Interview: "Haftung für Softwareschäden ist wichtig"

Golem.de: Wenn Microsoft sich durchsetzt - könnte die Geheimhaltung von Bugs wirklich funktionieren?

Stellenmarkt

1. Fachinformatiker als IT-Service und SQL-Datenbank Spezialist / Software Entwicklung & Support ... (m/w/d)
   WE4YOU GmbH, Solingen
2. Senior IT-Systemadministrator (m/w/d)
   Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB), verschiedene Standorte

Detailsuche

Schneier: Eigentlich überhaupt nicht. Man muss immer daran denken, dass die "Bösen" die Lücken sicherlich trotzdem kennen werden - und das oft, bevor die "Guten" sie entdecken. Die Geheimniskrämerei um Sicherheitslücken macht uns da kein bisschen sicherer. Das steht auch gar nicht auf Microsofts Agenda - die wollen bloß, dass die Öffentlichkeit weniger über die Security-Probleme in den Produkten der Firma erfährt. Wenn die durchschnittlich sicherer wären, als die der Konkurrenz, wäre man erheblich offener - dann sieht Microsoft ja besser aus, gegenüber anderen Firmen. Nun hätten sie aber gerne, dass die Vergleichsmöglichkeiten schrumpfen. Und die Geheimhaltung von Bugs wird das wahrscheinlich möglich machen. Die Wissenschaftler, die Lücken finden, würden dazu gezwungen, still zu halten, Journalisten schrieben weniger über Probleme in Microsoft-Produkten und die Konsumenten würden insgesamt dümmer, was Microsoft nur helfen kann.

Golem.de: Wie bewerten Sie den endlosen Fluss neuer Hacking-Tools, die Sicherheitslücken ausnutzen und frei im Netz erhältlich sind?

Schneier: Das kann man so oder so sehen. Es gibt Programme, die Gutes wie Schlechtes vollbringen - und manchmal hat diese Unterscheidung nur mit dem Marketing zu tun. Dan Farmer wurde zum Bösewicht, als er "SATAN" [ein Analysetool für Firewalls, Anm. d. Red.] schrieb - heute sind solche Untersuchungsprogramme längst extrem wertvoll für Administratoren. Gleiches gilt für Remote-Access-Produkte, die aussehen wie der Trojaner Back Orifice, der nur ein paar Features weniger hat. "L0phtcrack" ist ein Hackertool, das schwache NT-Passwörter brechen kann, um eine Attacke vorzubereiten. Die Version 3.0 wird nun als Programm für Sysadmins verkauft, derartige schwache Passwörter zu entlarven. Die meisten Tools haben gute wie schlechte Anwendungsmöglichkeiten. Im Zweifelsfall ist es mir aber lieber, dass die Informationen an die Leute gelangen, die sie brauchen, selbst wenn die "schlimmen Jungs" sie dann auch bekommen.

Golem Karrierewelt

1. IT-Sicherheit für Webentwickler: virtueller Zwei-Tage-Workshop
   14./15.09.2022, Virtuell
2. Cinema 4D Grundlagen: virtueller Drei-Tage-Workshop
   04.-06.07.2022, Virtuell

Weitere IT-Trainings

Ich mag das "Sei Teil der Lösung, nicht Teil des Problems"-Sprichwort. Sicherheit zu untersuchen, ist Teil der Lösung. Die Hersteller dazu zu bringen, Lücken zu schließen, ist ebenfalls Teil der Lösung. Angst zu säen, ist Teil des Problems. Dummen Teenagern Angriffstools zu geben, ebenfalls.