Abo
  • Services:
Anzeige
Dan Geer auf der Black Hat 2014 in Las Vegas
Dan Geer auf der Black Hat 2014 in Las Vegas (Bild: Reuters/Steve Marcus)

Security: Experte rät US-Regierung, alle Sicherheitslücken zu kaufen

Der Sicherheitsexperte Dan Geer macht radikale Vorschläge, wie Politik und Wirtschaft für mehr Sicherheit im Netz sorgen können. Seine persönliche Maßnahme: Rückzug.

Anzeige

Im großen Ballsaal des Mandalay Bay Hotels in Las Vegas steht eine Koryphäe in Sachen Internetsicherheit und sagt den rund 4.000 anderen anwesenden Sicherheitsexperten, er persönlich könne sich gegen die zunehmenden Angriffe im Netz nur noch wehren, indem er es weniger nutze.

Es ist kein Abgesang, keine Grabrede, aber die Keynote von Dan Geer auf der Black-Hat-Konferenz fällt pessimistisch aus. Seine Vorschläge für Cybersecurity as Realpolitik - so hat er seine Rede betitelt - seien in großen Teilen nur die am wenigsten schlechten, sagt er.

Geer ist eine schillernde Figur in der Branche. Er gilt als hoch angesehener Vordenker, als Pionier des Risikomanagements. Er hat bedeutende Netzwerktechnologien mitentwickelt und sich im Jahr 2003 mit Microsoft angelegt. Er war Co-Autor einer Studie, die warnte, das Monopol von Microsoft Windows stelle eine Gefahr für die nationale Sicherheit dar. Sein damaliger Arbeitgeber, die von Geer selbst mitbegründete Beratungsfirma @stake, feuerte ihn noch an dem Tag, an dem die Studie veröffentlicht wurde. Zu den Kunden von @stake gehörte auch Microsoft.

Seit 2008 arbeitet er für In-Q-Tel. Der Fonds vergibt Risikokapital an IT-Unternehmen und bekommt das Geld dafür von der CIA und anderen US-Geheimdiensten, die technisch auf dem neuesten Stand sein wollen. Geer geht davon aus, dass Angriffstechnik sich heute schneller entwickelt als Abwehrtechnik. Er macht in Las Vegas zehn Vorschläge, wie Politik und Wirtschaft darauf reagieren sollten. Keiner davon ist simpel, eindeutig und frei von Nebeneffekten oder Nachteilen. Und längst nicht alle fallen in die Kategorie "Realpolitik". "Für jedes komplexe Problem gibt es eine Antwort, die klar, einfach und falsch ist", zitiert er den Schriftsteller H. L. Mencken. Entsprechend uneindeutig und bisweilen unbequem fallen seine Ideen aus.

Die vielleicht radikalste: Geer fordert die US-Regierung auf, alle neu entdeckten und bisher nicht ausgenutzten Sicherheitslücken - sogenannte Zero-Days - aufzukaufen, für zehnmal so viel Geld, wie alle anderen bieten würden. Anschließend sollten sie allesamt veröffentlicht werden, um dadurch das Arsenal für Angriffe durch andere deutlich zu verkleinern. Dabei gilt die US-Regierung schon heute als einer der besten Kunden von Unternehmen, die Zero-Days suchen und verkaufen. Geheimdienste wie die NSA nutzen solche Schwachstellen nämlich selbst für ihre Attacken auf fremde Computer. Was der Monopol-Kritiker Geer also fordert, ist ein Monopol für die USA, das sie dann nicht ausnutzt. Wenn jemand anderes als Geer so eine Idee äußerte, dürfte er umgehend als weltfremder Fantast angesehen werden.

Code, der nicht mehr aktualisiert wird, soll offengelegt werden

Geer fordert zudem die Pflicht für Unternehmen, Zwischenfälle in Sachen Datensicherheit an die Regierung zu melden. Er vergleicht das mit der Meldepflicht von Beinahe-Unfällen im Flugverkehr oder von bestimmten Krankheiten, die zur Folge haben, dass die Betroffenen ins Licht der Öffentlichkeit geraten. Es gibt entsprechende Gesetzesinitiativen für solche Meldepflichten für Cyber-Angriffe in den USA, in Deutschland steht das Vorhaben im Koalitionsvertrag von Union und SPD. Naturgemäß sind die Unternehmen wenig begeistert, müssen sie doch mit einem Imageverlust rechnen, wenn erfolgreiche Angriffe auf ihre Netzwerke und Daten öffentlich werden. Wo die Grenze zu ziehen ist zwischen meldepflichtigen Vorfällen und solchen, die der Öffentlichkeit verschwiegen werden dürfen, weiß aber auch Dan Geer nicht.

Für erheblichen Widerstand in der Software-Industrie dürfte Geers Vorschlag sorgen, dass Unternehmen den Quellcode jedes Programms offenlegen müssen, das sie nicht länger mit Sicherheitsupdates versorgen. Geer nennt Windows XP als Beispiel, wohl nicht zuletzt als Seitenhieb auf Microsoft. Dass solche Unternehmen das als Bedrohung ihres Geschäftsmodells ansehen könnten, ist Geer klar. Er sagt: "Mein Vorschlag wäre die denkbar schlechteste Lösung, mit Ausnahme von allen anderen."

Geer fordert das Recht auf Falschinformation 

eye home zur Startseite
Casandro 09. Aug 2014

Entschuldigung, aber der CCC liefert technische Lösungen. Zum Beispiel betreibt er...

Force8 08. Aug 2014

Der Programmierer baut absichtlich Sicherheitslücken in die Software ein. Dann verkauft...

Moe479 08. Aug 2014

doch die lösung dafür gibt es: die lösung ist den vertrieb von geschlossenen produkten zu...

Moe479 08. Aug 2014

und denkbar ist nur was man sich vorstellen kann und andersherum ... ein teufelskreis...

Anonymer Nutzer 08. Aug 2014

ja genau, die regierung und geheimdienste sind selber ein, wenn nicht der, hauptgrund für...



Anzeige

Stellenmarkt
  1. Sodexo Services GmbH, Rüsselsheim
  2. BG-Phoenics GmbH, München
  3. über Ratbacher GmbH, Raum Saarlouis
  4. T-Systems International GmbH, verschiedene Standorte


Anzeige
Top-Angebote
  1. (alle Angebote versandkostenfrei, u. a. GTA V PS4/XBO für 27,00€ und Fast & Furious 1-7 Box Blu...
  2. (u. a. Wolverine 1&2, Iron Man 1-3 und Avengers)
  3. (u. a. Total War: WARHAMMER 24,99€ und Rome: Total War Collection 2,75€)

Folgen Sie uns
       


  1. Analysepapier

    Facebook berichtet offiziell von staatlicher Desinformation

  2. Apple

    Qualcomm reduziert Prognose wegen zurückgehaltener Zahlungen

  3. Underground Actually Free

    Amazon beendet Programm mit komplett kostenlosen Apps

  4. Onlinelexikon

    Türkische Behörden sperren Zugang zu Wikipedia

  5. Straßenverkehr

    Elon Musk baut U-Bahn für Autos

  6. Die Woche im Video

    Mr. Robot und Ms MINT

  7. Spülbohrverfahren

    Deutsche Telekom "spült" ihre Glasfaserkabel in die Erde

  8. Privacy Phone

    John McAfee stellt fragwürdiges Smartphone vor

  9. Hacon

    Siemens übernimmt Software-Anbieter aus Hannover

  10. Quartalszahlen

    Intel bestätigt Skylake-Xeons für Sommer 2017



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sonos Playbase vs. Raumfeld Sounddeck: Wuchtiger Wumms im Wohnzimmer
Sonos Playbase vs. Raumfeld Sounddeck
Wuchtiger Wumms im Wohnzimmer
  1. Playbase im Hands on Sonos bringt kraftvolles Lautsprechersystem fürs Heimkino

Mobile-Games-Auslese: Untote Rundfahrt und mobiles Seemannsgarn
Mobile-Games-Auslese
Untote Rundfahrt und mobiles Seemannsgarn
  1. Spielebranche Beschäftigtenzahl in der deutschen Spielebranche sinkt
  2. Pay-by-Call Eltern haften nicht für unerlaubte Telefonkäufe der Kinder
  3. Spielebranche Deutscher Gamesmarkt war 2016 stabil

Siege M04 im Test: Creatives erste Sound-Blaster-Maus überzeugt
Siege M04 im Test
Creatives erste Sound-Blaster-Maus überzeugt

  1. Re: Na endlich

    ceysin | 03:03

  2. Re: gestern vdsl50 erstmals getestet

    bombinho | 02:54

  3. Re: Private geben sich selbst Todesstoß

    ve2000 | 02:21

  4. Re: 80 Prozent nutzen die kostenfreien SD-Varianten.

    ve2000 | 02:13

  5. Re: Ich bin auch für die Todesstrafe

    ooKEKSKILLERoo | 01:48


  1. 15:07

  2. 14:32

  3. 13:35

  4. 12:56

  5. 12:15

  6. 09:01

  7. 08:00

  8. 18:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel