IT Security Business is growing up…
Ich sitze gerade in einem Vortrag des BSI-Präsidenten Udo Helmbrecht. Einige seiner Aussagen halte ich für äußerst bedenklich.
[Schreibe in aller Eile während der Veranstaltung]
Eine der Aussagen des Vortrags ist, daß die Bundesregierung eine Menge Geld in Sicherheitsforschung steckt. Dazu werden exemplarisch Quantenkryptographie und Elliptic Curve Cryptography genannt. Auch geht eine Folie auf den Unterschied zwischen Industriell-praktischer und akademischer Sicherheitsforschung hingestellt, wobei die akademische Forschung hochgepriesen wird.
Auf meinen Einwand, daß hier zwar viel, viel Geld ausgegeben wird, nach meiner Beobachtung des Sicherheitsniveau der deutschen Kommunikationsinfrastruktur seit Jahren aber rückläufig ist und wir eigentlich nur Konsumenten amerikanischer Technologie sind, kam die Gegenantwort, daß nach Sichtweise der Bundesregierung das Sicherheitsniveau steigt, weil die Sicherheitsindustrie wächst. Aussage: “IT Security Business is growing up.” Es kam jedenfalls bei mir realtiv deutlich so an, daß es nicht darum geht, tatsächlich die Sicherheit zu erhöhen, sondern das “Sicherheit” nur ein Label für einen Industriezweig ist, den es hochzupäppeln gilt. Wir sind dann sicher, wenn das Sicherheitsgeschäft brummt.
Es wurde auch betont, daß man in Technologien investiert, die in 5-10 Jahren interessant sein könnten, während man sich weniger dafür interessiert, was aktuell interessant ist oder Sicherheitslücken verursacht.
In meinen Augen zeigt das, daß man Sicherheit aus zwei Aspekten sieht: Brummt die Industrie und ist die akademische Seite in der Forschung ganz vorne mit dabei.
Ob die Infrastruktur sicher ist, scheint dabei eher belanglos zu sein.
3 Kommentare (RSS-Feed)
Man kann Kindern aber auch beibringen wie Fahradhelme zu benutzen sind und vor allem welche kaufen, die von Kindern einfach aufzuziehen sind. Dann hat man auch echte Sicherheit.
PS: Mein Fahradhändler wohnt 50m entfernt von mir udn ist mit mir bereundet. 😉
Zum Blogeintrag:
Man sollte bei aller Schelte auf die Hochschulen nicht vergessen, daß diese nicht nur auf in Moment praktische Anwendungen fixiert sein sollten, sondern es erlaubt sein sollte, auch manchmal “sinnfreie” Grundlagenforschung zu betreiben. Bei den Ergenissen der Grundlagenforschung ist es ja meist so, daß sich sinnvolle Anwendungen meist in ferner Zukunft finden (wenn überhaupt).
Natürlich benötigt man auch Forschung, die sich mit derzeit praktischen Aspekten beschäftigt. Aber da sollte man nicht das Geld in die Universitäten stecken, sondern eher als Venture-Kapital in Startups investieren, die gezielt Produkte zur Abhilfe aktueller Probleme entwickeln (wollen).
>sondern das “Sicherheit” nur ein Label für einen >Industriezweig ist, den es hochzupäppeln gilt
Das erinnert mich an meine Zeit bei der Telekom. Dort hatten wir ein striktes Qualitätssicherungsmanagement.
Die QS-ler waren so weit von der Softwarentwicklung weg (Verwaltungsbeamte ohne Programmierkenntnisse), dass intern von unseren beiden hervorragenden Produkten gespöttelt wurde. Unsere Abteilung produzierte nicht nur “Software” sondern auch “Qualität”!
Im Werkzeugmaschinenbereich konnte man letzte Woche bei der Messe (AMB, Stuttgart) sehr gut jede Menge Sicherheitseinrichtungen sehen die ein Nutzen der Maschine be-/verhinderten. Auf Nachfrage: Das wird immer abmontiert, das bleibt nur in Schulen und Lehrwerkstätten dran.
Sinnvolle Sicherheitsmechanismen wie z.B. eine Leistungsbegrenzung (wenn ich kaum Leistung brauche schaltet sie bei einem Schwellwert ab, wenn ich volle Leistung abrufe macht die Maschine so Rabatz dass niemand freiwillig zu dicht dran geht) die beim Bearbeitungsschritt hinterlegt wird und damit automatisch auf `illegale` Kraftanforderung reagiert ist nicht zu finden (einfach zu teuer). Billige, `offensichtliche` und untaugliche Sicherheit ist geboten. Diese ist so unsinnig, dass auch der letzte Idiot danach trachtet diese zu umgehen damit trainiert wird alle was nach Sicherheit riecht zu umgehen und damit die echte Sicherheit zusätzlich beeinträchtig.
Eines der heftigsten Sicherheisrisiken ist der Anwender: Er kennt nur ein PW – und das verwendet er immer (der Name seiner Freundin/Frau/Tochter/Sohnes/Hundes/Katze). Er ist immer als Admin unterwegs da er es sonst nicht schafft den gerade runtergeladenen Codec für das Video das er unbedingt sehen will zu installieren. …. to be continued
A propos – gerade bei uns aktuell – Meine Kinder haben keine Fahrradhelme da diese bei nicht korrektem Sitz gefährlicher werden können als ohne Helm zu fahren. Jetzt darf mein Sohn deshalb nicht mehr mit einem etwas entfernten Nachbarskind spielen – er währe ein schlechtes Beispiel.
Ein Kurztest bei 6 Nachbarskindern erbrachte: Nicht eingerastetet Schloss, lose Riemen, Vorn/Hinten vertauscht, hintere Riemen lose vordere Fest, Helm zu groß. Das ist genau so als ob ich mein Kind auf einen Sitz mit Gurt setze, den Gurt dann genau über den Hals führe und dann fahre wie der Henker da doch alle Insassen ordnungsgemäß gesichert sind.
Noch ein Nachsatz zum Beitrag: Präsis von großen Organisationen haben meist keine Ahnung was ihre Organisation so richtig macht – als Extrembeispiel: Lass Dich lieber vom Oberarzt als vom Chefarzt operieren!