1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Computersicherheit: GI fordert…

Informationsgewinn?

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Informationsgewinn?

    Autor Tuxianer 14.02.13 - 18:08

    Jetzt stelle ich mir mal eine "objektive", sprich: nicht von den Hard- und Softwareherstellern selbt verwaltete Liste der Sicherheitslücken vor, so eine "KnownSecurityProblems.org".

    Platz 1: Java. Halbstündlich aktualisiert.
    Platz 2: Flash. Stündlich aktualisiert.
    Platz 3: Browser allgemein. Täglich aktualisiert.
    Platz 4: Medienwiedergabeprogramme. Alle 4 Tage relevant.
    Platz 5: Spiele - wenn man die vom Hersteller eingebauten Botfunktionen als sicherheitskritisch erkennt. Aktualisierung einmal pro Woche.
    Platz 6: Diverse Programme, Applikationen, Werkzeuge ... .
    Platz 7: Betriebssysteme.
    Platz 8: Hardwarefehler.

    Frage 1: Wie kommen die Meldungen dahin? Darf / soll / muss da jeder, der meint, etwas zu finden, hinschreiben? Wie viele Millionen Falschmeldungen werden dann wohl täglich dort eintgreffen?

    Frage 2: Wie soll diese Einrichtung das überprüfen? Soll sie jedes Gerät und jedes Programm kaufen und versuchen, die gemeldeten Sicherheitslücken nachzuprüfen? Oder glaubt sie den Meldenden?

    Frage 3: Wer bezahlt diese Einrichtung? Und wie soll sichergestellt werden, dass diese Einrichtung nicht massiv korrumpiert wird? Geld für das Unterlassen einer Meldung wäre ja durchaus im Interesse gewisser Firmen.

    Frage 4: Wem nützt es denn wirklich etwas, wenn diese Internet-Liste dann täglich um Hunderte von gelisteten Sicherheitslücken anwächst und von den alten eine Handvoll rausfliegt, weil sie behoben wurden?

    Man kann sich dort wunderbar informieren. Nur: Besser wird es dadurch nicht, weil ja alle Hersteller dort vertreten sind; es gibt keine Ausnahme. Wer stellt das sichere Betriebssystem her? Wessen Browser, wessen Plugin ist nicht angreifbar? Welche Applikation hat keine sicherheitskritischen Fehler? Lauter leere Mengen, angefüllt mit den fast schon zwanghaften Überzeugungen sogenannter Fans, pseudo-religiös entsachlicht: Da ist und bleibt allein der Wunsch der Vater der Gedanken; die vermeintliche Sicherheit stellt sich, sachlich betrachtet, als nicht gegeben heraus.

    Gäbe es denn Lösungen?
    Spätestens seit der Mitte der 90-er-Jahre existiert der Forschungsansatz "beweisbar korrekte Hard- und Software". Nur ist er über einen universitären Forschungsansatz nie wirklich herausgekommen, von Proof-of-concept-Beispielchen abgesehen. Warum? Weil dieser Ansatz vollständige Spezifikation verlangt, und das bedeutet nun mal deutlich mehr Zeit- und Kosteneinsatz. Und weil dieser Ansatz nicht auf die schnellstmögliche, sondern auf eine garantiert sichere Funktion der Hardware setzt. Und weil er genau deswegen bislang teuer und langsam ist, denn anders als im Rest der IT-Welt fließen diesen Ansätzen keine relevanten Geldvolumina zu. Würde man das ändern, dann wären auch solche Systeme bald schnell genug für den Alltag, und solche Software könnte auch hinreichend komplexe Aufgaben erledigen.

    Solange aber die Kunden vom "Endverbraucher" (Was für ein deterministischer Unbegriff...) bis zur militärischen oder Kraftwerks-IT-Sicherheitstechnik lieber "billig und schnell" kaufen, wird sich daran nichts ändern. Solange der, der als erster eine (gekaufte oder geklaute) Idee als "seine" und als "neu" anpreist, mehr verkauft, gehen sicherheitsorientierte Ansätze den Bach runter, weil sie logischerweise mehr Zeit und Geld kosten. Umdenken wäre angesagt: Attraktiv sei von nun an das Produkt, das bzw. dessen Hersteller eine Sicherheitsgarantie bietet!

    Umdenken wäre aber auch auf anderen Ebenen als der der Käufer gefragt: auf Ebene der Regierungen, die Gesetze erlassen. Sie könnten ja auch mal solche Gesetze erlassen, die den Einsatz von nicht beweisbar korrekten Systemen ab dem Jahr x in für den Staat sicherheitsrelevanten Einrichtungen (Kraftwerke, Militär etc.) verbieten. Und 2 Jahre später in wirtschaftsrelevanten Systemen (Banksysteme, Grundversorger etc.). Und wieder 2 Jahre später in ... usw.

    Vielleicht wäre es hilfreich, wenn man die eigene Regierung - sämtliche Mitglieder! zwingen könnte, sämtliche neuen Meldungen auf dieser Liste mindestens einmal täglich vollständig und persönlich zu lesen, also nicht delegierbar an irgendwelche Assistenten... so bei 9 Stunden täglichem Leseeinsatz käme vielleicht mal ein Umdenken dabei heraus...

    Bis dahin ist eine Liste aller neuen Sicherheitsmängel ebenso umfangreich wie nutzlos, weil für den Normalkunden absolut unverständlich und ohne Alternative auch bestenfalls gut für schlechte Träume. Und dasselbe gilt genauso für eine Liste aller Cyberangriffe auf Firmen und Behörden und Organisationen und ... und ... , denn die Angriffe sind ja nur möglich, weil es keine wirklich sichere Hard- und Software gibt, auf bzw. mit der die betroffenen Einrichtungen ihre Systeme aufsetzen könnten.

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen


Anzeige

Haben wir etwas übersehen?

E-Mail an news@golem.de


Google: Youtube und der falsche Zeitstempel
Google
Youtube und der falsche Zeitstempel
  1. Spielevideos Google soll 1 Milliarde Dollar für Twitch.tv zahlen
  2. Videostreaming Youtube-Problem war ein Bug bei Google
  3. Videostreaming Telekom sieht Youtube-Problem erneut bei Google

Liebessimulation Love Plus: "Ich hoffe, du wirst für immer schön bleiben"
Liebessimulation Love Plus
"Ich hoffe, du wirst für immer schön bleiben"
  1. PES 2015 angespielt Neuer Ball auf frischem Rasen
  2. Metal Gear Solid - The Phantom Pain Krabbelnde Kisten und schwebende Schafe

LG 34UM95 im Test: Ultra-Widescreen-Monitor für 3K-Gaming
LG 34UM95 im Test
Ultra-Widescreen-Monitor für 3K-Gaming
  1. Free-Form Display Sharp zeigt LCD mit kurvigem Rahmen
  2. Eizo Foris FS2434 IPS-Display mit schmalem Rahmen für Spieler
  3. Philips 19DP6QJNS Klappmonitor mit zwei IPS-Displays

  1. Technisches Komitee: Debian beharrt auf mehreren Init-Systemen
    Technisches Komitee
    Debian beharrt auf mehreren Init-Systemen

    Paketbetreuer Debians sind weiter zur Pflege mehrerer Init-Systeme verpflichtet, sofern nichts zwingend dagegen spricht. Das hat das technische Komitee festgelegt. Zwar ist Systemd bald Standard, Sysvinit und Upstart bleiben so aber noch länger erhalten.

  2. Stellar: Kostenlose Kryptowährung soll Kunden locken
    Stellar
    Kostenlose Kryptowährung soll Kunden locken

    Vom Mtgox- und Ripple-Gründer Jed McCaleb stammt eine neue Kryptowährung namens Stellar. Sie soll zur Hälfte an neue Benutzer der Bezahlplattform Stripe verteilt werden.

  3. Brigadier: Kyoceras Saphirglas-Smartphone kostet 400 US-Dollar
    Brigadier
    Kyoceras Saphirglas-Smartphone kostet 400 US-Dollar

    Kyocera hat sein Saphirglas-Outdoorsmartphone Brigadier offiziell vorgestellt. Dabei bestätigen sich die vorher bekannt gewordenen technischen Daten: Das Smartphone hat ein 4,5-Zoll-Display, einen Snapdragon-400-Prozessor und dürfte äußerst widerstandsfähig sein.


  1. 15:50

  2. 15:08

  3. 14:51

  4. 14:34

  5. 14:24

  6. 14:00

  7. 13:29

  8. 13:25