Abo
  • Services:

Security: Experte rät US-Regierung, alle Sicherheitslücken zu kaufen

Der Sicherheitsexperte Dan Geer macht radikale Vorschläge, wie Politik und Wirtschaft für mehr Sicherheit im Netz sorgen können. Seine persönliche Maßnahme: Rückzug.

Artikel veröffentlicht am , Patrick Beuth/Zeit Online
Dan Geer auf der Black Hat 2014 in Las Vegas
Dan Geer auf der Black Hat 2014 in Las Vegas (Bild: Reuters/Steve Marcus)

Im großen Ballsaal des Mandalay Bay Hotels in Las Vegas steht eine Koryphäe in Sachen Internetsicherheit und sagt den rund 4.000 anderen anwesenden Sicherheitsexperten, er persönlich könne sich gegen die zunehmenden Angriffe im Netz nur noch wehren, indem er es weniger nutze.

Inhalt:
  1. Security: Experte rät US-Regierung, alle Sicherheitslücken zu kaufen
  2. Geer fordert das Recht auf Falschinformation

Es ist kein Abgesang, keine Grabrede, aber die Keynote von Dan Geer auf der Black-Hat-Konferenz fällt pessimistisch aus. Seine Vorschläge für Cybersecurity as Realpolitik - so hat er seine Rede betitelt - seien in großen Teilen nur die am wenigsten schlechten, sagt er.

Geer ist eine schillernde Figur in der Branche. Er gilt als hoch angesehener Vordenker, als Pionier des Risikomanagements. Er hat bedeutende Netzwerktechnologien mitentwickelt und sich im Jahr 2003 mit Microsoft angelegt. Er war Co-Autor einer Studie, die warnte, das Monopol von Microsoft Windows stelle eine Gefahr für die nationale Sicherheit dar. Sein damaliger Arbeitgeber, die von Geer selbst mitbegründete Beratungsfirma @stake, feuerte ihn noch an dem Tag, an dem die Studie veröffentlicht wurde. Zu den Kunden von @stake gehörte auch Microsoft.

Seit 2008 arbeitet er für In-Q-Tel. Der Fonds vergibt Risikokapital an IT-Unternehmen und bekommt das Geld dafür von der CIA und anderen US-Geheimdiensten, die technisch auf dem neuesten Stand sein wollen. Geer geht davon aus, dass Angriffstechnik sich heute schneller entwickelt als Abwehrtechnik. Er macht in Las Vegas zehn Vorschläge, wie Politik und Wirtschaft darauf reagieren sollten. Keiner davon ist simpel, eindeutig und frei von Nebeneffekten oder Nachteilen. Und längst nicht alle fallen in die Kategorie "Realpolitik". "Für jedes komplexe Problem gibt es eine Antwort, die klar, einfach und falsch ist", zitiert er den Schriftsteller H. L. Mencken. Entsprechend uneindeutig und bisweilen unbequem fallen seine Ideen aus.

Stellenmarkt
  1. NÜRNBERGER Versicherung, Nürnberg
  2. BayernInvest Kapitalverwaltungsgesellschaft mbH, München

Die vielleicht radikalste: Geer fordert die US-Regierung auf, alle neu entdeckten und bisher nicht ausgenutzten Sicherheitslücken - sogenannte Zero-Days - aufzukaufen, für zehnmal so viel Geld, wie alle anderen bieten würden. Anschließend sollten sie allesamt veröffentlicht werden, um dadurch das Arsenal für Angriffe durch andere deutlich zu verkleinern. Dabei gilt die US-Regierung schon heute als einer der besten Kunden von Unternehmen, die Zero-Days suchen und verkaufen. Geheimdienste wie die NSA nutzen solche Schwachstellen nämlich selbst für ihre Attacken auf fremde Computer. Was der Monopol-Kritiker Geer also fordert, ist ein Monopol für die USA, das sie dann nicht ausnutzt. Wenn jemand anderes als Geer so eine Idee äußerte, dürfte er umgehend als weltfremder Fantast angesehen werden.

Code, der nicht mehr aktualisiert wird, soll offengelegt werden

Geer fordert zudem die Pflicht für Unternehmen, Zwischenfälle in Sachen Datensicherheit an die Regierung zu melden. Er vergleicht das mit der Meldepflicht von Beinahe-Unfällen im Flugverkehr oder von bestimmten Krankheiten, die zur Folge haben, dass die Betroffenen ins Licht der Öffentlichkeit geraten. Es gibt entsprechende Gesetzesinitiativen für solche Meldepflichten für Cyber-Angriffe in den USA, in Deutschland steht das Vorhaben im Koalitionsvertrag von Union und SPD. Naturgemäß sind die Unternehmen wenig begeistert, müssen sie doch mit einem Imageverlust rechnen, wenn erfolgreiche Angriffe auf ihre Netzwerke und Daten öffentlich werden. Wo die Grenze zu ziehen ist zwischen meldepflichtigen Vorfällen und solchen, die der Öffentlichkeit verschwiegen werden dürfen, weiß aber auch Dan Geer nicht.

Für erheblichen Widerstand in der Software-Industrie dürfte Geers Vorschlag sorgen, dass Unternehmen den Quellcode jedes Programms offenlegen müssen, das sie nicht länger mit Sicherheitsupdates versorgen. Geer nennt Windows XP als Beispiel, wohl nicht zuletzt als Seitenhieb auf Microsoft. Dass solche Unternehmen das als Bedrohung ihres Geschäftsmodells ansehen könnten, ist Geer klar. Er sagt: "Mein Vorschlag wäre die denkbar schlechteste Lösung, mit Ausnahme von allen anderen."

Geer fordert das Recht auf Falschinformation 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. 39,99€
  2. (heute u. a. Roccat Tyon Maus 69,99€, Sandisk 400 GB Micro-SDXC-Karte 92,90€)
  3. 19,99€
  4. (heute u. a. Yamaha AV-Receiver 299,00€ statt 469,00€)

Casandro 09. Aug 2014

Entschuldigung, aber der CCC liefert technische Lösungen. Zum Beispiel betreibt er...

Force8 08. Aug 2014

Der Programmierer baut absichtlich Sicherheitslücken in die Software ein. Dann verkauft...

Moe479 08. Aug 2014

doch die lösung dafür gibt es: die lösung ist den vertrieb von geschlossenen produkten zu...

Moe479 08. Aug 2014

und denkbar ist nur was man sich vorstellen kann und andersherum ... ein teufelskreis...

Anonymer Nutzer 08. Aug 2014

ja genau, die regierung und geheimdienste sind selber ein, wenn nicht der, hauptgrund für...


Folgen Sie uns
       


Two Point Hospital - Golem.de live

Dr. Dr. Golem meldet sich zum Dienst und muss im Livestream unfassbar viele depressive Clowns heilen, nein - nicht die im Chat.

Two Point Hospital - Golem.de live Video aufrufen
Apple Watch im Test: Auch ohne EKG die beste Smartwatch
Apple Watch im Test
Auch ohne EKG die beste Smartwatch

Apples vierte Watch verändert das Display-Design leicht - zum Wohle des Nutzers. Die Uhr bietet immer noch mit die beste Smartwatch-Erfahrung, auch wenn eine der neuen Funktionen in Deutschland noch nicht funktioniert.
Ein Test von Tobias Költzsch

  1. Smartwatch Apple Watch Series 4 mit EKG und Sturzerkennung
  2. Smartwatch Apple Watch Series 4 nur mit sechs Modellen
  3. Handelskrieg Apple Watch und anderen Gadgets drohen Strafzölle

Pixel 3 und Pixel 3 XL im Hands on: Googles Smartphones mit verbesserten Kamerafunktionen
Pixel 3 und Pixel 3 XL im Hands on
Googles Smartphones mit verbesserten Kamerafunktionen

Google hat das Pixel 3 und das Pixel 3 XL vorgestellt. Bei beiden neuen Smartphones legt das Unternehmen besonders hohen Wert auf die Kamerafunktionen. Mit viel Software-Raffinessen sollen gute Bilder auch unter widrigen Umständen entstehen. Die ersten Eindrücke sind vielversprechend.
Ein Hands on von Ingo Pakalski

  1. BQ Aquaris X2 Pro im Hands on Ein gelungenes Gesamtpaket mit Highend-Funktionen

Assassin's Creed Odyssey im Test: Spektakel mit Spartiaten
Assassin's Creed Odyssey im Test
Spektakel mit Spartiaten

Inselwelt statt Sandwüste, Athen statt Alexandria und dazu der Krieg zwischen Hellas und Sparta: Odyssey schickt uns erneut in einen antiken Konflikt - und in das bislang mit Abstand schönste und abwechslungsreichste Assassin's Creed.
Von Peter Steinlechner

  1. Assassin's Creed Odyssey setzt CPU mit AVX-Unterstützung voraus
  2. Project Stream Google testet mit kostenlosem Assassin's Creed Odyssey
  3. Assassin's Creed angespielt Odyssey und der spartanische Supertritt

    •  /