Hi,

was Du hier abgeliefert hast ist ein absoluter Hammer, da kann man kaum darauf antworten. Allein die Masse ist erschlagend.

Nun versuche ich es doch:

Windowsvorherrschaft: Das ist absolut so, für einen der ab ’87 mit *UXen rummachte ist das noch viel unverständlicher.

>Zudem hätte man durch hohe Einfuhrzölle auf undokumentierte Chipsätze
>durchaus herbeiführen können, daß man auch zu Hardware
>Open-Source-Treiber schreiben kann und nicht auf die gepfuschten >Windows-Treiber der Hersteller angewiesen ist.

100% d’accor, leider muss das die Politikebene entscheiden – und die haben keine Peilung und sind in weiten Teilen gekauft.

>(siehe nur die Posse um das Auswärtige Amt, das schon damit >überfordert war, von Windows auf Linux umzusteigen – wie soll
>es dann ein ganzes Land können?)

Da bin ich optimistischer: Im Familienbereich/Firma habe ich Windows auf die Insel gesetzt. Die kommen nicht raus oder rein. Die einzigen OS die das können sind Linuxe (Suse und Ubuntu). Bei diesen Umstellungen habe ich gelernt dass nur die Hardcore Spieler auf M$ angewiesen sind. Alle anderen können mit einem Mix aus Linux, Open/Libreoffice und Eigenprogrammierung gut leben.

>Wer Sicherheit will, der kann nicht einfach mit ein paar Sälbchen >und Pflästerchen Oberflächenkosmetik treiben und jetzt mit ein paar >Nasen mal eben auf Cyber-Abwehr machen. So lange wir das Problem >nicht lösen, können wir uns IT-Sicherheit in dieser Breite >eigentlich an den Hut stecken.

2 Anmerkungen dazu:
1. Das Abwehrzentrum ist der Krisenstab: Man holt alle wichtigen und die zusammen die was zu sagen haben, damit die die wissen wie man das Problem löst in ruhen arbeiten können.

2. Meine Meinung: Man muss die Polizei entsprechend aufstocken. Es müssen genügen Menschen sich darauf konzentrieren was im Web los ist und die Kollegen des “real life” anschubsen.
Diese Menschen werden wenn sie genügend qualifiziert sind und nicht bürokratisch geknebelt von alleine die richtigen Maßnahmen treffen (wir sind immer noch Urzeitjäger).

>Würden wir jetzt (endlich) anfangen, ein ordentliches Betriebssystem >zu entwickeln, dann wären wir vielleicht in 5 bis 10 Jahren in der >Lage, IT-Sicherheit auf ein brauchbares Niveau zu haben. >Vorausgesetzt natürlich, daß wir genug fähige Leute haben, so etwas >zu bauen. Was das Problem mit sich bringt, daß wir in Deutschland >Leute nicht dazu ausbilden, das zu können.

Du bist reichlich pessimistisch. Warum sollte das nicht gehen? Die Ausbildung ist das eine, die Persönlichkeit das andere. Ich bin gerade auf dem Positivtrip – es wird schon schiefgehen.

>Ähnlich abhängig von US-Produkten sind wir bei den typischen >Büroapplikationen wie Word, Outlook usw. Auch hier werfen wir mehr >Geld über den großen Teich, als es uns kosten würde, es besser >selbst zu entwickeln.

100% ACK

>Wer ernsthaft IT Security treiben will, der muß erst einmal eine >ordentliche Programmiersprache entwerfen und dann möglichst schnell >alles rausschmeißen und/oder neu schreiben, was in C und C++ >geschrieben ist. Und da hat er was zu tun.

ich habe seit ’84 mit C “rumgemacht” – und da gab es schon z.B. Pascal.
C provoziert wirklich Speicherüberläufe und andere Probleme (incl. Code der “obwohl kommentiert” nicht lesbar ist).

>Jedenfalls hatte bisher keiner der Programmierer, denen ich in der >Industrierealität begegnet bin und die ich dazu befragt habe, >irgendeine Ausbildung oder Schulung in sicherem Programmieren.

100% ACK.

Ob ich eine Maschine ansehe oder ein kaufmännisches Programm. Absolutes No.
Da sind die Windows – Otto – Normalverbraucher durchaus (manchmal) kritischer.

>Eigentlich wäre PDF genial. Eigentlich sehr gut. Eigentlich ein >geschlossenes System, aus dem es kein Ausbrechen gibt. …

Muss dir zustimmen – das ist alles nur traurig. Manches wird verschlimmbessert.

>Mit einem so profanen Schritt hätte man weit mehr Sicherheit >erreicht, als mit diesem fipsigen Cyber-Abwehrzentrum.

Wieder 100% ACK, anscheinend werde ich zu Deinem “Fanboy”

SRY, mir geht die Zeit aus.

— ich schicke jetzt mal den ersten Teil raus. evtl. kommentiere ich den 2. Teil auch noch – nur morgen

Gruß Johannes

Vorschlag für eine alternative Überschrift: Requirements Engineering für eine nationale IT-Sicherheitsstrategie im Konjunktiv.

Inhaltliche im Wesentlich volle Zustimmung, wobei meine Meinung zur Ausbildungssituation nicht ganz so völlig pessimistisch ist wie deine. Ich würde mal mit der Annahme arbeiten, dass es zumindest genügend Personen gäbe, die die notwendigen Fähigkeiten sich mit überschaubarem Aufwand aneignen könnten. Wenn es nicht genug Indianer zum Erledigen der Arbeit gibt, dann könnte man sich gleich den wirklich schönen Seiten des Lebens zuwenden. Ansonsten lohnt sich m.E. der Frage nachzugehen, wie bringt man den Häuptlingen bei die richtige Richtung vorzugeben. Das ist die wirkliche Kunst und Schwierigkeit.

“Wie man nun meinen Ausführungen vielleicht etwas angemerkt hat, traue ich dieser Regierung einfach nicht (mehr) zu, weder fachlich noch charakterlich, IT-Sicherheit ernsthaft herzustellen.”

Zurecht. Aber meiner Meinung nach ist die Regierung kein SPOF – die dämliche Schavan könnte den Presse- und Grußclown spielen soviel sie wollte, wenn ihr Ministerium kompetent besetzt wäre und die Parlamentarier und die Parteien kompetent wären und die Wählerschaft und die wichtigen Interessensgruppen (aka Lobbyisten) das richtige wollten.

Das Nichtfunktionieren des politischen Systems ist der Preis für die Sünden der Vergangenheit. Eine Änderung müsste tief ansetzen, auf der institutionellen und personellen Ebene gleichermaßen. Und das traue ich dem deutschen Volk, wie dem deutschen Staat vorläufig nicht zu. Vielleicht einst durch äußere Zwänge, wer weiß. Besser es käme anders…

Ok, Hadmut, man kann dir nur beipflichten. Dieselben Zustände, die du für einen ganzen Staat beschreibst (nicht IT-bezogen, sondern generell), die findet man auch in jeder x-beliebigen Firma.

Es gibt die Ebene der Praktiker, die alle Probleme der täglichen Arbeit und dazu (oftmals einfache und gute) Lösungen kennen.

Und es gibt die Führungsebene. Die hat aber keinerlei Schimmer, was in der Praxis ihres Betriebes abläuft, ja sie möchte das noch nicht mal wissen. Sie schaut da gar nicht hin! Sie entscheidet einfach drauflos. Und man hat natürlich da viel zu viel Dünkel, als daß man sich von “Subalternen” beraten ließe. Allenfalls holt man sich, wenn es gar nicht mehr geht, rasend teure externe “Berater” (die noch viel weniger Einblick und Ahnung haben).

Am Ende stehen ineffektive Betriebe, die ihr Potential an tausenden Punkten vergeuden, obwohl es viel besser gehen könnte – wenn man die Praktiker anhören würde.

Tut man aber nicht. Man entscheidet von oben herab, fast immer in Richtung Verschlimmbesserung. (X-mal so erlebt in vielen Firmen).

Ein Staat ist nun nicht anders zu betrachten als eine Firma, und dazu noch eine riesige, schwerfällige Firma – ohne Wettbewerbsdruck. Wenn es schon marktwirtschaftliche Betriebe nicht schaffen, Kompetenz und Führung zu vereinen, wie soll es denn bitte ein Beamtenstaat schaffen?!

Nee, es wird immer ein Gewurschtel und Gewürge bleiben – bei dem jedem Praktiker einfach nur die Augen tränen.

Das, wovon du träumst, klingt so einfach, ist aber in der Praxis mit _diesen_ Menschen hier nie zu erreichen.

Was bleibt, ist ein grandioser Rundumschlag deinerseits, toll. Und mein Fazit am Rande:

“DUMM sein und Arbeit haben – das ist das Glück.” (Also: ja nicht über Sinn und Ziel reflektieren, das führt direkt ins Unglücklichsein).

wird einfach noch ne SOKO internet – halt passend zum tatort internet der ex-minister-gattin^^

hab mich ja schon gefragt wann mal hier was zu dem thema kommt aber das warten hat sich gelohnt

wie im blog schon geschrieben heißt die strategie strafverfolgung statt strafverhinderung mit entsprechendem angeschlossenen überwachungsapparat.

ich habe bisher nichts davon gelesen, dass dieses zentrum der schaffung neuer (sicherer) oder der überarbeitung bestehender IT-infrastrucktur dienen soll. lediglich konnte ich was von verhindern und verfolgen von angriffen lesen.
wenn man sich dabei vor augen hält, dass dort nicht nur das BSI und die polizei sondern auch Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, verfassungsschutz, BND, Zollkriminalamt und bundeswehr mit einbezogen werden sollen schauerts mir etwas (quelle: http://www.spiegel.de/netzwelt/netzpolitik/0,1518,768782,00.html).

Ich stelle mir die Frage, ob hier nicht einfach nur die Presse saudumm berichtet?

Ein Gutes kann ich diesem “Zentrum” nämlich abgewinnen: Es existiert endlich eine zentrale Stelle, an der Erkenntnisse von Polizei, Geheimdiensten und sonstigen staatlichen Stellen gesammelt und koordiniert werden können (besser: könnten).

Bei sechzehn Bundesländern plus dem Bund mit ebenso vielen Innenministerien und Verfassungsschutzämtern zuzüglich diverser anderer Ämter, von denen jedes seine eigene Abteilung für “IT-Sicherheit” hat, kann bisher nur Chaos geherrscht haben. Ob dieses “Zentrum” hier etwas verbessert, wird die Zeit zeigen.

Wenns scheitert, haben wir eben einen weiteren Messwert, um empirisch den Brennwert von Steuergeldern bestimmen zu können.

hier: http://www.der-postillon.com/2011/06/der-postillon-erklart-was-kann-das.html gibts nochmal die knallharten fakten!

Zitat: “[...]Im Nationalen Cyber-Abwehrzentrum arbeiten nur die Besten der Besten: nämlich deutsche Beamte![...]In spätestens einer Woche ist es vermutlich gehackt und wird von einem chinesischen Botnet kontrolliert.”

Was soll denn das? http://bit.ly/jDGOJj

Zwar (wie so oft) nicht kurz und knackig, aber dafür (wie so oft) voller Bonbons. Großartiger Text, vielen Dank! Werd das gleich mal breit verlinken.

Ich danke für das Lob. Aber eigentlich müßte ich den Text erst mal kontrollesen und überarbeiten. Den hab ich spontan so runtergeschrieben und nicht einmal kontrolliert. Sicher noch voller Schreib-, Satzbau- und Wiederholungsfehler…

Wow, ein größeres Lob als von HAL verlinkt zu werden kann es ja wohl kaum geben, oder? =,-o

Mach’ Dich & Deinen Servierer auf einen größeren Ansturm gefasst, zumindest heute, 19. Juni 2011.

PS: http://www.heise.de/newsticker/meldung/Was-war-Was-wird-1262928.html

Feine Rantale! Sehe ich auch so. Es ist aber immer so, daß man in die Sch^WKnete tritt, wenn man Konzepte hinterfragen will, wo keine Konzepte sind. Programmiersprachen — Wildwuchs, Programme — Wildwuchs, Standards — klasse, ham wir, könnten wir jeden Tag einen verkaufen…
Das ist einfach freie Entwicklung. Wenn das einer in der Hand hätte wäre das zentralistisch und totalitär und würde auch nicht funktionieren — dann wegen der sturen Festlegungen und der fehlenden Freiheit.

Beschränkung wäre das Zauberwort. Aber jeder sieht sinnvolle Beschränkungen an anderer Stelle und genau nur beim Nachbarn. Kann ein Programm nicht selbstständig und installationsfrei sein? Kann es seine Bibliotheken nicht einlinken. Da geht es doch schon los, beim Installationssalat. Programmiersprache für Anwender, ich habe gut gefrühstückt und sage mal frech Delphi. Na das gibt Haue! Aber nein, die Masse nurkst mit Sprachen herum, die nicht für den Anwender gemacht wurden, sondern für den Betriebssystemmacher, als ob wir alle Betriebssysteme schrieben. Als ich vor 20 Jahren kritisierte, daß Steuerungsprogramme(Siemens S5) assemblerähnlich geschrieben werden und nicht in strukturierter Sprache bekam ich zu hören, daß ich im Osten meine Programme in Stein meißelte und wir im Osten überhaupt keine Computer hatten. Verstanden hatten die Leute nichts von dem, was ich sagte, aber das ist typisch in solchen Diskussionen.

Neu anfangen, mit einer einfachen klaren gut strukturierten Sprache, die alle beherrschen und die Quellen offenlegen. Das machen, was Stallmann forderte. Da muß aber lesbarer Quelltext da sein.
Wenn ein Betriebssystem 20GB braucht läuft auch etwas grundlegend falsch.
Sicherheit hinterher einbauen zu wollen funktioniert garantiert nicht, das ist wie einen Sack Flöhe hüten.

Carsten
–
Sinn fürs Motiv
http://www.toonpool.com/user/550/files/media_868105.jpg

[...] ausführlicher Text des Informatikers Hadmut Danisch: Warum das neue Cyber-Abwehrzentrum der Bundesregierung so nicht funktioniert. Darin steht ziemlich genau, was alles schief gelaufen ist und weshalb es auch weiterhin Probleme [...]

Eine Alternative zu PDF, die die Hauptmacken nicht hat, gab es schon vorher und aus demselben Haus: Postscript (die Handvoll Funktionen für Filezugriffe müsste man rausnehmen, und das wiederum mit Ausnahmen, damit die Fonts gehen – im Prinzip das, was Ghostscript mit -dSAFER macht). Wenn man das noch durch gzip jagt, ist es genauso klein wie PDF. Faustregel: Alles, was aus den Buchstaben P, D, F (oder ähnlich klingenden) gebaut ist, ist Mist: PDF, FDP, ftp, …

Verdammt, das ist der Post, den ich eigentlich schreiben wollte – aber nie so hinbekommen hätte. Da ist so ziemlich alles drin, was es zu diesem Thema (und einigem drumherum) überhaupt zu sagen gibt. Eine herrlich böse Analyse des status quo – wenn auch der Ausblick vielleicht sogar für meinen Geschmack als Hobby-Apokalyptiker etwas sehr negativ ist. Ich möchte mich nämlich prinzipiell an dieser Stelle den Kommentar von Battleaxe anschließen, weil auch ich glaube, dass es hier durchaus einige Leute gibt, die mental das Zeug haben, sich das nötige Wissen schnell zu erarbeiten – wenn es einen Grund gibt, das zu tun.

Über die fragwürdige Sinnhaftigkit des neu geföhnten nationalen CERT bin ich Deiner Meinung: http://cbx.amadyne.net/blog/articles/930/die-cybercops-kommen-uns-zu-retten

So viel Wahres und Informatives in einem Post. Chapeau!
Man darf gespannt sein, ob das die eigentliche Zielgruppe auch so sieht.

Sehr schöner Beitrag.
Leider kosten alle genannten Vorschläge Geld, mehr Geld jedenfalls als zehn Hanseln mdienwirksam irgendwo umzubesetzen.
Deswegen lieben Politiker ja auch Gesetze statt konstruktiver Arbeit, denn Gesetze sind kostenlos.

Daher bin ich, was die Umsetzung der genannten Vorschläge angeht, eher pessimistisch.
Das ganze als offener Brief (z.B. in FAZ, SZ) an Merkel, Friedrich und Co. kann aber vielleicht nicht schaden.

Die Versuche, Journalisten und Zeitungen für sowas zu gewinnen, habe ich aufgegeben. Deshalb blogge ich es.

Wenn ich die Möglichkeiten (gemeint sind die Finanziellen) hätte, würde ich Dich für dickstes Geld einkaufen, um Dich dann in Ruhe zu lassen, das Ergebnis wäre schlicht und ergreifend, Du würdest Dich und mich noch reicher machen. Dies ist das Ergebnis Deines Beitrags, da bin ich ein echter Waisenknabe: http://freies-in-wort-und-schrift.info/2011/06/12/die-legende-oder-das-mrchen-vom-heiligen-hacker/

Leider sind mir diese Möglichkeiten für Dich und dadurch auch für mich nicht vergönnt, aber so ganz aufgegeben habe ich auch noch nicht, für eine IT zu kämpfen (auch wenn ich nur ein lausiger ‘Experte’ in Windoof bin, der 7 Jahre als Supporter gearbeitet hat), die auch ein Volksschüler wie ich noch erlernen kann, denn was ich über die IT weiß und kann, habe ich mir vor dreissig Jahre über lange Jahre selbst beigebracht und heute bin ich 63 und, was das echte Lernen angeht, nicht mehr ganz so frisch, besonders nach meinem Herzinfarkt. *grinZ*

Herr Danisch spricht mir aus der Seele. Alles was ich schon immer
kritisiert habe, finde ich fast komplett hier in diesem Blog.

Der Artikel ist zwar recht lang, aber dafür auch recht umfänglich. Als Programmierer, der seit Jahrzehnten die o. g. Software-Sünden verwenden muß, spricht mir da einiges aus der Seele.

Aber zum Titel des Artikels: Bin ich der einzige, der fest davon überzeugt ist, das dieses Zentrum alles mögliche tun soll, aber nichts mit dem “Cyberwar” am Hut hat?

Dort trifft sich Polizei mit Geheimdienst und Militär. Das die sich dann über die neueste Phising-Mail-Attacke unterhalten, das glaub nicht mal ich.

Cyber-War ist, wenn sich Drogendealer und Demonstranten über Mail verabreden. Wenn Facebook-Party-Initiatoren ermittelt werden müssen.

Dort liegt die Bedrohung für das “Volk” und für die Regierung.

Das Windows-Bashing ist unpassend. Ich bin auch auf einer CYBER mit Fortran gross geworden, aber Unix war keine Hilfe. Wir hätten 1988, als der Informatik-Student Morris mit einem sendmail(8)-Exploit das US-Internet stilllegte, beinahe auf eine flächendeckende Unix-Einführung verzichtet und einen IBM-Mainframe mit MVS gekauft. Aber Computernetzwerke sind nun mal kompliziert. Da gibt es keine einfachen Lösungen wie Source-Export usw. Die Frage ist, wie man mit den vorhandenen Risiken umgeht.

Das Krisenreaktionszentrum ist dummes Zeug. Zum einen ist die Personalstärke nicht problemangemessen und zum anderen hat das BMI ein ganz anderes Problem: die gleiche Behörde (BSI), die für das BMI die Bürger belauschen soll (Bundestrojaner), kann kein Teil der Sicherheitsinfrastruktur sein. Entweder ist man auf der Seite der Angreifer (Bundestrojaner) und braucht Schwachstellen in den Rechner, um über das Netz als BSI oder BKA oder BfV einbrechen zu können, oder man ist bei den Guten. Beides gleichzeitig geht nicht. Das diese gleichen Behörden nun uns Sicherheit versprechen ist eine dreiste Verhöhnung der Bürger durch die CDU.

Ich denke, dass wir von den kalten Kriegern, die durch die Atombomben arbeitslos sind und um konventionelle Kriege gewinnen zu können zu blöd sind (10 Jahre Losertum am Hindukush und dann feiges Verdrücken wie in Vietnam nach tausenden getöteten Afghanen), über den Tisch gezogen werden sollen. Unter dem Begriff Cyberwar wollen sie an die fetten Steuertöpfe, die sie vorher als testosteronverseuchte Ewigpubertierenden mit Leopard-II-Panzern in der Heide verzockt haben. Es werden irreale Bedrohungsszenarien aufgemalt, um dann die Bürger mit Unsinn zu plündern.

Beispiel Stuxnet. Erst hieß es, die Windows7-Bedienrechner iranischer Turbinensteuergeräte von Siemens seien durch USB-Sticks verseucht worden. Man habe den Code analysiert und war durch einen Holländer darauf gekommen, dass die auf den Bus gelegten Signale bei bestimmten Busendgeräten dazu führen würden, dass bestimmen Turbinen a) in eine ausfuhrbeschränkten Drehzahlbereich gesteuert würde und b) die Drehzahländerungen zur Zerstörung führen würden. Dann wurde der USB-Hoax fallen gelassen und Symantec verbreitete, dass 7.000 Windowsrechner im Iran mit Stuxnet am Internet hängen würden und von den USA aus gesteuert wurde und Schadcode nachgeladen werden könnte. Und dann flossen die Milliarden: Obama ließ nicht nur irgendwelche Menschen in Afghanistan, Pakistan und Libyen durch joystickgesteurte Drohnen aus Florida heraus willkürlich abschlachten, sondern er besorgte weitere Milliarden und sagte, jeder Angriff im Internet können zur Bombardierung draußen führen.

Dieser politische Missbrauch von IT geht weit über das hinaus, was man bei einem Prozessor im Layout verstehen könnte oder im Kernel von Windwos7 oder Linux oder NOS/BE.

Der Vater von Morris (mit dem sendmail-Exploit war der Autor von crypt(3)) und bei der NSA beschäftigt. Unix-Gurus, die durch Plaudern zu Hause das Internet zum Meltdown gebracht haben. Was nützt da der Sourcecode von crypt(3)?

@Jan Dark:

Wäre im Prinzip richtig, wenn Du nicht ein kleines aber wichtiges Detail übersehen (oder bewußt unterschlagen) hättest:

Der Morris-Wurm war 1988.

Damals war das Internet noch ein reines Forschungsnetz, es gab noch keine Bedrohung, die Security war noch so gut wie gar nicht entwickelt, Angriffe auch nicht. Den Morris-Wurm als Beispiel heranzunehmen ist, als würde man Karl Benz vorwerfen, bei der Erfindung des Autos nicht mit Sicherheitsgurt und Airbag angefangen zu haben. Oder den Gebrüdern Wright vorwerfen, daß sie in ihre ersten fliegenden Kisten nicht gleich einen Flight Recorder eingebaut haben.

Jetzt haben wir aber das Jahr 2011, das ist 23 Jahre später.

Das Problem ist nicht der Morris-Wurm. Das Problem ist, daß man daraus nichts gelernt hat. Deshalb habe ich im Text ja auch das Maß von 20 Jahren angeführt, denn der Morris-Wurm war durchaus ein Signal, aus dem man einiges hätte lernen können und müssen.

(Ich war übrigens damals schon mit IT Security befasst und habe das damals auch anhand „With Microscope and Tweezers” studiert.)

“Platt gesagt, sind wir zu doof um mehr zu können…”

that’s it!

lob an die schreibweise, ich habe mir ihren artikel gerne ganz gelesen, während ich bei den verlinkten nich über die überschriften gekommen bin, neben dem fachlichen haben sies anscheind drauf^^

Gerade gefunden bei Heise und einen Lachkrampf bekommen: http://www.heise.de/newsticker/meldung/Abhoersicheres-System-abgehoert-1262992.html

100% Zustimmung in allen Punkten. Vor allem das mit hohen Einfuhrzöllen für Hardware ohne offene Dokumentation unterscheibe ich vollumfänglich. Aber ich würde noch einen Schritt weiter gehen und nicht nur ordentlich Zollabgaben fordern, sondern auch die Mehrwertsteuer auf solche Produkte anheben, damit diese für den Kunden (der sich eher wenig um Dokumentation kümmert) weniger attraktiv sind.

Immerhin kenne ich nicht wenige Informatikstudenten, die sich in ihrer Freizeit intensiv mit richtiger Computersicherheit beschäftigen (ich bin ja “nur” Physiker und nehme die Informatik eher nebenher mit). Da gibt es dann auch ernsthafte Bestrebungen mal ein Betriebssystem in einer funktionalen Sprache im Lambda-Kalkül zu schreiben, also z.B. mit Haskell, womit deine berechtigte Kritik an C/C++ adressiert wäre.

Was aber mindestens genauso wichtig wäre, wie eine unabhängige Softwareinfrastruktur wäre eine eigene, konkurenzfähige CPU-Architektur, die mal mit den ganzen Unsäglichkeiten von x86 aufräumt. Aber bitte kein MIPS- oder PowerPC-Nachbau; nicht das ich was gegen diese Architekturen habe; es geht darum wirklich unabhängig zu sein.

“Hätte man in Deutschland (oder Europa) vor 10 bis 20 Jahren angefangen, ein vernünftiges und sauber gebautes Open-Source-Betriebssystem zu entwickeln, das allen einfach so kostenlos zur Verfügung steht, wäre das schon wirtschaftlich sehr viel sinnvoller gewesen”

WER hätte das entwickeln sollen?
Ein paar Hobbyprogrammierer? Dann hätten wir ein 2. Linux.
Der Staat? Dann hätten wir den Trabbi als Betriebssystem.
Siemens oder T-Systems? Da bin ich auch nicht so wirklich überzeugt…
Die Hochschulen? Da hätte jeder was dazu beitragen wollen um Geld und Ruhm abzuschöpfen, aber ob das dem Produkt gut getan hätte?

Zu allererst: Ihre Forderungen an eine Regierung haben nur Sinn, wenn eine Regierung und keine Regierungssimulation am Werkeln ist und das kontrollierende Parlament souverän ist. Ihre Forderungen unterstellen Friedensvertrag und _V_e_r_f_a_s_s_u_n_g_!_ Keine “Hausordnung” der Westalliierten und Besatzungsrepublik, verwaltet von Einheimischen. Nein, ich bin kein “Ultrarechter” oder einer dieser Reichsadlerfedernzähler, ich bin kein Deutscher.
In anderen Ländern Europas, spielt, wenn’s ums Eingemachte geht, eine etwas andere Musik, da laufen noch (z.T. Uralt-)Sparcs, denn die hatten erheblich weniger “Design Flaws” (Kreisch!), die zurecht für Backdoors gehalten werden. Windows ist dort auch maximal das Terminal-OS, aus dem es einst hervorgegangen ist und bedient Terminals, die von COBOL-Programmen gefüttert werden, die auf dem mehr oder minder grossen Bruder hinterm Horizont laufen, ja, COBOL!

Ja, wirklich, sowas gibt es, in Europa, sogar innert der EU…

Zunächst ein große Lob an die konkrete Kritik an dieser ganzen völlig in die irre geführten Diskussion über Cyberwar und cyber als neues Wort für böse Sachen mit einem Computer tun!

Jedoch finde ich deine konkreten Ansätze zur Verbesserung sehr interessant, da sie wirklich das Problem mal von der technischen Seite beleuchten. Es werden wohl aber die meisten Politiker überhaupt nicht verstehen auf was du hinaus willst.

Und genau hier ist das Problem:

Die (technische) Kybernetik hat in alle Bereiche der Gesellschaft hineingewirkt, jedoch ist alles sehr schnell passiert und die Politik hat nicht Ansatzweise ein Verständnis für die Sachverhalte, die du beschrieben hast. Einmal weil sie alle aus Prä-Netz Zeiten kommen und Zweitens, sie keinen Bock haben auf Sachlichkeit.
Hinzu kommt, dass auch die IT-Branche es nicht geschafft hat den Politikern die Relevanz dieser Probleme zu erklären, weil das einige nicht wollten, denn sie verkaufen ihrer Produkte(AVs oder irgendein Mist, der Pseudosicherheit generieren soll)und da sind deine umfassenden Vorderungen nicht wirtschaftlich. Es muss wirklich eine eherliche und offene Diskussion über die Zukunft in diesem Bereich geben, ansonsten wird es in einem riesigen Chaos enden(oder es ist schon so).

Ich werde mir einige Punkte von die notieren und wenn ich mal wieder in einer Diskussion bin, dann werde ich sie einfach mal erzählen. Jedoch kann man Politikern leider nichts mit C/C++ oder MIPS oder Distris um die Ohren hauen, denn das verstehen die nicht. Und wenn Politiker etwas nicht verstehen, lesen sie nicht nach, sondern betrachten es als irrelevant.

Gruß

zeroskillor

Nicht nur in Deutschland herrscht da die falsche Denke.
Aber das Problem ist kein rein technisches. Ich betreibe IT-Sicherheit in einem Bereich, in dem es gegen bestimmte Angriffe sehr brauchbare Gegenmaßnahmen gibt. Hinreichend extern verifiziert, von Mitbewerbern vom Prinzip her übernommen, akzeptierter Stand der Technik. Noch dazu bezahlbar. Von den Dutzenden anderer Sicherheitsfunktionen in den Geräten ganz zu schweigen.

Alles ganz phantastisch – auch in den USA ein Hit.

Nur in der Masse absolut ohne Bedeutung. Wenn man von extrem sensibilisierten Anwendern wie Diensten einmal absieht, steht zwar die Technik mit Lösungen bereit, diese werden aber ignoriert. Oder schlimmer: Es werden Sicherheitsfunktionen als add-on eingekauft und eingesetzt, welche dann durch magische Rundschlagwirkung alle anderen möglichen Angriffe gleich mit abwehren. So denkt jedenfalls der Kunde.

Nehmen wir mal für einen Augenblick an, man könnte alles, was man für einen Office-PC benötigt, sicher, bezahlbar und meinetwegen noch quelloffen produzieren. Trotzdem würden Anwender wieder um Sicherheitslösungen herumarbeiten, weil sie entweder nicht taugen (“Ihr Passwort muß mindestens 18 Stellen besitzen, davon 6 Sonderzeichen, mindestens eine vierstellige Zahl, die nicht durch 7 teilbar ist und keine deutschen oder ungarischen Worte – und nächste Woche brauchen Sie ein neues!” – xkcd hat das mal auf den Punkt gebracht) oder weil der Anwender in der Risikoanalyse (so sie denn durchgeführt wird) einen blinden Fleck oder zwei hat.

Da hilft nur Aufklärung des Benutzers. (Hier auch oftmals Aufklärung des Arbeitgebers, der Wirtschaftsprüfer, der IT-Abteilung…)

Theroretisch sichere Hard- und Software sind auch nur Teil einer Lösung. (Und müssen dazu noch, wenn wir ehrlich sind, in ihrem Mehraufwand gegenüber “Standardlösungen” wirtschaftlich und organisatorisch vertretbar sein. Sowas kann man rechnen. Wenn man denn kann.)

PS: Höre ich hier COBOL? Das hat in klassischer Form weder null-terminierte Strings noch Pointer. Außer Array-Überläufen ist da nicht viel Böses zu produzieren… Dafür ist es einfach zu simpel gestrickt. C hingegen…

Gute Analyse des Istzustandes, wenn auch bissel zu pessimistisch. Das ist vielleicht auch notwendig. Leider wird das von den sogenannten “Entscheidungsträgern” in Wirtschaft und Politik überhaupt nicht war genommen werden. Weil nicht sein kann, was nicht sein darf oder ganz einfach das TINA-Prinzip zuschlägt. Sachargumente spielen eine Nebenrolle und Geiz ist geil. Niemand will für Computer- und Netzsicherheit bezahlen. Das sind aus Managersicht immer Kosten, die nie etwas einspielen. Läuft doch!

Neuer großer Schwachsinn vom Wochenende, RFID auf EC-Karten von Sparkassen. Man kann den Kopf gar so schnell schütteln.
http://www.heise.de/newsticker/meldung/Sparkassen-wollen-bis-2015-alle-EC-Karten-austauschen-1263036.html
Der original Beitrag strotzt nur so von Bullshitbingo:
http://www.welt.de/finanzen/article13437240/Sparkasse-will-45-Millionen-EC-Karten-austauschen.html
Hinterher sagen sie wieder, niemand hätte sie gewarnt! Wetten! Einmal quer durch die Stadt und das Konto wird 20€ häppchenweise leer geräumt. Bargeld lacht und wenn das Bier dann wegen Bargeld 30ct mehr kostet, trinke ich dort kein Bier und gehe eben zum nächsten, der den Schwachsinn nicht mitmacht.

Vielen Dank

Sollte “Man kann den Kopf gar nicht so schnell schütteln.” heißen.
Sorry!

Und wieder ein Professor für Internetsicherheit an der Fachhochschule Gelsenkirchen, Norbert Pohlmann, der sich nicht vorstellen kann, das man da unbefugt einen Bezahlvorgang auslösen kann, weil “Der notwendige Abstand kann schließlich auf ganz wenige Zentimeter verkürzt werden.”.
Da wird Sicherheit auf Zentimeter reduziert, tolles Konzept. Wie wird man Professor für Internetsicherheit?

@hadmut
“Wäre im Prinzip richtig, wenn Du nicht ein kleines aber wichtiges Detail übersehen (oder bewußt unterschlagen) hättest:
Der Morris-Wurm war 1988.”

Ich habe da weder was übersehen noch unterschlagen. Sendmail und die Berkeley r-Suite sind damals wie heute in Unix, Linux, MacOS und werden auch benutzt.

Dein Windows-Bashing und das Heilsversprechen der quelloffenen System führt in die Irre. Mich erinnert das an einen Genetiker, der immer noch davon träumt, mit den “richtigen” und ausreichenden Ressourcen im command-and-control Modus die Welt steuern zu können, statt sich mit Systemtheorie zu beschäftigen. Die Kybernetiker haben das nach ihren KI-Rausch gemacht.

Das schlimme am Morris-Wurm war, dass staatliche Akteure, die sich mit Sicherheit beschäftigten, beteiligt waren. Damit sind alle konstruierten Lösungen hinfällig.

Wir werden damit Leben müssen, dass wir Sicherheitslücken haben und ständig neue produzieren. Wie die Natur auch anfällig ist, siehe Ehec.

Um die richtigen Gegenmaßnahmen zu planen, müssen wir die Lage aber auch angemessen analysieren. Der Vergleich mit der Atomenergie ist unpassend. Wenn ein Reaktor durchgeht wie Fukushima oder Tchernobyl haben wir direkte tödliche Gefahren. Das haben wir bei IT systemimmanent nicht.

Zur Zeit ist der Staat die grösste Bedrohung:
http://www.heise.de/newsticker/meldung/Dresdner-Polizei-wertet-tausende-Handydaten-aus-1263070.html
http://www.heise.de/newsticker/meldung/Regierung-schweigt-ueber-Einsatz-des-Bundestrojaners-1262449.html

Die gleichen Leute, die ein angebliches Sicherheitszentrum betreiben, verseuchen die Bürger mit Trojaner, sind angewiesen auf Sicherheitslöcher und weigern sich, sich parlamentarisch kontrollieren zu lassen. Hier ist ein politischer Skandal ungeheuren Ausmasses, der sich nicht durch Quelloffenheit richten lässt. Wir müssen sogar davon ausgehen, dass der Staat als Maßnahme im Cyberwar aggressive Schadsoftware entwickelt und das verheimlicht, so wie wir es bei Anthrax gesehen haben 2001.

@Jan Dark:

Ich habe hier niemals ein Heilsversprechen für quelloffene Systeme abgegeben. Bleib mal sachlich.

Wer mein Blog liest, weiß, daß ich den Linux/OpenSource-Bereich häufig qualitativ kritisiere. Open Source ist nicht per se sicherer. Das, was wir brauchen, ist ordentliches sauberes Programmieren. Open Source ist der Weg, wie man sich davon überzeugen kann, ob etwas sauber programmiert ist. Es ist nicht selbst die saubere Programmierung.

Außerdem geht mir diese Weltschmerz-Theorie, wonach alles so schlimm ist, daß wir eigentlich gar nichts mehr dagegen machen können, ziemlich auf den Senkel, weil dadurch nämlich gar nichts besser wird, obwohl man es durchaus besser machen könnte.

Guten Tag!

Wenn sich hier so viele – und das ist nicht ironisch gemeint – Experten einig sind, was man alles besser machen muesste – warum macht Ihr es dann nicht gemeinsam besser? Für mich als Aussenstehenden liest sich das in Gänze schon ein wenig wie das von Hadmut bemaengelte “Wir sind nur am Mäkeln, aber nicht am Machen.”

Drehen wir den Spiess doch mal um: Was braucht man, um den Nukleus einer sicheren IT aus der Taufe zu heben? Wen, wieviele davon, wieviel Geld? Und zwar konkret. Einen so konkreten Businessplan, wie ihn Hadmut “uns” – oder besser EUCH, denn IHR scheint ja diejenigen zu sein, die die beschriebene Entwicklung in den vergangenen Jahren mit gepärgt, auf jeden Fall mit begleitet haben – abspricht.

Oder ist das total illusorisch, und wir koennen nur resigniert den Kopf in den Sand stecken? Wenn Zuse das damals auch getan hätte, gäbs uns alle nicht heute mit all den Segnungen der IT…

Also – wer, wovon und wie?

Solange Erbsenzähler über Sicherheit entscheiden, wird es eh nichts.
Ich habe mal die Sammlung der Core-Dateien in einem Verzeichnis in Soalris eingeschaltet. Es füllte sich auf Grund ein paar dummer Fehler beim Beenden der Programme. Mit ein bischen Aufwand blieben fünf cores in drei Monaten, davon drei beim Runterfahren des Systems übrig.

Die hat ein Kunde bemerkt und einen Riesenbohai gemacht, so dass wir da Auswand reinstecken mußten und die Funktion schließlich in Neusystemen abgeschaltet wurde. Zu jedem Core mußte nämlich ein Bericht zum Kunden.

Wieviele Abstürze es auf den Windowsrechnern gab wurde natürlich nicht gezählt. Hätte man über das Ereignislog natürlich rausfinden können, aber war egal. Und zwar sowohl auf den Datenbankrechnern, als auch auf den Funktionsrechnern.

Wenn jemand weiß, das es fünf unsaubere Beendigungen in drei Monaten gibt, ist das wesentlich gefährlicher in der Warnehmung, als die Menge unbekannter Fehler auf einem anderen System. Und es war eine Menge neustartender und unsauber beendender Prozesse da. Ich habe es dann mal gezählt, aber das haben wir natürlich für uns behalten.

Was soll denn schief gehen – mit so einer schönen Uniform: http://chzb.gr/lhsrWB

@hadmut
“Weltschmerz-Theorie”

Heute hat das LSKN in Hannover rechtswidrig Anonymisierungsdienste ausgesperrt:
http://www.heise.de/newsticker/meldung/Niedersachsen-sperrt-Anonymisierungsdienste-aus-1263719.html

Da geht es nicht um Weltschmerz, sondern um Durchsetzung von Recht und Ordnung. Wenn eine Behörde wie das BSI sich weigert, dem Parlament Auskunft zu geben, dann haben wir es mit einem dramatischen Fall von Entdemokratisierung und dreister Machtübernahme zu tun. Das ist so, als wenn die Bundeswehr sagen würde, unsere Angriffe sind so geheim, dass wir leider gegen die Verfassung verstossen müssen und das Parlament aus Sicherheitsgründen nicht fragen können, gegen wenn die Bundeswehr Krieg führen darf. Es geht bei der IT-Sicherheit längst nicht mehr um technische Fragen, sondern um politische.

Manfred Kanther hatte noch gefordert, dass alle Bilder im gesamten Internet nach bekannten Kinderpornografie-Bildern durchsucht werden sollten. Ursula von der Leyen wollte keine Kinderpornografie löschen, sondern wollte, dass jeder HTTP-Zugriff jeden Bürger (bei den großen ISP) überprüft werden sollte gegen eine Liste. Da war die technische Diskussion obsolet und nur die Online-Petition hat diese Menschen von ihrem Unsinn abgebracht.

DE-Mail, nPA, Gesundheitskarte, qual. Signatur und all der andere Unsinn, der durch Informatiker aus dem BSI in die Bundesregierung als Sonderbehandlung der Deutschen getragen wurde, werden vom Markt weggefegt werden. Aber in dem Nebel kann sich das Übel ausbreiten.

Wenn man nicht politisch agiert, werden bald Milliarden dem Steuerzahler geraubt, um “IT-Sicherheit” al a BSI zum machen. Und irgendwann hast Du dann den pflichtgemäßen Bundestrojaner auf quelloffenem Qualitäts-OS. Ohne Stackoverflow.

@konsument: IT Sicherheit kostet Geld, sie bringt kein Geld. Darum wird sich wohl kaum jemand für einen solchen Businessplan begeistern können, es sei denn IT-Sicherheit wird zum Qualitätsstandard und politischem Leitgedanken erhoben. Das kann aber nicht aus der Wirtschaft kommen.

@Hadmut

Ein wirklich schöner Artikel. Mit ein paar weniger Flapsigkeiten versehen, würde ich ja fast plädieren, dass Du den nochmal als offenen Brief an die beteiligten Ministerien schickst. Vielleicht können sie sich per Copy und Paste ja noch eine Agenda für Ihr neues CAZ zusammenstricken.

Zwei Aspekte fehlen mir noch in der Betrachtung:

1. Eine Software, die öffentlich von Ämtern oder Behörden entwickelt wird, folgt immer einem bürokratischen Pfad aus Ausschreibungen, Pseudospezifizierungen etc., die eigentlich nur große Softwareunternehmen stemmen können. Dementsprechend werden mit derlei Projekten immer die gleichen Nasen in den großen Instustrieunternehmen betreut. Und hinterher müssen sich dann Leute mit Produkten von Siemens herumschlagen.

2. Der absolute Unwille unserer Politiker, fehlende eigene Fachkopetenz einzugestehen und echte Experten zu Rate zu ziehen. Den Funken eines Ansatzes hatte zumindest nach außen IM De Maizere gewagt (ist vielfach aber auch als Versuch der Anbiederung an die Netzgemeinschaft gewertet worden). In allen Gremien in denen Fachleute gefragt werden, sitzen dann wieder die Nasen der Vorzeigekonzerne, selbsternannte Experten, Uni-Leute etc. In Deutschland herrscht eine absolute Hörigkeit vor dem Abschluss. Dabei ist gerade die Abbrecherquote im IT-Bereich riesig und erfolgreiche Absolventen oftmals nur karrieregeile Wasserköpfe, die ohnehin nur in die Verwaltungsräte streben und nicht des Fachs sondern des Geldes wegen ihre Laufbahn bestritten haben. Echtes Tiefenwissen lernt man halt nicht im Studium, sondern durch jahrelange Beschäftigung mit dem Medium. Aber echte Profis sind halt nicht vorzeigefähig, kommen in die Nerdschublade und statt dessen wird lieber ein Schlipsträger von SAP gefragt. Der hat Erfolg, der muss es wissen, was gut für uns ist.

@nik:

Danke für das Lob.

Ich schreibe im Blog und insbesondere beim ersten Entwurf immer etwas flapsig und neige dabei auch zu Wiederholungen usw., und habe das auch nicht nochmal kontrollgelesen oder überarbeitet, weil ich nicht mit so großem Interesse gerechnet habe.

Ich glaube allerdings nicht, daß ein offener Brief an die beteiligten Ministerien irgendeine Wirkung hätte. Weil es bei denen viel mehr darauf ankommt, wer etwas schreibt, als was man schreibt. Und da ich in deren Maßstäben ein x-beliebiger Niemand bin, ist es auch nicht relevant. Das funktioniert so nicht.

Offene Briefe funktioniert nicht, indem man sie an die Ministerien schreibt. Sie funktionieren, indem man sie in der Presse abdruckt. Druckt aber keiner.

Ich halte zwar genauso wenig von diesem so genannten Cyber-Abwehrzentrum – dieser Rant enthält aber viele Halbwahrheit und ist keinesfalls zuende gedacht. Nur ein Beispiel: Abgesehen von einigen eher wenigen Arbeitsplätzen, auf denen hart administriert wird, was die Anwender dürfen, nutzt so ein super sicherer Dokumentenbetrachter rein gar nichts, solange gleichzeitig dann doch mit einem anderen Browser Porno-Seiten aufgerufen werden (können). Sicher wird so ein System erst, wenn man nur und ausschließlich die wenigen zugelassenen Anwendungen erlaubt. Es hat Gründe, warum das heute in den meisten Büros eher nicht der Fall ist – und in kritischen Bereichen wie z.B. Banken wird Windows auch so “hart” konfiguriert, dass weder Outlook noch der Internet-Explorer noch eine Gefahr darstellen – eine Konfiguration, die oben beschriebenen an Sicherheit und Freudlosigkeit für den Anwender ähnelt. Kurz gesagt: IT-Sicherheit so wie oben gedacht wäre natürlich toll, bleibt aber auf breiter Front eine Illusion, sobald man den menschlichen Faktor berücksichtig. Und für Menschen sind diese ganzen Maschinen letztlich gedacht. Leider?

@Hadmut

Drucken war früher. Dein Blog geht langsam sowieso rum. Im Berliner Tagesspiegel ist er in den Kommentaren referenziert (User alterknacker)
http://www.tagesspiegel.de/weltspiegel/gema-sega-cia-ist-2011-das-jahr-der-hackerangriffe/4303102.html

und der Rechtsanwalt Thomas Stadtler (RAStadler) hatte Dich auch bezwitschert. Und wahrscheinlich haben Dich noch viele andere verbreitet. Für Politiker ist nur interessant, wie viele Bürger sich zusammenrotten, so dass sie gefährlich werden. Bei den 150.000 von der Online Petition gegen die Zensurinfrastruktur (von der CDU als angebliche Maßnahme gegen Kinderpornografie vermarktet) hat sogar Roland Koch Kreide gefressen (und anschließend demissioniert

@Enno:

Das ist grober Unfug. Nach der Logik bräuchte/könnte man mit Sicherheit gar nicht erst anfangen, solange auf der Welt noch irgendein unsicheres Programm ist, das jemand verwenden könnte. Das stimmt so einfach nicht.

Sicherheit ist nicht erst dann erreicht, wenn alles theoretisch wasserdicht ist. Dazu gehören auch Risk-Management und betriebswirtschaftliche Überlegungen.

Außerdem gibt es eine ganze Menge von disziplinierten und ehrlichen Anwendern, die eben keine Pornos gucken, sondern nichts anderes tun wollen, als eben ihre tägliche Arbeit zu erledigen und dazu beispielsweise irgendwelche PDFs lesen, die sie von Geschäftspartnern bekommen. Und die einfach nur einen Browser haben wollen, den sie sicher bedienen können. Sowas gibt es.

Nur weil irgendwo ein ungehaltener Mensch X am Arbeitsplatz Pornos guckt, heißt das noch noch lange nicht, dem anderen Menschen Y den sicheren Browser vorzuenthalten.

Nach Deiner Denkweise dürfte ich auch den Leuten, die sich im Auto anschnallen wollen, keinen Sicherheitsgurt geben weil es auch Leute gibt, die sich nicht anschnallen. Für mich ist aber nicht wichtig, daß sich alle Menschen ausnahmslos und zwangsweise anschnallen, für mich ist zunächst mal wichtig, daß ich mich anschnalle. Und volkswirtschaftlich wichtig ist, daß sich möglichst viele anschnallen.

Diese „nutzt alles nichts, weil irgendwo noch ein Loch ist, also fangen wir gar nicht erst an was zu machen – Fatalismus”-Sichtweise geht mir ziemlich auf den Wecker. Sie ähnelt so der „wissenschaftlichen” Sichtweise, die irgendwas theoretisch beweist und dann die Hände untätig in den Schoß legt.

Es ist nun mal ein erhebliches Sicherheitsproblem, daß wir eben keine wasserdicht und bedenkenlos zu bedienenden PDF-Browser, Mail-Reader, Web-Browser für den Firmenmarkt haben.

@Jan: Naja, so viel bringt das jetzt nicht, wenn man mal in irgendeinem Kommentar erwähnt oder getwittert wird. Damit wird man höchstens innerhalb der Szene so etwas und kurzfristig bekannt, aber kann damit nicht genug Druck aufbauen. Sollte man also nicht überbewerten.

Beim vorsichtigen runterschauen war ich erst entsetzt über die Länge, später dann betroffen über soviel Wahres in rohen Sätzen.
Wenn das nur so hingerotzt war, dann würde ich gern was sehen, in das du Zeit investierst, wobei das vermutlich nicht so authentisch rübergekommen wäre.

Insgesamt geht das nur mit einer neuen “Partei”, einer Lobby die die ganzen Geistesarbeiter einsammelt und bessere Leute an die richtigen Stellen setzt. Wie fängt man sowas an? Gibts da ein RFC zu?

@Martin: Etwas, worin ich Zeit investiert habe? (Und was man sehen kann, weil nicht unter berufsbedingte Schweigepflichten fällt…)

Ich habe mal vor 15 Jahren eine Dissertation geschrieben, die man mir abgelehnt hat, unter anderem weil sie zu sehr die eingefahren IT-Security-Schienen kritisierte und Fehler aufzeigte, was für bornierte Professoren zu viel war. Da habe ich Zeit reingesteckt, vor allem um das Streiten.

Und dann habe ich sehr viel Zeit investiert, wirklich viel Zeit, um diese ganzen Absurditäten um die IT-Security-Wissenschaft aufzuschreiben. Kannst Du unter Adele und die Fledermaus nachlesen. Da stecken wirklich Jahre drin, mehrere tausend Arbeitsstunden.

[...] Sie brauchen bloß eine winzige gute Idee und einen Programmierer, der das Gedachte wie auch immer schlampig umsetzen [...]

Hallo Hadmut!

Das ist mal ein Artikel ganz nach meinem Geschmack!

Wenn man genau hinsieht woher das tolle “Cyber-Abwehrzentrum” kommt hat sich das Thema doch sowieso schon erledigt. Die wollen doch gar nicht, daß unsere Rechner sicher sind. Das darf nämlich nicht passieren, sonst könnte man so nette Dinge wie den “Bundestrojaner” gleich wieder einstampfen!

Es geht bei der ganzen Sache einfach nur darum, daß es für den Wähler aussieht, als ob hier was getan wird. Schließlich will man ja wieder gewählt werden und noch mehr Geld vom dummen Steuerzahler einkassieren. Es müßen ja weiterhin die Diäten erhöht werden, das Dumme Volk kann ruhig hungern!

Wir sind doch eh alle Terroristen und müßen überwacht werden, ein sicheres System ist also gar nicht gewollt! Zumindest nicht für den kleinen Mann. Und gegen Hacker und Co. kommt dieses Abwehrzentrum sowieso nicht an.

@datenwolf: Eine konkurrenzfähige CPU-Architektur? Warte mal, da war doch mal… Genau! Da gab es vor vielen Jahren mal so nette Kisten mit den Namen “ATARI”, “AMIGA” & “Macintosh”. Die waren eigentlich sehr wohl konkurrenzfähig mit ihren 680×0-Prozessoren. Da gab es sogar preemptives Multitasking als man bei Microsoft davon noch träumte!
Und was ist damals passiert? Das kann man überall im Netz nachlesen. Hier steht nebenan übrigens noch ein ATARI TT030 von 1992 mit MultiTOS als Betriebssystem, der läuft immer noch wenn auch inzwischen mit ziemlichen Macken!

Grüße aus Augsburg

Mike, TmoWizard

Guten Tag!

@Nik: Das heisst dann also der Fehler steckt im System, und es GEHT garnicht, sichere Software zu schreiben, weil es niemand bezahlt?

Wenn das so wäre, dann sollte man diese Diskussion hier beenden – es gibt genügend Seiten im Netz auf denen sich wer weiss was für ein Club gegenseitig bemitleidet.

Ich glaube das aber nicht. Hadmut hat selbst für einen Halblaien wie mich sehr anschaulich geschildert, was Vor- und Nachteile einer anderen “Philosophie” beim Softwareschreiben wären. Und es war des öfteren von “viel Geld ueber den grossen Teich schmeissen fuer den Mist, der von da kommt” die Rede. Das impliziert bei mir, man bekommt für das gleiche Geld (oder wenig mehr) eine bessere Qualität, die auch noch den Vorteil eines Alleinstellungsmerkmals hätte. Das sind aus meiner Sicht schonmal gute Grundlagen für zumindest eine wirtschaftliche Betrachtung dieser Idee.

Aber vielleicht wollte Ihr Euch ja lieber weiter gegenseitig lustige Anekdoten aus dem IT-Alltag präsentieren. Dann sollte man aber nicht zuerst so laut schreien. Wenn man nix dran ändern will, soll man auch nicht jammern. Das ist meine Devise.

Nix für ungut Hadmut, und erneut großen respekt vor Deinem Beitrag.

Sicherheit fängt im Kopf an.
Sicherheit kostet Bequemlichkeit.
Sicherheit kostet Geld.
Sicherheit ist nie sexy.
Sicherheit hat einen schlechten ROI.
Sicherheit wirkt sich nicht im Bonus aus.
Sicherheit ist nicht sinnvoll messbar.

Das ganze Phänomen ist keineswegs neu – keine der obigen Aussagen bezieht sich speziell auf IT.

Solange jede Anstrengung in Richtung IT-Sicherheit von Erbsenzählern im Keim erstickt wird ist Entnetzung die einzige Möglichkeit, die ich immer wieder als Vorschlag ziehen muss.

Einfach abstöpseln. Wollen Sie ins Internet – nahmen Sie den roten Rechner am roten Netz. Wollen Sie arbeiten, nehmen Sie den grünen.

Im Zeitalter von Tablet-PCs und Smartphones kann man das rote Netz sogar abschalten, es hat ja eh jeder so ein Ding.

Alles andere ist Augenwischerei – selbst echte Sicherheitskatastrophen in LANs werden erst nach Intervention der Konzernrevision überhaupt wahrgenommen. Die meisten deutschen Konzernnetze funktionieren nach: “Gib mir eine Netzwerkdose und ich finde alles, was irgendwie interessant ist”

Angreifer kommen ja immer von außen, China und so. Ja nee is klaar…

Ein undankbares Thema, mit dem wir uns da beschäftigen.

Guten Tag,

ich habe mit Interesse diesen Diskussionen verfoglt und stimme in vielen Punkten dem blog Eintrag zu. Mir ist zuerst eingefallen, dass Microsoft laut IT-Experten in den letzten Jahren immer sicherer geworden ist und angeblich das Betriebssysteme Mac OS X einfacher zu “knacken” sein soll als Windows.
Das klingt für mich so, als ob Betriebssysteme mit geringer Popularität durch die geringere Anzahl an Viren, Exploits etc von Sicherheitslücke nicht betroffen sind, da die Sicherheitslücken natürlich nur nicht bekannt sind.
Bei einem neu entwickelten System, dass auf vielen Rechnern installiert wird, müssten doch die gleichen Sicherheitslücken entstehen, oder nicht?
Natürlich kann durch “ordentliches” Programmieren viel vereinfacht werden, aber ich denke, dass die Probleme an sich ähnlich bleiben werden.
Das soll aber auf keinen Fall bedeuten, dass nicht unermüdlich darauf aufmerksam gemacht werden soll, wenn ein System Sicherheitslücken aufweist.
Ich glaube auch nicht das die Lösung in OpenSource Betriebssysteme und Universitätsentwicklungen liegt.
Man sollte eine nicht so homogene Struktur aufbauen, und nur ein oder zwei Betriebssysteme forcieren. Hier liegt meiner Meinung nach die Lösung in einer gemischten Struktur. Natürlich wird der Aufwand für die bereitgestellte Software wesentlich erhöht und niemnd wird das bezahlen wollen. Systeme wie ReactOS, die versuchen Windowsprogramme unter Unix lauffähig zu bekommen, kämpfen auch mit etlichen Schwierigkeiten und haben es noch nicht zu einem Alltagstauglichen Realise geschafft.
Die Sicherheitsfrage bleibt sicherlich spannend aber an eine echt Lösung glaube ich kaum noch.
Aber
Auch Systeme die im OpenSource Projekten realisiert werden

“Würden wir jetzt (endlich) anfangen, ein ordentliches Betriebssystem zu entwickeln, dann wären wir vielleicht in 5 bis 10 Jahren in der Lage, IT-Sicherheit auf ein brauchbares Niveau zu haben. Vorausgesetzt natürlich, daß wir genug fähige Leute haben, so etwas zu bauen. Was das Problem mit sich bringt, daß wir in Deutschland Leute nicht dazu ausbilden, das zu können.”

Schau Dir mal http://www.genode.org an. Kommt von einer deutschen Uni.

Sicheres OS?!
Was halten Sie von Qubes (http://qubes-os.org/Home.html) von Joanna Rutkowska (http://invisiblethingslab.com)?
Dieses Linux-basierte OS scheint mir der bisher vielversprechendste Ansatz zur Schaffung eines sicheren OS zu sein. (mir wäre FreeBSD-basiert lieber, aber man kann halt nicht alles haben -:))

@kryptart: Dazu kann ich nichts sagen, das kenne ich nicht.

Na ja, Qubes basiert auf einem Xen-Hypervisor.
Anwendungen werden in abgeschotteten virtuellen Maschinen gestartet.
Konnte es noch nicht ausprobieren, da es z.Zt. nur auf 64bit läuft und ich nur 32bit-Maschinen habe.
Joanna Rutkowska hielt letzlich eine Keynote-Presentation zu den Vor- und Nachteilen von Virtualisation auf der NLUUG-Konferenz und wird auf der Black Hat dieses Jahr in Las Vegas über Xen sprechen.

Na wenn das schon alles sein soll. Ich verwende eben KVM statt XEN.

Nett zusammengefaßt
Wenn ich mir vor Augen halte das eines der meiner Meinung nach schlechtesten Hardwareplattformen mit durch reine Blendung zum Marktführer gewordenen QuickAndDirtyOperatingSystem sich am Markt durchgesetzt hat zeigt das welche “Selbstregulierung” im Markt herrscht.
Es geht hier wie auch beim STOPP-Schild und der Vorratsdatenspeicherung ausschließlich um Politik und Machterhalt.
Es gibt Hardwarekonzepte mit integriertem Scheduler, der Transputer war da sehr seiner Zeit voraus.
Auch einfach konsequent Havard-Architekturen umzusetzen würden schon alleine wegen der physikalisch getrennten Speicherbereiche Exploits sehr schwer zu realisieren sein.
Oder man benutzt OpenBSD indem jeder Prozeß im chroot und jail läuft *lol*
Vollkommene Sicherheit kann es nicht geben, wenn die Technik nicht versagt versagt der Mensch.
Das Problem ist mal wieder der “Kopf”, der nicht einsichtig ist und es niemals sein wird, weil diese “Entscheider” eben wegen ihrer Herkunft und Verbindungen in den Gremien sind und nicht weil sie fachlich kompetent wären.
Ganz im Gegenteil, sobald man objektiv ein Projekt angeht und aufzeigt das es unwirtschaftlich oder gar nicht realisierbar ist wird man sofort als Schwarzmaler und Blokierer angeprangert.
Und dann sagt der Chef ein “Machtwort” und millionen werden gegen die Wand gefahren und die extra dafür gebildete Abteilung gefeuert, eben weil die Abteilung unfähig war das Projekt umzusetzen, nicht weil der Chef …
Siehe §1 Q.E.D.

Sicher wird das nicht alles sein, wozu sonst der ganze Aufwand.
Außerdem ist Joanna Rutkowska schließlich nicht irgendwer!

Ich für meinen Teil verwende BSD-Jails,
die genügten bisher auch meinen bescheidenen Bedürfnissen vollauf, was aber natürlich nichts besagt.

Das Kernproblem ist ein Doppeltes:

1. Es gibt keine politische Kontrolle: Den Bürgern (in wahlrelevanter Menge) fehlt dazu der Wille und die Fähigkeiten. Selbstbestimmtes Lernen wäre die Voraussetzung. Aber genau das verhindert unser Schulsystem – bewusst? Vielleicht liegt dies auch nur an 2.->

2. Unser Handeln ist nicht wirklich vernunftbezogen. Denn vernunftbezogen kann nur bedeuten, dass man Funktionen (=Ziele, …) setzt, danach das zum Handeln erforderliche Wissen schafft und den Erfolg des Handelns dann an den gesetzten Funktionen misst und damit dann gleichzeitig auch das Wissen überprüft (hat). (Vgl. hierzu “10.3 Die Funktion des Steuerungsprozesses” und “10.4 Handeln mit Vernunft” in: http://www.wissenschaffen-und-handeln.de)
Der Beitrag von Hadmut ist ein eindrucksvolles Beispiel dafür.

Hadmut, Sie kennen Qubes doch (“Ist die Systemsicherheit gescheitert?”)!
Ich teile Ihr Urteil, aber die rein akademische Frage, die sich mir stellt ist, gibt es grundsätzlich überhaupt eine realistische Chance daß 1. irgend jemand eine sichere Programmiersprache entwickelt und dann darauf basierende sicherere Software entsteht und 2. falls ja, könnte man beide längerfristig als Standart durchsetzen, damit man nicht mehr zu solchen “Brachiallösungen” wie Virtualisierung greifen muß.
In Europa können wir uns ja nicht mal auf einheitliche Stecker verständigen und in den USA wird immer noch in Zoll gemessen.

Nächste Frage, sollten wir nicht vorallem froh darüber sein, daß die Politiker so wenig Durchblick haben?
Wenn es anders wäre, wäre möglicherweise alles noch schlimmer!

Hmpf. Ich hab ein Namensgedächtnis wie ein totes Pferd.

Und ja, das könnte schrecklich werden…

Also, Hacker ist ja eigentlich auch nicht die richtige Bezeichnung für jemanden, der unberechtigt in fremde Systeme eindringt. Cracker ist da eigentlich passender. Hacker im klassischen Sinne sind eigentlich leidenschaftliche Programmierer und keineswegs Störenfriede oder Netzdschihadisten.

Also ich hab das so in Erinnerung, daß Hacker ursprünglich durchaus als Bezeichnung für Leute entstanden ist, die unberechtigt in fremde System eindringen, und die Hacker-Ethik (oder besser gesagt Hacker-Romantik) erst später eingesetzt hat.

Iirc sind Cracker, außer etwas zum Essen, diejenigen gewesen, die bei Software (insbesodnere Spielen) den “Kopierschutz” entfernt haben.

Hacker waren diejenigen, die in andere Computer “eingebrochen” sind, egal ob berechtigt oder undberechtigt, oder egal ob bös- oder gutartig. Hacker waren auch diejenigen, die Technik anders genutzt haben, als sie unrsprünglich zur Nutzung vorgesehen ware (z.B. Spielzeugpfeifen).

Diese Begriffe haben allerdings seit über 30 Jahren so einen Bedeutungswandel hinter sich, daß es müßig ist, sich darüber zu streiten.

Hallo Herr Danisch,
hab mit Interesse in Ihrem Blog gestöbert, der auf dem FAZ-Blog „Stützen“ verlinkt war. Bitte klären Sie weiter die Menschen über die technischen Gegebenheiten des Internets auf. Das ist notwendig.
Zu Ihrem Nachdenken über Sicherheit: sicher wäre es hilfreich, wenn D und Europa eine besser aufgestellte IT-Branche hätten und Software noch nicht als halbgrüne Banane ausgeliefert würde, und es eine Art robusten Minimalstandard z.B. für Mail gäbe. Nur sehe ich nicht, wie man aus Gefrickel jemals zu einer Vereinheitlichung (immerhin haben sich Quasistandards herausgebildet) kommen will, ohne die Sache Privatfirmen anheimzugeben, die dann eben zwangsläufig (wie zu Zeiten der alten Römer bereits bis heute) nach Monopolen streben. Und dafür braucht es eben Geschäftsmodelle, die tragfähig sind, geduldiges Häkeln allein führt nicht dazu, daß man vom Verkauf von Häkeldecken leben kann.

Ich werd mir Mühe geben.

Wie wäre es denn, wenn diese Meinungen und Vorschläge auch außerhalb dieses Blogs wandern würden und man Fr. Schavan oder … irgendjemandem mal eine nette Mail schreibt mit diesen Ansätzen.

Den Leuten ist zuzutrauen, dass sie weder das Problem jemals erfassen, noch dass sie effektiv etwas dagegen unternehmen werden.

Wenn wir nichts tun.

Ach, habe ich schon versucht. Schavan oder ihrem Ministerium Verbesserungen vorzuschlagen ist ungefähr so effektiv, wie es einer Straßenlaterne zu erzählen.

Schavan geht es nach meinem Eindruck überhaupt nicht um Sinn, Ergebnisse und Qualität. Den Hintergrund hat die gar nicht. Der geht es nur darum, Geld per Gießkannenprinzip zu verteilen und den Geldfluß politisch zu formen. Das ist übrigens ein Hauptaspekt der CDU-Politik.

Man muss vielleicht noch sagen, dass IT so sicher ist, wie es der Kunde möchte. Ich glaube nämlich fest daran, dass, gäbe es einen Focus auf IT-Sicherheit, dann würde diese auch zwingend entstehen. Das Problem ist also das Sicherheitsbewusstsein des Kunden. Hier muss man ansetzen und aufklären. Die meisten User sind Anwender und Mausschubser. Der Softwaremarkt verkauft, was sich verkaufen lässt. In DE gibt es nicht mal einen microskopisch nachweisbaren Grundkonsens darüber, was IT-Sicherheit überhaupt bewirken muss. Ich habe selbst an einer 2-jährigen Umschulung zum Systemadmin teil genommen. Es war geradezu lächerlich, was hier an “Expertenwissen” vermittelt wurde. Eine Schande für die Branche.
Ich unterstelle also, dass es politisch so wie es ist, gewollt ist.
Das Cyber-Abwehrzentrum ist nur ein weiterer Akt der Schauspielerei unserer Marionetten-Politiker.