Umdenken wäre angesagt: Attraktiv sei von nun an das Produkt, das bzw. dessen Hersteller eine Sicherheitsgarantie bietet!

    Umdenken wäre aber auch auf anderen Ebenen als der der Käufer gefragt: auf Ebene der Regierungen, die Gesetze erlassen. Sie könnten ja auch mal solche Gesetze erlassen, die den Einsatz von nicht beweisbar korrekten Systemen ab dem Jahr x in für den Staat sicherheitsrelevanten Einrichtungen (Kraftwerke, Militär etc.) verbieten. Und 2 Jahre später in wirtschaftsrelevanten Systemen (Banksysteme, Grundversorger etc.). Und wieder 2 Jahre später in ... usw.

    Vielleicht wäre es hilfreich, wenn man die eigene Regierung - sämtliche Mitglieder! zwingen könnte, sämtliche neuen Meldungen auf dieser Liste mindestens einmal täglich vollständig und persönlich zu lesen, also nicht delegierbar an irgendwelche Assistenten... so bei 9 Stunden täglichem Leseeinsatz käme vielleicht mal ein Umdenken dabei heraus...

    Bis dahin ist eine Liste aller neuen Sicherheitsmängel ebenso umfangreich wie nutzlos, weil für den Normalkunden absolut unverständlich und ohne Alternative auch bestenfalls gut für schlechte Träume. Und dasselbe gilt genauso für eine Liste aller Cyberangriffe auf Firmen und Behörden und Organisationen und ... und ... , denn die Angriffe sind ja nur möglich, weil es keine wirklich sichere Hard- und Software gibt, auf bzw. mit der die betroffenen Einrichtungen ihre Systeme aufsetzen könnten.

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen


Anzeige

Haben wir etwas übersehen?

E-Mail an news@golem.de


Deutschland: E-Sport ist mehr als eine Randerscheinung
Deutschland
E-Sport ist mehr als eine Randerscheinung
  1. Crytek Ryse für PC mit 4K-Videos belegt über 120 GByte
  2. Wirtschaftssimulation Golem Labs entwickelt die Gilde 3
  3. Wargaming Seeschlachten mit World of Warships

Sofia: Der fliegende Blick durch den Staub
Sofia
Der fliegende Blick durch den Staub
  1. Audio aus Video Gefilmte Topfpflanze verrät Gespräche
  2. Nahrungsmittel Trinken statt Essen
  3. Bioelektronik Pilze sind die besten Zellschnittstellen

Die Paten des Internets: Oliver Samwer - die "Execution-Sau"
Die Paten des Internets
Oliver Samwer - die "Execution-Sau"
  1. Samwer United Internet kauft großen Anteil von Rocket Internet
  2. Oliver Samwer "Sehr viele Unternehmen haben wir zu früh verkauft"
  3. Verivox Tarifvergleichsplattform Toptarif von Konkurrenten gekauft

  1. Hasselblad: 200 Megapixel große Fotos mit verschiebbarem Sensor
    Hasselblad
    200 Megapixel große Fotos mit verschiebbarem Sensor

    Hasselblad hat mit der H5D-200c MS eine Mittelformatkamera vorgestellt, die Fotos mit 200 Megapixeln aufnehmen kann. Die Kamera fotografiert sechs Bilder hintereinander, während sie ihren Sensor zwischen den Aufnahmen leicht versetzt. Das Resultat soll besonders farbecht und detailreich sein.

  2. Internet der Dinge: RISC-Gründer stellen Open-Source-Chips zur Verfügung
    Internet der Dinge
    RISC-Gründer stellen Open-Source-Chips zur Verfügung

    Firmen wie IBM, ARM und MIPS bremsen mit ihren Lizenzen Innovationen von Computerchips. Die Open-Source-Architektur RISC-V soll Entwicklern jetzt das Tüfteln an spezialisierten Chips für Cloud Computing und das Internet der Dinge erleichtern.

  3. Neues Geschmacksmuster: Google Glass soll ansehnlicher werden
    Neues Geschmacksmuster
    Google Glass soll ansehnlicher werden

    Google-Glass-Nutzer sind leicht zu erkennen: Sie tragen ein auffälliges Brillengestell. Besonders modisch ist das nicht, doch das könnte sich bald ändern. Google wurde ein neues Designpatent zugesprochen.


  1. 07:55

  2. 07:43

  3. 07:23

  4. 19:29

  5. 18:36

  6. 18:21

  7. 17:13

  8. 17:07