Interview: "Haftung für Softwareschäden ist wichtig"

Krypto- und Sicherheitsexperte Bruce Schneier über Microsoft und die Sicherheit

Aufregung in der IT-Security-Gemeinde: Scott Culp, Manager des Microsoft Security Response Team, forderte in einem langen offenen Brief, die "Information Anarchy" künftig zu beenden und stattdessen nur noch nach Absprache unter verschiedenen Unternehmen Sicherheitslücken zu veröffentlichen. Der renommierte Krypto- und Sicherheitsexperte Bruce Schneier antwortete auf Fragen von Golem.de.

Artikel veröffentlicht am ,

Bruce Schneier im Interview
Bruce Schneier im Interview
Golem.de: Herr Schneier, ihr Kollege Scott Culp, Manager des Microsoft-Sicherheitsteams, nennt die freie Veröffentlichung von Sicherheitslücken eine "Informations-Anarchie". Was antworten Sie ihm darauf?

Schneier: Die Geschichte zeigt, dass das nicht der Fall ist. Lesen Sie sich Scott Culps letztes Essay durch: Der Mann sagt nicht, "Hey Leute, wenn Ihr einen Bug habt, schickt ihn zu mir und ich sorge dafür, dass er sofort gefixt wird." Was er tat, war gegen die Publikation von Gefahren zu argumentieren und die Forscher zu bitten, die Details unter ihren Hüten zu lassen. Ansonsten, drohte er, "werden die Hersteller keine Wahl haben, andere Wege zu finden, ihre Kunden zu schützen" - was immer das heißt. Eine solche Haltung macht den "Full Disclosure"-Ansatz, die komplette Offenlegung von Sicherheitslücken, zur einzigen Möglichkeit, das Angriffsfenster zu schließen.

Golem.de: Einige Leute scheinen zu einer Zeit zurückkehren zu wollen, in der schwerwiegende Fehler in IT-Komponenten überhaupt nicht öffentlich gemacht wurden.

Schneier: Das Problem mit diesem System war, dass die Hersteller keine Motivation hatten, Sicherheitslücken zu schließen. Das CERT [Computer Emergency Response Team an der Carnegie-Mellon-Universität, Anm. d. Red.] hat nichts berichtet, bevor kein Fix da war, also gab es keine Dringlichkeit. So war es einfacher, Lücken geheim zu halten. Es gab Vorfälle, bei denen die Hersteller Forscher bedroht haben, falls sie irgendetwas öffentlich sagten - und es gab Schmutzkampagnen gegen sie, selbst wenn keine Details genannt waren. Auf diese Weise gab es Anfälligkeiten in Software, die über Jahre nicht behoben wurden.

Stellenmarkt
  1. Entwicklungsingenieur (m/w/d) Sensoren & Laser Senior für industrielle Bildverarbeitung
    Hauni Maschinenbau GmbH, Hamburg
  2. Informatikkaufmann / Fachinformatiker Systemintegration (m/w/d)
    Freeze-Dry Foods GmbH, Greven
Detailsuche

Golem.de: Heute haben wir eine offenere Diskussion. Wie kam es überhaupt dazu?

Schneier: Die "Full Disclosure"-Bewegung entstand aus dieser Frustration heraus. Wenn Probleme erst einmal bekannt wurden, war das eine gute Motivation für die Hersteller, sie schnell zu lösen. Und das funktioniert zumeist gut. Viele Sicherheitsexperten veröffentlichen ihre Erkenntnisse auf Mailinglisten wie Bugtraq, die Presse schreibt dann darüber - und dann können die Firmen mitteilen, wie schnell und gut sie Sicherheitslücken geschlossen haben, wenn denn mal ein Patch da ist. Man kann also sagen, dass die "Full Disclosure"-Bewegung die Sicherheit im Internet erhöht hat.

Golem.de: Aber führt das nicht dazu, dass die "bösen Jungs" diese geballten Informationen nutzen könnten, wie Culp und Microsoft meinen?

Schneier: In den letzten Jahren haben wir gemerkt, dass die vollständige Veröffentlichung von Fehlern viel mehr nützt, als dass sie schadet. Die Industrie hat sich von einer Gruppe von Firmen, die Sicherheit ignorierten, zu einer, die Probleme so schnell wie möglich löst, entwickelt. Inzwischen gibt es sogar tatsächlich Unternehmen, die von vorneherein Qualitätssoftware schreiben und die Bugs vor dem Release fixen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Interview: "Haftung für Softwareschäden ist wichtig" 
  1. 1
  2. 2
  3. 3
  4. 4
  5.  


Barney 27. Nov 2001

Naja, wenn ich einen Blick in meine Inbox der letzten Tage gucke, kann man das nicht oft...

UlrichS. 27. Nov 2001

Wahrscheinlich ist er es einfach leid, immer wieder dasselbe erzaehlen zu muessen. Bzw...

CK (Golem.de) 27. Nov 2001

Nein, Bruce Schneier hat auf einem Teil unserer Fragen mit Textpassagen aus dem Crypto...

UlrichS. 27. Nov 2001

Haben Sie einfach den Counterpane CRYPTO-GRAM-Newsletter vom November 15, 2001...



Aktuell auf der Startseite von Golem.de
SFConservancy
Open-Source-Entwickler sollen Github wegen Copilot verlassen

Ähnlich wie schon vor Jahrzehnten mit Sourceforge sollen Open-Source-Projekte nun auch Github verlassen.

SFConservancy: Open-Source-Entwickler sollen Github wegen Copilot verlassen
Artikel
  1. Softwareupdate: Teslas können Schlaglöcher erkennen und Federung anpassen
    Softwareupdate
    Teslas können Schlaglöcher erkennen und Federung anpassen

    Durch ein Softwareupdate können Teslas nach Schlaglöchern suchen und bei Bedarf die adaptive Federung ändern.

  2. Wärmeversorgung: Berlin baut Thermoskanne gegen Gasnotstand
    Wärmeversorgung
    Berlin baut Thermoskanne gegen Gasnotstand

    Der Versorger Vattenfall baut in Berlin einen riesigen Warmwasserspeicher, um Häuser im Winter heizen zu können. Das könnte beim möglichen Gasnotstand helfen.

  3. Bundeskartellamt: VW und Bosch dürfen an automatisiertem Fahren forschen
    Bundeskartellamt
    VW und Bosch dürfen an automatisiertem Fahren forschen

    Das Bundeskartellamt erlaubt es VW und Bosch, gemeinsam an der Fortentwicklung des automatisierten Fahrens zu arbeiten.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MSI RTX 3080 12GB günstig wie nie: 949€ • AMD Ryzen 7 günstig wie nie: 259€ • Der beste 2.000€-Gaming-PC • Cooler Master 34" UWQHD 144 Hz günstig wie nie: 467,85€ • Asus RX 6900 XT OC günstig wie nie: 1.049€ • Mindstar (Gigabyte RTX 3060 399€) • Galaxy Watch3 45 mm 119€ [Werbung]
    •  /