Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Computersicherheit: GI fordert…

Informationsgewinn?

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Informationsgewinn?

    Autor: Tuxianer 14.02.13 - 18:08

    Jetzt stelle ich mir mal eine "objektive", sprich: nicht von den Hard- und Softwareherstellern selbt verwaltete Liste der Sicherheitslücken vor, so eine "KnownSecurityProblems.org".

    Platz 1: Java. Halbstündlich aktualisiert.
    Platz 2: Flash. Stündlich aktualisiert.
    Platz 3: Browser allgemein. Täglich aktualisiert.
    Platz 4: Medienwiedergabeprogramme. Alle 4 Tage relevant.
    Platz 5: Spiele - wenn man die vom Hersteller eingebauten Botfunktionen als sicherheitskritisch erkennt. Aktualisierung einmal pro Woche.
    Platz 6: Diverse Programme, Applikationen, Werkzeuge ... .
    Platz 7: Betriebssysteme.
    Platz 8: Hardwarefehler.

    Frage 1: Wie kommen die Meldungen dahin? Darf / soll / muss da jeder, der meint, etwas zu finden, hinschreiben? Wie viele Millionen Falschmeldungen werden dann wohl täglich dort eintgreffen?

    Frage 2: Wie soll diese Einrichtung das überprüfen? Soll sie jedes Gerät und jedes Programm kaufen und versuchen, die gemeldeten Sicherheitslücken nachzuprüfen? Oder glaubt sie den Meldenden?

    Frage 3: Wer bezahlt diese Einrichtung? Und wie soll sichergestellt werden, dass diese Einrichtung nicht massiv korrumpiert wird? Geld für das Unterlassen einer Meldung wäre ja durchaus im Interesse gewisser Firmen.

    Frage 4: Wem nützt es denn wirklich etwas, wenn diese Internet-Liste dann täglich um Hunderte von gelisteten Sicherheitslücken anwächst und von den alten eine Handvoll rausfliegt, weil sie behoben wurden?

    Man kann sich dort wunderbar informieren. Nur: Besser wird es dadurch nicht, weil ja alle Hersteller dort vertreten sind; es gibt keine Ausnahme. Wer stellt das sichere Betriebssystem her? Wessen Browser, wessen Plugin ist nicht angreifbar? Welche Applikation hat keine sicherheitskritischen Fehler? Lauter leere Mengen, angefüllt mit den fast schon zwanghaften Überzeugungen sogenannter Fans, pseudo-religiös entsachlicht: Da ist und bleibt allein der Wunsch der Vater der Gedanken; die vermeintliche Sicherheit stellt sich, sachlich betrachtet, als nicht gegeben heraus.

    Gäbe es denn Lösungen?
    Spätestens seit der Mitte der 90-er-Jahre existiert der Forschungsansatz "beweisbar korrekte Hard- und Software". Nur ist er über einen universitären Forschungsansatz nie wirklich herausgekommen, von Proof-of-concept-Beispielchen abgesehen. Warum? Weil dieser Ansatz vollständige Spezifikation verlangt, und das bedeutet nun mal deutlich mehr Zeit- und Kosteneinsatz. Und weil dieser Ansatz nicht auf die schnellstmögliche, sondern auf eine garantiert sichere Funktion der Hardware setzt. Und weil er genau deswegen bislang teuer und langsam ist, denn anders als im Rest der IT-Welt fließen diesen Ansätzen keine relevanten Geldvolumina zu. Würde man das ändern, dann wären auch solche Systeme bald schnell genug für den Alltag, und solche Software könnte auch hinreichend komplexe Aufgaben erledigen.

    Solange aber die Kunden vom "Endverbraucher" (Was für ein deterministischer Unbegriff...) bis zur militärischen oder Kraftwerks-IT-Sicherheitstechnik lieber "billig und schnell" kaufen, wird sich daran nichts ändern. Solange der, der als erster eine (gekaufte oder geklaute) Idee als "seine" und als "neu" anpreist, mehr verkauft, gehen sicherheitsorientierte Ansätze den Bach runter, weil sie logischerweise mehr Zeit und Geld kosten. Umdenken wäre angesagt: Attraktiv sei von nun an das Produkt, das bzw. dessen Hersteller eine Sicherheitsgarantie bietet!

    Umdenken wäre aber auch auf anderen Ebenen als der der Käufer gefragt: auf Ebene der Regierungen, die Gesetze erlassen. Sie könnten ja auch mal solche Gesetze erlassen, die den Einsatz von nicht beweisbar korrekten Systemen ab dem Jahr x in für den Staat sicherheitsrelevanten Einrichtungen (Kraftwerke, Militär etc.) verbieten. Und 2 Jahre später in wirtschaftsrelevanten Systemen (Banksysteme, Grundversorger etc.). Und wieder 2 Jahre später in ... usw.

    Vielleicht wäre es hilfreich, wenn man die eigene Regierung - sämtliche Mitglieder! zwingen könnte, sämtliche neuen Meldungen auf dieser Liste mindestens einmal täglich vollständig und persönlich zu lesen, also nicht delegierbar an irgendwelche Assistenten... so bei 9 Stunden täglichem Leseeinsatz käme vielleicht mal ein Umdenken dabei heraus...

    Bis dahin ist eine Liste aller neuen Sicherheitsmängel ebenso umfangreich wie nutzlos, weil für den Normalkunden absolut unverständlich und ohne Alternative auch bestenfalls gut für schlechte Träume. Und dasselbe gilt genauso für eine Liste aller Cyberangriffe auf Firmen und Behörden und Organisationen und ... und ... , denn die Angriffe sind ja nur möglich, weil es keine wirklich sichere Hard- und Software gibt, auf bzw. mit der die betroffenen Einrichtungen ihre Systeme aufsetzen könnten.

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen


Anzeige
  1. System Architekt (m/w)
    DATAGROUP Köln GmbH, Köln
  2. Mitarbeiter/-in IT-Support
    Lechler GmbH, Metzingen
  3. SAP BI/BW Spezialist (m/w) Datenqualität
    Media-Saturn-Holding GmbH, Ingolstadt
  4. Elektronik Ingenieur (m/w) Firmware und FPGA
    NDT Global GmbH & Co. KG, Rheine / Stutensee

Detailsuche



Spiele-Angebote
  1. Activision und Blizzard Games reduziert
    (u. a. Diablo 3 und Add-on Reaper of Souls je 20,97€, Starcraft 2 für 13,97€)
  2. Aktion: The Witcher 3: Wild Hunt + Comicbuch
  3. NEU: PS4- und Xbox-One-Spiele stark reduziert
    (u. a. F1 2015 PS4 43,79€, Metro Redux PS4 37,64€, Singstar Ultimate Party PS4 19,61€, GTA 5...

Weitere Angebote



Haben wir etwas übersehen?

E-Mail an news@golem.de


20 Jahre im Einsatz: Lebenserhaltende Maßnahmen bei Windows 95
20 Jahre im Einsatz
Lebenserhaltende Maßnahmen bei Windows 95
  1. Windows 10 Updates lassen sich unter Umständen 12 Monate aufschieben
  2. Windows-10-Updates Microsoft intensiviert die Geheimniskrämerei
  3. Vor dem Start von Windows 10 Steigender Marktanteil für Windows 7

The Flock im Test: Versteck spielen, bis alle tot sind
The Flock im Test
Versteck spielen, bis alle tot sind
  1. Hearthstone Das Große Turnier im Test Mit Fanfaren in das neue Glücksspiel-Meta
  2. Ronin im Test Auftragsmord mit Knobelpausen
  3. Test Til Morning's Light Abenteuer von Amazon

Windows 10 im Upgrade-Test: Der Umstieg von Windows 7 auf 10 lohnt sich!
Windows 10 im Upgrade-Test
Der Umstieg von Windows 7 auf 10 lohnt sich!
  1. Microsoft Erster Insider-Build seit dem Erscheinen von Windows 10
  2. Neue Nutzungsbedingungen Microsoft darf unautorisierte Hardware blockieren
  3. Windows 10 Spiele-Streaming von der Xbox One in sehr hoher Auflösung

  1. Präsentation: Apples iPhone-Event findet am 9. September 2015 statt
    Präsentation
    Apples iPhone-Event findet am 9. September 2015 statt

    Apple hat die internationalen Presse zu dem diesjährigen Event am 9. September 2015 um 19 Uhr deutscher Zeit eingeladen. Dazu hat Apple das Bill Graham Civic Auditorium in San Francisco gemietet, das 7.000 Menschen Platz bietet.

  2. Vectoring: Landkreise wollen Glasfaser statt Dobrindts Breitband
    Vectoring
    Landkreise wollen Glasfaser statt Dobrindts Breitband

    Glasfaser ist von der staatlichen Förderung meist ausgeschlossen. Die Landkreise lehnen die Vectoring-Förderung von Bundesverkehrsminister Dobrindt als zu kurzfristig gedacht ab.

  3. Swisscom: Mobilfunkbetreiber startet Wifi-Calling in Gebäuden
    Swisscom
    Mobilfunkbetreiber startet Wifi-Calling in Gebäuden

    Swisscom schaltet den Dienst Wifi-Calling für sein Netz und später auch im Ausland frei. Damit nutzt der Kunde WLAN, wenn dies die bessere Verbindung ist. Zahlen muss der Nutzer trotzdem den Mobilfunktarif.


  1. 21:06

  2. 20:53

  3. 20:16

  4. 20:00

  5. 19:52

  6. 17:53

  7. 17:40

  8. 17:35