Mehr Grundlagenforschung im Bereich IT-Sicherheit

Zu den notorisch von Sicherheitslücken betroffenen Geräten gehört auch die Firmware von Routern, Modems, Firewalls und einfachen IoT-Geräten. Nicht alle Hersteller dieser Geräte sind traditionell auch Softwareentwickler und verfügen somit nicht unbedingt über die Kompetenz, sichere Software zu entwickeln. Auch hier gibt es zudem oft das Problem ungeprüfter Lieferketten und die blinde Übernahme von Code, ohne dass die Grundlagen der eingesetzten Software von den Herstellern überprüft werden.

Angesichts zahlreicher Sicherheitslücken und der immer größeren wirtschaftlichen Bedeutung funktionierender IT-Systeme wird gerade aus der Politik immer wieder eine Haftung für Sicherheitslücken durch die Hersteller gefordert. Die SPD und die CSU hatten entsprechende Forderungen sogar in ihren Wahlprogrammen. Unklar bleibt dabei nur, wie genau eine solche Haftung sinnvoll umgesetzt werden könnte. Wären Hersteller dann zum Beispiel für Lücken in Bibliotheken und Open-Source-Komponenten verantwortlich und müssten haften?

Und was ist mit zu Anschauungszwecken entwickelter Software wie Minix - die sich dann auf einmal in einem kommerziellen Produkt wiederfindet? Geht die Haftung dann auf den Hersteller der kommerziellen Produkte über oder verbleibt diese beim eigentlichen Entwickler?

Staatliche Zertifizierungen sind zudem keine Garantie für eine sichere IT. Das zeigte sich in diesem Jahr gleich mehrfach im Falle von staatlich zertifizierten Krypto-Verfahren angesichts des Duhk-Angriffs und einer Schwachstelle in Infineon-Chips, die Yubikeys genauso betrifft wie die estnischen Personalausweise mit eID-Funktionen. Warum sollte ein staatliches Siegel für Software dann ausgerechnet Sicherheit garantieren, wenn schon Datenschutzbehörden kaum mit der Aufsicht von Unternehmen hinterherkommen?

Kaputte Technik lässt sich oft nur schwer ersetzen

Am aktuellen Beispiel der stockenden Einführung der neuen TLS-Version 1.3 zeigt sich außerdem, wie umständlich es ist, neue Technologien flächendeckend zu verbreiten - selbst wenn alte Standards schon lange als unsicher gelten. Schon fehlerhafte Geräte weniger Hersteller können für die Dienstebetreiber wie Cloudflare inakzeptable hohe Fehlerraten verursachen. Wer also die IT-Sicherheit in wichtigen Systemen verbessern will, muss oft Jahre vor praktisch möglichen Angriffen damit beginnen, die Basis dafür zu schaffen.

Der beste Weg zu sichereren Grundlagen in der IT scheint daher zu sein, häufig genutzte Basiskompontenten künftig gründlicher auf Schwachstellen zu untersuchen - eine neue Grundlagenforschung im Bereich IT-Security. Bereits beim 33C3 hatte der Hacker Karsten Nohl nach einer Analyse der Sicherheit von Passenger Name Records im Flugverkehr dazu aufgerufen, "mehr Legacy-Systeme anzugreifen".

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Ein Lehrprojekt wird zur Grundlagentechnik in der IT
  1.  
  2. 1
  3. 2
  4. 3
Verwandte Artikel
artikel-bild
Security
Microsoft findet einfachen kritischen Fehler in ChromeOS
artikel-bild
Pine64
Doom läuft auf dem Pinephone-Modem
artikel-bild
Microsoft
Update in Windows 10 kann zu Soundproblemen führen
Meistgelesen
artikel-bild
KI im Programmierertest
Kann GPT-4 wirklich Code schreiben?
artikel-bild
Reddit
Stundenlanger Ausfall, weil niemand mehr den Code kennt
artikel-bild
Mysteriöses Start-up
Atomic Semi will Chips einfacher und günstiger herstellen
Kommentarübersicht
Re: KISS
cnMeier 17. Jan 2018

Selbst IT-Spezialisten verstehen idR nicht was genau in den Systemen passiert die wir...

Wie kann man etwas "kaputt machen"...
cpt.dirk 14. Jan 2018

... was schon kaputt war? "2017 wurde viel Firmware und andere grundlegende...

Re: Schon mal Software geschrieben?
cpt.dirk 14. Jan 2018

Vielleicht stellt sich dieser verordnete "Realismus" mittlerweile aber als nicht mehr...

Re: muss man das
bombinho 13. Jan 2018

Selbstverstaendlich ist Open Source im Sinne aller Nutzer, aber die Hoffnung, dass sich...

Aktuell auf der Startseite von Golem.de
Nachfolger von CS GO
Counter-Strike 2 ist geleakt

Eigentlich steht CS 2 bisher nur ausgewählten Personen zur Verfügung. Eine davon hat die Spieldateien aber offenbar ins Internet hochgeladen.

Nachfolger von CS GO: Counter-Strike 2 ist geleakt
Artikel
  1. Tiktok-Randale bei Creed III: Kinos setzen auf Erhöhung der FSK und Security
    Tiktok-Randale bei Creed III
    Kinos setzen auf Erhöhung der FSK und Security

    Kinos wollen verhindern, dass Zuschauer wegen Störaktionen dem Boxerfilm Creed III fernbleiben. Der Trend, sich beim Randalieren auf Tiktok zu zeigen, hält an.

  2. SAP Event Mesh: Eventbasierte Anwendungen in der SAP-Welt
    SAP Event Mesh
    Eventbasierte Anwendungen in der SAP-Welt

    Eventbasierte Architektur in SAP-Systemen, ganz ohne Vendor Lock-in: Der Service SAP Event Mesh ist attraktiv, hat aber auch seine Grenzen.
    Ein Deep Dive von Volker Buzek

  3. Model S und Model X: Teslas rundes Lenkrad ist ausverkauft
    Model S und Model X
    Teslas rundes Lenkrad ist ausverkauft

    Tesla kann die Alternative zum Steuerhorn beim Model X und Model S nicht liefern. Offenbar wurde die Nachfrage unterschätzt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Cyberport Jubiläums-Deals • MindStar: Gigabyte RTX 4080 OC 1.229€ • Nur noch heute: 38GB Allnet-Flat 12,99€/M. • NBB Black Weeks • Crucial SSD 1TB/2TB (PS5) bis -50% • Amazon Smart TVs ab 189€ • Nintendo Switch + Spiel + Goodie 288€ • PS5 + RE4 569€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /