Interview: "Haftung für Softwareschäden ist wichtig"

Krypto- und Sicherheitsexperte Bruce Schneier über Microsoft und die Sicherheit

Aufregung in der IT-Security-Gemeinde: Scott Culp, Manager des Microsoft Security Response Team, forderte in einem langen offenen Brief, die "Information Anarchy" künftig zu beenden und stattdessen nur noch nach Absprache unter verschiedenen Unternehmen Sicherheitslücken zu veröffentlichen. Der renommierte Krypto- und Sicherheitsexperte Bruce Schneier antwortete auf Fragen von Golem.de.

Artikel veröffentlicht am ,

Bruce Schneier im Interview
Bruce Schneier im Interview
Golem.de: Herr Schneier, ihr Kollege Scott Culp, Manager des Microsoft-Sicherheitsteams, nennt die freie Veröffentlichung von Sicherheitslücken eine "Informations-Anarchie". Was antworten Sie ihm darauf?

Schneier: Die Geschichte zeigt, dass das nicht der Fall ist. Lesen Sie sich Scott Culps letztes Essay durch: Der Mann sagt nicht, "Hey Leute, wenn Ihr einen Bug habt, schickt ihn zu mir und ich sorge dafür, dass er sofort gefixt wird." Was er tat, war gegen die Publikation von Gefahren zu argumentieren und die Forscher zu bitten, die Details unter ihren Hüten zu lassen. Ansonsten, drohte er, "werden die Hersteller keine Wahl haben, andere Wege zu finden, ihre Kunden zu schützen" - was immer das heißt. Eine solche Haltung macht den "Full Disclosure"-Ansatz, die komplette Offenlegung von Sicherheitslücken, zur einzigen Möglichkeit, das Angriffsfenster zu schließen.

Golem.de: Einige Leute scheinen zu einer Zeit zurückkehren zu wollen, in der schwerwiegende Fehler in IT-Komponenten überhaupt nicht öffentlich gemacht wurden.

Schneier: Das Problem mit diesem System war, dass die Hersteller keine Motivation hatten, Sicherheitslücken zu schließen. Das CERT [Computer Emergency Response Team an der Carnegie-Mellon-Universität, Anm. d. Red.] hat nichts berichtet, bevor kein Fix da war, also gab es keine Dringlichkeit. So war es einfacher, Lücken geheim zu halten. Es gab Vorfälle, bei denen die Hersteller Forscher bedroht haben, falls sie irgendetwas öffentlich sagten - und es gab Schmutzkampagnen gegen sie, selbst wenn keine Details genannt waren. Auf diese Weise gab es Anfälligkeiten in Software, die über Jahre nicht behoben wurden.

Stellenmarkt
  1. Key User SAP-MM (w/m/d) Einkauf / Logistik
    München Klinik gGmbH, München
  2. Systemadministrator (m/w/d)
    Wentronic GmbH, Braunschweig
Detailsuche

Golem.de: Heute haben wir eine offenere Diskussion. Wie kam es überhaupt dazu?

Schneier: Die "Full Disclosure"-Bewegung entstand aus dieser Frustration heraus. Wenn Probleme erst einmal bekannt wurden, war das eine gute Motivation für die Hersteller, sie schnell zu lösen. Und das funktioniert zumeist gut. Viele Sicherheitsexperten veröffentlichen ihre Erkenntnisse auf Mailinglisten wie Bugtraq, die Presse schreibt dann darüber - und dann können die Firmen mitteilen, wie schnell und gut sie Sicherheitslücken geschlossen haben, wenn denn mal ein Patch da ist. Man kann also sagen, dass die "Full Disclosure"-Bewegung die Sicherheit im Internet erhöht hat.

Golem.de: Aber führt das nicht dazu, dass die "bösen Jungs" diese geballten Informationen nutzen könnten, wie Culp und Microsoft meinen?

Schneier: In den letzten Jahren haben wir gemerkt, dass die vollständige Veröffentlichung von Fehlern viel mehr nützt, als dass sie schadet. Die Industrie hat sich von einer Gruppe von Firmen, die Sicherheit ignorierten, zu einer, die Probleme so schnell wie möglich löst, entwickelt. Inzwischen gibt es sogar tatsächlich Unternehmen, die von vorneherein Qualitätssoftware schreiben und die Bugs vor dem Release fixen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Interview: "Haftung für Softwareschäden ist wichtig" 
  1. 1
  2. 2
  3. 3
  4. 4
  5.  


Barney 27. Nov 2001

Naja, wenn ich einen Blick in meine Inbox der letzten Tage gucke, kann man das nicht oft...

UlrichS. 27. Nov 2001

Wahrscheinlich ist er es einfach leid, immer wieder dasselbe erzaehlen zu muessen. Bzw...

CK (Golem.de) 27. Nov 2001

Nein, Bruce Schneier hat auf einem Teil unserer Fragen mit Textpassagen aus dem Crypto...

UlrichS. 27. Nov 2001

Haben Sie einfach den Counterpane CRYPTO-GRAM-Newsletter vom November 15, 2001...



Aktuell auf der Startseite von Golem.de
Plugin-Hybride
Autoindustrie wehrt sich gegen höhere Förderauflagen

Die Regierung will die Förderung von Plugin-Hybriden nur noch von der Reichweite abhängig machen. Zudem werden künftig Kleinstautos gefördert.
Ein Bericht von Friedhelm Greis

Plugin-Hybride: Autoindustrie wehrt sich gegen höhere Förderauflagen
Artikel
  1. Windows und Office: Microsoft-Accounts funktionieren jetzt auch ohne Passwörter
    Windows und Office
    Microsoft-Accounts funktionieren jetzt auch ohne Passwörter

    Das passwortlose Anmelden wird bereits von einigen Microsoft-Kunden genutzt. Die Funktion wird nun auf alle Konten ausgeweitet.

  2. Fake-News und Hassrede: Facebook löscht 150 Konten der Querdenker
    Fake-News und Hassrede
    Facebook löscht 150 Konten der Querdenker

    Nach Ansicht von Facebook hat die Querdenker-Bewegung "bedrohliche Netzwerke" gebildet und gegen Gemeinschaftsregeln verstoßen.

  3. Gopro Hero 10 Black ausprobiert: Gopros neue Kamera ist die Schnellste
    Gopro Hero 10 Black ausprobiert
    Gopros neue Kamera ist die Schnellste

    Endlich ein neuer Chip und mehr Zeitlupe! Wo Gopros Action-Kamera das Vorgängermodell schlägt, konnten wir vor dem Produktstart ausprobieren.
    Von Martin Wolf

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MM Club-Tage: Bis zu 15% auf TVs, PCs, Monitore uvm.) • Alternate (u. a. Razer Kraken X für Konsole 34,99€) • Xiaomi 11T 5G vorbestellbar 549€ • Saturn-Deals (u. a. Samsung 55" QLED (2021) 849,15€) • Logitech-Aktion: 20%-Rabattgutschein für ASOS • XMG-Notebooks mit 250€ Rabatt [Werbung]
    •  /