Bugs und Pannen unausweichlich?
Softwarehersteller ertragen schlechte Produkte

IT-ManagementIT-ProjekteNetzwerk-ManagementNetzwerkeSicherheitSicherheitsmanagement

Einige Softwarehersteller scheinen zu glauben, dass Fehler akzeptabel sind. Was könnte diese Einstellung ändern?

Bugs und Pannen unausweichlich?

Bugs und Pannen unausweichlich?

Bei der Black Hat Konferenz in Las Vegas vorigen Monat hat Michael Lynn, früher bei der Sicherheitsfirma ISS beschäftigt, ausführlich beschrieben, wie die Router Software von Cisco angegriffen werden könnte. Cisco reagierte mit einer Nachrichtensperre, um weitere Enthüllungen zu verhindern, aber der Vorfall zeigte, wie schwierig es für die Unternehmen ist, mit schlechten Nachrichten umzugehen.

Die Antwort von Cisco kam schnell, indem sie gerichtliche Verfügungen gegen alles und jedes einholten, um die Veröffentlichung von Details dieser Fehler zu verhindern.

Geht man davon aus, dass die Cisco Router für den Betrieb des Internets und der meisten Firmennetzwerke lebenswichtig sind, ist es kaum überraschend, dass Cisco sich gezwungen sah, schnell zu reagieren.

Ob Cisco das nun getan hat, um die Nutzer zu schützen oder um sich gegen eventuelle Sammelklagen abzusichern, kann man nicht mit Sicherheit sagen. Die Aura der Negativreklame jedoch, die das Ganze umschwebt, ist für Cisco ein Makel, denn das Unternehmen hält sich zugute, vor allem in Sachen Sicherheit und Zuverlässigkeit eine Hauptrolle zu spielen.

Wo zieht man die Grenze, wenn es darum geht, Leute mundtot zu machen, um sein ?geistiges Eigentum? zu schützen oder aber das Recht auf Meinungsäußerung zu achten? Ist es eine rechtmäßige Verteidigungshaltung, sich auf die Unwissenheit zu verlassen und zu hoffen, dass der Fehler nicht entdeckt werden wird oder gibt es eine Verpflichtung, dafür zu sorgen, dass ein Produkt ordnungsgemäß funktioniert?

Da kommen mir solche Begriffe wie “für den Zweck geeignet” oder “verborgene Mängel” in den Sinn. Aber es scheint, dass sie im Bereich der Softwareindustrie in keiner Weise in dem Maße gelten, wie das – nehmen wir mal an – bei der Autoindustrie der Fall ist.

Die echte Feuerprobe wird dann zu bestehen sein, wenn die Schwachstellen tatsächlich Angriffen ausgesetzt sein werden und Geld verloren geht, entweder direkt durch widerrechtliche Aneignung von Vermögen und Geldmitteln oder indirekt durch Ausfallzeiten und Verwaltungskosten. Wir können es uns heutzutage, da ein so umfangreicher Geschäftsbetrieb davon abhängt, nicht leisten, die stabile Anbindung an das Internet zu verlieren.

Nach diesem Vorfall müsste die Industrie einen Schritt zurückgehen und die Softwareentwicklung als ein Ganzes betrachten. Warum ist es so, dass andere Industriezweige die Idee von Risiko-Management und “Störungssicherheit” verstehen während einige Bereiche der Softwareindustrie mit schlampigem Programmieren davonzukommen scheinen?


Müssen Gesetze her?

Bugs und Pannen unausweichlich?

Die enormen Kosten und Schwierigkeiten bei Prozessen bedeuten, dass nur wenige Streitfälle im Softwarebereich vor Gericht kommen und wenn dies tatsächlich passiert, dann betrifft dies gewöhnlich Vorgänge, bei denen das, was versprochen wurde, nicht geliefert worden ist.

Leider haben sich die Umstände so entwickelt, dass ein bestimmtes Niveau von Fehlern als akzeptabel angesehen wird. Einige Softwarelieferanten verstecken sich hinter der “es ist der Fehler des Betriebssystems oder der Software der Drittfirma – Entschuldigung”, wohl wissend, dass die meisten Nutzer weder die Zeit noch das Fachwissen haben, dies anzufechten.

Aber nicht alle Anbieter sind gleich. Meine Kaufentscheidungen werden zunehmend davon beeinflusst, was die Produkte wirklich bieten sowie dem Grad an Support und dem Interesse, das von den Entwicklern gezeigt wird. Die Größe des Anbieters und die Qualität der Werbung zählen nicht mehr.

Nichts beeindruckt mich mehr, als wenn ein Problem angesprochen wird und der Programmierer sofort reagiert. Und noch beeindruckter bin ich, wenn die Reaktion so in der Richtung liegt wie: “Ja, es funktioniert nicht, aber wir arbeiten an einer Lösung, die nächste Woche verfügbar sein soll” und nicht aus den üblichen Dementis besteht.

Der amerikanische Sarbanes-Oxley Act räumt bei der Unternehmensfinanzierung auf. Wird es im Bereich der Softwareentwicklung bald ein Pendant dazu geben?