Abo
  • Services:

Interview: "Haftung für Softwareschäden ist wichtig"

Krypto- und Sicherheitsexperte Bruce Schneier über Microsoft und die Sicherheit

Aufregung in der IT-Security-Gemeinde: Scott Culp, Manager des Microsoft Security Response Team, forderte in einem langen offenen Brief, die "Information Anarchy" künftig zu beenden und stattdessen nur noch nach Absprache unter verschiedenen Unternehmen Sicherheitslücken zu veröffentlichen. Der renommierte Krypto- und Sicherheitsexperte Bruce Schneier antwortete auf Fragen von Golem.de.

Artikel veröffentlicht am ,

Bruce Schneier im Interview
Bruce Schneier im Interview
Golem.de: Herr Schneier, ihr Kollege Scott Culp, Manager des Microsoft-Sicherheitsteams, nennt die freie Veröffentlichung von Sicherheitslücken eine "Informations-Anarchie". Was antworten Sie ihm darauf?

Schneier: Die Geschichte zeigt, dass das nicht der Fall ist. Lesen Sie sich Scott Culps letztes Essay durch: Der Mann sagt nicht, "Hey Leute, wenn Ihr einen Bug habt, schickt ihn zu mir und ich sorge dafür, dass er sofort gefixt wird." Was er tat, war gegen die Publikation von Gefahren zu argumentieren und die Forscher zu bitten, die Details unter ihren Hüten zu lassen. Ansonsten, drohte er, "werden die Hersteller keine Wahl haben, andere Wege zu finden, ihre Kunden zu schützen" - was immer das heißt. Eine solche Haltung macht den "Full Disclosure"-Ansatz, die komplette Offenlegung von Sicherheitslücken, zur einzigen Möglichkeit, das Angriffsfenster zu schließen.

Golem.de: Einige Leute scheinen zu einer Zeit zurückkehren zu wollen, in der schwerwiegende Fehler in IT-Komponenten überhaupt nicht öffentlich gemacht wurden.

Schneier: Das Problem mit diesem System war, dass die Hersteller keine Motivation hatten, Sicherheitslücken zu schließen. Das CERT [Computer Emergency Response Team an der Carnegie-Mellon-Universität, Anm. d. Red.] hat nichts berichtet, bevor kein Fix da war, also gab es keine Dringlichkeit. So war es einfacher, Lücken geheim zu halten. Es gab Vorfälle, bei denen die Hersteller Forscher bedroht haben, falls sie irgendetwas öffentlich sagten - und es gab Schmutzkampagnen gegen sie, selbst wenn keine Details genannt waren. Auf diese Weise gab es Anfälligkeiten in Software, die über Jahre nicht behoben wurden.

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart
  2. CSL Behring GmbH, Marburg, Hattersheim am Main

Golem.de: Heute haben wir eine offenere Diskussion. Wie kam es überhaupt dazu?

Schneier: Die "Full Disclosure"-Bewegung entstand aus dieser Frustration heraus. Wenn Probleme erst einmal bekannt wurden, war das eine gute Motivation für die Hersteller, sie schnell zu lösen. Und das funktioniert zumeist gut. Viele Sicherheitsexperten veröffentlichen ihre Erkenntnisse auf Mailinglisten wie Bugtraq, die Presse schreibt dann darüber - und dann können die Firmen mitteilen, wie schnell und gut sie Sicherheitslücken geschlossen haben, wenn denn mal ein Patch da ist. Man kann also sagen, dass die "Full Disclosure"-Bewegung die Sicherheit im Internet erhöht hat.

Golem.de: Aber führt das nicht dazu, dass die "bösen Jungs" diese geballten Informationen nutzen könnten, wie Culp und Microsoft meinen?

Schneier: In den letzten Jahren haben wir gemerkt, dass die vollständige Veröffentlichung von Fehlern viel mehr nützt, als dass sie schadet. Die Industrie hat sich von einer Gruppe von Firmen, die Sicherheit ignorierten, zu einer, die Probleme so schnell wie möglich löst, entwickelt. Inzwischen gibt es sogar tatsächlich Unternehmen, die von vorneherein Qualitätssoftware schreiben und die Bugs vor dem Release fixen.

Interview: "Haftung für Softwareschäden ist wichtig" 
  1. 1
  2. 2
  3. 3
  4. 4
  5.  


Anzeige
Top-Angebote
  1. 5€ inkl. FSK-18-Versand
  2. (u. a. Django Unchained, Passengers, Equalizer, Kill Bill 2, The Revenant)
  3. 279€
  4. 599€

Barney 27. Nov 2001

Naja, wenn ich einen Blick in meine Inbox der letzten Tage gucke, kann man das nicht oft...

UlrichS. 27. Nov 2001

Wahrscheinlich ist er es einfach leid, immer wieder dasselbe erzaehlen zu muessen. Bzw...

CK (Golem.de) 27. Nov 2001

Nein, Bruce Schneier hat auf einem Teil unserer Fragen mit Textpassagen aus dem Crypto...

UlrichS. 27. Nov 2001

Haben Sie einfach den Counterpane CRYPTO-GRAM-Newsletter vom November 15, 2001...


Folgen Sie uns
       


MTG Arena Ravnica Allegiance - Livestream 2

Im zweiten Teil unseres Livestreams basteln wir ein eigenes neues Deck (dreifarbig!) und ziehen damit in den Kampf.

MTG Arena Ravnica Allegiance - Livestream 2 Video aufrufen
Nubia Red Magic Mars im Hands On: Gaming-Smartphone mit Top-Ausstattung für 390 Euro
Nubia Red Magic Mars im Hands On
Gaming-Smartphone mit Top-Ausstattung für 390 Euro

CES 2019 Mit dem Red Magic Mars bringt Nubia ein interessantes und vor allem verhältnismäßig preiswertes Gaming-Smartphone nach Deutschland. Es hat einen Leistungsmodus und Schulter-Sensortasten, die beim Zocken helfen können.
Ein Hands on von Tobias Költzsch

  1. Hypersense-Prototypen ausprobiert Razers Rumpel-Peripherie sorgt für Immersion
  2. ATH-ANC900BT Audio Technica zeigt neuen ANC-Kopfhörer
  3. Smart Clock Lenovo setzt bei Echo-Spot-Variante auf Google Assistant

Slighter im Hands on: Wenn das Feuerzeug smarter als der Raucher ist
Slighter im Hands on
Wenn das Feuerzeug smarter als der Raucher ist

CES 2019 Mit Slighter könnte ausgerechnet ein Feuerzeug Rauchern beim Aufhören helfen: Ausgehend von den Rauchgewohnheiten erstellt es einen Plan - und gibt nur zu ganz bestimmten Zeiten eine Flamme.
Ein Hands on von Tobias Költzsch

  1. Smart Tab Lenovo zeigt Mischung aus Android-Tablet und Echo Show
  2. Royole Flexpai im Hands on Display top, Software flop
  3. Alienware Area 51m angesehen Aufrüstbares Gaming-Notebook mit frischem Design

IT-Sicherheit: 12 Lehren aus dem Politiker-Hack
IT-Sicherheit
12 Lehren aus dem Politiker-Hack

Ein polizeibekanntes Skriptkiddie hat offenbar jahrelang unbemerkt Politiker und Prominente ausspähen können und deren Daten veröffentlicht. Welche Konsequenzen sollten für die Sicherheit von Daten aus dem Datenleak gezogen werden?
Eine Analyse von Friedhelm Greis

  1. Datenleak Ermittler nehmen Verdächtigen fest
  2. Datenleak Politiker fordern Pflicht für Zwei-Faktor-Authentifizierung
  3. Politiker-Hack Wohnung in Heilbronn durchsucht

    •  /