1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Computersicherheit: GI fordert…

Informationsgewinn?

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Informationsgewinn?

    Autor: Tuxianer 14.02.13 - 18:08

    Jetzt stelle ich mir mal eine "objektive", sprich: nicht von den Hard- und Softwareherstellern selbt verwaltete Liste der Sicherheitslücken vor, so eine "KnownSecurityProblems.org".

    Platz 1: Java. Halbstündlich aktualisiert.
    Platz 2: Flash. Stündlich aktualisiert.
    Platz 3: Browser allgemein. Täglich aktualisiert.
    Platz 4: Medienwiedergabeprogramme. Alle 4 Tage relevant.
    Platz 5: Spiele - wenn man die vom Hersteller eingebauten Botfunktionen als sicherheitskritisch erkennt. Aktualisierung einmal pro Woche.
    Platz 6: Diverse Programme, Applikationen, Werkzeuge ... .
    Platz 7: Betriebssysteme.
    Platz 8: Hardwarefehler.

    Frage 1: Wie kommen die Meldungen dahin? Darf / soll / muss da jeder, der meint, etwas zu finden, hinschreiben? Wie viele Millionen Falschmeldungen werden dann wohl täglich dort eintgreffen?

    Frage 2: Wie soll diese Einrichtung das überprüfen? Soll sie jedes Gerät und jedes Programm kaufen und versuchen, die gemeldeten Sicherheitslücken nachzuprüfen? Oder glaubt sie den Meldenden?

    Frage 3: Wer bezahlt diese Einrichtung? Und wie soll sichergestellt werden, dass diese Einrichtung nicht massiv korrumpiert wird? Geld für das Unterlassen einer Meldung wäre ja durchaus im Interesse gewisser Firmen.

    Frage 4: Wem nützt es denn wirklich etwas, wenn diese Internet-Liste dann täglich um Hunderte von gelisteten Sicherheitslücken anwächst und von den alten eine Handvoll rausfliegt, weil sie behoben wurden?

    Man kann sich dort wunderbar informieren. Nur: Besser wird es dadurch nicht, weil ja alle Hersteller dort vertreten sind; es gibt keine Ausnahme. Wer stellt das sichere Betriebssystem her? Wessen Browser, wessen Plugin ist nicht angreifbar? Welche Applikation hat keine sicherheitskritischen Fehler? Lauter leere Mengen, angefüllt mit den fast schon zwanghaften Überzeugungen sogenannter Fans, pseudo-religiös entsachlicht: Da ist und bleibt allein der Wunsch der Vater der Gedanken; die vermeintliche Sicherheit stellt sich, sachlich betrachtet, als nicht gegeben heraus.

    Gäbe es denn Lösungen?
    Spätestens seit der Mitte der 90-er-Jahre existiert der Forschungsansatz "beweisbar korrekte Hard- und Software". Nur ist er über einen universitären Forschungsansatz nie wirklich herausgekommen, von Proof-of-concept-Beispielchen abgesehen. Warum? Weil dieser Ansatz vollständige Spezifikation verlangt, und das bedeutet nun mal deutlich mehr Zeit- und Kosteneinsatz. Und weil dieser Ansatz nicht auf die schnellstmögliche, sondern auf eine garantiert sichere Funktion der Hardware setzt. Und weil er genau deswegen bislang teuer und langsam ist, denn anders als im Rest der IT-Welt fließen diesen Ansätzen keine relevanten Geldvolumina zu. Würde man das ändern, dann wären auch solche Systeme bald schnell genug für den Alltag, und solche Software könnte auch hinreichend komplexe Aufgaben erledigen.

    Solange aber die Kunden vom "Endverbraucher" (Was für ein deterministischer Unbegriff...) bis zur militärischen oder Kraftwerks-IT-Sicherheitstechnik lieber "billig und schnell" kaufen, wird sich daran nichts ändern. Solange der, der als erster eine (gekaufte oder geklaute) Idee als "seine" und als "neu" anpreist, mehr verkauft, gehen sicherheitsorientierte Ansätze den Bach runter, weil sie logischerweise mehr Zeit und Geld kosten. Umdenken wäre angesagt: Attraktiv sei von nun an das Produkt, das bzw. dessen Hersteller eine Sicherheitsgarantie bietet!

    Umdenken wäre aber auch auf anderen Ebenen als der der Käufer gefragt: auf Ebene der Regierungen, die Gesetze erlassen. Sie könnten ja auch mal solche Gesetze erlassen, die den Einsatz von nicht beweisbar korrekten Systemen ab dem Jahr x in für den Staat sicherheitsrelevanten Einrichtungen (Kraftwerke, Militär etc.) verbieten. Und 2 Jahre später in wirtschaftsrelevanten Systemen (Banksysteme, Grundversorger etc.). Und wieder 2 Jahre später in ... usw.

    Vielleicht wäre es hilfreich, wenn man die eigene Regierung - sämtliche Mitglieder! zwingen könnte, sämtliche neuen Meldungen auf dieser Liste mindestens einmal täglich vollständig und persönlich zu lesen, also nicht delegierbar an irgendwelche Assistenten... so bei 9 Stunden täglichem Leseeinsatz käme vielleicht mal ein Umdenken dabei heraus...

    Bis dahin ist eine Liste aller neuen Sicherheitsmängel ebenso umfangreich wie nutzlos, weil für den Normalkunden absolut unverständlich und ohne Alternative auch bestenfalls gut für schlechte Träume. Und dasselbe gilt genauso für eine Liste aller Cyberangriffe auf Firmen und Behörden und Organisationen und ... und ... , denn die Angriffe sind ja nur möglich, weil es keine wirklich sichere Hard- und Software gibt, auf bzw. mit der die betroffenen Einrichtungen ihre Systeme aufsetzen könnten.

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen

Gnome 3.16 angesehen: "Tod der Nachrichtenleiste"
Gnome 3.16 angesehen
"Tod der Nachrichtenleiste"
  1. Server-Technik Gnome erstellt App-Sandboxes
  2. Display-Server Volle Wayland-Unterstützung für Gnome noch dieses Jahr
  3. Linux Gnome-Werkzeug soll für bessere Akkulaufzeiten sorgen

Netzneutralität: Autonome Autos brauchen Netz und Mikrochips sind knusprig
Netzneutralität
Autonome Autos brauchen Netz und Mikrochips sind knusprig
  1. Netzneutralität FCC verbietet Überholspuren im Netz
  2. Netzneutralität Was die FCC-Pläne für das Internet bedeuten
  3. Deregulierung FCC soll weitreichende Netzneutralität durchsetzen

Bloodborne im Test: Das Festival der tausend Tode
Bloodborne im Test
Das Festival der tausend Tode
  1. Bloodborne Patch und PC-Petition
  2. Bloodborne angespielt Angsthase oder Nichtsnutz

  1. Palinopsia Bug: Das Gedächtnis der Grafikkarte auslesen
    Palinopsia Bug
    Das Gedächtnis der Grafikkarte auslesen

    Aus dem VRAM einiger Grafikkarten lassen sich Bilder des Desktops eines Rechners auslesen. Das funktioniert selbst nach einem Neustart. So lassen sich auch Fensterinhalte anzeigen.

  2. Die Woche im Video: Galaxy S6 gegen One (M9), selbstbremsende Autos und Bastelei
    Die Woche im Video
    Galaxy S6 gegen One (M9), selbstbremsende Autos und Bastelei

    Golem.de-Wochenrückblick Wir haben in dieser Woche gleich zwei Topsmartphones getestet, über Autos debattiert, die sich selbstständig ans Tempolimit halten - und gebastelt. Sieben Tage und viele Meldungen im Überblick.

  3. Xbox One: Firmware-Update bringt Sprachnachrichten auf die Konsole
    Xbox One
    Firmware-Update bringt Sprachnachrichten auf die Konsole

    Microsoft arbeitet an der nächsten Version seiner Firmware für die Xbox One. Die soll neben aussagekräftigeren Erfolgsmeldungen auch Sprachnachrichten sowie dedizierte Server für den Gruppenchat mitbringen.


  1. 10:55

  2. 09:02

  3. 17:09

  4. 15:52

  5. 15:22

  6. 14:24

  7. 14:00

  8. 13:45