Ansichten eines Informatikers

Warum das neue Cyber-Abwehrzentrum der Bundesregierung so nicht funktioniert

Hadmut
16.6.2011 18:40

Ein paar kritische Anmerkungen.

Mit viel Tam-Tam und Presse hat die Bundesregierung – besonders Bundesinnenminister Hans-Peter Friedrich, wobei der das aufgrund seiner kurzen Amtszeit nicht gebaut, sondern nur geerbt haben kann – das neue Cyber-Abwehrzentrum eröffnet. Überall in Presse und Rundfunk tönt es, wie gefährlich der Cyber-Krieg doch sei.

So funktioniert das nicht.

Grundsätzlich ist so ein Cyber-Abwehrzentrum keine schlechte Idee. Früher nannte man sowas schlicht CERT (Computer Emergency Response Team), aber so eine Bezeichnung ist zuwenig presse- und öffentlichkeitstauglich, also muß eine windschnittig-dramatische Bezeichnung her, die auf den Schlagzeilen was bringt und die Regierung aktiv aussehen läßt. „Cyber-Abwehrzentrum” – schon der Name ist falsch, denn man will ja nicht die Computertechnik, sondern die Angriffe abwehren (obwohl die Politik der Bundesregierung der letzten Jahre durchaus eher den Eindruck vermittelt, die Computertechnik und das Internet selbst abwehren zu wollen). Da aber in letzter Zeit in Presse und Politik so viel vom „Cyber-War” die Rede war, scheint ein Großteil der Bevölkerung (und vielleicht der Politiker) das Wort „Cyber” mit böse, Hacker, Angriff zu assoziieren. Dabei meint es eigentlich nur Rechentechnik (vgl. „Kybernetik”) oder etymologisch exakter Steuerungstechnik. Bekannt wurde der Begriff auch durch Mainframe-Rechner der 70er und 80er Jahre wie die CDC Cyber und die Verwendung des Begriffs in Science-Fiction. Da wurde es dann auch zum Begriff Cyborg abgeleitet, der ein Mischwesen aus Maschine und Organismus bezeichnet. Erst seit aber von Politik und Presse soviel heiße Luft um die elektronische Kriegführung ventiliert wird und man ein dramatisches Buzz-Word brauchte, kam da der Cyber-War da öffentlich in Mode (wobei der Begriff wohl von Videospielen und Kinofilmen geprägt wurde). Inzwischen scheint „Cyber” zumindest in unserem Kulturkreis nicht mehr die Rechentechnik, sondern fiese Hacker, die unsichtbar böse Dinge tun und unser aller Daten klauen und die Stromnetze lahmlegen, zu bezeichnen. Weil sich der Begriff ja auch so schön künstlich, englisch und fies anhört, ohne irgendwas konkretes zu sagen. Dem normalen Bürger läuft dabei automatisch ein Schauer der Hilflosigkeit und Ausgeliefertheit gegenüber bösen russischen und chinesischen Mächten über den Rücken. Herrlich, um Politik zu machen.

Ein CERT zu haben, ist ein guter Anfang. Vor einigen Jahren gab es sogar schon mal ein Bundes-CERT, das aber pleite gegangen ist. Weil die Bundesregierung – der damalige BSI-Chef Udo Helmbrecht brachte das zum Ausdruck – mal sagte, daß IT Security aus ihrer Sicht nichts anderes bedeutet, als die IT-Sicherheitsbranche wirtschaftlich zu befeuern. IT-Security als x-beliebiger Wirtschaftsfaktor. Es geht nicht um das Abwehren von Angreifern, sondern um das Verkaufen von Virenschutzprogrammen als Umsatzfaktor. Kann man einer solchen Regierung (zu)trauen, ein „Cyber-Abwehrzentrum” zu bauen? Eigentlich nur, wenn man ihnen unterstellt, daß sie ihre Meinung über IT-Sicherheit genauso schnell geändert hat wie die über Atomkraftwerke. Aber nicht mal dann so richtig.

IT-Sicherheit ist in Deutschland ein trauriges Kapitel. Jahrelang wurde das auch an den Universitäten nur als x-beliebiger Vorwand für das Beantragen von Forschungsgeldern und das Aufblasen von Lehrstühlen und Professoren verwendet, weil es sich wichtig anhört. Tatsächlich geleistet wurde aber nie etwas. Deutschland ist in diesem Bereich, auch was Internet und so weiter angeht, ein reines Abnehmer- und Konsumentenland. Der ganze Kram wird – im Guten wie im Schlechten – vor allem in den USA entwickelt, mit allen Vor- und vor allem Nachteilen von deren Mentalität, Rechtssystem, Selbstverständnis und Schlampigkeit.

IT-Sicherheit heißt in Deutschland (und Europa!) nicht, daß wir sichere Techniken entwickeln. Es heißt bestenfalls, daß wir die Unsicherheiten der Techniken kennen, die wir dennoch kritiklos aus den USA übernehmen. Wir sind nur am Mäkeln, aber nicht am Machen.

Die Nachteile beider Systeme – das der USA wie das der Europäer – habe ich schon negativ bemerkt, als ich vor fast 10 Jahren bei der IRTF und der IETF ein Anti-Spam-Verfahren (RMX) vorgeschlagen habe. Damals war ich in der Sache als fast einziger Nicht-Nord-Amerikaner (ein Franzose war noch unterwegs) involviert, und habe versucht, argumentativ gegen mehrere hundert US-Amerikaner anzukämpfen. Die Amis haben den Ansatz damals zerrieben, weil deren Wirtschaftsinteressen und Patent-Sichtweisen dagegen stehen, und IT-Sicherheit hat sich dort eindeutig Wirtschaftsinteressen unterzuordnen. Die Europäer hingegen hat das Thema überhaupt nicht interessiert, die blieben einfach abwesend, und haben das weder aus der Wissenschaft, noch aus der Regierung heraus gefördert. Man kann sich nun überlegen, was schlimmer ist, die korrupte Herangehensweise der Amis oder die ignorante der Europäer und insbesondere der Deutschen. Zu IT-Sicherheit führen sie jedenfalls beide nicht.

Die Dramatik des „Cyber-War” beruht keineswegs darauf, daß wir nun von so vielen bösen Chinesen und Russen angegriffen werden. Sie beruht darauf, daß wir selbst etwa 20 Jahre lang in Ignoranz und Dummheit einen so großen Haufen schlechter IT-Technik aufgetürmt haben, der so voller Sicherheitslöcher ist, daß wir sie nicht mehr in den Griff bekommen – die schiere Quantität, aber auch das Fehlen einer eigenen Industrie in diesem Bereich machen das unmöglich. Alle Welt redet von der Problematik der Atomendlager, wo wir die Sünden der letzten Jahre hinpacken. Daß aber der „Cyber-War” und unsere Verletzlichkeit tatsächlich nur die Folge von über 20 Jahre politischer und wissenschaftlicher Ignoranz ist, und unser Sicherheitsproblem der in dieser Zeit als Infrastruktur aufgehäufte unsichere Mist, also nicht die bösen Hacker, sondern unser Management und unsere Politik die Täter sind, wird verschwiegen. Die Unsicherheit, die Verletzlichkeit im Cyber-War ist nicht systemimmanent. Sie ist eine spezifische Eigenschaft des IT-Mistes, aus dem wir in den letzten 20 Jahren unsere Infrastruktur kritiklos gebaut haben. Nun haben wir den Salat, aber keine Exit-Strategie.

Und was mich daran irritiert ist, daß einem gerade in allen Medien ständig und immer wieder um die Ohren geblasen wird, wie gefährlich IT-Angriffe sind und welchen immensen Schaden sie anrichten können – und dann bekommt das Abwehrzentrum mickrige 10 Mann Besatzung. Glauben die eigentlich selbst, was sie da sagen?

Ein paar Beispiele für fundamentale Fehler, die wir in den letzten Jahren begangen haben:

  • Schon das Wort „Cyber-Abwehrzentrum” zeigt das Problem. Man unterliegt der Sichtweise, daß wir einen großen Haufen IT haben, der so ist, wie er nunmal ist, und wir reaktiv auf Angriffe eingehen. Dazu muß man sie erstens erst mal entdecken, und zweitens ist es dann schon viel zu spät. Dahinter steht so die juristisch-politisch-kriminalistische Sichtweise, daß man Straftaten durch Strafen verhindert, die verhängt werden, wenn das Verbrechen bereits passiert ist.

    Das funktioniert hier nicht. IT-Sicherheit erreicht man nicht durch reaktives Abwehren, sondern durch proaktives Absichern. Der Fehler im Konzept ist, daß man glaubt, eine schlechte IT-Infrastruktur bewachen zu können und zu müssen, anstatt eine starke Infrastruktur systematisch aufzubauen.

    Bemerkenswerterweise müssen selbst die USA – der Haupturheber der in der weltweiten IT-Infrastruktur eingesetzten Programme, Betriebssysteme, Komponenten – so weit gehen, daß sie IT-Angreifern mit Militärschlägen drohen, weil sie sich selbst auf IT-Ebene nicht mehr absichern können. Der Unterschied zwischen denen und uns ist, daß wir nicht mal mit Militärschlägen drohen können. Also IT-Angriffen eigentlich gar nichts mehr entgegenzusetzen haben. Außer jetzt dieser 10-Mann-Truppe.

  • Man hat es zugelassen, daß Windows zum de facto Standard-Betriebssystem wurde, sowohl im Industrie-, wie auch im Behörden- und Privatbereich.

    Schon rein volkswirtschaftlich ist das ein Fehler, denn wir haben insgesamt sicherlich sehr viel mehr Geld für Windows rausgeworfen, als uns die Entwicklung eines eigenen Betriebssystems mit vernünftigen Eigenschaften gekostet hätte. Dazu kommen die ganzen Folgeschäden, die Microsoft durch Geheimniskrämerei, Patentrechterei und Lizenzturnerei verursacht hat. Hätte man in Deutschland (oder Europa) vor 10 bis 20 Jahren angefangen, ein vernünftiges und sauber gebautes Open-Source-Betriebssystem zu entwickeln, das allen einfach so kostenlos zur Verfügung steht, wäre das schon wirtschaftlich sehr viel sinnvoller gewesen. Ja, ich weiß, das hört sich nach Linux an. Ist es aber nicht. Denn Linux hat eine ziemlich chaotische Entwicklung hinter sich, und es mischen eine Menge Leute darin herum, zu deren Stärken – vorsichtig ausgedrückt – Sachkunde, IT-Sicherheit und Programmieren nicht so unbedingt gehört. Zudem hätte man durch hohe Einfuhrzölle auf undokumentierte Chipsätze durchaus herbeiführen können, daß man auch zu Hardware Open-Source-Treiber schreiben kann und nicht auf die gepfuschten Windows-Treiber der Hersteller angewiesen ist. Es hätte niemals geduldet werden dürfen, daß man Windows automatisch zur Hardware mit dazukaufen muß.

    Außer den wirtschaftlichen Folgen ergeben sich daraus dramatische Konsequenzen für die IT-Sicherheit. Windows hat zwar inzwischen durchaus einige sehr interessante Eigenschaften, und Microsoft gibt sich heute (jedenfalls im Vergleich zu früher) auch deutlich Mühe. Aber Windows (und das ganze Softwaregebimsel drumherum) ist technisch so vermurkst und von Marketingstrategen überladen, aber gleichzeitig in seiner Rückwärtskompatibilität gefangen (weil die Aufgeblähtkeit, die Herstellerabhängigkeit und die Lizenzierung einer Aktualisierung alter Betriebssysteme entgegenstehen). Windows ist an einigen Stellen zutiefst vermurkst, und nicht mal Microsoft ist noch in der Lage, das zu korrigieren.

    Die Folge ist, daß wir als eine der größten Volkswirtschaften der Welt vollständig durchdrungen und vollständig abhängig von einem Betriebssystem sind, dessen Quelltext wir nicht mal haben und das wir nicht einfach so mal ändern können. Damit steht und fällt aber alles. Mit Microsoft und dem derzeitigen Windows werden wir niemals brauchbare Sicherheit erreichen, aber einen Umstieg auf etwas anderes würden wir schon wirtschaftlich nicht mehr stemmen können (siehe nur die Posse um das Auswärtige Amt, das schon damit überfordert war, von Windows auf Linux umzusteigen – wie soll es dann ein ganzes Land können?). Und uns fehlen schlichtweg die Alternativen. Auch als Linux-Fan muß ich objektiv sagen, daß Linux (und insb. die Distributionen) trotz all ihrer Vorteile auch nicht wirklich brauchbar sind, weil auf nichts Verlaß ist, fast nichts wirklich ausprogrammiert wird, und zuviele Leute rummurksen, die man bestenfalls als unprofessionell einstufen würde, die irgendwelchen Ideologien und privaten Vorlieben folgen. Zudem leidet Linux grundsätzlich an dem Problem fehlender Hardware-Dokumentation.

    Wer Sicherheit will, der kann nicht einfach mit ein paar Sälbchen und Pflästerchen Oberflächenkosmetik treiben und jetzt mit ein paar Nasen mal eben auf Cyber-Abwehr machen. So lange wir das Problem nicht lösen, können wir uns IT-Sicherheit in dieser Breite eigentlich an den Hut stecken.

    Würden wir jetzt (endlich) anfangen, ein ordentliches Betriebssystem zu entwickeln, dann wären wir vielleicht in 5 bis 10 Jahren in der Lage, IT-Sicherheit auf ein brauchbares Niveau zu haben. Vorausgesetzt natürlich, daß wir genug fähige Leute haben, so etwas zu bauen. Was das Problem mit sich bringt, daß wir in Deutschland Leute nicht dazu ausbilden, das zu können.

    Oder anders gesagt: Wir sind weder fachlich, noch personell oder tatsächlich in der Lage, IT-Sicherheit herzustellen. Obwohl wir es wirtschaftlich eigentlich müßten.

  • Ähnlich abhängig von US-Produkten sind wir bei den typischen Büroapplikationen wie Word, Outlook usw. Auch hier werfen wir mehr Geld über den großen Teich, als es uns kosten würde, es besser selbst zu entwickeln.

    Unser IT-Sicherheitsstatus hängt damit ganz wesentlich von der amerikanischen Software-Mentalität, von Marktzwängen nach immer mehr Multimedia-Geblubber, Automatismen und Klickedibums ab als von Sicherheitsanforderungen. Warum eigentlich? Wir wissen doch schon lange, daß die Amerikaner ein ganz anderes Verhältnis zu Datenschutz, Privatsphäre, Vertraulichkeit usw. haben als wir. Mit Datenschutz- und Telekommunikationsrecht sind wir dahinter wie der Teufel hinter der Seele, daß personenbezogene Daten nicht in den USA verarbeitet werden. Gut. Aber von denen, denen wir da mißtrauen, lassen wir uns die Software schreiben, mit der wir selbst die Daten verarbeiten.

    Wer von denen, die immer aufschreien, wenn Flugdaten oder Geldüberweisungen in die USA transportiert werden, wenn all die Facebooks uns ausleuchten, zieht denn die Konsequenz daraus und verwendet keine amerikanische Software mehr, weil sie derselben schlechten Sichtweise entspringt? Über Google, StreetView, Facebook usw. schreien sie alle. Aber Alternativen werden nicht gebaut.

  • Eine Hauptursache für Sicherheitslöcher – und um die geht es ja hier – sind die Programmiersprachen C und C++, und deren Laufzeitbibliotheken mit deren Schnittstellen, wie POSIX. In einer ordentlichen Programmiersprache dürfte es sowas wie Pufferüberläufe, Null-Byte-terminerte Strings oder vergessene Abfragewerte nicht geben. C ist dermaßen fehleranfällig, daß es unter Industriebedingungen unmöglich ist, sichere Software zu schreiben, obwohl zwar nicht alle, aber die meisten Sicherheitslöcher durch eine ordentlich Programmiersprache ohne weiteres abgefangen werden könnten.

    Man kann auch in C sicher programmieren. Wenn man sehr viel Wissen, sehr viel Selbstdisziplin, sehr viel Zeit und sehr gute Softwarequalitätsprozesse hat. Nur die haben wir nicht. Nicht in Deutschland. Die Realität in der Industrie sieht einfach anders aus. Ich habe genügend Anwendungs- und Webprogrammierer erlebt (auch in Java), die zwar eigentlich nicht schlecht programmieren, aber von Security kaum Ahnung haben und die typischen Standard-Fehler immer wieder machen. Nicht alle, aber doch sehr viele dieser Standardfehler wären durch bessere Programmiersprachen und bessere Lautzeitbibliotheken ohne weiteres abzufangen oder sogar zu verhindern.

    Wer ernsthaft IT Security treiben will, der muß erst einmal eine ordentliche Programmiersprache entwerfen und dann möglichst schnell alles rausschmeißen und/oder neu schreiben, was in C und C++ geschrieben ist. Und da hat er was zu tun.

  • Machen wir da gleich weiter: Um sicher zu programmieren braucht man entweder sehr viel Wissen und jahrelange Erfahrung – oder eine gute Ausbildung. Beides ist für die meisten Feld-, Wald- und Wiesenprogrammierer nicht verfügbar. In den mir bekannten einschlägigen Ausbildungsberufen kommt IT-Sicherheit nicht vor, und sogar im Informatik-Studium ist IT-Security nur an wenigen Unis als Schwerpunktfach verfügbar. Und die treiben eher Kryptographie und Beweistechniken als ordentliches Programmieren zu lehren. Jedenfalls hatte bisher keiner der Programmierer, denen ich in der Industrierealität begegnet bin und die ich dazu befragt habe, irgendeine Ausbildung oder Schulung in sicherem Programmieren.
  • Eines der hässlichsten Sicherheitsprobleme – weil es mich am meisten ärgert – ist das Dateiformat PDF von Adobe.

    Eigentlich wäre PDF genial. Eigentlich sehr gut. Eigentlich ein geschlossenes System, aus dem es kein Ausbrechen gibt. Eigentlich eine Sache, für die man ohne allzugroße Anstrengung wasserdichte Browser schreiben könnte. Eigentlich könnte PDF ein Format sein, bei dem man alles, was man aus unsicheren Quellen bekommt, bedenkenlos im Browser anzeigen könnte. Eigentlich.

    Irgendwelche Marketing-Strategen (oder andere Idioten) bei Adobe waren aber der Meinung – und das ist leider auch in vielen anderen Softwareprodukten so – daß da noch Zusatzfunktionen rein müßten, um mehr Umsatz zu generieren. Also hat man da noch jede Menge Firlefanz eingebaut, externe Zugriffe, JavaScript, und so Zeugs alles, was diese schöne abgedichtete Umgebung wider alle Vernunft durchlöchert hat.

    Dazu kam, daß Adobe in letzter Zeit unglaublich schlecht programmiert. Deren Programme (wie der Acrobat Reader, aber auch die Flash-Animationen) strotzen vor Sicherheitslöchern und haben als Angriffsziel inzwischen Windows überholt. PDF, das heißt dessen Formaterweiterungen und die Software außenrum, haben sich vom genialen Dokumentformat zur Sicherheitskatastrophe entwickelt. So sieht’s aus.

    Was aber, muß man nun fragen, soll ein Cyber-Abwehrzentrum daran ändern oder verhindern?

    Die richtige Vorgehensweise wäre gewesen, auf Bundes- oder Europa-Ebene mal so richtig strikt und rigoros ein Dateiformat für Dokumente zu definieren, das für sich völlig abgedichtet ist und per se keine Interaktion außerhalb des Dokumentes erlaubt. Könnte durchaus auch eine Untermenge des aktuellen PDF-Formates sein. Und dieses Format gibt man verbindlich für Behörden und Geschäftsverkehr vor, indem man u.a. die Definition frei verfügbar macht.

    Dann muß man kostenlose Software allgemein zur Verfügung stellen. Eine Software, die ein solches Dokument prüft, ob es diesem Standard entspricht. Die beispielsweise das Herunterladen von Dokumenten oder den Empfang von E-Mails blockieren (oder davor warnen) kann, wenn man etwas bekommt, was dem nicht entspricht.

    Und natürlich ein Anzeigeprogramm. Eins von der wasserdichten Sorte, wo dieser ganze Firlefanz mit eingebettetem JavaScript nicht drin ist, und das so programmiert ist, daß keine Pufferüberläufe und anderer Unbill passieren können. Sowas wie der Acrobat Reader, nur in gut und reduziert auf das, was nicht gefährlich ist. Und das für jeden zum freien Herunterladen, mit Quelltext zum Durchlesen für die, die das nachlesen möchten.

    Mit einem so profanen Schritt hätte man weit mehr Sicherheit erreicht, als mit diesem fipsigen Cyber-Abwehrzentrum.

    Bedenkt man allerdings, wie schwer sich die Bundesregierung schon mit der Software für den Personalausweis tut, bei der in der Linux-Version gar 100 Megabyte samt Java-Umgebung notwendig waren, und wie schwerfällig beispielsweise die Elster-Software für die Steuererklärung ist, sieht man sich an, welchen Bockmist man bei Polizei- und Finanzamtsoftware baut, dann ist fraglich, ob wir in Deutschland zu sowas überhaupt fähig wären. Die Programmierlandschaft in Deutschland ist aufgrund schlechter Ausbildung eine ziemlich armselige Sache. Und genau da müßte man anpacken.

    Und so ähnlich sieht es dann auch mit anderen Softwareprodukten aus. Outlook zum Beispiel. Oder Word. Oder Excel. Was habe ich in den Firmen schon für Angriffe erlebt, wo man den Leuten einfach eine Mail zusandte und die unbedarft draufklickten. Und sich im günstigsten Fall nur ScareWare einhandelten. Wie kann es passieren, daß ein so hundsmiserables und löchriges Mailprogramm wie Outlook zum De-facto-Firmenstandard wird? Auch hier müßte man die Software von ihrer Funktion und ihrer Programmierqualität so abdichten, daß man eigentlich bedenkenlos auf alles klicken kann, was reinkommt – weil nur dann auch der unbedarfte Nutzer E-Mail nutzen kann. Stattdessen haben wir Mailprogramme, die abstürzen, die jeden Mist ausführen, und die den Datentyp an der Dateiendung festmachen, die sie nicht mal anzeigen.

    Wer IT-Sicherheit haben will, der muß hier mal ganz klare Anforderungen an Mailverkehr stellen und definieren, was ein Mailprogramm tun und lassen soll. Und dann Software dazu anbieten oder von Herstellern die Einhaltung verlangen. Was aber soll ein „Cyber-Abwehrzentrum” hier tun und ausrichten können? Vielleicht Warnungen herumschicken? Hört mal Leute, da ist irgendein Chinese unterwegs, der Euch unverdächtige Mails schickt, und wenn Ihr draufklickt macht’s bumm? So vielleicht? Wie soll ein „Cyber-Abwehrzentrum” daran etwas ändern?

    Was sie dazu machen ist De-Mail. De-Mail verhindert keinen Angriff, sondern unterwandert im Gegenteil sogar die End-zu-End-Verschlüsselung. Dafür ist es kostenpflichtig und lagert die E-Mail an einen externen Dienstleister aus. Und bringt absurde Rechtsfolgen mit sich. De-Mail ist so ein klassisches Beispiel dafür, wie die Regierung IT-Sicherheit verspricht, dabei aber nur auf Kosten des Bürgers einzelnen Unternehmen Umsätze zuschanzt. Wie will eigentlich eine Regierung, die schon das nicht auf die Reihe bekommt, ein Cyber-Abwehrzentrum betreiben können, das Deutschland vor Angriffen schützt?

  • Ein Riesenthema ist die Web-Sicherheit. Phishing und so Zeugs.

    Würde man das mal ordentlich angehen, dann würde man mal klar definieren, wie eine sichere Webseite auszusehen hat. Daß da eben nicht HTTPS mit HTTP gemischt wird. Daß da nicht die Inhalte und Skripte von allen möglichen Domains zusammengegurkt werden. Daß man eindeutige Domains hat. Und daß ein Domainname eine Rechtssicherheit hat und man feststellen kann, wer dahinter steckt. Und dann beschreibt man, was Browser tun und lassen müssen, und wie sie die Sicherheit einer Webseite zu prüfen haben. Und auch hier wieder aus dem Browser den ganzen Schnickschnack und Blödsinn rauswerfen, der die Sicherheitsprobleme erst mit sich bringt.

    Da könnte man so viele nützliche Dinge tun, um die Macken zu beheben und die Sicherheit drastisch anzuheben. Da könnte man richtige Fortschritte erzielen. Aber dazu sind wir in Deutschland nicht befähigt. Das ist alles so ein Arrangieren mit dem Gegebenen, so ein Vor-sich-hinmurksen, so ein Bedienen der Vetternwirtschaft und der Pseudogeschäfte. Wir machen nicht IT-Sicherheit, wir machen Umsatz. Und wir schieben Posten im Innenministerium und im BSI an Parteisoldaten.

    IT-Beauftragte der Bundesregierung, sozusagen die deutsche IT-Verantwortlichkeit Nummer eins ist Cornelia Rogall-Grothe, eine Juristin mit Polit-Karriere aber ohne IT-Ausbildung. Schlimmstenfalls Postenschieberei und Korruption, bestenfalls noch Quotenfrau in Zeiten, in denen das weibliche Geschlecht per se als alles andere überragende Eigenqualifikation für alles gilt. Wie aber könnte man einer Regierung, die solchen Schwachsinn treibt, noch die Befähigung zutrauen, ein Cyber-Abwehrzentrum einzurichten oder uns gar vor Angreifern zu schützen? Ich traue ihr das jedenfalls nicht zu.

  • Eines der am meisten diskutierten und publizierten Sicherheitsprobleme (obwohl bei Licht betrachtet eigentlich gar kein Sicherheits-, sondern ein Datenschutz-, Rechts- und Dummenproblem) ist Facebook. Nur mal so als Beispiel. Wir ach so gerne von Politikern herangezogen. Also nehmen wir es mal als hinkendes, aber konkretes Beispiel?

    Was macht man mit Facebook? Außer lamentieren, kapitulieren, hilflos mit den Armen rudern? Internet darf kein rechtsfreier Raum sein und so?

    Nichts tut man.

    Man könnte mal eine europäische Alternative bauen, die die Datenschutzprobleme löst. Macht man aber nicht. Stattdessen zeichnet die Verbraucherministerin Aigner den größten anzunehmenden Fall von Internet- und Sicherheitsinkompetenz (ich präge dafür mal den Begriff GAI für Größte Anzunehmende Inkompetenz), den digitalen Radiergummi X-Pire, übles Machwerk deutscher Universitätsschwätzer, als tolle Lösung aus, um mit Facebook und Co umzugehen. Wer traut solcher Politik eigentlich noch zu, ein Cyber-Abwehrzentrum zu bauen?

    Man könnte auch mal den Amis auf den Schlips treten. Die wollen ja von uns ne ganze Menge. Sie wollen Fluggastdaten, Finanztransaktionen und sowas. Sie wollen, daß wir ihre Bits und Bytes in Form von schlechter Software, Musik und gleichartigen Hollywood-Filmen zu Mondpreisen kaufen und ihnen hübsch das Urheberrecht so zurechtbiegen, daß wir hier jeden 13-jährigen verfolgen, der mal was tauscht. Weil den Amis ihr Urheber-Umsatz so wichtig ist. Das Außenhandelsdefizit ist so hoch, daß sie zwangsläufig heiße Luft als Substanz verkaufen müssen. Gut, sei ihnen gegönnt. Dann könnte man denen aber entgegenhalten, hört mal, dafür sind uns Datenschutz und IT Sicherheit wichtig. Und ab sofort werden wir Eure Urheberinteressen nicht besser schützen als Ihr unsere Datenschutzinteressen. Betreibt Ihr Facebook so wie es ist, dann darf man bei uns Windows und Kinofilme tauschen. Tit for tat. Ruckzuck wäre das Problem gelöst. Tut man aber nicht. Kein Arsch in der Hose, keine Regierungsfähigkeit im Kopf. Wer traut dieser Regierung eigentlich zu, daß sie die Lösung von Sicherheitsproblemen und die Aufdeckung von Angriffen, wenn man sie denn mal entdeckt, überhaupt noch gegen USA, Russen, China oder wen auch immer durchsetzt? Man muß sich doch mal das Geeier um den Libyen-Einsatz ansehen. Traut man einem Guido Westerwelle oder wem auch immer zu, in andere Länder zu gehen und zu sagen, wir haben da was entdeckt, Ihr benehmt Euch nicht, das muß sofort aufhören?

  • Ein wichtiger Ausgangspunkt für IT-Sicherheit wäre die Forschung im Hochschulbereich. Im wesentlichen ein Totalausfall. Die meisten derer, die sich dort als Sicherheitsexperten ausgeben, beherrschen das Fach nicht und sind selbsternannte Experten. Und befassen sich mit der massenhaften Produktion nutzloser Papers zu irrelevanten Themen. Je irrelevanter und praxisferner, desto geringer die Gefahr, widerlegt oder kritisiert zu werden. Wissenschaftler mögen das.

    Konkrete Fortschritte gibt es da aber nicht. Was hätten deutsche Informatik-Wissenschaftler in den letzten Jahren von Bedeutung hervorgebracht? Von MP3 mal abgesehen?

    Trotzdem bläst das Bundesforschungsministerium den Instituten einfach mal so, ohne konkrete Anforderungen und in nicht nachvollziehbarer Weise (dazu schreibe ich in den nächsten Tagen was unter Forschungsmafia noch was) das Geld hinterher, nach dem Gießkannenprinzip. Nach dem alten Regierungsmotto IT-Sicherheit ist, wenn der Umsatz stimmt.

    Die Bundesregierung warnt ständig vor bösen Cyber-Kriegern aus bösen Ländern, die gewalten Schaden anrichten könnten. Weitaus größeren Schaden richtet eine Forschungsministerin Annette Schavan an, nur daß man vor der nicht offiziell warnt.

    Würde man den Geldregen vielleicht mal daran binden, daß die Wissenschaftler nicht nutzlose Papers produzieren, sondern das, was man für IT-Sicherheit tatsächlich braucht (einiges habe ich ja oben erwähnt) und vielleicht auch daran, daß Geld nur an die vergeben wird, die eine echte Befähigung nachweisen und nicht nur von irgendeiner Fakultät willkürlich zum Professor und zur Koryphäe ernannt wurden, würde das Ergebnis ganz anders aussehen. Dann hätte man nicht nur eine weitaus bessere IT-Sicherheitsgrundlage, sondern sogar einen volkswirtschaftlichen Vorteil, einen Return of Invest für die Forschungsgelder.

    Eine wesentliche Voraussetzung für die Verbesserung der IT-Sicherheit in Deutschland ist also – noch vor dem Bekämpfen ominöser Chinesischer Wunderhacker – die Beseitigung der Annette Schavan. Denn die vergeudet das Forschungspotential, für das wir Milliarden aus Steuergeldern verpulvern.

    Würde man die Vergabe von Forschungsgeldern der Regierung an andere, realitätsorientierte Kriterien binden, dann würden die Fakultäten, deren einziges greifbares Auswahlkriterium für Berufungen nur noch die Menge der eingeworbenen Drittmittel sind, sehr schnell ihre Berufungspraxis ändern. Damit wären wir dann schon in 20 oder 30 Jahren – wenn alle die Professoren, mit denen man die bisherigen Beamtenstellen in der IT-Sicherheit aufgefüllt hat, emeritiert oder gestorben sind, eine Chance, befähigtes Personal in die Forschungsstellen zu bekommen und zur Abwechslung mal nicht amerikanische Produkte zu konsumieren, sondern selbst was zu entwickeln.

Wie man nun meinen Ausführungen vielleicht etwas angemerkt hat, traue ich dieser Regierung einfach nicht (mehr) zu, weder fachlich noch charakterlich, IT-Sicherheit ernsthaft herzustellen. Das BSI hat angeblich so um die 600 Leute, und bekommt wenig bis nichts auf die Reihe. Können sie auch nicht, wenn man bedenkt, unter welchem politischen Einfluß sie stehen. Wenn die aber schon nichts hinkriegen, was soll dann ein Cyber-Abwehrzentrum erreichen können, das aus einer 10-Mann-Abordnung des BSI besteht? Weniger als nichts?

Das alles macht auf mich den Eindruck einer Alibi-Veranstaltung. Ich weiß, was meiner Meinung nach notwendig wäre, um die IT Sicherheit deutlich und auf ein erträgliches Maß zu verbessern. Ich bin aber auch der Meinung, daß wir in Deutschland aus politischen und hochschulpolitischen Gründen nicht die Leute haben, die dazu befähigt wären. Platt gesagt, sind wir zu doof um mehr zu können, als den amerikanischen Massenmist zu konsumieren und immer wieder mal darüber zu lamentieren wie über Street View. Wir haben jahrelang in Politik, Behörden und Universitäten die falschen Leute eingepflanzt, und das Ergebnis ist, daß wir mit denen keine Blumentopf mehr gewinnen. Würde man das Thema IT Sicherheit ernsthaft angehen, käme das sehr schnell ans Licht. Vielleicht weiß man das sogar und will es deshalb vermeiden. Und deshalb tut man nur so, als würde man sich um das Thema kümmern.

70 Kommentare (RSS-Feed)

Battleaxe
16.6.2011 20:40
Kommentarlink

Hi,

was Du hier abgeliefert hast ist ein absoluter Hammer, da kann man kaum darauf antworten. Allein die Masse ist erschlagend.

Nun versuche ich es doch:

Windowsvorherrschaft: Das ist absolut so, für einen der ab ’87 mit *UXen rummachte ist das noch viel unverständlicher.

>Zudem hätte man durch hohe Einfuhrzölle auf undokumentierte Chipsätze
>durchaus herbeiführen können, daß man auch zu Hardware
>Open-Source-Treiber schreiben kann und nicht auf die gepfuschten >Windows-Treiber der Hersteller angewiesen ist.

100% d’accor, leider muss das die Politikebene entscheiden – und die haben keine Peilung und sind in weiten Teilen gekauft.

>(siehe nur die Posse um das Auswärtige Amt, das schon damit >überfordert war, von Windows auf Linux umzusteigen – wie soll
>es dann ein ganzes Land können?)

Da bin ich optimistischer: Im Familienbereich/Firma habe ich Windows auf die Insel gesetzt. Die kommen nicht raus oder rein. Die einzigen OS die das können sind Linuxe (Suse und Ubuntu). Bei diesen Umstellungen habe ich gelernt dass nur die Hardcore Spieler auf M$ angewiesen sind. Alle anderen können mit einem Mix aus Linux, Open/Libreoffice und Eigenprogrammierung gut leben.

>Wer Sicherheit will, der kann nicht einfach mit ein paar Sälbchen >und Pflästerchen Oberflächenkosmetik treiben und jetzt mit ein paar >Nasen mal eben auf Cyber-Abwehr machen. So lange wir das Problem >nicht lösen, können wir uns IT-Sicherheit in dieser Breite >eigentlich an den Hut stecken.

2 Anmerkungen dazu:
1. Das Abwehrzentrum ist der Krisenstab: Man holt alle wichtigen und die zusammen die was zu sagen haben, damit die die wissen wie man das Problem löst in ruhen arbeiten können.

2. Meine Meinung: Man muss die Polizei entsprechend aufstocken. Es müssen genügen Menschen sich darauf konzentrieren was im Web los ist und die Kollegen des “real life” anschubsen.
Diese Menschen werden wenn sie genügend qualifiziert sind und nicht bürokratisch geknebelt von alleine die richtigen Maßnahmen treffen (wir sind immer noch Urzeitjäger).

>Würden wir jetzt (endlich) anfangen, ein ordentliches Betriebssystem >zu entwickeln, dann wären wir vielleicht in 5 bis 10 Jahren in der >Lage, IT-Sicherheit auf ein brauchbares Niveau zu haben. >Vorausgesetzt natürlich, daß wir genug fähige Leute haben, so etwas >zu bauen. Was das Problem mit sich bringt, daß wir in Deutschland >Leute nicht dazu ausbilden, das zu können.

Du bist reichlich pessimistisch. Warum sollte das nicht gehen? Die Ausbildung ist das eine, die Persönlichkeit das andere. Ich bin gerade auf dem Positivtrip – es wird schon schiefgehen.

>Ähnlich abhängig von US-Produkten sind wir bei den typischen >Büroapplikationen wie Word, Outlook usw. Auch hier werfen wir mehr >Geld über den großen Teich, als es uns kosten würde, es besser >selbst zu entwickeln.

100% ACK

>Wer ernsthaft IT Security treiben will, der muß erst einmal eine >ordentliche Programmiersprache entwerfen und dann möglichst schnell >alles rausschmeißen und/oder neu schreiben, was in C und C++ >geschrieben ist. Und da hat er was zu tun.

ich habe seit ’84 mit C “rumgemacht” – und da gab es schon z.B. Pascal.
C provoziert wirklich Speicherüberläufe und andere Probleme (incl. Code der “obwohl kommentiert” nicht lesbar ist).

>Jedenfalls hatte bisher keiner der Programmierer, denen ich in der >Industrierealität begegnet bin und die ich dazu befragt habe, >irgendeine Ausbildung oder Schulung in sicherem Programmieren.

100% ACK.

Ob ich eine Maschine ansehe oder ein kaufmännisches Programm. Absolutes No.
Da sind die Windows – Otto – Normalverbraucher durchaus (manchmal) kritischer.

>Eigentlich wäre PDF genial. Eigentlich sehr gut. Eigentlich ein >geschlossenes System, aus dem es kein Ausbrechen gibt. …

Muss dir zustimmen – das ist alles nur traurig. Manches wird verschlimmbessert.

>Mit einem so profanen Schritt hätte man weit mehr Sicherheit >erreicht, als mit diesem fipsigen Cyber-Abwehrzentrum.

Wieder 100% ACK, anscheinend werde ich zu Deinem “Fanboy”

SRY, mir geht die Zeit aus.

— ich schicke jetzt mal den ersten Teil raus. evtl. kommentiere ich den 2. Teil auch noch – nur morgen 🙂

Gruß Johannes


Fabian
16.6.2011 22:40
Kommentarlink

Vorschlag für eine alternative Überschrift: Requirements Engineering für eine nationale IT-Sicherheitsstrategie im Konjunktiv.

Inhaltliche im Wesentlich volle Zustimmung, wobei meine Meinung zur Ausbildungssituation nicht ganz so völlig pessimistisch ist wie deine. Ich würde mal mit der Annahme arbeiten, dass es zumindest genügend Personen gäbe, die die notwendigen Fähigkeiten sich mit überschaubarem Aufwand aneignen könnten. Wenn es nicht genug Indianer zum Erledigen der Arbeit gibt, dann könnte man sich gleich den wirklich schönen Seiten des Lebens zuwenden. Ansonsten lohnt sich m.E. der Frage nachzugehen, wie bringt man den Häuptlingen bei die richtige Richtung vorzugeben. Das ist die wirkliche Kunst und Schwierigkeit.

“Wie man nun meinen Ausführungen vielleicht etwas angemerkt hat, traue ich dieser Regierung einfach nicht (mehr) zu, weder fachlich noch charakterlich, IT-Sicherheit ernsthaft herzustellen.”

Zurecht. Aber meiner Meinung nach ist die Regierung kein SPOF – die dämliche Schavan könnte den Presse- und Grußclown spielen soviel sie wollte, wenn ihr Ministerium kompetent besetzt wäre und die Parlamentarier und die Parteien kompetent wären und die Wählerschaft und die wichtigen Interessensgruppen (aka Lobbyisten) das richtige wollten.

Das Nichtfunktionieren des politischen Systems ist der Preis für die Sünden der Vergangenheit. Eine Änderung müsste tief ansetzen, auf der institutionellen und personellen Ebene gleichermaßen. Und das traue ich dem deutschen Volk, wie dem deutschen Staat vorläufig nicht zu. Vielleicht einst durch äußere Zwänge, wer weiß. Besser es käme anders…


Stefan
16.6.2011 22:51
Kommentarlink

Ok, Hadmut, man kann dir nur beipflichten. Dieselben Zustände, die du für einen ganzen Staat beschreibst (nicht IT-bezogen, sondern generell), die findet man auch in jeder x-beliebigen Firma.

Es gibt die Ebene der Praktiker, die alle Probleme der täglichen Arbeit und dazu (oftmals einfache und gute) Lösungen kennen.

Und es gibt die Führungsebene. Die hat aber keinerlei Schimmer, was in der Praxis ihres Betriebes abläuft, ja sie möchte das noch nicht mal wissen. Sie schaut da gar nicht hin! Sie entscheidet einfach drauflos. Und man hat natürlich da viel zu viel Dünkel, als daß man sich von “Subalternen” beraten ließe. Allenfalls holt man sich, wenn es gar nicht mehr geht, rasend teure externe “Berater” (die noch viel weniger Einblick und Ahnung haben).

Am Ende stehen ineffektive Betriebe, die ihr Potential an tausenden Punkten vergeuden, obwohl es viel besser gehen könnte – wenn man die Praktiker anhören würde.

Tut man aber nicht. Man entscheidet von oben herab, fast immer in Richtung Verschlimmbesserung. (X-mal so erlebt in vielen Firmen).

Ein Staat ist nun nicht anders zu betrachten als eine Firma, und dazu noch eine riesige, schwerfällige Firma – ohne Wettbewerbsdruck. Wenn es schon marktwirtschaftliche Betriebe nicht schaffen, Kompetenz und Führung zu vereinen, wie soll es denn bitte ein Beamtenstaat schaffen?!

Nee, es wird immer ein Gewurschtel und Gewürge bleiben – bei dem jedem Praktiker einfach nur die Augen tränen.

Das, wovon du träumst, klingt so einfach, ist aber in der Praxis mit _diesen_ Menschen hier nie zu erreichen.

Was bleibt, ist ein grandioser Rundumschlag deinerseits, toll. Und mein Fazit am Rande:

“DUMM sein und Arbeit haben – das ist das Glück.” (Also: ja nicht über Sinn und Ziel reflektieren, das führt direkt ins Unglücklichsein).


der andere Andreas
17.6.2011 12:12
Kommentarlink

wird einfach noch ne SOKO internet – halt passend zum tatort internet der ex-minister-gattin^^

hab mich ja schon gefragt wann mal hier was zu dem thema kommt aber das warten hat sich gelohnt 🙂

wie im blog schon geschrieben heißt die strategie strafverfolgung statt strafverhinderung mit entsprechendem angeschlossenen überwachungsapparat.

ich habe bisher nichts davon gelesen, dass dieses zentrum der schaffung neuer (sicherer) oder der überarbeitung bestehender IT-infrastrucktur dienen soll. lediglich konnte ich was von verhindern und verfolgen von angriffen lesen.
wenn man sich dabei vor augen hält, dass dort nicht nur das BSI und die polizei sondern auch Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, verfassungsschutz, BND, Zollkriminalamt und bundeswehr mit einbezogen werden sollen schauerts mir etwas (quelle: http://www.spiegel.de/netzwelt/netzpolitik/0,1518,768782,00.html).


Marco Hausen
17.6.2011 16:25
Kommentarlink

Ich stelle mir die Frage, ob hier nicht einfach nur die Presse saudumm berichtet?

Ein Gutes kann ich diesem “Zentrum” nämlich abgewinnen: Es existiert endlich eine zentrale Stelle, an der Erkenntnisse von Polizei, Geheimdiensten und sonstigen staatlichen Stellen gesammelt und koordiniert werden können (besser: könnten).

Bei sechzehn Bundesländern plus dem Bund mit ebenso vielen Innenministerien und Verfassungsschutzämtern zuzüglich diverser anderer Ämter, von denen jedes seine eigene Abteilung für “IT-Sicherheit” hat, kann bisher nur Chaos geherrscht haben. Ob dieses “Zentrum” hier etwas verbessert, wird die Zeit zeigen.

Wenns scheitert, haben wir eben einen weiteren Messwert, um empirisch den Brennwert von Steuergeldern bestimmen zu können.


der andere Andreas
17.6.2011 17:14
Kommentarlink

hier: http://www.der-postillon.com/2011/06/der-postillon-erklart-was-kann-das.html gibts nochmal die knallharten fakten!

Zitat: “[…]Im Nationalen Cyber-Abwehrzentrum arbeiten nur die Besten der Besten: nämlich deutsche Beamte![…]In spätestens einer Woche ist es vermutlich gehackt und wird von einem chinesischen Botnet kontrolliert.”


Was soll denn das? http://bit.ly/jDGOJj


fb
18.6.2011 16:35
Kommentarlink

Zwar (wie so oft) nicht kurz und knackig, aber dafür (wie so oft) voller Bonbons. Großartiger Text, vielen Dank! Werd das gleich mal breit verlinken.


Hadmut
18.6.2011 16:41
Kommentarlink

Ich danke für das Lob. Aber eigentlich müßte ich den Text erst mal kontrollesen und überarbeiten. Den hab ich spontan so runtergeschrieben und nicht einmal kontrolliert. Sicher noch voller Schreib-, Satzbau- und Wiederholungsfehler…


_Josh @ _[°|°]_
19.6.2011 0:50
Kommentarlink

Wow, ein größeres Lob als von HAL verlinkt zu werden kann es ja wohl kaum geben, oder? =,-o

Mach’ Dich & Deinen Servierer auf einen größeren Ansturm gefasst, zumindest heute, 19. Juni 2011.

PS: http://www.heise.de/newsticker/meldung/Was-war-Was-wird-1262928.html


Feine Rantale! Sehe ich auch so. Es ist aber immer so, daß man in die Sch^WKnete tritt, wenn man Konzepte hinterfragen will, wo keine Konzepte sind. Programmiersprachen — Wildwuchs, Programme — Wildwuchs, Standards — klasse, ham wir, könnten wir jeden Tag einen verkaufen…
Das ist einfach freie Entwicklung. Wenn das einer in der Hand hätte wäre das zentralistisch und totalitär und würde auch nicht funktionieren — dann wegen der sturen Festlegungen und der fehlenden Freiheit.

Beschränkung wäre das Zauberwort. Aber jeder sieht sinnvolle Beschränkungen an anderer Stelle und genau nur beim Nachbarn. Kann ein Programm nicht selbstständig und installationsfrei sein? Kann es seine Bibliotheken nicht einlinken. Da geht es doch schon los, beim Installationssalat. Programmiersprache für Anwender, ich habe gut gefrühstückt und sage mal frech Delphi. Na das gibt Haue! Aber nein, die Masse nurkst mit Sprachen herum, die nicht für den Anwender gemacht wurden, sondern für den Betriebssystemmacher, als ob wir alle Betriebssysteme schrieben. Als ich vor 20 Jahren kritisierte, daß Steuerungsprogramme(Siemens S5) assemblerähnlich geschrieben werden und nicht in strukturierter Sprache bekam ich zu hören, daß ich im Osten meine Programme in Stein meißelte und wir im Osten überhaupt keine Computer hatten. Verstanden hatten die Leute nichts von dem, was ich sagte, aber das ist typisch in solchen Diskussionen.

Neu anfangen, mit einer einfachen klaren gut strukturierten Sprache, die alle beherrschen und die Quellen offenlegen. Das machen, was Stallmann forderte. Da muß aber lesbarer Quelltext da sein.
Wenn ein Betriebssystem 20GB braucht läuft auch etwas grundlegend falsch.
Sicherheit hinterher einbauen zu wollen funktioniert garantiert nicht, das ist wie einen Sack Flöhe hüten.

Carsten

Sinn fürs Motiv
http://www.toonpool.com/user/550/files/media_868105.jpg


[…] ausführlicher Text des Informatikers Hadmut Danisch: Warum das neue Cyber-Abwehrzentrum der Bundesregierung so nicht funktioniert. Darin steht ziemlich genau, was alles schief gelaufen ist und weshalb es auch weiterhin Probleme […]


Ralf Muschall
19.6.2011 17:22
Kommentarlink

Eine Alternative zu PDF, die die Hauptmacken nicht hat, gab es schon vorher und aus demselben Haus: Postscript (die Handvoll Funktionen für Filezugriffe müsste man rausnehmen, und das wiederum mit Ausnahmen, damit die Fonts gehen – im Prinzip das, was Ghostscript mit -dSAFER macht). Wenn man das noch durch gzip jagt, ist es genauso klein wie PDF. Faustregel: Alles, was aus den Buchstaben P, D, F (oder ähnlich klingenden) gebaut ist, ist Mist: PDF, FDP, ftp, …


cbx
19.6.2011 17:29
Kommentarlink

Verdammt, das ist der Post, den ich eigentlich schreiben wollte – aber nie so hinbekommen hätte. Da ist so ziemlich alles drin, was es zu diesem Thema (und einigem drumherum) überhaupt zu sagen gibt. Eine herrlich böse Analyse des status quo – wenn auch der Ausblick vielleicht sogar für meinen Geschmack als Hobby-Apokalyptiker etwas sehr negativ ist. Ich möchte mich nämlich prinzipiell an dieser Stelle den Kommentar von Battleaxe anschließen, weil auch ich glaube, dass es hier durchaus einige Leute gibt, die mental das Zeug haben, sich das nötige Wissen schnell zu erarbeiten – wenn es einen Grund gibt, das zu tun.

Über die fragwürdige Sinnhaftigkit des neu geföhnten nationalen CERT bin ich Deiner Meinung: http://cbx.amadyne.net/blog/articles/930/die-cybercops-kommen-uns-zu-retten


So viel Wahres und Informatives in einem Post. Chapeau!
Man darf gespannt sein, ob das die eigentliche Zielgruppe auch so sieht.


RobertK
19.6.2011 19:44
Kommentarlink

Sehr schöner Beitrag.
Leider kosten alle genannten Vorschläge Geld, mehr Geld jedenfalls als zehn Hanseln mdienwirksam irgendwo umzubesetzen.
Deswegen lieben Politiker ja auch Gesetze statt konstruktiver Arbeit, denn Gesetze sind kostenlos.

Daher bin ich, was die Umsetzung der genannten Vorschläge angeht, eher pessimistisch.
Das ganze als offener Brief (z.B. in FAZ, SZ) an Merkel, Friedrich und Co. kann aber vielleicht nicht schaden.


Hadmut
19.6.2011 19:47
Kommentarlink

Die Versuche, Journalisten und Zeitungen für sowas zu gewinnen, habe ich aufgegeben. Deshalb blogge ich es.


AlterKnacker
19.6.2011 19:57
Kommentarlink

Wenn ich die Möglichkeiten (gemeint sind die Finanziellen) hätte, würde ich Dich für dickstes Geld einkaufen, um Dich dann in Ruhe zu lassen, das Ergebnis wäre schlicht und ergreifend, Du würdest Dich und mich noch reicher machen. Dies ist das Ergebnis Deines Beitrags, da bin ich ein echter Waisenknabe: http://freies-in-wort-und-schrift.info/2011/06/12/die-legende-oder-das-mrchen-vom-heiligen-hacker/

Leider sind mir diese Möglichkeiten für Dich und dadurch auch für mich nicht vergönnt, aber so ganz aufgegeben habe ich auch noch nicht, für eine IT zu kämpfen (auch wenn ich nur ein lausiger ‘Experte’ in Windoof bin, der 7 Jahre als Supporter gearbeitet hat), die auch ein Volksschüler wie ich noch erlernen kann, denn was ich über die IT weiß und kann, habe ich mir vor dreissig Jahre über lange Jahre selbst beigebracht und heute bin ich 63 und, was das echte Lernen angeht, nicht mehr ganz so frisch, besonders nach meinem Herzinfarkt. *grinZ*


muslix64fan
19.6.2011 20:04
Kommentarlink

Herr Danisch spricht mir aus der Seele. Alles was ich schon immer
kritisiert habe, finde ich fast komplett hier in diesem Blog.


michael döring
19.6.2011 20:39
Kommentarlink

Der Artikel ist zwar recht lang, aber dafür auch recht umfänglich. Als Programmierer, der seit Jahrzehnten die o. g. Software-Sünden verwenden muß, spricht mir da einiges aus der Seele.

Aber zum Titel des Artikels: Bin ich der einzige, der fest davon überzeugt ist, das dieses Zentrum alles mögliche tun soll, aber nichts mit dem “Cyberwar” am Hut hat?

Dort trifft sich Polizei mit Geheimdienst und Militär. Das die sich dann über die neueste Phising-Mail-Attacke unterhalten, das glaub nicht mal ich.

Cyber-War ist, wenn sich Drogendealer und Demonstranten über Mail verabreden. Wenn Facebook-Party-Initiatoren ermittelt werden müssen.

Dort liegt die Bedrohung für das “Volk” und für die Regierung.


Jan Dark
19.6.2011 20:51
Kommentarlink

Das Windows-Bashing ist unpassend. Ich bin auch auf einer CYBER mit Fortran gross geworden, aber Unix war keine Hilfe. Wir hätten 1988, als der Informatik-Student Morris mit einem sendmail(8)-Exploit das US-Internet stilllegte, beinahe auf eine flächendeckende Unix-Einführung verzichtet und einen IBM-Mainframe mit MVS gekauft. Aber Computernetzwerke sind nun mal kompliziert. Da gibt es keine einfachen Lösungen wie Source-Export usw. Die Frage ist, wie man mit den vorhandenen Risiken umgeht.

Das Krisenreaktionszentrum ist dummes Zeug. Zum einen ist die Personalstärke nicht problemangemessen und zum anderen hat das BMI ein ganz anderes Problem: die gleiche Behörde (BSI), die für das BMI die Bürger belauschen soll (Bundestrojaner), kann kein Teil der Sicherheitsinfrastruktur sein. Entweder ist man auf der Seite der Angreifer (Bundestrojaner) und braucht Schwachstellen in den Rechner, um über das Netz als BSI oder BKA oder BfV einbrechen zu können, oder man ist bei den Guten. Beides gleichzeitig geht nicht. Das diese gleichen Behörden nun uns Sicherheit versprechen ist eine dreiste Verhöhnung der Bürger durch die CDU.

Ich denke, dass wir von den kalten Kriegern, die durch die Atombomben arbeitslos sind und um konventionelle Kriege gewinnen zu können zu blöd sind (10 Jahre Losertum am Hindukush und dann feiges Verdrücken wie in Vietnam nach tausenden getöteten Afghanen), über den Tisch gezogen werden sollen. Unter dem Begriff Cyberwar wollen sie an die fetten Steuertöpfe, die sie vorher als testosteronverseuchte Ewigpubertierenden mit Leopard-II-Panzern in der Heide verzockt haben. Es werden irreale Bedrohungsszenarien aufgemalt, um dann die Bürger mit Unsinn zu plündern.

Beispiel Stuxnet. Erst hieß es, die Windows7-Bedienrechner iranischer Turbinensteuergeräte von Siemens seien durch USB-Sticks verseucht worden. Man habe den Code analysiert und war durch einen Holländer darauf gekommen, dass die auf den Bus gelegten Signale bei bestimmten Busendgeräten dazu führen würden, dass bestimmen Turbinen a) in eine ausfuhrbeschränkten Drehzahlbereich gesteuert würde und b) die Drehzahländerungen zur Zerstörung führen würden. Dann wurde der USB-Hoax fallen gelassen und Symantec verbreitete, dass 7.000 Windowsrechner im Iran mit Stuxnet am Internet hängen würden und von den USA aus gesteuert wurde und Schadcode nachgeladen werden könnte. Und dann flossen die Milliarden: Obama ließ nicht nur irgendwelche Menschen in Afghanistan, Pakistan und Libyen durch joystickgesteurte Drohnen aus Florida heraus willkürlich abschlachten, sondern er besorgte weitere Milliarden und sagte, jeder Angriff im Internet können zur Bombardierung draußen führen.

Dieser politische Missbrauch von IT geht weit über das hinaus, was man bei einem Prozessor im Layout verstehen könnte oder im Kernel von Windwos7 oder Linux oder NOS/BE.

Der Vater von Morris (mit dem sendmail-Exploit war der Autor von crypt(3)) und bei der NSA beschäftigt. Unix-Gurus, die durch Plaudern zu Hause das Internet zum Meltdown gebracht haben. Was nützt da der Sourcecode von crypt(3)?


Hadmut
19.6.2011 21:00
Kommentarlink

@Jan Dark:

Wäre im Prinzip richtig, wenn Du nicht ein kleines aber wichtiges Detail übersehen (oder bewußt unterschlagen) hättest:

Der Morris-Wurm war 1988.

Damals war das Internet noch ein reines Forschungsnetz, es gab noch keine Bedrohung, die Security war noch so gut wie gar nicht entwickelt, Angriffe auch nicht. Den Morris-Wurm als Beispiel heranzunehmen ist, als würde man Karl Benz vorwerfen, bei der Erfindung des Autos nicht mit Sicherheitsgurt und Airbag angefangen zu haben. Oder den Gebrüdern Wright vorwerfen, daß sie in ihre ersten fliegenden Kisten nicht gleich einen Flight Recorder eingebaut haben.

Jetzt haben wir aber das Jahr 2011, das ist 23 Jahre später.

Das Problem ist nicht der Morris-Wurm. Das Problem ist, daß man daraus nichts gelernt hat. Deshalb habe ich im Text ja auch das Maß von 20 Jahren angeführt, denn der Morris-Wurm war durchaus ein Signal, aus dem man einiges hätte lernen können und müssen.

(Ich war übrigens damals schon mit IT Security befasst und habe das damals auch anhand „With Microscope and Tweezers” studiert.)


knoten-ede
19.6.2011 21:01
Kommentarlink

“Platt gesagt, sind wir zu doof um mehr zu können…”

that’s it!


Anon
19.6.2011 22:09
Kommentarlink

lob an die schreibweise, ich habe mir ihren artikel gerne ganz gelesen, während ich bei den verlinkten nich über die überschriften gekommen bin, neben dem fachlichen haben sies anscheind drauf^^


AlterKnacker
19.6.2011 22:57
Kommentarlink

Gerade gefunden bei Heise und einen Lachkrampf bekommen: http://www.heise.de/newsticker/meldung/Abhoersicheres-System-abgehoert-1262992.html


datenwolf
19.6.2011 23:48
Kommentarlink

100% Zustimmung in allen Punkten. Vor allem das mit hohen Einfuhrzöllen für Hardware ohne offene Dokumentation unterscheibe ich vollumfänglich. Aber ich würde noch einen Schritt weiter gehen und nicht nur ordentlich Zollabgaben fordern, sondern auch die Mehrwertsteuer auf solche Produkte anheben, damit diese für den Kunden (der sich eher wenig um Dokumentation kümmert) weniger attraktiv sind.

Immerhin kenne ich nicht wenige Informatikstudenten, die sich in ihrer Freizeit intensiv mit richtiger Computersicherheit beschäftigen (ich bin ja “nur” Physiker und nehme die Informatik eher nebenher mit). Da gibt es dann auch ernsthafte Bestrebungen mal ein Betriebssystem in einer funktionalen Sprache im Lambda-Kalkül zu schreiben, also z.B. mit Haskell, womit deine berechtigte Kritik an C/C++ adressiert wäre.

Was aber mindestens genauso wichtig wäre, wie eine unabhängige Softwareinfrastruktur wäre eine eigene, konkurenzfähige CPU-Architektur, die mal mit den ganzen Unsäglichkeiten von x86 aufräumt. Aber bitte kein MIPS- oder PowerPC-Nachbau; nicht das ich was gegen diese Architekturen habe; es geht darum wirklich unabhängig zu sein.


Markus
20.6.2011 0:04
Kommentarlink

“Hätte man in Deutschland (oder Europa) vor 10 bis 20 Jahren angefangen, ein vernünftiges und sauber gebautes Open-Source-Betriebssystem zu entwickeln, das allen einfach so kostenlos zur Verfügung steht, wäre das schon wirtschaftlich sehr viel sinnvoller gewesen”

WER hätte das entwickeln sollen?
Ein paar Hobbyprogrammierer? Dann hätten wir ein 2. Linux.
Der Staat? Dann hätten wir den Trabbi als Betriebssystem.
Siemens oder T-Systems? Da bin ich auch nicht so wirklich überzeugt…
Die Hochschulen? Da hätte jeder was dazu beitragen wollen um Geld und Ruhm abzuschöpfen, aber ob das dem Produkt gut getan hätte?


Stuff
20.6.2011 1:01
Kommentarlink

Zu allererst: Ihre Forderungen an eine Regierung haben nur Sinn, wenn eine Regierung und keine Regierungssimulation am Werkeln ist und das kontrollierende Parlament souverän ist. Ihre Forderungen unterstellen Friedensvertrag und _V_e_r_f_a_s_s_u_n_g_!_ Keine “Hausordnung” der Westalliierten und Besatzungsrepublik, verwaltet von Einheimischen. Nein, ich bin kein “Ultrarechter” oder einer dieser Reichsadlerfedernzähler, ich bin kein Deutscher.
In anderen Ländern Europas, spielt, wenn’s ums Eingemachte geht, eine etwas andere Musik, da laufen noch (z.T. Uralt-)Sparcs, denn die hatten erheblich weniger “Design Flaws” (Kreisch!), die zurecht für Backdoors gehalten werden. Windows ist dort auch maximal das Terminal-OS, aus dem es einst hervorgegangen ist und bedient Terminals, die von COBOL-Programmen gefüttert werden, die auf dem mehr oder minder grossen Bruder hinterm Horizont laufen, ja, COBOL!

Ja, wirklich, sowas gibt es, in Europa, sogar innert der EU…


@zeroskillor
20.6.2011 1:51
Kommentarlink

Zunächst ein große Lob an die konkrete Kritik an dieser ganzen völlig in die irre geführten Diskussion über Cyberwar und cyber als neues Wort für böse Sachen mit einem Computer tun!

Jedoch finde ich deine konkreten Ansätze zur Verbesserung sehr interessant, da sie wirklich das Problem mal von der technischen Seite beleuchten. Es werden wohl aber die meisten Politiker überhaupt nicht verstehen auf was du hinaus willst.

Und genau hier ist das Problem:

Die (technische) Kybernetik hat in alle Bereiche der Gesellschaft hineingewirkt, jedoch ist alles sehr schnell passiert und die Politik hat nicht Ansatzweise ein Verständnis für die Sachverhalte, die du beschrieben hast. Einmal weil sie alle aus Prä-Netz Zeiten kommen und Zweitens, sie keinen Bock haben auf Sachlichkeit.
Hinzu kommt, dass auch die IT-Branche es nicht geschafft hat den Politikern die Relevanz dieser Probleme zu erklären, weil das einige nicht wollten, denn sie verkaufen ihrer Produkte(AVs oder irgendein Mist, der Pseudosicherheit generieren soll)und da sind deine umfassenden Vorderungen nicht wirtschaftlich. Es muss wirklich eine eherliche und offene Diskussion über die Zukunft in diesem Bereich geben, ansonsten wird es in einem riesigen Chaos enden(oder es ist schon so).

Ich werde mir einige Punkte von die notieren und wenn ich mal wieder in einer Diskussion bin, dann werde ich sie einfach mal erzählen. Jedoch kann man Politikern leider nichts mit C/C++ oder MIPS oder Distris um die Ohren hauen, denn das verstehen die nicht. Und wenn Politiker etwas nicht verstehen, lesen sie nicht nach, sondern betrachten es als irrelevant.

Gruß

zeroskillor


Jens der Andere
20.6.2011 8:10
Kommentarlink

Nicht nur in Deutschland herrscht da die falsche Denke.
Aber das Problem ist kein rein technisches. Ich betreibe IT-Sicherheit in einem Bereich, in dem es gegen bestimmte Angriffe sehr brauchbare Gegenmaßnahmen gibt. Hinreichend extern verifiziert, von Mitbewerbern vom Prinzip her übernommen, akzeptierter Stand der Technik. Noch dazu bezahlbar. Von den Dutzenden anderer Sicherheitsfunktionen in den Geräten ganz zu schweigen.

Alles ganz phantastisch – auch in den USA ein Hit.

Nur in der Masse absolut ohne Bedeutung. Wenn man von extrem sensibilisierten Anwendern wie Diensten einmal absieht, steht zwar die Technik mit Lösungen bereit, diese werden aber ignoriert. Oder schlimmer: Es werden Sicherheitsfunktionen als add-on eingekauft und eingesetzt, welche dann durch magische Rundschlagwirkung alle anderen möglichen Angriffe gleich mit abwehren. So denkt jedenfalls der Kunde.

Nehmen wir mal für einen Augenblick an, man könnte alles, was man für einen Office-PC benötigt, sicher, bezahlbar und meinetwegen noch quelloffen produzieren. Trotzdem würden Anwender wieder um Sicherheitslösungen herumarbeiten, weil sie entweder nicht taugen (“Ihr Passwort muß mindestens 18 Stellen besitzen, davon 6 Sonderzeichen, mindestens eine vierstellige Zahl, die nicht durch 7 teilbar ist und keine deutschen oder ungarischen Worte – und nächste Woche brauchen Sie ein neues!” – xkcd hat das mal auf den Punkt gebracht) oder weil der Anwender in der Risikoanalyse (so sie denn durchgeführt wird) einen blinden Fleck oder zwei hat.

Da hilft nur Aufklärung des Benutzers. (Hier auch oftmals Aufklärung des Arbeitgebers, der Wirtschaftsprüfer, der IT-Abteilung…)

Theroretisch sichere Hard- und Software sind auch nur Teil einer Lösung. (Und müssen dazu noch, wenn wir ehrlich sind, in ihrem Mehraufwand gegenüber “Standardlösungen” wirtschaftlich und organisatorisch vertretbar sein. Sowas kann man rechnen. Wenn man denn kann.)

PS: Höre ich hier COBOL? Das hat in klassischer Form weder null-terminierte Strings noch Pointer. Außer Array-Überläufen ist da nicht viel Böses zu produzieren… Dafür ist es einfach zu simpel gestrickt. C hingegen…


Wolle
20.6.2011 9:49
Kommentarlink

Gute Analyse des Istzustandes, wenn auch bissel zu pessimistisch. Das ist vielleicht auch notwendig. Leider wird das von den sogenannten “Entscheidungsträgern” in Wirtschaft und Politik überhaupt nicht war genommen werden. Weil nicht sein kann, was nicht sein darf oder ganz einfach das TINA-Prinzip zuschlägt. Sachargumente spielen eine Nebenrolle und Geiz ist geil. Niemand will für Computer- und Netzsicherheit bezahlen. Das sind aus Managersicht immer Kosten, die nie etwas einspielen. Läuft doch!

Neuer großer Schwachsinn vom Wochenende, RFID auf EC-Karten von Sparkassen. Man kann den Kopf gar so schnell schütteln.
http://www.heise.de/newsticker/meldung/Sparkassen-wollen-bis-2015-alle-EC-Karten-austauschen-1263036.html
Der original Beitrag strotzt nur so von Bullshitbingo:
http://www.welt.de/finanzen/article13437240/Sparkasse-will-45-Millionen-EC-Karten-austauschen.html
Hinterher sagen sie wieder, niemand hätte sie gewarnt! Wetten! Einmal quer durch die Stadt und das Konto wird 20€ häppchenweise leer geräumt. Bargeld lacht und wenn das Bier dann wegen Bargeld 30ct mehr kostet, trinke ich dort kein Bier und gehe eben zum nächsten, der den Schwachsinn nicht mitmacht.

Vielen Dank


Wolle
20.6.2011 9:57
Kommentarlink

Sollte “Man kann den Kopf gar nicht so schnell schütteln.” heißen.
Sorry!


Wolle
20.6.2011 10:05
Kommentarlink

Und wieder ein Professor für Internetsicherheit an der Fachhochschule Gelsenkirchen, Norbert Pohlmann, der sich nicht vorstellen kann, das man da unbefugt einen Bezahlvorgang auslösen kann, weil “Der notwendige Abstand kann schließlich auf ganz wenige Zentimeter verkürzt werden.”.
Da wird Sicherheit auf Zentimeter reduziert, tolles Konzept. Wie wird man Professor für Internetsicherheit?


Jan Dark
20.6.2011 10:54
Kommentarlink

@hadmut
“Wäre im Prinzip richtig, wenn Du nicht ein kleines aber wichtiges Detail übersehen (oder bewußt unterschlagen) hättest:
Der Morris-Wurm war 1988.”

Ich habe da weder was übersehen noch unterschlagen. Sendmail und die Berkeley r-Suite sind damals wie heute in Unix, Linux, MacOS und werden auch benutzt.

Dein Windows-Bashing und das Heilsversprechen der quelloffenen System führt in die Irre. Mich erinnert das an einen Genetiker, der immer noch davon träumt, mit den “richtigen” und ausreichenden Ressourcen im command-and-control Modus die Welt steuern zu können, statt sich mit Systemtheorie zu beschäftigen. Die Kybernetiker haben das nach ihren KI-Rausch gemacht.

Das schlimme am Morris-Wurm war, dass staatliche Akteure, die sich mit Sicherheit beschäftigten, beteiligt waren. Damit sind alle konstruierten Lösungen hinfällig.

Wir werden damit Leben müssen, dass wir Sicherheitslücken haben und ständig neue produzieren. Wie die Natur auch anfällig ist, siehe Ehec.

Um die richtigen Gegenmaßnahmen zu planen, müssen wir die Lage aber auch angemessen analysieren. Der Vergleich mit der Atomenergie ist unpassend. Wenn ein Reaktor durchgeht wie Fukushima oder Tchernobyl haben wir direkte tödliche Gefahren. Das haben wir bei IT systemimmanent nicht.

Zur Zeit ist der Staat die grösste Bedrohung:
http://www.heise.de/newsticker/meldung/Dresdner-Polizei-wertet-tausende-Handydaten-aus-1263070.html
http://www.heise.de/newsticker/meldung/Regierung-schweigt-ueber-Einsatz-des-Bundestrojaners-1262449.html

Die gleichen Leute, die ein angebliches Sicherheitszentrum betreiben, verseuchen die Bürger mit Trojaner, sind angewiesen auf Sicherheitslöcher und weigern sich, sich parlamentarisch kontrollieren zu lassen. Hier ist ein politischer Skandal ungeheuren Ausmasses, der sich nicht durch Quelloffenheit richten lässt. Wir müssen sogar davon ausgehen, dass der Staat als Maßnahme im Cyberwar aggressive Schadsoftware entwickelt und das verheimlicht, so wie wir es bei Anthrax gesehen haben 2001.


Hadmut
20.6.2011 11:49
Kommentarlink

@Jan Dark:

Ich habe hier niemals ein Heilsversprechen für quelloffene Systeme abgegeben. Bleib mal sachlich.

Wer mein Blog liest, weiß, daß ich den Linux/OpenSource-Bereich häufig qualitativ kritisiere. Open Source ist nicht per se sicherer. Das, was wir brauchen, ist ordentliches sauberes Programmieren. Open Source ist der Weg, wie man sich davon überzeugen kann, ob etwas sauber programmiert ist. Es ist nicht selbst die saubere Programmierung.

Außerdem geht mir diese Weltschmerz-Theorie, wonach alles so schlimm ist, daß wir eigentlich gar nichts mehr dagegen machen können, ziemlich auf den Senkel, weil dadurch nämlich gar nichts besser wird, obwohl man es durchaus besser machen könnte.


konsument
20.6.2011 12:12
Kommentarlink

Guten Tag!

Wenn sich hier so viele – und das ist nicht ironisch gemeint – Experten einig sind, was man alles besser machen muesste – warum macht Ihr es dann nicht gemeinsam besser? Für mich als Aussenstehenden liest sich das in Gänze schon ein wenig wie das von Hadmut bemaengelte “Wir sind nur am Mäkeln, aber nicht am Machen.”

Drehen wir den Spiess doch mal um: Was braucht man, um den Nukleus einer sicheren IT aus der Taufe zu heben? Wen, wieviele davon, wieviel Geld? Und zwar konkret. Einen so konkreten Businessplan, wie ihn Hadmut “uns” – oder besser EUCH, denn IHR scheint ja diejenigen zu sein, die die beschriebene Entwicklung in den vergangenen Jahren mit gepärgt, auf jeden Fall mit begleitet haben – abspricht.

Oder ist das total illusorisch, und wir koennen nur resigniert den Kopf in den Sand stecken? Wenn Zuse das damals auch getan hätte, gäbs uns alle nicht heute mit all den Segnungen der IT…

Also – wer, wovon und wie?


Desillusioniert
20.6.2011 14:14
Kommentarlink

Solange Erbsenzähler über Sicherheit entscheiden, wird es eh nichts.
Ich habe mal die Sammlung der Core-Dateien in einem Verzeichnis in Soalris eingeschaltet. Es füllte sich auf Grund ein paar dummer Fehler beim Beenden der Programme. Mit ein bischen Aufwand blieben fünf cores in drei Monaten, davon drei beim Runterfahren des Systems übrig.

Die hat ein Kunde bemerkt und einen Riesenbohai gemacht, so dass wir da Auswand reinstecken mußten und die Funktion schließlich in Neusystemen abgeschaltet wurde. Zu jedem Core mußte nämlich ein Bericht zum Kunden.

Wieviele Abstürze es auf den Windowsrechnern gab wurde natürlich nicht gezählt. Hätte man über das Ereignislog natürlich rausfinden können, aber war egal. Und zwar sowohl auf den Datenbankrechnern, als auch auf den Funktionsrechnern.

Wenn jemand weiß, das es fünf unsaubere Beendigungen in drei Monaten gibt, ist das wesentlich gefährlicher in der Warnehmung, als die Menge unbekannter Fehler auf einem anderen System. Und es war eine Menge neustartender und unsauber beendender Prozesse da. Ich habe es dann mal gezählt, aber das haben wir natürlich für uns behalten.


danebod
20.6.2011 15:19
Kommentarlink

Was soll denn schief gehen – mit so einer schönen Uniform: http://chzb.gr/lhsrWB


Jan Dark
20.6.2011 15:36
Kommentarlink

@hadmut
“Weltschmerz-Theorie”

Heute hat das LSKN in Hannover rechtswidrig Anonymisierungsdienste ausgesperrt:
http://www.heise.de/newsticker/meldung/Niedersachsen-sperrt-Anonymisierungsdienste-aus-1263719.html

Da geht es nicht um Weltschmerz, sondern um Durchsetzung von Recht und Ordnung. Wenn eine Behörde wie das BSI sich weigert, dem Parlament Auskunft zu geben, dann haben wir es mit einem dramatischen Fall von Entdemokratisierung und dreister Machtübernahme zu tun. Das ist so, als wenn die Bundeswehr sagen würde, unsere Angriffe sind so geheim, dass wir leider gegen die Verfassung verstossen müssen und das Parlament aus Sicherheitsgründen nicht fragen können, gegen wenn die Bundeswehr Krieg führen darf. Es geht bei der IT-Sicherheit längst nicht mehr um technische Fragen, sondern um politische.

Manfred Kanther hatte noch gefordert, dass alle Bilder im gesamten Internet nach bekannten Kinderpornografie-Bildern durchsucht werden sollten. Ursula von der Leyen wollte keine Kinderpornografie löschen, sondern wollte, dass jeder HTTP-Zugriff jeden Bürger (bei den großen ISP) überprüft werden sollte gegen eine Liste. Da war die technische Diskussion obsolet und nur die Online-Petition hat diese Menschen von ihrem Unsinn abgebracht.

DE-Mail, nPA, Gesundheitskarte, qual. Signatur und all der andere Unsinn, der durch Informatiker aus dem BSI in die Bundesregierung als Sonderbehandlung der Deutschen getragen wurde, werden vom Markt weggefegt werden. Aber in dem Nebel kann sich das Übel ausbreiten.

Wenn man nicht politisch agiert, werden bald Milliarden dem Steuerzahler geraubt, um “IT-Sicherheit” al a BSI zum machen. Und irgendwann hast Du dann den pflichtgemäßen Bundestrojaner auf quelloffenem Qualitäts-OS. Ohne Stackoverflow.


nik
20.6.2011 16:25
Kommentarlink

@konsument: IT Sicherheit kostet Geld, sie bringt kein Geld. Darum wird sich wohl kaum jemand für einen solchen Businessplan begeistern können, es sei denn IT-Sicherheit wird zum Qualitätsstandard und politischem Leitgedanken erhoben. Das kann aber nicht aus der Wirtschaft kommen.

@Hadmut

Ein wirklich schöner Artikel. Mit ein paar weniger Flapsigkeiten versehen, würde ich ja fast plädieren, dass Du den nochmal als offenen Brief an die beteiligten Ministerien schickst. Vielleicht können sie sich per Copy und Paste ja noch eine Agenda für Ihr neues CAZ zusammenstricken.

Zwei Aspekte fehlen mir noch in der Betrachtung:

1. Eine Software, die öffentlich von Ämtern oder Behörden entwickelt wird, folgt immer einem bürokratischen Pfad aus Ausschreibungen, Pseudospezifizierungen etc., die eigentlich nur große Softwareunternehmen stemmen können. Dementsprechend werden mit derlei Projekten immer die gleichen Nasen in den großen Instustrieunternehmen betreut. Und hinterher müssen sich dann Leute mit Produkten von Siemens herumschlagen.

2. Der absolute Unwille unserer Politiker, fehlende eigene Fachkopetenz einzugestehen und echte Experten zu Rate zu ziehen. Den Funken eines Ansatzes hatte zumindest nach außen IM De Maizere gewagt (ist vielfach aber auch als Versuch der Anbiederung an die Netzgemeinschaft gewertet worden). In allen Gremien in denen Fachleute gefragt werden, sitzen dann wieder die Nasen der Vorzeigekonzerne, selbsternannte Experten, Uni-Leute etc. In Deutschland herrscht eine absolute Hörigkeit vor dem Abschluss. Dabei ist gerade die Abbrecherquote im IT-Bereich riesig und erfolgreiche Absolventen oftmals nur karrieregeile Wasserköpfe, die ohnehin nur in die Verwaltungsräte streben und nicht des Fachs sondern des Geldes wegen ihre Laufbahn bestritten haben. Echtes Tiefenwissen lernt man halt nicht im Studium, sondern durch jahrelange Beschäftigung mit dem Medium. Aber echte Profis sind halt nicht vorzeigefähig, kommen in die Nerdschublade und statt dessen wird lieber ein Schlipsträger von SAP gefragt. Der hat Erfolg, der muss es wissen, was gut für uns ist.


Hadmut
20.6.2011 16:30
Kommentarlink

@nik:

Danke für das Lob.

Ich schreibe im Blog und insbesondere beim ersten Entwurf immer etwas flapsig und neige dabei auch zu Wiederholungen usw., und habe das auch nicht nochmal kontrollgelesen oder überarbeitet, weil ich nicht mit so großem Interesse gerechnet habe.

Ich glaube allerdings nicht, daß ein offener Brief an die beteiligten Ministerien irgendeine Wirkung hätte. Weil es bei denen viel mehr darauf ankommt, wer etwas schreibt, als was man schreibt. Und da ich in deren Maßstäben ein x-beliebiger Niemand bin, ist es auch nicht relevant. Das funktioniert so nicht.

Offene Briefe funktioniert nicht, indem man sie an die Ministerien schreibt. Sie funktionieren, indem man sie in der Presse abdruckt. Druckt aber keiner.


Enno
20.6.2011 18:05
Kommentarlink

Ich halte zwar genauso wenig von diesem so genannten Cyber-Abwehrzentrum – dieser Rant enthält aber viele Halbwahrheit und ist keinesfalls zuende gedacht. Nur ein Beispiel: Abgesehen von einigen eher wenigen Arbeitsplätzen, auf denen hart administriert wird, was die Anwender dürfen, nutzt so ein super sicherer Dokumentenbetrachter rein gar nichts, solange gleichzeitig dann doch mit einem anderen Browser Porno-Seiten aufgerufen werden (können). Sicher wird so ein System erst, wenn man nur und ausschließlich die wenigen zugelassenen Anwendungen erlaubt. Es hat Gründe, warum das heute in den meisten Büros eher nicht der Fall ist – und in kritischen Bereichen wie z.B. Banken wird Windows auch so “hart” konfiguriert, dass weder Outlook noch der Internet-Explorer noch eine Gefahr darstellen – eine Konfiguration, die oben beschriebenen an Sicherheit und Freudlosigkeit für den Anwender ähnelt. Kurz gesagt: IT-Sicherheit so wie oben gedacht wäre natürlich toll, bleibt aber auf breiter Front eine Illusion, sobald man den menschlichen Faktor berücksichtig. Und für Menschen sind diese ganzen Maschinen letztlich gedacht. Leider?


Hadmut
20.6.2011 19:40
Kommentarlink

@Enno:

Das ist grober Unfug. Nach der Logik bräuchte/könnte man mit Sicherheit gar nicht erst anfangen, solange auf der Welt noch irgendein unsicheres Programm ist, das jemand verwenden könnte. Das stimmt so einfach nicht.

Sicherheit ist nicht erst dann erreicht, wenn alles theoretisch wasserdicht ist. Dazu gehören auch Risk-Management und betriebswirtschaftliche Überlegungen.

Außerdem gibt es eine ganze Menge von disziplinierten und ehrlichen Anwendern, die eben keine Pornos gucken, sondern nichts anderes tun wollen, als eben ihre tägliche Arbeit zu erledigen und dazu beispielsweise irgendwelche PDFs lesen, die sie von Geschäftspartnern bekommen. Und die einfach nur einen Browser haben wollen, den sie sicher bedienen können. Sowas gibt es.

Nur weil irgendwo ein ungehaltener Mensch X am Arbeitsplatz Pornos guckt, heißt das noch noch lange nicht, dem anderen Menschen Y den sicheren Browser vorzuenthalten.

Nach Deiner Denkweise dürfte ich auch den Leuten, die sich im Auto anschnallen wollen, keinen Sicherheitsgurt geben weil es auch Leute gibt, die sich nicht anschnallen. Für mich ist aber nicht wichtig, daß sich alle Menschen ausnahmslos und zwangsweise anschnallen, für mich ist zunächst mal wichtig, daß ich mich anschnalle. Und volkswirtschaftlich wichtig ist, daß sich möglichst viele anschnallen.

Diese „nutzt alles nichts, weil irgendwo noch ein Loch ist, also fangen wir gar nicht erst an was zu machen – Fatalismus”-Sichtweise geht mir ziemlich auf den Wecker. Sie ähnelt so der „wissenschaftlichen” Sichtweise, die irgendwas theoretisch beweist und dann die Hände untätig in den Schoß legt.

Es ist nun mal ein erhebliches Sicherheitsproblem, daß wir eben keine wasserdicht und bedenkenlos zu bedienenden PDF-Browser, Mail-Reader, Web-Browser für den Firmenmarkt haben.


Jan Dark
20.6.2011 19:34
Kommentarlink

@Hadmut

Drucken war früher. Dein Blog geht langsam sowieso rum. Im Berliner Tagesspiegel ist er in den Kommentaren referenziert (User alterknacker)
http://www.tagesspiegel.de/weltspiegel/gema-sega-cia-ist-2011-das-jahr-der-hackerangriffe/4303102.html

und der Rechtsanwalt Thomas Stadtler (RAStadler) hatte Dich auch bezwitschert. Und wahrscheinlich haben Dich noch viele andere verbreitet. Für Politiker ist nur interessant, wie viele Bürger sich zusammenrotten, so dass sie gefährlich werden. Bei den 150.000 von der Online Petition gegen die Zensurinfrastruktur (von der CDU als angebliche Maßnahme gegen Kinderpornografie vermarktet) hat sogar Roland Koch Kreide gefressen (und anschließend demissioniert 🙂


Hadmut
20.6.2011 20:16
Kommentarlink

@Jan: Naja, so viel bringt das jetzt nicht, wenn man mal in irgendeinem Kommentar erwähnt oder getwittert wird. Damit wird man höchstens innerhalb der Szene so etwas und kurzfristig bekannt, aber kann damit nicht genug Druck aufbauen. Sollte man also nicht überbewerten.


Martin
20.6.2011 20:52
Kommentarlink

Beim vorsichtigen runterschauen war ich erst entsetzt über die Länge, später dann betroffen über soviel Wahres in rohen Sätzen.
Wenn das nur so hingerotzt war, dann würde ich gern was sehen, in das du Zeit investierst, wobei das vermutlich nicht so authentisch rübergekommen wäre.

Insgesamt geht das nur mit einer neuen “Partei”, einer Lobby die die ganzen Geistesarbeiter einsammelt und bessere Leute an die richtigen Stellen setzt. Wie fängt man sowas an? Gibts da ein RFC zu?


Hadmut
20.6.2011 21:58
Kommentarlink

@Martin: Etwas, worin ich Zeit investiert habe? (Und was man sehen kann, weil nicht unter berufsbedingte Schweigepflichten fällt…)

Ich habe mal vor 15 Jahren eine Dissertation geschrieben, die man mir abgelehnt hat, unter anderem weil sie zu sehr die eingefahren IT-Security-Schienen kritisierte und Fehler aufzeigte, was für bornierte Professoren zu viel war. Da habe ich Zeit reingesteckt, vor allem um das Streiten.

Und dann habe ich sehr viel Zeit investiert, wirklich viel Zeit, um diese ganzen Absurditäten um die IT-Security-Wissenschaft aufzuschreiben. Kannst Du unter Adele und die Fledermaus nachlesen. Da stecken wirklich Jahre drin, mehrere tausend Arbeitsstunden.


[…] Sie brauchen bloß eine winzige gute Idee und einen Programmierer, der das Gedachte wie auch immer schlampig umsetzen […]


TmoWizard
22.6.2011 8:24
Kommentarlink

Hallo Hadmut!

Das ist mal ein Artikel ganz nach meinem Geschmack! 😉

Wenn man genau hinsieht woher das tolle “Cyber-Abwehrzentrum” kommt hat sich das Thema doch sowieso schon erledigt. Die wollen doch gar nicht, daß unsere Rechner sicher sind. Das darf nämlich nicht passieren, sonst könnte man so nette Dinge wie den “Bundestrojaner” gleich wieder einstampfen!

Es geht bei der ganzen Sache einfach nur darum, daß es für den Wähler aussieht, als ob hier was getan wird. Schließlich will man ja wieder gewählt werden und noch mehr Geld vom dummen Steuerzahler einkassieren. Es müßen ja weiterhin die Diäten erhöht werden, das Dumme Volk kann ruhig hungern!

Wir sind doch eh alle Terroristen und müßen überwacht werden, ein sicheres System ist also gar nicht gewollt! Zumindest nicht für den kleinen Mann. Und gegen Hacker und Co. kommt dieses Abwehrzentrum sowieso nicht an.

@datenwolf: Eine konkurrenzfähige CPU-Architektur? Warte mal, da war doch mal… Genau! Da gab es vor vielen Jahren mal so nette Kisten mit den Namen “ATARI”, “AMIGA” & “Macintosh”. Die waren eigentlich sehr wohl konkurrenzfähig mit ihren 680×0-Prozessoren. Da gab es sogar preemptives Multitasking als man bei Microsoft davon noch träumte!
Und was ist damals passiert? Das kann man überall im Netz nachlesen. Hier steht nebenan übrigens noch ein ATARI TT030 von 1992 mit MultiTOS als Betriebssystem, der läuft immer noch wenn auch inzwischen mit ziemlichen Macken! 😉

Grüße aus Augsburg

Mike, TmoWizard


konsument
22.6.2011 10:35
Kommentarlink

Guten Tag!

@Nik: Das heisst dann also der Fehler steckt im System, und es GEHT garnicht, sichere Software zu schreiben, weil es niemand bezahlt?

Wenn das so wäre, dann sollte man diese Diskussion hier beenden – es gibt genügend Seiten im Netz auf denen sich wer weiss was für ein Club gegenseitig bemitleidet.

Ich glaube das aber nicht. Hadmut hat selbst für einen Halblaien wie mich sehr anschaulich geschildert, was Vor- und Nachteile einer anderen “Philosophie” beim Softwareschreiben wären. Und es war des öfteren von “viel Geld ueber den grossen Teich schmeissen fuer den Mist, der von da kommt” die Rede. Das impliziert bei mir, man bekommt für das gleiche Geld (oder wenig mehr) eine bessere Qualität, die auch noch den Vorteil eines Alleinstellungsmerkmals hätte. Das sind aus meiner Sicht schonmal gute Grundlagen für zumindest eine wirtschaftliche Betrachtung dieser Idee.

Aber vielleicht wollte Ihr Euch ja lieber weiter gegenseitig lustige Anekdoten aus dem IT-Alltag präsentieren. Dann sollte man aber nicht zuerst so laut schreien. Wenn man nix dran ändern will, soll man auch nicht jammern. Das ist meine Devise.

Nix für ungut Hadmut, und erneut großen respekt vor Deinem Beitrag.


Chris
22.6.2011 11:43
Kommentarlink

Sicherheit fängt im Kopf an.
Sicherheit kostet Bequemlichkeit.
Sicherheit kostet Geld.
Sicherheit ist nie sexy.
Sicherheit hat einen schlechten ROI.
Sicherheit wirkt sich nicht im Bonus aus.
Sicherheit ist nicht sinnvoll messbar.

Das ganze Phänomen ist keineswegs neu – keine der obigen Aussagen bezieht sich speziell auf IT.

Solange jede Anstrengung in Richtung IT-Sicherheit von Erbsenzählern im Keim erstickt wird ist Entnetzung die einzige Möglichkeit, die ich immer wieder als Vorschlag ziehen muss.

Einfach abstöpseln. Wollen Sie ins Internet – nahmen Sie den roten Rechner am roten Netz. Wollen Sie arbeiten, nehmen Sie den grünen.

Im Zeitalter von Tablet-PCs und Smartphones kann man das rote Netz sogar abschalten, es hat ja eh jeder so ein Ding.

Alles andere ist Augenwischerei – selbst echte Sicherheitskatastrophen in LANs werden erst nach Intervention der Konzernrevision überhaupt wahrgenommen. Die meisten deutschen Konzernnetze funktionieren nach: “Gib mir eine Netzwerkdose und ich finde alles, was irgendwie interessant ist”

Angreifer kommen ja immer von außen, China und so. Ja nee is klaar…

Ein undankbares Thema, mit dem wir uns da beschäftigen.


Winkukum
22.6.2011 13:01
Kommentarlink

Guten Tag,

ich habe mit Interesse diesen Diskussionen verfoglt und stimme in vielen Punkten dem blog Eintrag zu. Mir ist zuerst eingefallen, dass Microsoft laut IT-Experten in den letzten Jahren immer sicherer geworden ist und angeblich das Betriebssysteme Mac OS X einfacher zu “knacken” sein soll als Windows.
Das klingt für mich so, als ob Betriebssysteme mit geringer Popularität durch die geringere Anzahl an Viren, Exploits etc von Sicherheitslücke nicht betroffen sind, da die Sicherheitslücken natürlich nur nicht bekannt sind.
Bei einem neu entwickelten System, dass auf vielen Rechnern installiert wird, müssten doch die gleichen Sicherheitslücken entstehen, oder nicht?
Natürlich kann durch “ordentliches” Programmieren viel vereinfacht werden, aber ich denke, dass die Probleme an sich ähnlich bleiben werden.
Das soll aber auf keinen Fall bedeuten, dass nicht unermüdlich darauf aufmerksam gemacht werden soll, wenn ein System Sicherheitslücken aufweist.
Ich glaube auch nicht das die Lösung in OpenSource Betriebssysteme und Universitätsentwicklungen liegt.
Man sollte eine nicht so homogene Struktur aufbauen, und nur ein oder zwei Betriebssysteme forcieren. Hier liegt meiner Meinung nach die Lösung in einer gemischten Struktur. Natürlich wird der Aufwand für die bereitgestellte Software wesentlich erhöht und niemnd wird das bezahlen wollen. Systeme wie ReactOS, die versuchen Windowsprogramme unter Unix lauffähig zu bekommen, kämpfen auch mit etlichen Schwierigkeiten und haben es noch nicht zu einem Alltagstauglichen Realise geschafft.
Die Sicherheitsfrage bleibt sicherlich spannend aber an eine echt Lösung glaube ich kaum noch.
Aber
Auch Systeme die im OpenSource Projekten realisiert werden


Muck
23.6.2011 0:43
Kommentarlink

“Würden wir jetzt (endlich) anfangen, ein ordentliches Betriebssystem zu entwickeln, dann wären wir vielleicht in 5 bis 10 Jahren in der Lage, IT-Sicherheit auf ein brauchbares Niveau zu haben. Vorausgesetzt natürlich, daß wir genug fähige Leute haben, so etwas zu bauen. Was das Problem mit sich bringt, daß wir in Deutschland Leute nicht dazu ausbilden, das zu können.”

Schau Dir mal http://www.genode.org an. Kommt von einer deutschen Uni.


kryptart
23.6.2011 12:25
Kommentarlink

Sicheres OS?!
Was halten Sie von Qubes (http://qubes-os.org/Home.html) von Joanna Rutkowska (http://invisiblethingslab.com)?
Dieses Linux-basierte OS scheint mir der bisher vielversprechendste Ansatz zur Schaffung eines sicheren OS zu sein. (mir wäre FreeBSD-basiert lieber, aber man kann halt nicht alles haben -:))


Hadmut
23.6.2011 13:28
Kommentarlink

@kryptart: Dazu kann ich nichts sagen, das kenne ich nicht.


kryptart
23.6.2011 13:52
Kommentarlink

Na ja, Qubes basiert auf einem Xen-Hypervisor.
Anwendungen werden in abgeschotteten virtuellen Maschinen gestartet.
Konnte es noch nicht ausprobieren, da es z.Zt. nur auf 64bit läuft und ich nur 32bit-Maschinen habe.
Joanna Rutkowska hielt letzlich eine Keynote-Presentation zu den Vor- und Nachteilen von Virtualisation auf der NLUUG-Konferenz und wird auf der Black Hat dieses Jahr in Las Vegas über Xen sprechen.


Hadmut
23.6.2011 14:05
Kommentarlink

Na wenn das schon alles sein soll. Ich verwende eben KVM statt XEN.


kopfkratzer
23.6.2011 14:43
Kommentarlink

Nett zusammengefaßt 🙂
Wenn ich mir vor Augen halte das eines der meiner Meinung nach schlechtesten Hardwareplattformen mit durch reine Blendung zum Marktführer gewordenen QuickAndDirtyOperatingSystem sich am Markt durchgesetzt hat zeigt das welche “Selbstregulierung” im Markt herrscht.
Es geht hier wie auch beim STOPP-Schild und der Vorratsdatenspeicherung ausschließlich um Politik und Machterhalt.
Es gibt Hardwarekonzepte mit integriertem Scheduler, der Transputer war da sehr seiner Zeit voraus.
Auch einfach konsequent Havard-Architekturen umzusetzen würden schon alleine wegen der physikalisch getrennten Speicherbereiche Exploits sehr schwer zu realisieren sein.
Oder man benutzt OpenBSD indem jeder Prozeß im chroot und jail läuft *lol*
Vollkommene Sicherheit kann es nicht geben, wenn die Technik nicht versagt versagt der Mensch.
Das Problem ist mal wieder der “Kopf”, der nicht einsichtig ist und es niemals sein wird, weil diese “Entscheider” eben wegen ihrer Herkunft und Verbindungen in den Gremien sind und nicht weil sie fachlich kompetent wären.
Ganz im Gegenteil, sobald man objektiv ein Projekt angeht und aufzeigt das es unwirtschaftlich oder gar nicht realisierbar ist wird man sofort als Schwarzmaler und Blokierer angeprangert.
Und dann sagt der Chef ein “Machtwort” und millionen werden gegen die Wand gefahren und die extra dafür gebildete Abteilung gefeuert, eben weil die Abteilung unfähig war das Projekt umzusetzen, nicht weil der Chef …
Siehe §1 Q.E.D.


kryptart
23.6.2011 15:58
Kommentarlink

Sicher wird das nicht alles sein, wozu sonst der ganze Aufwand.
Außerdem ist Joanna Rutkowska schließlich nicht irgendwer!

Ich für meinen Teil verwende BSD-Jails,
die genügten bisher auch meinen bescheidenen Bedürfnissen vollauf, was aber natürlich nichts besagt.


Das Kernproblem ist ein Doppeltes:

1. Es gibt keine politische Kontrolle: Den Bürgern (in wahlrelevanter Menge) fehlt dazu der Wille und die Fähigkeiten. Selbstbestimmtes Lernen wäre die Voraussetzung. Aber genau das verhindert unser Schulsystem – bewusst? Vielleicht liegt dies auch nur an 2.->

2. Unser Handeln ist nicht wirklich vernunftbezogen. Denn vernunftbezogen kann nur bedeuten, dass man Funktionen (=Ziele, …) setzt, danach das zum Handeln erforderliche Wissen schafft und den Erfolg des Handelns dann an den gesetzten Funktionen misst und damit dann gleichzeitig auch das Wissen überprüft (hat). (Vgl. hierzu “10.3 Die Funktion des Steuerungsprozesses” und “10.4 Handeln mit Vernunft” in: http://www.wissenschaffen-und-handeln.de)
Der Beitrag von Hadmut ist ein eindrucksvolles Beispiel dafür.


kryptart
24.6.2011 12:41
Kommentarlink

Hadmut, Sie kennen Qubes doch (“Ist die Systemsicherheit gescheitert?”)!
Ich teile Ihr Urteil, aber die rein akademische Frage, die sich mir stellt ist, gibt es grundsätzlich überhaupt eine realistische Chance daß 1. irgend jemand eine sichere Programmiersprache entwickelt und dann darauf basierende sicherere Software entsteht und 2. falls ja, könnte man beide längerfristig als Standart durchsetzen, damit man nicht mehr zu solchen “Brachiallösungen” wie Virtualisierung greifen muß.
In Europa können wir uns ja nicht mal auf einheitliche Stecker verständigen und in den USA wird immer noch in Zoll gemessen.

Nächste Frage, sollten wir nicht vorallem froh darüber sein, daß die Politiker so wenig Durchblick haben?
Wenn es anders wäre, wäre möglicherweise alles noch schlimmer!


Hadmut
24.6.2011 12:42
Kommentarlink

Hmpf. Ich hab ein Namensgedächtnis wie ein totes Pferd.

Und ja, das könnte schrecklich werden…


Pete
25.6.2011 9:49
Kommentarlink

Also, Hacker ist ja eigentlich auch nicht die richtige Bezeichnung für jemanden, der unberechtigt in fremde Systeme eindringt. Cracker ist da eigentlich passender. Hacker im klassischen Sinne sind eigentlich leidenschaftliche Programmierer und keineswegs Störenfriede oder Netzdschihadisten.


Hadmut
25.6.2011 10:08
Kommentarlink

Also ich hab das so in Erinnerung, daß Hacker ursprünglich durchaus als Bezeichnung für Leute entstanden ist, die unberechtigt in fremde System eindringen, und die Hacker-Ethik (oder besser gesagt Hacker-Romantik) erst später eingesetzt hat.


yasar
25.6.2011 14:21
Kommentarlink

Iirc sind Cracker, außer etwas zum Essen, diejenigen gewesen, die bei Software (insbesodnere Spielen) den “Kopierschutz” entfernt haben.

Hacker waren diejenigen, die in andere Computer “eingebrochen” sind, egal ob berechtigt oder undberechtigt, oder egal ob bös- oder gutartig. Hacker waren auch diejenigen, die Technik anders genutzt haben, als sie unrsprünglich zur Nutzung vorgesehen ware (z.B. Spielzeugpfeifen).

Diese Begriffe haben allerdings seit über 30 Jahren so einen Bedeutungswandel hinter sich, daß es müßig ist, sich darüber zu streiten.


colorcraze
26.6.2011 14:10
Kommentarlink

Hallo Herr Danisch,
hab mit Interesse in Ihrem Blog gestöbert, der auf dem FAZ-Blog „Stützen“ verlinkt war. Bitte klären Sie weiter die Menschen über die technischen Gegebenheiten des Internets auf. Das ist notwendig.
Zu Ihrem Nachdenken über Sicherheit: sicher wäre es hilfreich, wenn D und Europa eine besser aufgestellte IT-Branche hätten und Software noch nicht als halbgrüne Banane ausgeliefert würde, und es eine Art robusten Minimalstandard z.B. für Mail gäbe. Nur sehe ich nicht, wie man aus Gefrickel jemals zu einer Vereinheitlichung (immerhin haben sich Quasistandards herausgebildet) kommen will, ohne die Sache Privatfirmen anheimzugeben, die dann eben zwangsläufig (wie zu Zeiten der alten Römer bereits bis heute) nach Monopolen streben. Und dafür braucht es eben Geschäftsmodelle, die tragfähig sind, geduldiges Häkeln allein führt nicht dazu, daß man vom Verkauf von Häkeldecken leben kann.


Hadmut
26.6.2011 14:16
Kommentarlink

Ich werd mir Mühe geben. 🙂


Alex
30.6.2011 10:20
Kommentarlink

Wie wäre es denn, wenn diese Meinungen und Vorschläge auch außerhalb dieses Blogs wandern würden und man Fr. Schavan oder … irgendjemandem mal eine nette Mail schreibt mit diesen Ansätzen.

Den Leuten ist zuzutrauen, dass sie weder das Problem jemals erfassen, noch dass sie effektiv etwas dagegen unternehmen werden.

Wenn wir nichts tun.


Hadmut
30.6.2011 10:38
Kommentarlink

Ach, habe ich schon versucht. Schavan oder ihrem Ministerium Verbesserungen vorzuschlagen ist ungefähr so effektiv, wie es einer Straßenlaterne zu erzählen.

Schavan geht es nach meinem Eindruck überhaupt nicht um Sinn, Ergebnisse und Qualität. Den Hintergrund hat die gar nicht. Der geht es nur darum, Geld per Gießkannenprinzip zu verteilen und den Geldfluß politisch zu formen. Das ist übrigens ein Hauptaspekt der CDU-Politik.


alphanostrum
19.10.2011 20:45
Kommentarlink

Man muss vielleicht noch sagen, dass IT so sicher ist, wie es der Kunde möchte. Ich glaube nämlich fest daran, dass, gäbe es einen Focus auf IT-Sicherheit, dann würde diese auch zwingend entstehen. Das Problem ist also das Sicherheitsbewusstsein des Kunden. Hier muss man ansetzen und aufklären. Die meisten User sind Anwender und Mausschubser. Der Softwaremarkt verkauft, was sich verkaufen lässt. In DE gibt es nicht mal einen microskopisch nachweisbaren Grundkonsens darüber, was IT-Sicherheit überhaupt bewirken muss. Ich habe selbst an einer 2-jährigen Umschulung zum Systemadmin teil genommen. Es war geradezu lächerlich, was hier an “Expertenwissen” vermittelt wurde. Eine Schande für die Branche.
Ich unterstelle also, dass es politisch so wie es ist, gewollt ist.
Das Cyber-Abwehrzentrum ist nur ein weiterer Akt der Schauspielerei unserer Marionetten-Politiker.