Abo
  • Services:
Anzeige
Dan Geer auf der Black Hat 2014 in Las Vegas
Dan Geer auf der Black Hat 2014 in Las Vegas (Bild: Reuters/Steve Marcus)

Security: Experte rät US-Regierung, alle Sicherheitslücken zu kaufen

Der Sicherheitsexperte Dan Geer macht radikale Vorschläge, wie Politik und Wirtschaft für mehr Sicherheit im Netz sorgen können. Seine persönliche Maßnahme: Rückzug.

Anzeige

Im großen Ballsaal des Mandalay Bay Hotels in Las Vegas steht eine Koryphäe in Sachen Internetsicherheit und sagt den rund 4.000 anderen anwesenden Sicherheitsexperten, er persönlich könne sich gegen die zunehmenden Angriffe im Netz nur noch wehren, indem er es weniger nutze.

Es ist kein Abgesang, keine Grabrede, aber die Keynote von Dan Geer auf der Black-Hat-Konferenz fällt pessimistisch aus. Seine Vorschläge für Cybersecurity as Realpolitik - so hat er seine Rede betitelt - seien in großen Teilen nur die am wenigsten schlechten, sagt er.

Geer ist eine schillernde Figur in der Branche. Er gilt als hoch angesehener Vordenker, als Pionier des Risikomanagements. Er hat bedeutende Netzwerktechnologien mitentwickelt und sich im Jahr 2003 mit Microsoft angelegt. Er war Co-Autor einer Studie, die warnte, das Monopol von Microsoft Windows stelle eine Gefahr für die nationale Sicherheit dar. Sein damaliger Arbeitgeber, die von Geer selbst mitbegründete Beratungsfirma @stake, feuerte ihn noch an dem Tag, an dem die Studie veröffentlicht wurde. Zu den Kunden von @stake gehörte auch Microsoft.

Seit 2008 arbeitet er für In-Q-Tel. Der Fonds vergibt Risikokapital an IT-Unternehmen und bekommt das Geld dafür von der CIA und anderen US-Geheimdiensten, die technisch auf dem neuesten Stand sein wollen. Geer geht davon aus, dass Angriffstechnik sich heute schneller entwickelt als Abwehrtechnik. Er macht in Las Vegas zehn Vorschläge, wie Politik und Wirtschaft darauf reagieren sollten. Keiner davon ist simpel, eindeutig und frei von Nebeneffekten oder Nachteilen. Und längst nicht alle fallen in die Kategorie "Realpolitik". "Für jedes komplexe Problem gibt es eine Antwort, die klar, einfach und falsch ist", zitiert er den Schriftsteller H. L. Mencken. Entsprechend uneindeutig und bisweilen unbequem fallen seine Ideen aus.

Die vielleicht radikalste: Geer fordert die US-Regierung auf, alle neu entdeckten und bisher nicht ausgenutzten Sicherheitslücken - sogenannte Zero-Days - aufzukaufen, für zehnmal so viel Geld, wie alle anderen bieten würden. Anschließend sollten sie allesamt veröffentlicht werden, um dadurch das Arsenal für Angriffe durch andere deutlich zu verkleinern. Dabei gilt die US-Regierung schon heute als einer der besten Kunden von Unternehmen, die Zero-Days suchen und verkaufen. Geheimdienste wie die NSA nutzen solche Schwachstellen nämlich selbst für ihre Attacken auf fremde Computer. Was der Monopol-Kritiker Geer also fordert, ist ein Monopol für die USA, das sie dann nicht ausnutzt. Wenn jemand anderes als Geer so eine Idee äußerte, dürfte er umgehend als weltfremder Fantast angesehen werden.

Code, der nicht mehr aktualisiert wird, soll offengelegt werden

Geer fordert zudem die Pflicht für Unternehmen, Zwischenfälle in Sachen Datensicherheit an die Regierung zu melden. Er vergleicht das mit der Meldepflicht von Beinahe-Unfällen im Flugverkehr oder von bestimmten Krankheiten, die zur Folge haben, dass die Betroffenen ins Licht der Öffentlichkeit geraten. Es gibt entsprechende Gesetzesinitiativen für solche Meldepflichten für Cyber-Angriffe in den USA, in Deutschland steht das Vorhaben im Koalitionsvertrag von Union und SPD. Naturgemäß sind die Unternehmen wenig begeistert, müssen sie doch mit einem Imageverlust rechnen, wenn erfolgreiche Angriffe auf ihre Netzwerke und Daten öffentlich werden. Wo die Grenze zu ziehen ist zwischen meldepflichtigen Vorfällen und solchen, die der Öffentlichkeit verschwiegen werden dürfen, weiß aber auch Dan Geer nicht.

Für erheblichen Widerstand in der Software-Industrie dürfte Geers Vorschlag sorgen, dass Unternehmen den Quellcode jedes Programms offenlegen müssen, das sie nicht länger mit Sicherheitsupdates versorgen. Geer nennt Windows XP als Beispiel, wohl nicht zuletzt als Seitenhieb auf Microsoft. Dass solche Unternehmen das als Bedrohung ihres Geschäftsmodells ansehen könnten, ist Geer klar. Er sagt: "Mein Vorschlag wäre die denkbar schlechteste Lösung, mit Ausnahme von allen anderen."

Geer fordert das Recht auf Falschinformation 

eye home zur Startseite
Casandro 09. Aug 2014

Entschuldigung, aber der CCC liefert technische Lösungen. Zum Beispiel betreibt er...

Force8 08. Aug 2014

Der Programmierer baut absichtlich Sicherheitslücken in die Software ein. Dann verkauft...

Moe479 08. Aug 2014

doch die lösung dafür gibt es: die lösung ist den vertrieb von geschlossenen produkten zu...

Moe479 08. Aug 2014

und denkbar ist nur was man sich vorstellen kann und andersherum ... ein teufelskreis...

Anonymer Nutzer 08. Aug 2014

ja genau, die regierung und geheimdienste sind selber ein, wenn nicht der, hauptgrund für...



Anzeige

Stellenmarkt
  1. Stadt Ellwangen, Ellwangen
  2. Media-Saturn-Holding GmbH, Ingolstadt
  3. GEUTEBRÜCK, Windhagen
  4. ENERTRAG Aktiengesellschaft, Berlin


Anzeige
Top-Angebote
  1. (-40%) 17,99€
  2. 15€ sparen mit Gutscheincode GTX15 (Bestpreis laut Preisvergleich)
  3. (u. a. 3x B12-PS 120mm für 49,90€, 3x B14-1 140mm für 63,90€ statt 71,70€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. DNS NET

    Erste Kunden in Sachsen-Anhalt erhalten 500 MBit/s

  2. Netzwerk

    EWE reduziert FTTH auf 40 MBit/s im Upload

  3. Rahmenvertrag

    VG Wort will mit Unis neue Zwischenlösung für 2017 finden

  4. Industriespionage

    Wie Thyssenkrupp seine Angreifer fand

  5. Kein Internet

    Nach Windows-Update weltweit Computer offline

  6. Display Core

    Kernel-Community lehnt AMDs Linux-Treiber weiter ab

  7. Test

    Mobiles Internet hat viele Funklöcher in Deutschland

  8. Kicking the Dancing Queen

    Amazon bringt Songtexte-Funktion nach Deutschland

  9. Nachruf

    Astronaut John Glenn im Alter von 95 Jahren gestorben

  10. Künstliche Intelligenz

    Go Weltmeisterschaft mit Menschen und KI



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Großbatterien: Sechs 15-Megawatt-Anlagen sollen deutsches Stromnetz sichern
Großbatterien
Sechs 15-Megawatt-Anlagen sollen deutsches Stromnetz sichern
  1. HPE Hikari Dieser Supercomputer wird von Solarenergie versorgt
  2. Tesla Desperate Housewives erzeugen Strom mit Solarschindeln
  3. Solar Roadways Erste Solarzellen auf der Straße verlegt

Google, Apple und Mailaccounts: Zwei-Faktor-Authentifizierung richtig nutzen
Google, Apple und Mailaccounts
Zwei-Faktor-Authentifizierung richtig nutzen
  1. Bugs in Encase Mit dem Forensik-Tool die Polizei hacken
  2. Red Star OS Sicherheitslücke in Nordkoreas Staats-Linux
  3. 0-Day Tor und Firefox patchen ausgenutzten Javascript-Exploit

Steep im Test: Frei und einsam beim Bergsport
Steep im Test
Frei und einsam beim Bergsport
  1. PES 2017 Update mit Stadion und Hymnen von Borussia Dortmund
  2. Motorsport Manager im Kurztest Neustart für Sportmanager
  3. NBA 2K17 10.000 Schritte für Ingame-Boost

  1. Re: Danke Apple

    crazypsycho | 02:04

  2. Re: Was die VG Wort will

    Moe479 | 02:03

  3. Re: Bye Bye Samsung

    crazypsycho | 01:53

  4. Re: Hat Microsoft eigentlich noch eine...

    mambokurt | 01:45

  5. Re: Da hat ihm die Strahlung wohl gar nichts...

    Moe479 | 01:43


  1. 18:40

  2. 17:30

  3. 17:13

  4. 16:03

  5. 15:54

  6. 15:42

  7. 14:19

  8. 13:48


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel