Anzeige
Dan Geer auf der Black Hat 2014 in Las Vegas
Dan Geer auf der Black Hat 2014 in Las Vegas (Bild: Reuters/Steve Marcus)

Security: Experte rät US-Regierung, alle Sicherheitslücken zu kaufen

Der Sicherheitsexperte Dan Geer macht radikale Vorschläge, wie Politik und Wirtschaft für mehr Sicherheit im Netz sorgen können. Seine persönliche Maßnahme: Rückzug.

Anzeige

Im großen Ballsaal des Mandalay Bay Hotels in Las Vegas steht eine Koryphäe in Sachen Internetsicherheit und sagt den rund 4.000 anderen anwesenden Sicherheitsexperten, er persönlich könne sich gegen die zunehmenden Angriffe im Netz nur noch wehren, indem er es weniger nutze.

Es ist kein Abgesang, keine Grabrede, aber die Keynote von Dan Geer auf der Black-Hat-Konferenz fällt pessimistisch aus. Seine Vorschläge für Cybersecurity as Realpolitik - so hat er seine Rede betitelt - seien in großen Teilen nur die am wenigsten schlechten, sagt er.

Geer ist eine schillernde Figur in der Branche. Er gilt als hoch angesehener Vordenker, als Pionier des Risikomanagements. Er hat bedeutende Netzwerktechnologien mitentwickelt und sich im Jahr 2003 mit Microsoft angelegt. Er war Co-Autor einer Studie, die warnte, das Monopol von Microsoft Windows stelle eine Gefahr für die nationale Sicherheit dar. Sein damaliger Arbeitgeber, die von Geer selbst mitbegründete Beratungsfirma @stake, feuerte ihn noch an dem Tag, an dem die Studie veröffentlicht wurde. Zu den Kunden von @stake gehörte auch Microsoft.

Seit 2008 arbeitet er für In-Q-Tel. Der Fonds vergibt Risikokapital an IT-Unternehmen und bekommt das Geld dafür von der CIA und anderen US-Geheimdiensten, die technisch auf dem neuesten Stand sein wollen. Geer geht davon aus, dass Angriffstechnik sich heute schneller entwickelt als Abwehrtechnik. Er macht in Las Vegas zehn Vorschläge, wie Politik und Wirtschaft darauf reagieren sollten. Keiner davon ist simpel, eindeutig und frei von Nebeneffekten oder Nachteilen. Und längst nicht alle fallen in die Kategorie "Realpolitik". "Für jedes komplexe Problem gibt es eine Antwort, die klar, einfach und falsch ist", zitiert er den Schriftsteller H. L. Mencken. Entsprechend uneindeutig und bisweilen unbequem fallen seine Ideen aus.

Die vielleicht radikalste: Geer fordert die US-Regierung auf, alle neu entdeckten und bisher nicht ausgenutzten Sicherheitslücken - sogenannte Zero-Days - aufzukaufen, für zehnmal so viel Geld, wie alle anderen bieten würden. Anschließend sollten sie allesamt veröffentlicht werden, um dadurch das Arsenal für Angriffe durch andere deutlich zu verkleinern. Dabei gilt die US-Regierung schon heute als einer der besten Kunden von Unternehmen, die Zero-Days suchen und verkaufen. Geheimdienste wie die NSA nutzen solche Schwachstellen nämlich selbst für ihre Attacken auf fremde Computer. Was der Monopol-Kritiker Geer also fordert, ist ein Monopol für die USA, das sie dann nicht ausnutzt. Wenn jemand anderes als Geer so eine Idee äußerte, dürfte er umgehend als weltfremder Fantast angesehen werden.

Code, der nicht mehr aktualisiert wird, soll offengelegt werden

Geer fordert zudem die Pflicht für Unternehmen, Zwischenfälle in Sachen Datensicherheit an die Regierung zu melden. Er vergleicht das mit der Meldepflicht von Beinahe-Unfällen im Flugverkehr oder von bestimmten Krankheiten, die zur Folge haben, dass die Betroffenen ins Licht der Öffentlichkeit geraten. Es gibt entsprechende Gesetzesinitiativen für solche Meldepflichten für Cyber-Angriffe in den USA, in Deutschland steht das Vorhaben im Koalitionsvertrag von Union und SPD. Naturgemäß sind die Unternehmen wenig begeistert, müssen sie doch mit einem Imageverlust rechnen, wenn erfolgreiche Angriffe auf ihre Netzwerke und Daten öffentlich werden. Wo die Grenze zu ziehen ist zwischen meldepflichtigen Vorfällen und solchen, die der Öffentlichkeit verschwiegen werden dürfen, weiß aber auch Dan Geer nicht.

Für erheblichen Widerstand in der Software-Industrie dürfte Geers Vorschlag sorgen, dass Unternehmen den Quellcode jedes Programms offenlegen müssen, das sie nicht länger mit Sicherheitsupdates versorgen. Geer nennt Windows XP als Beispiel, wohl nicht zuletzt als Seitenhieb auf Microsoft. Dass solche Unternehmen das als Bedrohung ihres Geschäftsmodells ansehen könnten, ist Geer klar. Er sagt: "Mein Vorschlag wäre die denkbar schlechteste Lösung, mit Ausnahme von allen anderen."

Geer fordert das Recht auf Falschinformation 

eye home zur Startseite
Casandro 09. Aug 2014

Entschuldigung, aber der CCC liefert technische Lösungen. Zum Beispiel betreibt er...

Force8 08. Aug 2014

Der Programmierer baut absichtlich Sicherheitslücken in die Software ein. Dann verkauft...

Moe479 08. Aug 2014

doch die lösung dafür gibt es: die lösung ist den vertrieb von geschlossenen produkten zu...

Moe479 08. Aug 2014

und denkbar ist nur was man sich vorstellen kann und andersherum ... ein teufelskreis...

Anonymer Nutzer 08. Aug 2014

ja genau, die regierung und geheimdienste sind selber ein, wenn nicht der, hauptgrund für...

Kommentieren



Anzeige

  1. IT-Scrum Master Payment Solutions (m/w)
    Media-Saturn IT Services GmbH, Ingolstadt
  2. Senior Consultant SAP HCM (m/w)
    über Mentis International Human Resources GmbH, Nordbayern
  3. UX Designer für Mobile Apps (m/w)
    Daimler AG, Ulm
  4. Softwareentwickler Java / Webentwickler (m/w)
    syncpilot GmbH, Puchheim bei München

Detailsuche



Anzeige

Folgen Sie uns
       


  1. Arbeitsbedingungen

    Apple-Store-Mitarbeiterin gewährt Blick hinter die Kulissen

  2. Modulares Smartphone

    Project-Ara-Ideengeber hat von Google mehr erwartet

  3. Telekom-Konzernchef

    "Vectoring schafft Wettbewerb"

  4. Model S

    Teslas Autopilot verursacht Auffahrunfall

  5. Security

    Microsoft will Passwort 'Passwort' verbieten

  6. Boston Dynamics

    Google will Roboterfirma an Toyota verkaufen

  7. Oracle-Anwältin nach Niederlage

    "Google hat die GPL getötet"

  8. Selbstvermessung

    Jawbone steigt offenbar aus Fitnesstracker-Geschäft aus

  9. SpaceX

    Falcon 9 Rakete kippelt nach Landung auf Schiff

  10. Die Woche im Video

    Die Schoko-Burger-Woche bei Golem.de - mmhhhh!



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Xiaomi Mi5 im Test: Das fast perfekte Top-Smartphone
Xiaomi Mi5 im Test
Das fast perfekte Top-Smartphone
  1. Konkurrenz zu DJI Xiaomi mit Kampfpreis für Mi-Drohne
  2. YI 4K Xiaomi greift mit 4K-Actionkamera GoPro an

Hyperloop Global Challenge: Jeder will den Rohrpostzug
Hyperloop Global Challenge
Jeder will den Rohrpostzug
  1. Hyperloop HTT will seine Rohrpostzüge aus Marvel-Material bauen
  2. Hyperloop One Der Hyperloop fährt - wenn auch nur kurz
  3. Inductrack Hyperloop schwebt ohne Strom

Doom im Test: Die beste blöde Ballerorgie
Doom im Test
Die beste blöde Ballerorgie
  1. Doom im Technik-Test Im Nightmare-Mode erzittert die Grafikkarte
  2. id Software Doom wird Vulkan unterstützen
  3. Id Software PC-Spieler müssen 45 GByte von Steam laden

  1. Typisch Apple, aber...

    d0351t | 11:34

  2. Re: Nein.

    RipClaw | 11:33

  3. Re: lowcarb funktioniert auch .. (ganz ohne Sport)

    opodeldox | 11:32

  4. Re: Viel zu hohe Erwartungen seitens des Ideengebers

    Moe479 | 11:31

  5. Re: Ein modulares Handy wäre teurer, größer, kaum...

    droektar | 11:28


  1. 11:19

  2. 09:44

  3. 14:15

  4. 13:47

  5. 13:00

  6. 12:30

  7. 11:51

  8. 11:22


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel