Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Computersicherheit: GI fordert…

Informationsgewinn?

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Informationsgewinn?

    Autor: Tuxianer 14.02.13 - 18:08

    Jetzt stelle ich mir mal eine "objektive", sprich: nicht von den Hard- und Softwareherstellern selbt verwaltete Liste der Sicherheitslücken vor, so eine "KnownSecurityProblems.org".

    Platz 1: Java. Halbstündlich aktualisiert.
    Platz 2: Flash. Stündlich aktualisiert.
    Platz 3: Browser allgemein. Täglich aktualisiert.
    Platz 4: Medienwiedergabeprogramme. Alle 4 Tage relevant.
    Platz 5: Spiele - wenn man die vom Hersteller eingebauten Botfunktionen als sicherheitskritisch erkennt. Aktualisierung einmal pro Woche.
    Platz 6: Diverse Programme, Applikationen, Werkzeuge ... .
    Platz 7: Betriebssysteme.
    Platz 8: Hardwarefehler.

    Frage 1: Wie kommen die Meldungen dahin? Darf / soll / muss da jeder, der meint, etwas zu finden, hinschreiben? Wie viele Millionen Falschmeldungen werden dann wohl täglich dort eintgreffen?

    Frage 2: Wie soll diese Einrichtung das überprüfen? Soll sie jedes Gerät und jedes Programm kaufen und versuchen, die gemeldeten Sicherheitslücken nachzuprüfen? Oder glaubt sie den Meldenden?

    Frage 3: Wer bezahlt diese Einrichtung? Und wie soll sichergestellt werden, dass diese Einrichtung nicht massiv korrumpiert wird? Geld für das Unterlassen einer Meldung wäre ja durchaus im Interesse gewisser Firmen.

    Frage 4: Wem nützt es denn wirklich etwas, wenn diese Internet-Liste dann täglich um Hunderte von gelisteten Sicherheitslücken anwächst und von den alten eine Handvoll rausfliegt, weil sie behoben wurden?

    Man kann sich dort wunderbar informieren. Nur: Besser wird es dadurch nicht, weil ja alle Hersteller dort vertreten sind; es gibt keine Ausnahme. Wer stellt das sichere Betriebssystem her? Wessen Browser, wessen Plugin ist nicht angreifbar? Welche Applikation hat keine sicherheitskritischen Fehler? Lauter leere Mengen, angefüllt mit den fast schon zwanghaften Überzeugungen sogenannter Fans, pseudo-religiös entsachlicht: Da ist und bleibt allein der Wunsch der Vater der Gedanken; die vermeintliche Sicherheit stellt sich, sachlich betrachtet, als nicht gegeben heraus.

    Gäbe es denn Lösungen?
    Spätestens seit der Mitte der 90-er-Jahre existiert der Forschungsansatz "beweisbar korrekte Hard- und Software". Nur ist er über einen universitären Forschungsansatz nie wirklich herausgekommen, von Proof-of-concept-Beispielchen abgesehen. Warum? Weil dieser Ansatz vollständige Spezifikation verlangt, und das bedeutet nun mal deutlich mehr Zeit- und Kosteneinsatz. Und weil dieser Ansatz nicht auf die schnellstmögliche, sondern auf eine garantiert sichere Funktion der Hardware setzt. Und weil er genau deswegen bislang teuer und langsam ist, denn anders als im Rest der IT-Welt fließen diesen Ansätzen keine relevanten Geldvolumina zu. Würde man das ändern, dann wären auch solche Systeme bald schnell genug für den Alltag, und solche Software könnte auch hinreichend komplexe Aufgaben erledigen.

    Solange aber die Kunden vom "Endverbraucher" (Was für ein deterministischer Unbegriff...) bis zur militärischen oder Kraftwerks-IT-Sicherheitstechnik lieber "billig und schnell" kaufen, wird sich daran nichts ändern. Solange der, der als erster eine (gekaufte oder geklaute) Idee als "seine" und als "neu" anpreist, mehr verkauft, gehen sicherheitsorientierte Ansätze den Bach runter, weil sie logischerweise mehr Zeit und Geld kosten. Umdenken wäre angesagt: Attraktiv sei von nun an das Produkt, das bzw. dessen Hersteller eine Sicherheitsgarantie bietet!

    Umdenken wäre aber auch auf anderen Ebenen als der der Käufer gefragt: auf Ebene der Regierungen, die Gesetze erlassen. Sie könnten ja auch mal solche Gesetze erlassen, die den Einsatz von nicht beweisbar korrekten Systemen ab dem Jahr x in für den Staat sicherheitsrelevanten Einrichtungen (Kraftwerke, Militär etc.) verbieten. Und 2 Jahre später in wirtschaftsrelevanten Systemen (Banksysteme, Grundversorger etc.). Und wieder 2 Jahre später in ... usw.

    Vielleicht wäre es hilfreich, wenn man die eigene Regierung - sämtliche Mitglieder! zwingen könnte, sämtliche neuen Meldungen auf dieser Liste mindestens einmal täglich vollständig und persönlich zu lesen, also nicht delegierbar an irgendwelche Assistenten... so bei 9 Stunden täglichem Leseeinsatz käme vielleicht mal ein Umdenken dabei heraus...

    Bis dahin ist eine Liste aller neuen Sicherheitsmängel ebenso umfangreich wie nutzlos, weil für den Normalkunden absolut unverständlich und ohne Alternative auch bestenfalls gut für schlechte Träume. Und dasselbe gilt genauso für eine Liste aller Cyberangriffe auf Firmen und Behörden und Organisationen und ... und ... , denn die Angriffe sind ja nur möglich, weil es keine wirklich sichere Hard- und Software gibt, auf bzw. mit der die betroffenen Einrichtungen ihre Systeme aufsetzen könnten.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. T-Systems International GmbH, Leinfelden-Echterdingen
  2. ABUS Security-Center GmbH & Co. KG, Affing
  3. DATAGROUP Köln GmbH, Düsseldorf
  4. afb Application Services AG, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 54,85€
  2. 44,99€
  3. 349,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Weltraumforschung: DFKI-Roboter soll auf dem Jupitermond Europa abtauchen
Weltraumforschung
DFKI-Roboter soll auf dem Jupitermond Europa abtauchen
  1. Softrobotik Oktopus-Roboter wird mit Gas angetrieben
  2. Warenzustellung Schweizer Post testet autonome Lieferroboter
  3. Lernroboter-Test Besser Technik lernen mit drei Freunden

OxygenOS vs. Cyanogenmod im Test: Ein Oneplus Three, zwei Systeme
OxygenOS vs. Cyanogenmod im Test
Ein Oneplus Three, zwei Systeme
  1. Android-Smartphone Update soll Software-Probleme beim Oneplus Three beseitigen
  2. Oneplus Three Update soll Speichermanagement verbessern
  3. Android-Smartphone Diskussionen um Speichermanagement beim Oneplus Three

Kritische Infrastrukturen: Wenn die USV Kryptowährungen schürft
Kritische Infrastrukturen
Wenn die USV Kryptowährungen schürft
  1. Ripper Geldautomaten-Malware gibt bis zu 40 Scheine aus
  2. Ransomware Trojaner Fantom gaukelt kritisches Windows-Update vor
  3. Livestreams Ein Schuss, ein Tor, ein Trojaner

  1. Modulares Smartphone: Lenovo bringt Moto Z mit Moto Z Play nach Deutschland
    Modulares Smartphone
    Lenovo bringt Moto Z mit Moto Z Play nach Deutschland

    Ifa 2016 Im September bringt Lenovo nicht nur das Moto Z, sondern auch gleich das Moto Z Play auf den deutschen Markt. Die Play-Ausführung ist auf lange Akkulaufzeit ausgerichtet - beide Smartphones können mit Modulen erweitert werden.

  2. Yoga Book: Lenovos Convertible hat eine Tastatur und doch nicht
    Yoga Book
    Lenovos Convertible hat eine Tastatur und doch nicht

    Ifa 2016 Unter 10 mm dünn und leichter als 700 Gramm: Beim Yoga Book handelt es sich um ein außergewöhnliches Convertible. Es wird mit Stift ausgeliefert, statt einer physischen Tastatur weist es ein riesiges, beleuchtetes Touchpad auf - und günstig ist es auch noch.

  3. Huawei Connect 2016: Telekom will weltweit zu den größten Cloudanbietern gehören
    Huawei Connect 2016
    Telekom will weltweit zu den größten Cloudanbietern gehören

    Die Telekom will zusammen mit ihrem Partner Huawei die führenden Cloud-Anbieter in den USA wie Amazon, Microsoft und Google angreifen. Doch die Konzerne haben noch weitergehende gemeinsame Ziele.


  1. 22:19

  2. 20:31

  3. 19:10

  4. 18:55

  5. 18:16

  6. 18:00

  7. 17:59

  8. 17:13