“Kein professionelles Selbstverständnis entwickelt”
Über die Schwindsucht in der Informatik.
In Schleswig-Holstein findet gerade ein Wachwechsel beim Landesdatenschützer statt. Weicherts Nachfolgerin Marit Hansen muss natürlich eigene Positionen beziehen und Duftmarken setzen, und Heise berichtet darüber. Ich will da mal ein Stück herausgreifen:
Diesmal ging es um Vertrauenswürdigkeit in der Informationsgesellschaft. Die Tagung wurde von der neuen Chefin mit einer Art Ursachenforschung eröffnet: Wie kommt es eigentlich, dass in den vergangenen 25 Jahren keine vertrauenswürdige IT-Infrastruktur geschaffen wurde?
Hansen zitierte dazu Wolfgang Coy, einen der Väter der kritischen Informatik, die derzeit an den Universitäten abgeschafft wird. Coy schrieb bereits im Jahre 1992 leicht resigniert: “Unter hoher Wachstumsgeschwindigkeit hat die Informatik kein professionelles Selbstverständnis entwickelt, das per se zuverlässige und bedachte Konstruktionen zum Normalfall werden lässt.”
Von Altlasten belastetWährend Autobauer in aller Ruhe derzeit die Modelle für das Jahr 2020 entwickeln – und mit selbstfahrenden Autos das Publikum ablenken könnten – , könne sich die Informatik eine derartige Langzeitperspektive nicht leisten, meinte Hansen. Belastet mit Altlasten und getrieben von einem völlig überhitzten Markt (Cloud, Internet der Dinge) habe es niemals den ruhigen Moment gegeben, vertrauenswürdige IT-Infrastrukturen aufzubauen.
Hansen erklärte ungewöhnlich offen die Grenzen ihrer Profession: “Es gibt Angriffe, da können Informatiker einfach nicht helfen.” Weil es einen internationalen Markt für Unsicherheit gebe, auf dem 0Days gehandelt würden und auch Staaten auf diesem Markt einkauften, sei vertrauenswürdige IT von den Technikern nur begrenzt herstellbar.
Standortvorteil zur De-MailEinen Ausweg aus der Misere sah Ammar Alkassar von Sirrix im Sicherheitskonzept der Wirkungsklassen, wie vom Teletrust-Verband vorgeschlagen. Danach müssen vertrauenswürdige Komponenten entsprechend dem Angriffsrisiko eingesetzt werden. Während der einfache Anwender mit Microsoft Bitlocker arbeiten kann, soll eine Behörde eine in Deutschland entwickelte Festplattenverschlüsselung einsetzen. Für fast alle Komponenten eines PC gebe es erprobte Alternativen, nur das UEFI-BIOS fehle noch.
Der parlamentarische Staatsekretär des Bundesinnenministeriums, Ole Schröder verteidigte das IT-Sicherheitsgesetz mit seinen unpräzisen Bestimmungen von “erheblichen Sicherheitsvorfällen”, die zuvor FIfF-Mitglied Ingo Ruhmann kritisiert hatte. Auch verteidigte er die notleidenden Regierungsprojekte der elektronischen Identifikation mit dem neuen Personalausweis und die De-Mail.
„Notleidende Regierungsprojekte” – is OK.
Was mir da aber Stirnrunzeln bereitet: Die Frage, die sie stellt, „Wie kommt es eigentlich, dass in den vergangenen 25 Jahren keine vertrauenswürdige IT-Infrastruktur geschaffen wurde?” ist an sich völlig richtig und berechtigt. Aber sie überhaupt noch zu stellen finde ich komisch, denn jedem vom Fach ist das doch eigentlich klar.
Datenschützer sind normalerweise Juristen. Und dass Juristen sowas per se nicht wissen, ist dann problematisch, aber liegt in der Natur des Berufs und ist eben so. Dort hat man aber eine Informatikerin auf diese typische Juristenstelle gesetzt. Ich finde das grundsätzlich sehr gut, denn zu oft habe ich beobachtet, dass Juristen als Datenschützer kleine und große Fehler machen, weil ihnen das technische Wissen fehlt. Es ist wesentlich leichter für einen Informatiker, Datenschutzrecht zu lernen, als für einen Juristen, das nötige technische Wissen anzuhäufen, weil da einfach mehr dranhängt, das viel mehr ist, und es mehr Kontextwissen erfordert. Zumal Informatiker das sowieso zumindest in Grundlagen können sollten.
Wie kommt es aber, dass eine Informatikerin fragt, warum wir in den letzten 25 Jahren keine vertrauenswürdige IT erzeugt haben?
Als rhetorische Frage wär’s ein prima Aufhänger, aber so, wie es da weitergeht, war es keine rhetorische Frage, sondern ernst gemeint.
Komisch, als ob ich nicht seit Jahren darüber schreiben und bloggen würde, warum es schief läuft und lief, und als ob nicht bergeweise zustimmende und ergänzende Kommentare von Lesern hier reinkamen. Irgendwie muss man da schon weit hinter dem Berg wohnen, wenn man als Informatiker heute fragt, warum da nichts zustandekam.
Ein wesentlicher Grund war, dass unsere Universitäten untauglich sind. Man muss sich anschauen, welche Mentalität da herrscht und wie dort die Professuren besetzt werden, und dann weiß man, dass da nie etwas herauskommen konnte.
Ein anderer Grund ist, dass wir uns in eine Konsumenten- und Verbraucherhaltung zurückgezogen haben. Ich habe das bestimmt zwanzig Jahre lang beobachtet, dass sehr viele Leute und Firmen in Deutschland unter einem guten Informatiker jemanden verstanden, der gut mit Windows, Word und Excel umgehen kann. In den USA wird unter einem guten Informatiker jemand verstanden, der Windows, Word und Excel schreiben kann.
Wir haben uns völlig in eine Position zurückgezogen, in der wir zuerst IBM-Krempel kauften (no one ever got fired for buying IBM), dann kauften wir jahrelang Microsoft-Krempel, und inzwischen kaufen wir Krempel von Apple. An den Unis war es mal eine Zeit lang anders, da kauften wir Krempel von SUN. Und die Angeber kauften Silicon Graphics. Was insofern verblüffend ist, als SUN ja von einem Deutschen produziert wurde, der dazu aber in die USA gehen musste.
Einzige Ausnahme ist SAP. Aber auch da wird der Klotz einfach so hingenommen, und Leute werden als R/3-Spezialisten dafür bezahlt, den Missstand zu füttern.
Und wir haben nie nach der Qualität gefragt. Blind gekauft, was aus USA kam. Ach ja, auch Hotmail, Facebook und Twitter, dazu Google haben wir mit Wonne übernommen, ohne dem was eigenes entgegenzusetzen, entgegensetzen zu wollen.
Wir haben es den Leuten hier viel zu schwer gemacht, Firmen zu gründen. In den USA sind Gründung und Geldbeschaffung nicht nur viel einfacher, die Leute werden auch während des Studiums bereits gefördert, unterstützt, ausgestattet. Hier in Deutschland wird die Gründung im Gegenteil massiv erschwert, weil alles nur unter der Knute der Professoren läuft, die – wie ich es erlebt habe – oft inkompetent, korrupt, raffgierig und selbstbezogen sind, und einfach abkassieren wollen. Deshalb wird da nichts draus.
Ein ganz wesentlicher Punkt ist aber, dass man die Entwicklung sicherer Systeme auch gezielt blockiert hat. Sogar in den USA wurden Firmen von Geheimdiensten unterwandert, um deren Systeme zu schwächen, und was hier in Deutschland ablief, habe ich zu Genüge beschrieben.
Jedes Verständnis fehlt mir für die Aussage von Alkassar, das ist leeres Pressegeschwafel. Weder ist Bitlocker allzuweit zu trauen, noch macht eine Plattenverschlüsselung ein vertrauenswürdiges System, denn das System verhält sich dadurch ja nicht besser oder sicherer. Und Komponenten werden auch nicht sicher, indem sie „erprobt” werden.
Mir erscheint es eher so, als wäre solche Fragen zu stellen mehr Teil des Problems als dessen Analyse. Als ob sich die Krankheit über die Symptome beklagt.
37 Kommentare (RSS-Feed)
@Hadmut, in der Wissenschaft habe ich gelernt, dass es zumindest genauso wichtig ist (oder gar wichtiger), die richtigen Fragen zu stellen, statt die richtigen Antworten zu finden. Von daher finde ich die Frage spannend, warum in den letzten 25 Jahren keine vertrauenswürdige IT-Infrastruktur entwickelt wurden. Genau da käme ich zu der Frage, stimmt das überhaupt, dass es keine vertrauenswürdige IT-Infrastruktur gibt? In der Frage steckt das Wort “Vertrauen”. Das ist etwas, was sich nur schwer objektivieren lässt (und deshalb auch viele (Natur-)Wissenschaftler nicht so mögen), denn Vertrauen kann nur ein subjektiver Mensch zu einer Sache haben, es ist keine absolute und objektive Größe.
Zum Glück habe ich als Informatiker immer wieder Arbeitgeber gefunden, die Leute gesucht haben, die bestimmte Probleme lösen können und weniger die Frage stellten, ob ich bestimmte Tools bedienen kann. Letzteres ist nicht unwichtig und es gibt Aufgaben, wo man einfach Excel gut bedienen muss. Das hat genauso seine Berechtigung. Aber es gibt in der Industrie auch Aufgaben, wo man etwas lösen muss, was kein anderer vorher gemacht hat. Dann sind Dinge wie Kreativität gefragt, schöpferische Arbeit, Querdenken, aber auch Zielstrebigkeit, um einen guten Algorithmus zu finden, der ein bestimmtes Problem löst. Das Dumme ist dann leider, dass dieser gesamte Prozess weniger planbar ist, als wenn man eine x-beliebige Excel-Tabelle erstellen soll. Dabei lieben Betriebswirte sowohl Planbarkeit als auch Excel-Tabellen. 😉
zu DE-Mail nur mal *ein* Zitat
Kündigung von 1&1 De-Mail Plus
Sie möchten die Bestellung stornieren oder den Vertrag kündigen? Was können wir tun um Sie umzustimmen? Lassen Sie es uns bitte wissen und kontaktieren Sie den De-Mail-Kundenservice.
Sollten Sie bei der Entscheidung bleiben, senden Sie uns bitte eine unterschriebene Kündigung schriftlich zu.
Dieses System ist so krank, wie eine Kooperation von Telekom, Siemens und nur sein kann.
Ich würde ergänzen: Nach meinem Eindruck hat man bei PGP/GPG gefördert, dass Paranoiker den Ton angeben und das Ergebnis ist ein inkompatibles Produkt, das kein normaler Mensch mehr benutzen kann. Gute Idee, guter Ansatz, aber am Ende völlig versaut.
Die Stasi hat sowas “Zersetzung” genannt – sorge dafür, dass es (wieder) zu Grundsatzdiskussionen kommt, wenn endlich irgendwas konkret angegangenw erden soll, sorge dafür, das Spinner die Szene beherrschen, mache alles unverständlich bzw. viel zu speziell für die Massen usw.
Die wollten immer mithören können und haben über diesem Wunsch völlig übersehen, dass sie sich bzw. ihrer eigenen Gesellschaft und ihrer eigenen Industrie ins Knie schießen.
Was Systeme anbelangt: Ein Urproblem des Kapitalismus. Die IT-Branche funktioniert inzwischen wie die Textilindustrie – dünner unhaltbarer Stoff mit beschissenen Nähten, nur der Schnitt (das Aussehen) zählt und das wird jede Saison geändert. Fragst du nach Qualität, wirst du ausgelacht. Neue Software wird gekauft, weil man sich von bunten Buttons blenden lässt. Keinem fällt auf, wie riesengroß und langsam das Zeug bei nahezu gleicher Funktion geworden ist. Alles auf tönernen Füßen, sehr wackelig, stets Installation statt sofortiger Benutzbarkeit, kaum einer von den Entwicklern blickt noch durch, was da an Bibliotheken eingebunden worden war, ob das Ding heimlich irgendwohin telefoniert, welche Abstraktionsebenen das einzelne Bit durchläuft, bevor es endlich am Ziel ankommt.
Ich würde ein schlankes kleines Basis-Betriebssystem fördern, von mir aus mit Wine als Zugabe (wird man nicht drumrumkommen) und ich würde Behörden ZWINGEN, das zu benutzen. Allerdings würde ich den Benutzern, und vor allem den Frauen, das Recht geben, den Entwicklern ins Knie zu schießen. Anders geht das nicht. Und bevor Feministen über dieses “Zugeständnis” jubeln: Dazu gehört, davon auszugehen, dass Frauen anders ticken. Ist ja auch kein Problem.
Früher hat Kraftwerk gesungen: “Am Heimcomputer sitz’ ich hier / programmier’ die Zukunft mir”. Davon ist eigentlich nichts mehr übrig.
Bei so einem Mist, schalte ich ja normalerweise immer ab:
“Während Autobauer in aller Ruhe derzeit die Modelle für das Jahr 2020 entwickeln – und mit selbstfahrenden Autos das Publikum ablenken könnten – , könne sich die Informatik eine derartige Langzeitperspektive nicht leisten”
Wer oder was macht das selbstfahrende Auto überhaupt erst möglich? Die Informatik hat jede menge Langzeitperspektiven, die sind aber nicht so trivial zu durchschauen.
@TOPCTEH: Als für mich trifft das zu. Eventuell arbeitest du am Falschen?
Heise berichtet darüber
Also zugegeben mal etwas OT: Heise hat in meinen Augen schon vor ca. zehn Jahren mit dem “Berichten” aufgehört. Die heiße Luft, die da heute noch aus dem Verlagshaus entweicht, ist mir schon lange keinen Cent mehr Wert – egal ob es c’t, i’X oder sonstwie heißt.
Es geht nicht nur darum, dass dieses ominöse “wir” (wer auch immer das sein soll) seit mehr als einem Vierteljahrundert nichts auf die Beine gestellt habt, sondern dass dieses “wir” bei der heute vorhandenen Qualität – akademisch wie journalistisch – auf lange Sicht nicht auf die Beine wird stellen werden.
Übrigens gilt das keineswegs nur für Deutschland. Auch die ach so tollen IT-Experten aus den USA haben versagt, wenn es darum geht, einfach benutzbare und damit massentaugliche Sicherheitssoftware zur Verfügung zu stellen. Damit meine ich nicht jene, die genau an diesem Zustand ein wirtschaftliches Interesse haben, sondern die freien und unabhängigen Softwareentwickler, von denen es sehr viele gibt. Selbst die Firmen, die mit Bruce Schneier und anderen namhaften (echten) Experten aufwarten können, haben nichts getan. (OK, evtl. politisch heiße Luft produziert, aber das hat niemandem genutzt, wie wir seit einigen Jahren wissen.)
In der Krempel-Aufzählung fehlt mir noch Control Data und DEC (Digital Equipment). Nur so nebenbei …
Hier ist einer dieser Helden die Frau und Kinder im Stich gelassen haben: https://www.youtube.com/watch?v=pzZ7baBZyDQ&t=82m13s
@Sören:
Letzteres ist nicht unwichtig und es gibt Aufgaben, wo man einfach Excel gut bedienen muss.
Wenn man weiß, wie man ein Excel macht, dann lernt man auch relativ einfach, wie man es bedienen muss. Die meisten Informatiker, die ich kenne, können die wichtigen Antworten aus der Dokumentation rauslesen.
Aber inzwischen wird sogar die Online-Hilfe auf Trivialfragen verseiert. Und unter dem “Klicken Sie hier”-Text steht dann nur “hat ihnen diese Antwort geholfen?”
@Hadmut
Die 25 Jahre sind eine Nebelgranate. Die Frage ist einfach “tarnen und täuschen”. Es wird so getan als ob wir überhaupt was dagegen machen könnten.
Hadmut, Du hast den wichtigsten Teil übersehen:
“Fischer-Hübner berichtete, dass Edward Snowdens Enthüllungen in Schweden nicht beachtet werden, weil sie angesichts der Bedrohungslage (russische U-Boote in den Schären) die Notwendigkeit sehen, dass ihr Staat mit den USA eng zusammenarbeitet.”
GENAU DAS IST DER PUNKT.
Schweden steckt noch tiefer im A…. der Amis als wir (siehe Assange). Es ist eben KEINE Frage der Wissenschaft, sondern ein politisches Problem.
Wir sind ein besetztes Land.
Frage:
“Wie kommt es eigentlich, dass in den vergangenen 25 Jahren keine vertrauenswürdige IT-Infrastruktur geschaffen wurde?”
Antwort:
“Deutschland war zu keinem Zeitpunkt vollständig souverän”.
https://www.youtube.com/watch?v=YWfy63Wmdlw
ab sec 40.
So einfach ist das.
Ich kann das übrigens von der EDV Seite her bestätigen.
Mein Vater hat mir vor ca. 40 Jahren immer gesagt, wenn Deutsche leistungsfähige US Rechner kaufen MÜSSEN! immer auch amrerikanische Oeratoren (mit)eingesetzt werden.
Ich empfehle in diesem Zusammenhang:
https://de.wikipedia.org/wiki/Propaganda_%28Buch%29
Leute, ihr hat vermutlich keine Ahnung WAS in Deutschland so im 2ten Weltkrieg entwickelt worden ist. Ich rede da nicht vom Tiger oder dem Sturmgewehr das um die Ecke schiessen konnte, sondern von:
https://de.wikipedia.org/wiki/U-Boot-Klasse_XXI
Ende 45 war die erste elektromagnetische 4cm Flak fertig geworden (amerikanisch Rail Gun). Glaubt ihr wirklich die Amis lassen so ein Volk noch mal “hoch kommen”?.
Die jetzige Flüchtigswelle gehört auch dazu, wie auch das Jubeln der Einheitspresse wie schön bunt Deutschland jetzt wird.
Hurra die Zukunftsdeutschen kommen jetzt!
cu
Warum wir keine vertrauenswürdige IT Infrastruktur haben? Weil das Geld gekostet hätte und 99% (oder so) aller Computer von Firmen oder Privatleuten gekauft werden. Und die haben kein Interesse daran. Die sind doch alle froh den An/Aus-Schalter zu finden an dem magischen Wundergerät “Computer”. Und solange man irgendwie das Dingsbums dazu bekommt Briefe zu schreiben oder ein Spiel zu srarten oder Pornovideos abzuspielen ist alles in Ordnung. Wie Rox schon schrieb, billig billig billig. Und dazu ein weit verbreitetes Unverständnis was effiziente DatenvErarbeitung betrifft. Aber das hätte vermutlich schon mit Papier und Schreibmaschine besser sein können.
Behörden haben eigentlich höhere Anforderungen, aber weder ist das nötige Wissen vorhanden noch das Geld für Sonderlösungen, also wird von der Stange gekauft.
Dazu bräuchte man einen “Rahmenplan IT Forschung”, aber das wird nie passieren weil die Länder einander alles neiden und Rahmenplanungen sowieso aus der Mode sind. viel lieber werden Leuchtturmprojekte ins Ödland gesetzt, weil man da so schöne Pressefotos machen kann. Plus natürlich die von Dir, Hadmut, erlebten Beeinflussungen aus diversen Gründen.
Es herrscht schlicht kein Interesse in der Politik und Breite der Gesellschaft daran etwas zu ändern. Wenn Ich Leuten sage, daß Ich weder Fratzbuch, noch Zwitscher oder sonst einen solchen Dienst werde Ich angesehen als lebte Ich hinterm Mond. Solche Leute verstehen, begreifen das Problem nicht.
Sicherheit kostet Geld, Geld ist meist knapp. IT funktioniert auch erst mal ohne “Sicherheit”, deshalb war das Thema bisher nur in Nischen relevant. Heute wo alles vernetzt ist, spielt das Thema auch so langsam eine andere Rolle.
Und da auf die Unis zu setzen bzw, diese verantwortlich zu machen ist ja ziemlich lächerlich, von dort kamen noch nie gross Impulse die in der Praxis eine Rolle spielten und selbst wenn -> s.o.
Zu dem Thema kann ich https://books.google.de/books?id=VQlvAQAAQBAJ sehr empfehlen.
@Hadmut
Ist die von Dir beschriebene Lage der Informatik irgendwo in Europa besser ?
> Ist die von Dir beschriebene Lage der Informatik irgendwo in Europa besser ?
Weiß ich nicht, da habe ich keinen vollständigen Überblick.
In England hat man immerhin ein paar Sachen entwickelt. Sinclair zum Beispiel.
Oder der Acorn Atom.
Oder den Raspberry.
Nur wenige wissen, dass dieser Home-Computer aus den späten Siebzigern und frühen achtziger Jahren im Prinzip noch immer lebt: Als ARM-Architectur in nahezu allen Handys, Tablets, Raspberrys-artigen Computern (ARM = Acorn Risc Machine).
Auch die Transputer kamen aus England.
Die sind da schon wesentlich besser als wir.
Als Nicht-ITler konnte ich schon immer nur staunen, woher diese
ihre zumindest beruflich ja notwendige Souveränität nehmen, beim pflegen oder entwickeln von Systemen. Gurus !
Ich hatte ( selber mit Lizenz zum Löten ausgestattet ) bei
Software noch nie auch nur Ansatzweise das Gefühl, das da irgendwas
wirklich kalkulierbares abläuft, höchsten vielleich in kleinem
Rahmen, “In the box”, sozusagen.
Wie man überhaupt Anwendungen für ein fettes OS schreiben kann, dessen Kernel geheim ist, bleibt mir wohl ewig ein Rätsel. Jedenfalls im Hinblick z.B. darauf, sichere Aussagen
eben auch dahingehend zu treffen, ob die Choose dann jetzt damit
wohin telefoniert, oder nicht.
Aber wie gesagt, ich hab auch keine Ahnung von sowas.
Anwenderwissen, heißt das wohl.
Wenn dann noch Juristen mitmachen müssen, und Stellenweise sogar begriffliche Unklarheit darüber herrscht, ob jetzt Daten ( Technik) oder Personen ( Recht) zu schützen sind…
“Es ist wesentlich leichter für einen Informatiker, Datenschutzrecht zu lernen, als für einen Juristen, das nötige technische Wissen anzuhäufen, weil da einfach mehr dranhängt, das viel mehr ist, und es mehr Kontextwissen erfordert.”
Diese Ungleichheit scheint mir ein häufiges Problem zu sein, in unserer Spezialistenwelt. Halte ich für einen guten Ansatz.
Wir brauchen langsam wieder mehr Generalisten, bzw.
Dolmetscher, die auf 2 oder mehr Beinen laufen.
Macht die Spinne im Netz ja auch vermutlich längst.
Zumindest entwickelt sich ein weibliches Selbstverständnis in der Informatik:
Mal was anderes: Informatik unter sexistischer Perspektive 😉
Gibt es eigentlich noch Programmierunterricht in den Schulen? Oder hat man das längst als überflüssigen Ballast zugunsten von MS-Office- und Browser-Anwenderkenntnissen abgeschafft?
> Gibt es eigentlich noch Programmierunterricht in den Schulen?
Die SPD will das gerade als Pflichtfach einführen.
Wie das dann konkret aussieht, ist eine andere Frage.
Jaja, die Autobauer. In aller Ruhe entwickeln die irgendwas, wenn nach Abzug von Weißwurstfrühstück und Prozess-Overhead noch Zeit dafür bleibt …
Oh Hadmut. Du scheinst wirklich primär die Creme-de-la-Creme der Idioten in der Deutschen universitären Informatik kennengelernt zu haben. Ich kennen mehrere bayerische Hochschulen von Innen — als Student und wissenschaftlicher Mitarbeiter — und finde die Qualität hervorragend.
Allerdings hat mich Dein Lieblingsthema “Security” nie sonderlich interessiert, ggf. ist hier die Inkompetenz größer als in den anderen Bereichen. Vermutlich ist es einfach so, wie bei den “Safety” Themen: Das ist nichts für Macher und Kreative, da man primär Leuten Dinge verbietet — auch wenn das durchaus sinnvoll ist. Hier sammeln sich die Bürokraten und die bringen den Laden einfach nicht voran.
> Oh Hadmut. Du scheinst wirklich primär die Creme-de-la-Creme der Idioten in der Deutschen universitären Informatik kennengelernt zu haben.
Ja. Hab ich.
Man sollte vielleicht auch mal Deutschlands beste Professoren zu Wort kommen lassen … auch in IT Security:
@Klaus: “Fischer-Hübner berichtete, dass Edward Snowdens Enthüllungen in Schweden nicht beachtet werden, weil sie angesichts der Bedrohungslage (russische U-Boote in den Schären) die Notwendigkeit sehen, dass ihr Staat mit den USA eng zusammenarbeitet.”
Da habe ich aber gerade ein Deja-vu. Sind vor 30 Jahren nicht schon mal sowjetische U-Boote vor Schweden gesichtet worden und wurde das nicht von den konservativen Parteien als Argument genommen, als blockfreier Staat sich nicht für eine Entspannungspolitik mit der SU einzusetzen? Kurze Zeit später wurde der Ministerpräsident Olav Palme ermordet. Es stellte sich auch heraus, dass die Sowjetunion nix von U-Booten in Schweden wusste. Seltsam, nicht? Aber okay, ist jetzt offtopic in Bezug auf Sicherheit und Informatik.
@WIR Nein, Heise hat nicht mit dem berichten aufgehört. Es gibt nach wie vor Journalisten, die zu diesen Tagungen fahren und von ihnen berichten.
@Hadmut Alkassar war schon schwierig mit seinem Komponenten-Optimismus (wobei er zugab, keine BIOS-Alternative in petto zu haben). Aber er hat versucht, das Konzept der Wirkungsklassen zu verteidigen. Wofür er nichts kann (und was den Berichts-Artikel sprengen würde) ist ja, dass wichtige deutsche Behörden sich gegen die Komponenten und für Microsofts Bitlocker entscheiden haben, weil das ausreichend sicher ist.
@Detlef Borchers:
> dass wichtige deutsche Behörden sich gegen die Komponenten und für Microsofts Bitlocker entscheiden haben, weil das ausreichend sicher ist.
Löst bei mir die Assoziation an München aus, wo auch einige Leute unbedingt darauf drängen, Linux wieder durch Windows zu ersetzen.
War das nicht so, dass Windows 10 den Bitlocker-Schlüssel zu Microsoft hochlädt, damit man den nicht mehr „verlieren” kann? Oder hab ich das falsch aufgeschnappt?
Paranoia wo Paranoia angebracht ist, aber bei “Enterprise” sieht die Welt anders aus.
Es ist aber so, dass man mit Konzernware im geistigen Raum der Imperialisten bleibt. Wo kämen wir denn hin, wenn die Städte, Kommunen u d Kantone plötzlich ihren Aufwand teilen und voneinander lernen.
Eine effiziente Verwaltung, der Horror!
Lieber bastelt jeder für sich. Öises füürli, sagt man hier dazu.
“Gibt es eigentlich noch Programmierunterricht in den Schulen?”
Dazu Alan J. Perlis: “117. It goes against the grain of modern education to teach children to program. What fun is there in making plans, acquiring discipline in organizing thoughts, devoting attention to detail and learning to be self-critical?”
“War das nicht so, dass Windows 10 den Bitlocker-Schlüssel zu Microsoft hochlädt, damit man den nicht mehr „verlieren” kann? Oder hab ich das falsch aufgeschnappt?”
Ich weiß es nicht .)
@ Hadmut
Jain.
Bitlocker bietet es Dir an, den Schluessel in einem Microsftaccount zu speichern. Ich weiss nicht wie es mit der Home Version aussieht, aber mit Pro kann man nein sagen und ihn stattdessen normal in einer Datei speichern. In Buden mit AD wird der Schluessel meist im AD gesichert.
Ehrlich gesagt finde ich das (als Option, nicht als Zwang!) fuer durchschnittliche Anwender gar nicht mal so schlimm. Die verdaddeln den sonst und stehen dann vor einer praktisch leeren Platte. Vor dem Verlust der persoenlichen Daten bei Diebstahl schuetzt es trotzdem und genau das duerfte auch das Bedrohungsszenario des durchschnittlichen Nutzers sein.
Aus erzieherischer Sicht ist es aber natuerlich gruselig…
@ Knirsch
Du bist nahe an der Wahrheit dran. Dem Betriebssystem musst Du vertrauen – ob mit oder ohne gutem Grund. Mir fiele keine halbwegs verbreitete Architektur ein, bei der der Betriebssystemkern nicht den Speicher von Anwendungen nach Belieben lesen und schreiben koennte. Und natuerlich selbst Daten verschicken.
Das wirkliche Durchschauen der eigenen Werke bis auf die Ebene von Maschinensprache ist auch eine Seltenheit. Das kommt eigentlich nur noch im Embeddedbereich, teilweise beim Debuggen und manchen Anwendungen mit extremen Performanceanforderungen vor. Fuer geschaetzt 98% des Codes macht sich keiner mehr die Muehe, weil es extrem aufwaendig ist und der Compiler normalerweise gute Arbeit leistet. Das duerfte in etwa dem Ausmessen des Gewindes einer Schraube entsprechen. Das kommt auch nur stichprobenartig bei der Qualitaetskontrolle vor.
Allerdings musst Du noch viel mehr Dingen vertrauen. Auf Businessrechnern gibt es nicht nur UEFI, den wesentlich potenteren BIOS-Nachfolger, sondern meist auch Intels AMT. Da steckt quasi ein Minirechner mit auf dem Brett, der den eigentlichen PC auf niederster Ebene verwalten kann, natuerlich uebers Netzwerk. Ja, es gab schon Remote Exploits, wenn ich nicht irre.
Auch dem Compiler musst Du in der Praxis vertrauen. Es gab schon vor langer Zeit einen Proof-of-Concept C-Compiler, der Luecken mit in die Kompilate gepackt hat und saubere C-Compiler ebenfalls beim Kompilieren veraendert hat.
Wenn man auch nur ansatzweise paranoid ist, kann man heute keinen Computer mehr nutzen, weil fuer praktisch jedes der hundert Raedchen bereits demonstriert wurde, dass man eine Sicherheitsluecke draus machen kann. Die Beispiele sind natuerlich bei weitem nicht erschoepfend.
Zwei Anmerkungen.
Erstens (das geht mehr an Coy): Die Informatik hat selbstverständlich noch nicht die Reife anderer Wissenschaften erlangt, denn es gibt sie erst seit den dreißiger Jahren. Die erwähnten selbstfahrenden Autos sind auf diese Disziplin angewiesen, was ich als Hinweis darauf sehe, dass die Informatik prächtig gedeiht. Was politische und wirtschaftliche Verfehlungen bei der Schaffung von IT-Infrastruktur damit zu tun haben, verstehe ich nicht. Übrigens:
“Kritische Informatik”, vgl. auch “kritische Rechtswissenschaft”.
Zweitens: Es ist immer die Rede von der Informatik, und dann geht es um Hardware und um Software, wer sie herstellt und wer sie kauft, und um IT-Sicherheit, und warum das heutzutage alles nicht so funktioniert, wie es sollte. Nicht jedem, der das liest, ist klar, dass das lediglich ein Teil der Informatik ist, und meines Erachtens nicht derjenige Teil, anhand dessen sie als Wissenschaft beurteilt werden sollte. Wie Du ja schreibst, spielen hier auch Politik und Wirtschaft eine Rolle. Jemand, der sonst keine Ahnung davon hat, erhält durch Deine Darstellung ein sehr negatives Bild von der universitären Informatik in Deutschland. Das mag in manchen Teildisziplinen auch zutreffend sein, verzerrt aber insgesamt die Realität.
Zum Thema:
Ein großartiger (und mit nur drei Seiten sehr kurzer, und sehr gut lesbarer) Artikel, nämlich die Turing Award Lecture von Ken Thompson, der den Titel “Reflections on Trusting Trust” trägt, findet sich hier: http://www.ece.cmu.edu/~ganger/712.fall02/papers/p761-thompson.pdf.
Er bestätigt, was Hanz Moser in seinen letzten beiden Abschnitten schreibt.
Ein Auszug aus der Schlussfolgerung:
“You can’t trust code that you did not totally create yourself. (Especially code from companies that employ people like me.) No amount of source-level verification or scrutiny will protect you from using untrusted code.”
@Detlef Borchers: Na da muss ich ja einen Nerv getroffen haben, wenn Sie als Heise-Journalist es für nötig halten, so dünnhäutig zu reagieren.
@Hanz Moser
Bei der Home Version sieht es so aus, dass gar kein Bitlocker unterstützt wird. (Jedenfalls ist das meine Erkenntnis aus dem Windows 10 Upgrade auf dem Notebook.) Ich hätte bei Bitlocker allerdings auch eher Bauchschmerzen wegen potentiellen NSA-Backdoors. Erst recht nachdem TrueCrypt überraschend eingestellt wurde.
@ Hanz Moser
Danke ! Da wird meinem kleinem Pinguin wieder ganz warm, aber diesmal nicht an den Füßen.
@WIR Ich reagiere als Verfasser, weil ich Hadmuts Sachverstand abseits diesem Genderismus schätze. Dünnhäutig ist eine Fehlfunktion im Auge des Betrachters
Das war Satire, mit den 25 Jahren, oder ?