Security-Kosten
Sollen Software-Mängel gesetzlich verboten werden?

IT-ManagementIT-ProjekteNetzwerk-ManagementNetzwerkeSicherheitSicherheitsmanagement

Es könnte kontraproduktiv sein, die Software-Entwickler per Gesetz zu zwingen, sicherere Codes zu erzeugen.

Security-Kosten

Bei einer der heißesten Debatten auf der vor kurzem beendeten RSA Conference in Sachen Sicherheit ging es darum, ob IT Hersteller die rechtliche Verantwortung für jegliche Sicherheitsprobleme tragen sollten, die in ihren Produkten auftauchen. Es ist bemerkenswert, wie schnell sich die Anbieter
wie eine Muschel verschließen, wenn man auf diese Angelegenheit zu sprechen kommt.

Probleme wie der Diebstahl der Kundendatenbank in einem amerikanischen Finanzunternehmen neulich beleuchten das Problem angesichts der aktuellen Situation. Hacker hatten sich Zugang zu der Datenbank des Unternehmens verschafft, die Informationen über das Guthaben der Kunden enthält, doch die Firma und ihre Kunden, die aus Einzelhändlern und anderen Unternehmen bestehen, machten mehr oder weniger weiter wie zuvor. In der Zwischenzeit könnten die ganz normalen Leute, die in der Datenbank erfasst sind, Probleme mit dem Missbrauch von Persönlichkeitsdaten und ähnlichem bekommen.

Gesetzliche Folgen

Theoretisch könnte die Gesetzgebung die Anbieter dazu bringen, ausreichend Geld zu investieren, um die Sicherheit ihrer Produkte zu erhöhen. Firmen wie Microsoft legen Lippenbekenntnisse ab, wenn es darum geht, einen sichereren Code zu produzieren, während sie weiterhin mit den grundlegend mangelhaften Architekturen arbeiten.

Es gibt Wege, diese Situation zu verbessern – man nehme SELinux als Beispiel. SELinux baut das “sicherheitsmäßig verstärkte” System ein, das von der amerikanischen Nationalen Sicherheitsbehörde entwickelt wurde, um zu kontrollieren, was individuelle Programme tun können, durch Richtlinien, die vom Kernel durchgesetzt werden. Wenn aber eine Firma wie Microsoft ein solches Modell übernehmen würde, hieße das, dass der Windows Kernel aktualisiert werden müsste und damit fast alles, was darauf läuft.

Es gibt also praktische Gründe, warum eine solche Veränderung wahrscheinlich keine populäre Maßnahme sein würde und dies sowohl bei den Befürwortern als auch den Kritikern.

Beispiel Kraftfahrzeuge

In der Praxis jedoch sieht es so aus, dass gesetzliche Regelungen wahrscheinlich wenig mehr tun würden, als massig lukrative Arbeit für Anwälte zu beschaffen. Schließlich bestehen für die Autoindustrie gesetzliche Regelungen und trotzdem sterben jährlich Tausende Menschen auf den Straßen, weil die Autos unzulängliche Sicherheitseinrichtungen haben.

Wären wir alle sicherer, wenn alle Autos Airbags, ABS und
Geschwindigkeitsbegrenzer hätten? Möglicherweise. Aber würden wir weiterhin so viele neue Autos kaufen, wenn dies bedeuten würde, dass neue Autos teurer und langsamer als ihre Vorgänger wären?

Man kann sich heutzutage nicht in ein Flugzeug setzen, ohne sich der unbequemen Wahrheit gegenüber zu sehen, dass mehr Sicherheit immer auf einen Kompromiss bezüglich Geschwindigkeit, Flexibilität und einfachen Gebrauch hinausläuft. Softwarearchitekturen auf einem höheren Sicherheitsniveau wie SELinux benötigen zusätzliche Management Tools, um die Richtlinien zu konfigurieren und das wiederum bedeutet mehr Ausbildung für die IT-Mitarbeiter und möglicherweise höhere Löhne.

Autor: fritz
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen