1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › IT-Planungsrat: Hardware darf keine…

Aber sonst ist schadstiftende Software wohl OK?

  1. Thema

Neues Thema Ansicht wechseln


  1. Aber sonst ist schadstiftende Software wohl OK?

    Autor: Lebostein 18.03.16 - 15:18

    Der Titel klingt so, als habe man nichts gegen solche Software, nur eben nicht in der Nähe der Hardware...

  2. Re: Aber sonst ist schadstiftende Software wohl OK?

    Autor: Beazy 18.03.16 - 16:15

    Das veröffentlichte Dokument regelt die Vertragsbestimmungen für den Kauf von Hardware. Software ist hier off-topic.

  3. Re: Aber sonst ist schadstiftende Software wohl OK?

    Autor: GaliMali 18.03.16 - 16:35

    Letztendlich ist aber die frage, wie das die NSÄ sieht.

    Die ignoriert ja auch jedes Gesetz und macht was sie will.

    Gibt ja so vorschriften, dass die Unternehmen nichts darüber dann sagen dürfen. Das geht bis in die OpenSource-Schmiede: Das schweigen über das wahre Ende von TrueCryppt ;-)


    Im grunde könnte sie die Hersteller weiter dazu zwingen es gleich oder nachträglich in Firmwareupdates einzubauen. Und falls es doch mal zur Klage kommt, wird sie an die NSÄ weitergereicht, es schaltet sich die amerikanische Regierung ein und die Klage wird irgendwie abgeschmettert.

  4. Re: Aber sonst ist schadstiftende Software wohl OK?

    Autor: User_x 18.03.16 - 22:32

    nicht ganz. erstmal würde die europäische / deutsche niederlassung in regress genommen werden, ggf verkaufsverbote verhängen, und verfahren gegen muttergesellschaft in den usa anstrengen. weiterhin wäre das globale vertrauen in die firma erstmal dahin, was einwm ruin gleichkommt...

    die nsa oder regierung werden den unternehmen nicht unbedingt zur seite stehen, bzw. gehe ich davon aus - dass einfach geschwiegen werden würde (ob wahr oder falsch, wäre dann wie bei snowden unkommentiert stehengelassen). packt ein unternehmen aus, würde die usa die noch obendrein verklagen... wie bei der mafia also. vor der polizei geheim halten, und wenn man nicht spurrt kommt alcapone... :-/

  5. Wirksamkeit, wenn auf (tote) Hardware beschränkt?

    Autor: Tuxianer 19.03.16 - 18:40

    Beazy schrieb:
    --------------------------------------------------------------------------------
    > Das veröffentlichte Dokument regelt die Vertragsbestimmungen für den Kauf
    > von Hardware. Software ist hier off-topic.

    Nicht ganz: Solange ein Gerät keinerlei Software braucht, um zu laufen: gut.

    Ein kleiner Switch oder Router, da wäre es ja ganz nett, wenn der keine Cisco-NSA-Bridge auftun würde. Netzwerk- und vor allem Sicherheitssysteme (Palo Alto et al), die keine hartverdrahteten Zugangskennworte enthalten, wären auch nett.

    Für alles Größere wird dann halt per Vertrag jegliche Garantie ausgeschlossen, sobald man Software (wie ein Betriebssystem) installiert.

    Ohne Betriebssystem läuft das Industrie-PC-Board im Kühlschrank, in der Waschmaschine, in der Heizung, in der Lüftungs- oder Lichtsteuerung etc.: leider nicht.

    Nun kann ein Hardware-Hersteller zwar für seine Hardware irgendwie irgendwas zu garantieren versuchen, was aber schon scheitert, wenn er auch nur einen Chip von Dritten einkauft, der ihm das nicht garantiert, weil er den Chip nach Plänen entwirft, die er selbst nur eingekauft hat. Also der Regelfall. Und genau so wird der Verkäufer es auch formulieren in seinem Vertrag. Also: Luftblase.

    Das sieht dann so aus: "Dieser PC enthält bei Auslieferung keine Schadsoftware im Sinne von § x, von der wir zum Zeitpunkt der Zusammensetzung Kenntnis haben oder erlangen konnten. Mit der Installation von Betriebssystemen oder Applikationen jeglicher Art erlischt unsere Garantie, da wir nicht verhindern können, dass unsere Firmware durch solche mit Schadsoftware im Sinne des § x ersetzt wird; ebenso können wir keine Garantie dafür übernehmen, was die installierte Software dann potentiell Unerwünschtes oder Schädliches tut." Und mit einem solchen Garantie-Ausschlus würde ein Hersteller nicht mal was verbergen; er *kann* es schlicht nicht garantieren.

    Also: Luftblase.

    Man könnte genauso gut schreiben: Solange das Gerät in Originalverpackung verbleibt und noch nie aktiviert wurde, garantieren wir ...

    Nutzen solcher Vertragsbedingungen, solange sie nicht auch die Software mit einschließen? Annähernd Null.

    -----

    Befugnis kann man delegieren. Kompetenz muss man erlangen.

  6. Re: Aber sonst ist schadstiftende Software wohl OK?

    Autor: Moe479 19.03.16 - 20:18

    bis dahin ist doch aber das kind schon längst im brunnen verhungert ... prävention durch abschränkung hat noch nie wirklich funktioniert ... und dann behauptet das unternehmen es wurde von agenten unterlaufen, welche die schwachstellen eingepflegt haben ...

  7. Re: Aber sonst ist schadstiftende Software wohl OK?

    Autor: Tuxianer 20.03.16 - 15:55

    Moe479 schrieb:
    --------------------------------------------------------------------------------
    > bis dahin ist doch aber das Kind schon längst im Brunnen ...

    Bis dahin? Wer auch immer in den Brunnen gefallen ist, ist doch heute schon längst abgesoffen und schon weitgehend verrottet da unten. Welche Art von Nur-Hardware wird denn heute noch vertrieben? Ne Schaufel vielleicht, aber im Elektronik- und Netzwerkbereich?

    Ich möchte gerne sehen, wie die deutsche Regierung es durchsetzen will, dass innerhalb einer sinnvollen Frist von z. B. einem Jahr sämtliche Cisco- und sämtliche Huawai-Netzwerkgeräte durch "garantiert Schadsoftware-freie" ersetzt werden; da würden als allererstes sämtliche Telefonie- und Internet-Provider aufheulen, die die Dinger en masse einsetzen; die ersten, weil US-Produkt und damit ja per Dekret vertrauenswürdig, die zweiten, weil halt billig.


    > Prävention durch Abschränkung hat noch nie wirklich funktioniert

    Sie würde es, wenn sie wirklich präventiv eingesetzt werden würde. Genauer: Worden wäre. Wenn also nicht im Jahr 2001 ein Minister, der in den 90-er-Jahren täterig war, behaupten könnte, man hätte die Entwicklung des Internets nicht voraussehen können ... in den 90-Jahren konnte man "sogar in der Bundesrepublik schon" Informatik studieren, und da gab es tatsächlich so Vorlesungen mit so Schwerpunkt wie "Sicherheit vernetzter Systeme", in denen es eben nicht nur um Datenerhalt, sondern auch um Datenprivatheit und Zugriffsschutz gegenüber Dritten ging. Hätte man also solche Vorschriften in den 80-er-Jahren erlassen und damit den Import von Geräten mit installierten Hintertürchen verboten und unter angemessene Strafe gestellt (und hätte man sich die Kompetenz angeeignet, das dann auch überprüfen zu können!), dann hätten Firmen in Europa oder in Deutschland eben selber solche Hardware entwickelt; so unglaublich unvorstellbar abgedreht unverständlich komplex ist ein Router nun wirklich nicht; das hätte man selbst in der aufgedickten Banane hinbekommen.

    > ... und dann behauptet das Unternehmen, es wurde von Agenten
    > unterlaufen, welche die Schwachstellen eingepflegt haben ...

    Ob Agenten oder Geheimgesetze: Welchen Unterschied macht denn bitte, ob Agent oder Geheimgesetz oder eigene kommerzielle Interessen des Herstellers, wenn ein Gerät sicherheitsumgehende oder -aushebelnde Aktivitäten durchführt oder installierte Sicherheitssoftware umgeht? Wenn z. B. Cisco-Router beim Aufbau einer verschlüsselten Verbindung (nicht Ende-zu-Ende, da können sie wenig machen), also etwa via https zu einem SSL-zertifizierten Server, eine dritte Verbindung zu einem NSA- oder Cisco-eigenen Server aufbauen, an den sie die Daten unverschlüsselt senden? Oder Microsoft-Programme und -Betriebssysteme, die Daten an Sicherheitssoftware vorbei versenden, indem sie auf einem zweiten, nicht dokumentierten Kanal mit dem MS-eigenen Treiber der Netzkwerkkarte kommunizieren? Oder indem es immer ein Dienst zu sein scheint, der legalerweise immer auf das Netzwerk zugreifen können muss; welche Sicherheitssoftware kann den prüfen, was so ein Dienst alles versendet oder empfängt? Oder Android-Geräte, die zumindest in einigen Versionen auch dann ab und zu "synchronisiert" haben, wenn man das aktiv deaktiviert hatte, und die dabei rein zufällig auch die Nutzer-Passworte (und die, oberpeinlich: unverschlüsselt im Klartext, also für jeden in der Umgebung zum Mitlesen) an Google übermittelt haben?

    Ob also Cisco oder Google oder apple oder Microsoft oder sonst wer zum eigenen Nutzen (Daten auswerten und verkaufen), im Auftrag der US-Regierung und ihrer Dienste (sogenannte Sicherheit, in Tat und Wahrheit Industriespionage) oder durch (direkte oder indirekte) Einwirkungen von Agenten (welcher Regierung auch immer) solche "unerwünschten" Dinge getan haben: Es ist geschehen und geschieht in einem fort.

    Und inzwischen sind solche Geräte derartig weit verbreitet, dass eine gesetzliche Regelung, die bei der Neuanschaffung greifen soll, Jahrzehnte braucht, bevor sie irgendwelche nennenswerten Auswirkungen zeigen kann. Und die Regelung betrifft ja auch nur reine Hardware. Ein Router ohne Web-Interface? Klar, das geht. Nur wollen es die Kunden heutzutage anders. Also einer, dessen Interface komplett neu programmiert ist, ohne Nutzung potentiell "unsauberer" Compiler übersetzt, ohne Zugriff auf bekannte und damit potentiell "verwanzte" Bibliotheken und Javaskript usw. Und der natürlich auch nicht auf fremde und daher unsichere Dinge wie SSL-Zertifizierung und -Verschlüsselung aufsetzt. Ist machbar. So ein Router wird allerdings erst mal ziemlich teuer; in Zeiten, in denen "billig" auch dann "gut" ist, wenn es schlechter ist, kaum zu verkaufen. "[Name eines Telefon- und Internet-Providers] verkauft neu seinen WLan-ip-Alles-im-Sack-Router für nur 399 Euro?" Kein Problem; die Kunden werden was tun? Richtig: Zur billigeren, unsichereren Konkurrenz rennen.

    Kaufen Sie unseren Kühlschrank OHNE Software. Die dürfen wir leider aus lizenzrechtlichen Gründen nicht mehr beilegen. Sie können sie aber leicht selber installieren (und dabei jegliche Garantie verlieren)...

    Diese Verordnung kommt ganz einfach 30 Jahre zu spät.

    -----

    Befugnis kann man delegieren. Kompetenz muss man erlangen.

  8. Re: Aber sonst ist schadstiftende Software wohl OK?

    Autor: chefin 21.03.16 - 11:28

    Was könnte man gegen einen Hardwarehersteller heute tun?

    Momentan nichts. Er war gezwungen diese Änderungen einzubauen und sie nicht zu kommunizieren. Und da in den Verträgen nichts steht, das sie sowas hätten sagen müssen, sind die aus dem Schneider. Man müsste also unseren Regeln folgend die anklagen die das veranlasst haben, also die USA direkt.

    Das sowas nicht funktioniert ist irgendwie klar.

    Mit dieser Vertragsänderung muss aber ein Hersteller sich aus dem Geschäft zurück ziehen oder ist haftbar. Man kann zwar nun die USA weiterhin nicht anklagen, aber man klagt den Hersteller an. Und von dem Geschäft in der USA können die auch nicht leben. Deren Exportchancen sind dann aber Null.

    Und das dürfte eben nun das Problem werden für die NSA. Bauen sie Hintertürchen ein, killen sie den Hersteller und haben am Ende doch nichts gewonnen. Bauen sie keine ein, kommen sie auch keinen Schritt weiter. Bauen sie ein und zwingen ihn das zu verheimlichen, gibts einen Doppelknall. Jetzt gilt alles aus USA als kompromittiert. Und mit Taiwan und den Chinesen stehen genug Nationen in den Startlöchern die durchaus der USA ihr Silicon Vally zerstören können.

    Bisher war das halt alles nur Wischi Waschi und man konnte oder durfte keine Namen nennen. Nun darf man es bzw blitzen die ab und jeder kann sich seinen teil denken.

  9. Re: Wirksamkeit, wenn auf (tote) Hardware beschränkt?

    Autor: cpt.dirk 22.03.16 - 23:44

    Natürlich ist es nicht leicht, sich von althergebrachten Systemen zu veranbschieden. Im größeren Rahmen auf EU-Ebene sollten geschlossen agierende Behördenverbünde mit einer nicht unerheblichen Kaufkraft allerdings schon genügend Gewicht haben, um einzufordern, dass für die vertriebene Hardware vollständig offengelegte Spezifikationen vorhanden sein müssen und die Geräate auf Basis von z. B. angepassten Varianten von OpenWRT und LibreCore - ebenfalls zu 100% Open-Source - funktionieren müssen.

    Keine versteckten Telnet-Hintertüren, keine Blackbox ME-Module in der Firmware, keine proprietären Treiber und ähnliches Gerümpel, für die es ohnehin keine langfristigen Updateoptionen gibt.

  10. Re: Wirksamkeit, wenn auf (tote) Hardware beschränkt?

    Autor: Tuxianer 29.03.16 - 14:58

    cpt.dirk schrieb:
    --------------------------------------------------------------------------------
    > Natürlich ist es nicht leicht, sich von althergebrachten Systemen zu
    > veranbschieden. Im größeren Rahmen auf EU-Ebene sollten geschlossen
    > agierende Behördenverbünde mit einer nicht unerheblichen Kaufkraft
    > allerdings schon genügend Gewicht haben, um einzufordern, [...]

    Klingt schön. Mal nachdenken: Infolge einer solchen Verordnung verkauft Hersteller x seine nicht garantiert sichere Hardware nicht mehr an die Verwaltung. Nehmen wir mal ein Beispiel einer zufälligen bayrischen Stadt mit 6000 Einwohnern und einem Verschlüsselungstrojaner und ohne Backup ;-). Dort arbeiten so um die zwanzig Personen in der Verwaltung ... also darf Hersteller x seine Geräte nicht mehr verkaufen an ... 0.3 Prozent der Personen in dieser Stadt. Das wird ihn sicher ganz schnell zum Umdenken bringen, nicht wahr?

    Mal ein Beispiel eines Geräts, das man theoretisch noch rein auf Hardware-Basis hinbekommt: Router.

    In Europa leben rund 500 Millionen Menschen, und wer Internet halbwegs schnell nutzen will, kommt um einen Modem-Router am xDSL- oder Fernsehkabel oder um einen Umsetzer-Router für sein Satelliten-Internet derzeit nicht herum. Alle kaufen alle paar Jahre neue Router - sie selber oder ihre Internet-Provider, die ihnen die Dinger dann hinstellen. Ein Router-Hersteller, der per Vertrag mit den größeren Providern dessen Kundschaft mit Geräten versorgen darf, hat für ein paar Jahre ziemlich sicher ziemlich gut ausgesorgt; der kann auf die 0.3 Prozent "Verlust" wegen Einkaufssperre seiner Geräte seitens der Verwaltungen eines Staates lockerst verzichten.

    Ein anderes Beispiel: Drucker.

    Moderne Drucker "können Internet". Sicherheit 'können' sie leider so wenig wie die PR-Abteilungen der Hersteller deutsch, wie sich in den letzten Jahren gezeigt hat: WLan angreifbar, Drucker kann zur SPAM- und Schadsoftware-Schleuder werden, und das trat auf bei Firma ... und bei Firma ... bei welcher Firma nicht?

    Selbst Nadeldrucker liefen schon nicht mehr ohne Software. Man stelle sich heutige WLan-Kopierer-Scanner-Fax-Drucker mit direktem Mail-Versandt, PDF- und Graphik-Export und natürlich am Fax- wie am Netzwerk hängend und WLan anbietend rein auf Hardware-Basis vor? Wohl machbar - aber teuer. Fehlerkorrektur oder Featurismus in Software ist jederzeit möglich, allein mit Hardware weitaus schwieriger bis unmöglich.

    Also hat Hersteller y nun die Wahl: Um seine Drucker an Verwaltungen verkaufen zu dürfen, müssten sie nach so einer Verordnung rein auf Hardware-Basis laufen und garantiert sicher sein und offen und dokumentiert usw. Dafür dürfen sie schon auch teurer sein. Aber um wieviel teurer? Wieviele der 500 Millionen Europäer haben heute einen Drucker zuhause oder kaufen sich demnächst einen, der am Internet hängt, ja unbedingt hängen soll, weil er ja so unglaublich überflüssigen Ramsch wie eine Printer-Klaut bietet; ob der nun sicher ist oder nicht, ist wurscht, weil man es ja nicht sieht, wenn er unsicher ist? Ich erinnere nochmal an die 0.3 Prozent; da wird sich ein Hersteller schon überlegen, welcher Markt ihm wichtiger ist.

    Ein PC rein auf Hardware-Basis? Vorstellbar bei der Komplexität dessen, was er ausführen soll? Und dieser Aufwand wegen 0.3 Prozent möglichen Marktes??

    -----

    Befugnis kann man delegieren. Kompetenz muss man erlangen.

  11. Re: Wirksamkeit, wenn auf (tote) Hardware beschränkt?

    Autor: Tuxianer 29.03.16 - 15:06

    cpt.dirk schrieb:
    --------------------------------------------------------------------------------
    > Im größeren Rahmen auf EU-Ebene sollten [...] Behördenverbünde [...]
    > schon genügend Gewicht haben, um einzufordern, dass für die
    > vertriebene Hardware vollständig offengelegte Spezifikationen vorhanden
    > sein müssen [...]

    Das ist nicht nur für Behörden wichtig. Was nützt das "sicherste" Behördensystem, wenn das Internet- oder Telefonnetz zwischen den einzelnen, miteinander vernetzten Stellen wahlweise geguttenbergt oder vertrojanert wird? Auch Firmen haben, da zunehmend vernetzter und verteilter agierend, ein vitales Interesse an Datensicherheit und -vertraulichkeit der externen Netzwerkanlagen. Und auch Privatnutzer haben ein berechtigtes und schutzwürdiges Interesse daran. Also härten wir die Verordnung weiter: Die in Europa tätigen Telefon- und Internet-Provider, Netzanbieter und -Betreiber müssen ab dem unter Absatz 19 d der Verordnung SiHaVeFiBü (Sichere Hardware für Verwaltung, Firmen und Bürger) von März 2016 genannten Datum sicherstellen, nur noch Hardware zu verwenden oder an ihre Kunden auszugeben, die den Sicherheitsanforderungen der Verordnung SiHaVeFiBü in den Absätzen 1 bis 17 genügt. Der Austausch bestehender Geräte ist bis spätestens zu dem unter Absatz 19 e angegebenen Datum vorzunehmen.

    Auch das ist denkbar. Nur wiederum: nicht ganz billig.


    > und die Geräte auf Basis von z. B. angepassten Varianten von
    > OpenWRT und LibreCore - ebenfalls zu 100% Open-Source - funktionieren
    > müssen.

    Open Source hat riesige Vorteile, zugegeben. Nichts desto trotz *garantiert* offen liegender Quellcode das Nicht-Vorhandensein von Sicherheitsmängeln oder potentiellen Hintertürchen auch nicht. Etliche in den vergangenen Monaten aufgetauchten ernsthaften Sicherheitslücken in seit Jahren oder gar Jahrzehnten offenen Bibliotheksfunktionen belegen dies leider einmal mehr: Jeder hätte sie sehen können, aber die Komplexität des Codes oder das mangelnde Interesse an genau dieser einen Funktion x haben dazu geführt, dass diese Lücken über viele Jahre lang bestanden haben und potentiell ausgenutzt wurden.

    Meiner Meinung nach eher helfen würde: (mathematisch) beweisbar korrekte Hard- und Software. Der eine ebenso mathematisch beweisbar korrekte Spezifikation zugrundeliegt. Was bedeutet: eine vollständige Spezifikation. Also eine, die für jeden möglichen Fall - nicht nur für die gewünschten Fälle - abdeckt, wie die Hard- oder Software zu reagieren hat.

    Zu diesem Thema ein Blick in die "Geschichte": Unter anderem tauchte es Anfang 2013 in der Diskussion um eine "Meldepflicht für sicherheitsrelevante Software" auf; der Artikel bei Golem ist betitel mit: "Computersicherheit GI fordert Meldepflicht für Sicherheitslücken". Aus der Diskussion darf ich hier (m)einen Beitrag vom 14. Februar 2013 zitieren:

    Spätestens seit der Mitte der 90-er-Jahre existiert der Forschungsansatz "beweisbar korrekte Hard- und Software". Nur ist er über einen universitären Forschungsansatz nie wirklich herausgekommen, von Proof-of-concept-Beispielchen abgesehen. Warum? Weil dieser Ansatz vollständige Spezifikation verlangt, und das bedeutet nun mal deutlich mehr Zeit- und Kosteneinsatz. Und weil dieser Ansatz nicht auf die schnellstmögliche, sondern auf eine garantiert sichere Funktion der Hardware setzt. Und weil er genau deswegen bislang teuer und langsam ist, denn anders als im Rest der IT-Welt fließen diesen Ansätzen keine relevanten Geldvolumina zu. Würde man das ändern, dann wären auch solche Systeme bald schnell genug für den Alltag, und solche Software könnte auch hinreichend komplexe Aufgaben erledigen.

    Solange aber die Kunden vom "Endverbraucher" (Was für ein deterministischer Unbegriff...) bis zur militärischen oder Kraftwerks-IT-Sicherheitstechnik lieber "billig und schnell" kaufen, wird sich daran nichts ändern. Solange der, der als erster eine (gekaufte oder geklaute) Idee als "seine" und als "neu" anpreist, mehr verkauft, gehen sicherheitsorientierte Ansätze den Bach runter, weil sie logischerweise mehr Zeit und Geld kosten. Umdenken wäre angesagt: Attraktiv sei von nun an das Produkt, das bzw. dessen Hersteller eine Sicherheitsgarantie bietet!

    Umdenken wäre aber auch auf anderen Ebenen als der der Käufer gefragt: auf Ebene der Regierungen, die Gesetze erlassen. Sie könnten ja auch mal solche Gesetze erlassen, die den Einsatz von nicht beweisbar korrekten Systemen ab dem Jahr x in für den Staat sicherheitsrelevanten Einrichtungen (Kraftwerke, Militär etc.) verbieten. Und 2 Jahre später in wirtschaftsrelevanten Systemen (Banksysteme, Grundversorger etc.). Und wieder 2 Jahre später in ... usw.

    Mit anderen Worten: Bereits Mitte der 90-er-Jahre gab es in Deutschland zielorientierte Forschung in diesem Bereich, vermutlich auch in anderen Ländern. Im Jahr 2013 dachte eine "Computersicherheit GI" darüber nach. Im Jahr 2016 denkt eine Regierung darüber nach. Passiert ist: nichts.

    -----

    Befugnis kann man delegieren. Kompetenz muss man erlangen.

  12. Re: Wirksamkeit, wenn auf (tote) Hardware beschränkt?

    Autor: Tuxianer 29.03.16 - 15:27

    cpt.dirk schrieb:
    --------------------------------------------------------------------------------
    > Keine versteckten Telnet-Hintertüren, keine Blackbox ME-Module in der
    > Firmware, keine proprietären Treiber und ähnliches Gerümpel, für die es
    > ohnehin keine langfristigen Updateoptionen gibt.


    Absolut einverstanden. Nur gibt es da ein Problem: Man bekommt immer weniger Geräte ohne solches Gerümpel. Ein Beispiel: Heizung. Wie "aktualisiert" man seine Heizung? Man tauscht Düsen oder Ventile oder Pumpen oder Schnitzel- oder Pellet-Transportsysteme aus, weil sie sich abnutzen. Wenn es eine Software-Schnittstelle gibt, einen (berührungsempfindlichen) Monitor, Tasten oder dergleichen, dann wird diese oben liegende Software vielleicht vom Hersteller ein paar Jährchen lang (eine Heizung sollte 30 Jahre lang laufen!) ab und zu irgendwie herumbastelaktualisiert (meistens nur Gimmicks), aber: closed source, eingeschränkter Benutzer-Zugang usw. Und das Betriebssystem drunter? XP oder ein anderes embedded-System, das, einmal lizensiert, nie mehr aktualisiert wird, weil der Heizungsbauer es benutzt, nicht aber wartet oder gar auf Sicherheit hin prüft; davon hat er ja auch keine Ahnung. Auswahl hier: Kaufen oder frieren. Ach ja: Moderne Heizungen haben eine Internet-Schnittstelle. Man kann also aus dem Urlaubsland sehen, wann der Brenner tut ... ach, wie wichtig. Und auch die Heiztemperatur muss man ja alle paar Stunden von außen ändern, nicht wahr? Wie konnte man denn seit x Generationen heizen, ohne unterwegs ständig die adaptive Steilheitskurve anpassen zu können? Dass das leider auch jeder 12-Jährige kann, der Lust hat, ein wenig im Internet zu stöbern, ist da vielleicht weniger schön, denn der kann die Heizung auch ganz einfach abschalten; ist etwas frech, weil der Urlauber dann halt nichts mehr machen kann ohne das (geänderte) Passwort. Und im Februar umso frecher, weil dann alle Wasserrohre platzen - und den Generalhahn zum Wasser hat man halt doch noch nicht verinternetet.

    Die / der neue Kühlschrank, Ofen, Grill, Klimaanlage, ... mit Internet ... *noch* kann man solche Dinger ohne Internet-Blabla kaufen; Sicherheitsprobleme bleiben also immerhin lokal (solange der Fehler nicht zu einem Großbrand in der Altstadt führt). Aber wie lange noch? Fernsehgeräte ohne krasse Nutzerverhaltens-Spionage der Hersteller sind inzwischen faktisch nicht mehr existent; 'upgedated' wird, wenn überhaupt, die neue, längere Liste der Mitlesespione, "Partner" der Herstellerfirma. Und wer übers Internet Streaming-Daten für seine Glotze bezieht, legt sich sowieso quasi unbekleidet vor den Internet-Provider. Und nicht nur vor diesen.

    Des Deutschen Liebstes: Sein Auto. Fuhr früher mal ganz ohne Software. Verbraucht heute, dank "modernster Software" ja ach so viel weniger (zumindest, wenn es um fälschbare Labor-Messungen geht). Und just die deutsche Regierung will ja nun (im Auftrag ihrer Lobbyhinterlügner "fordern", dass Autos via Funknetzen kommunizieren "können müssen", und das, obwohl in exakt 100 Prozent aller bisher in diesem Bereich vorgestellten Fahrzeuge gröbste Sicherheitslücken binnen Wochen oder gar Tagen aufgedeckt wurden. Ich 'freue' mich auf mobil.trojan.FunnyCar.2019, der dann an einem Freitag um 14:45 Uhr rund 70 Prozent aller Fahrzeuge in europäischen Großstädten und auf Autobahnen wahllos irgendwohin lenkt oder den Motor abschaltet. Oder vollbremst, aus voller Fahrt - und das bei abgeschalteten Bremslichtern; die "Elektronik macht's möglich" ;-) Oder nachts die Beleuchtung abschaltet, so auf kurvenreicher Straße. Oder mittels des eingebauten Navi's überall Stau-Warnungen simuliert, die es nicht gibt und dafür die echten Meldungen unterdrückt... DAS WIRD GELD KOSTEN!!!

    Updateoption? Neukauf! Wie bei VAG.

    "Der Markt" wird mit Geräten überschwemmt, die absolut unsicher und wartungsunfreundlich sind und bei denen man als Nutzer den Herstellern und ihren Zubehörlieferanten vollständig ausgeliefert ist. Handys sind ein ganz krasse Beispiele: Sie sind mehr oder weniger ständig mit dem Internet verbunden; es gibt weder Firewall- noch sonstige Sicherheitssoftware; die Spionage ist ab Werk wie ab Netz garantiert; das Recht an den eigenen Daten wird mit Füßen getreten, und wenn die cloud mal ausnahmsweise fehlerfrei sichert, dann klaut sie. Hat unsere liebe Wir-schaffen-das-Regierung da prompt und kraftvoll reagiert? Verlangt sie offene Betriebssysteme, klare Spezifikation, sichere Hardware, garantierte lokale und brauchbare Datensicherung? Nutzen oder nicht nutzen, das ist die polemische Wahrheit.

    Solange die Verordnung nicht zwingend so lautet, dass ein Hersteller innerhalb der EU egal an wen ausschließlich Geräte verkaufen darf, wenn er deren Sicherheit und Unverwanztheit uneingeschränkt garantiert, ist es den Herstellern schlicht egal, ob sie 0.3 Prozent weniger Umsatz erwirtschaften. Soll die deutsche Verwaltung halt wieder zu Papier und Bügelschreibmaschine zurückkehren und Briefe per Austräger transportieren lassen und das Telefon abschalten. Oder kaufen, was verwanzt ist.

    -----

    Befugnis kann man delegieren. Kompetenz muss man erlangen.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Total Deutschland GmbH, Berlin
  2. Senatsverwaltung für Bildung, Jugend und Familie, Berlin
  3. Stadtwerke München GmbH, München
  4. LOTTO Hessen GmbH, Wiesbaden

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Asus VivoBook 14 S413IA-EB166T 14 Zoll Ryzen 5 8GB 512GB SSD für 730,13€, Asus VivoBook...
  2. (u. a. Anno History Collection für 26,29€, Monster Hunter World - Iceborne (Master Edition) für...
  3. (u. a. be quiet! PURE BASE 600 Tower-Gehäuse für 61,90€, Chieftec CF-3012-RGB 3er-RGB Lüfter...
  4. (aktuell u. a. Neato Saugroboter günstiger (u. a. Robotics D650 für 369,99€), Bluetooth 4.0 USB...


Haben wir etwas übersehen?

E-Mail an news@golem.de