Abo
  • Services:
Anzeige

Interview: "Haftung für Softwareschäden ist wichtig"

Krypto- und Sicherheitsexperte Bruce Schneier über Microsoft und die Sicherheit

Aufregung in der IT-Security-Gemeinde: Scott Culp, Manager des Microsoft Security Response Team, forderte in einem langen offenen Brief, die "Information Anarchy" künftig zu beenden und stattdessen nur noch nach Absprache unter verschiedenen Unternehmen Sicherheitslücken zu veröffentlichen. Der renommierte Krypto- und Sicherheitsexperte Bruce Schneier antwortete auf Fragen von Golem.de.

Anzeige

Bruce Schneier im Interview
Bruce Schneier im Interview
Golem.de: Herr Schneier, ihr Kollege Scott Culp, Manager des Microsoft-Sicherheitsteams, nennt die freie Veröffentlichung von Sicherheitslücken eine "Informations-Anarchie". Was antworten Sie ihm darauf?

Schneier: Die Geschichte zeigt, dass das nicht der Fall ist. Lesen Sie sich Scott Culps letztes Essay durch: Der Mann sagt nicht, "Hey Leute, wenn Ihr einen Bug habt, schickt ihn zu mir und ich sorge dafür, dass er sofort gefixt wird." Was er tat, war gegen die Publikation von Gefahren zu argumentieren und die Forscher zu bitten, die Details unter ihren Hüten zu lassen. Ansonsten, drohte er, "werden die Hersteller keine Wahl haben, andere Wege zu finden, ihre Kunden zu schützen" - was immer das heißt. Eine solche Haltung macht den "Full Disclosure"-Ansatz, die komplette Offenlegung von Sicherheitslücken, zur einzigen Möglichkeit, das Angriffsfenster zu schließen.

Golem.de: Einige Leute scheinen zu einer Zeit zurückkehren zu wollen, in der schwerwiegende Fehler in IT-Komponenten überhaupt nicht öffentlich gemacht wurden.

Schneier: Das Problem mit diesem System war, dass die Hersteller keine Motivation hatten, Sicherheitslücken zu schließen. Das CERT [Computer Emergency Response Team an der Carnegie-Mellon-Universität, Anm. d. Red.] hat nichts berichtet, bevor kein Fix da war, also gab es keine Dringlichkeit. So war es einfacher, Lücken geheim zu halten. Es gab Vorfälle, bei denen die Hersteller Forscher bedroht haben, falls sie irgendetwas öffentlich sagten - und es gab Schmutzkampagnen gegen sie, selbst wenn keine Details genannt waren. Auf diese Weise gab es Anfälligkeiten in Software, die über Jahre nicht behoben wurden.

Golem.de: Heute haben wir eine offenere Diskussion. Wie kam es überhaupt dazu?

Schneier: Die "Full Disclosure"-Bewegung entstand aus dieser Frustration heraus. Wenn Probleme erst einmal bekannt wurden, war das eine gute Motivation für die Hersteller, sie schnell zu lösen. Und das funktioniert zumeist gut. Viele Sicherheitsexperten veröffentlichen ihre Erkenntnisse auf Mailinglisten wie Bugtraq, die Presse schreibt dann darüber - und dann können die Firmen mitteilen, wie schnell und gut sie Sicherheitslücken geschlossen haben, wenn denn mal ein Patch da ist. Man kann also sagen, dass die "Full Disclosure"-Bewegung die Sicherheit im Internet erhöht hat.

Golem.de: Aber führt das nicht dazu, dass die "bösen Jungs" diese geballten Informationen nutzen könnten, wie Culp und Microsoft meinen?

Schneier: In den letzten Jahren haben wir gemerkt, dass die vollständige Veröffentlichung von Fehlern viel mehr nützt, als dass sie schadet. Die Industrie hat sich von einer Gruppe von Firmen, die Sicherheit ignorierten, zu einer, die Probleme so schnell wie möglich löst, entwickelt. Inzwischen gibt es sogar tatsächlich Unternehmen, die von vorneherein Qualitätssoftware schreiben und die Bugs vor dem Release fixen.

Interview: "Haftung für Softwareschäden ist wichtig" 

eye home zur Startseite
Barney 27. Nov 2001

Naja, wenn ich einen Blick in meine Inbox der letzten Tage gucke, kann man das nicht oft...

UlrichS. 27. Nov 2001

Wahrscheinlich ist er es einfach leid, immer wieder dasselbe erzaehlen zu muessen. Bzw...

CK (Golem.de) 27. Nov 2001

Nein, Bruce Schneier hat auf einem Teil unserer Fragen mit Textpassagen aus dem Crypto...

UlrichS. 27. Nov 2001

Haben Sie einfach den Counterpane CRYPTO-GRAM-Newsletter vom November 15, 2001...



Anzeige

Stellenmarkt
  1. Präsidium Technik, Logistik, Service der Polizei, Stuttgart
  2. Computacenter AG & Co. oHG, München, Stuttgart
  3. BWI GmbH, Bonn oder München
  4. operational services GmbH & Co. KG, Frankfurt, Berlin


Anzeige
Blu-ray-Angebote
  1. 24,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Knappe Mehrheit

    SPD stimmt für Koalitionsverhandlungen mit Union

  2. Gerichtspostfach

    EGVP-Client kann weiter genutzt werden

  3. DLD-Konferenz

    Gabriel warnt vor digitalem Schlachtfeld Europa

  4. NetzDG

    Streit mit EU über 100-Prozent-Löschquote in Deutschland

  5. Facebook

    Nutzer sollen Vertrauenswürdigkeit von Newsquellen bewerten

  6. Notebook-Grafik

    Nvidia hat eine Geforce GTX 1050 (Ti) mit Max-Q

  7. Gemini Lake

    Asrock und Gigabyte bringen Atom-Boards

  8. Eni HPC4

    Italienischer Supercomputer weltweit einer der schnellsten

  9. US-Wahl 2016

    Twitter findet weitere russische Manipulationskonten

  10. Die Woche im Video

    Das muss doch einfach schneller gehen!



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
EU-Netzpolitik: Mit vollen Hosen in die App-ocalypse
EU-Netzpolitik
Mit vollen Hosen in die App-ocalypse

Preiswertes Grafik-Dock ausprobiert: Ein eGPU-Biest für unter 50 Euro
Preiswertes Grafik-Dock ausprobiert
Ein eGPU-Biest für unter 50 Euro
  1. XG Station Pro Asus' zweite eGPU-Box ist schlicht
  2. Zotac Amp Box (Mini) TB3-Gehäuse eignen sich für eGPUs oder SSDs
  3. Snpr External Graphics Enclosure KFA2s Grafikbox samt Geforce GTX 1060 kostet 500 Euro

Kryptowährungen: Von Tulpen, Berg- und Talfahrten
Kryptowährungen
Von Tulpen, Berg- und Talfahrten
  1. Bitcoin Israels Marktaufsicht will Kryptoverbot an Börse durchsetzen
  2. Geldwäsche EU will den Bitcoin weniger anonym machen
  3. Kryptowährung 4.700 Bitcoin von Handelsplattform Nicehash gestohlen

  1. Re: @all: wer sich jetzt fragt was Mobiles Lernen...

    Yash | 17:57

  2. Re: Warum dieser Artikel / Clickbait ?

    Eheran | 17:57

  3. Re: Ich verstehe die irischen Praktikanten

    teenriot* | 17:46

  4. Re: Haben die TV -Streamer denn endlich HD?

    TechBen | 17:40

  5. Re: Da ist die EU!

    sundilsan | 17:32


  1. 16:59

  2. 14:13

  3. 13:15

  4. 12:31

  5. 14:35

  6. 14:00

  7. 13:30

  8. 12:57


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel