Interview: "Haftung für Softwareschäden ist wichtig"

Golem.de: Sie arbeiten im Bereich der IT-Sicherheitsforschung. Wie sehr hilft Ihnen die freie Offenlegung von aktuellen Bugs dabei?

Stellenmarkt

1. Systemadministrator*in (m/w/d)
   Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
2. Technischer Redakteur (m/w/d)
   Schweickert GmbH, Walldorf

Detailsuche

Schneier: Der freie Fluss der Informationen ist auch für diesen Sektor sehr wichtig. In der IT-Sicherheitsforschung haben wir in den letzten zehn Jahren eine Blüte erlebt - und das hat auch mit der "Full Disclosure"-Bewegung zu tun. Wenn es möglich ist, Forschungsergebnisse, seien sie nun schlecht oder gut, zu veröffentlichen, führt das zu mehr Sicherheit für alle. Ohne derartige Informationen kann man auch nicht von den Fehlern der anderen lernen - stattdessen macht man die selben Fehler eben immer und immer wieder.

Golem.de: Können Sie Beispiele nennen?

Schneier: Vor ein paar Wochen kam ein Linux-Kernel heraus, dem die normalerweise beigegebenen detaillierten Informationen über die Sicherheit des Betriebssystems fehlten. Die Entwickler nannten als Grund dafür die Furcht vor dem amerikanischen Urheberrechtsgesetz Digital Millennium Copyright Act (DMCA) [der unter anderem bestimmte Hackertools verbietet, Anm. d. Red.]. Stellen Sie sich vor, Sie haben sich ein Betriebssystem auszusuchen - würden Sie sich beim Anblick eines Linux-OS ohne die Sicherheitsdetails beruhigter vorkommen?

Golem.de: Sollten derartige Gesetze Ihrer Meinung nach wieder abgeschafft werden?

Schneier: Der DMCA hat die Geheimhaltung von Fehlern sozusagen ins Gesetz geschrieben. In vielen Fällen ist es nun illegal, Sicherheitslücken zu veröffentlichen oder Hacking-Tools herauszugeben, die Kopierschutzformate aushebeln können. Forscher werden drangsaliert und es wird von ihnen gefordert, ihre Arbeit nicht zu verbreiten. Angriffspunkte bleiben geheim. Das Ergebnis ist eine Unmenge von unsicheren Systemen, deren Besitzer sich hinter dem Gesetz verstecken - und hoffen, dass niemand merkt, wie schlecht sie wirklich sind.

Golem.de: Was sehen Sie als die primäre Motivation bei Microsoft, die Nichtveröffentlichung von Sicherheitslücken zu fördern?

Schneier: Microsofts Motive, Bugs geheim zu halten, sind ganz klar: Für die Firma ist es viel einfacher, Informationen zur Sicherheit zu unterdrücken, als Probleme zu lösen - oder Produkte herzustellen, die von vorneherein sicher sind. Der ständige Strom von öffentlich bekannt gewordenen Sicherheitslücken bei Microsoft führt bei vielen Leuten dazu, die Sicherheit zukünftiger Produkte zu hinterfragen. Wenn Analysten wie die von Gartner nun raten, beispielsweise den Internet Information Server [Microsofts Webserver, Anm. d. Red.] nicht mehr einzusetzen, weil der unsicher ist, können weniger Informationen über die Sicherheit von Microsoft-Produkten nur gut fürs Geschäft sein.

Golem.de: Microsoft sagt, im Handling von Security-Problemen "sehr offen" zu sein. Das behauptet auch ihr "Gegenspieler" Scott Culp. Warum sind die Produkte der Firma also nicht sicherer?

Schneier: Die Firma behandelt Sicherheitslücken als PR-Problem. Das Ziel ist nicht, sichere Software zu schaffen, sondern den Marktanteil zu erhöhen. Der kosteneffektivste Weg dorthin bleibt, viel Lärm um Sicherheit zu machen, anstatt sie in den Produkten wirklich zu verbessern. In vielen Bereichen wäre es unfair, Microsoft dafür die Schuld in die Schuhe zu schieben - die Firma antwortet nur auf die Nachfrage, die sie vom Markt spürt. Und der will einfache Benutzbarkeit, spannende neue Features und ganz viele Möglichkeiten. Für echte Sicherheit will aber niemand zahlen. Erst dann, wenn Microsoft Marktanteile gegenüber Unternehmen verliert, die Produkte herstellen, die sicherer sind, wird es eine Änderung in der Herangehensweise des Unternehmens geben.