Security-Funktionen als Risiko
Ist zu viel Sicherheit zu viel des Guten?

IT-ManagementIT-ProjekteNetzwerk-ManagementNetzwerkeSicherheitSicherheitsmanagement

Die Bemühungen, zuverlässige Sicherheits-Features in Software zu integrieren, bevor diese auf den Markt kommt, mögen einige unliebsame Folgen zeitigen.

Wird Vista von den gleichen Bedrohungen wie XP heimgesucht?

Security-Funktionen als Risiko

Mindestens ein Experte behauptet, dass Microsofts neues Windows Vista voller Sicherheitslücken ist. Sollte es aber jemals gelingen, Betriebssysteme mit Internet-Zugang oder Anwendungen wasserdicht zu machen – ist den Entwicklern und Nutzern von Unternehmenssoftware damit auch wirklich gedient?

Alisa Shevchenko, Virenalalytikerin bei Kaspersky Lab in Moskau hat sich kürzlich lobend über Microsoft geäußert, weil das Unternehmen der Sicherheit größere Beachtung schenken würde. Sie schien sicher zu sein, dass die Vista-Entwickler innerhalb des Betriebssystems “konzertierte Bemühungen unternommen hätten, einen Schutz gegen Internetbedrohungen zu integrieren”.

Mit dieser Vermutung mag sie durchaus richtig liegen, wenn man sich das Heer von Programmiertalenten vor Augen hält, das Microsoft zur Verfügung steht. Aber auch wenn Microsoft sein Bestmögliches getan hat, gibt es keine Garantie, dass Vista nicht von den gleichen durch das Internet verursachten Bedrohungen geplagt wird wie XP.


Security in Anwendungen sinnvoll?

Security-Funktionen als Risiko

Es wurde oft angeregt, dass Anwendungs-Entwickler selbst die Verantwortung für die Sicherheit der Software übernehmen und keine externen Drittparteien die Lücken schließen sollten. Es gab sogar Forderungen, dass die Software-Firmen Entschädigungszahlungen auf ihre Kappe nehmen sollten, wenn Firmenkunden von Datenverlust, Dienstausfall oder anderen Katastrophen betroffen sind, die Folgen von Schwachstellen in Software sind.

Das ist teilweise der Grund weshalb Entwicklungswerkzeuge wie die von Borland und Cenzic angeboten werden. Sie sind dazu gedacht, Schwachstellen im Quellcode zu identifizieren und zu beseitigen, bevor die endgültigen Versionen der Software der Öffentlichkeit zugänglich gemacht werden.


Übersehener Aspekt: Security.Arbeitsplätze!

Security-Funktionen als Risiko

Aber die Prüfung von Schwachstellen innerhalb von Web-Anwendungen ist nur bis zu einem bestimmten Punkt möglich – es kann nie ein vollständig sicheres Endprodukt geliefert werden, das immun gegen die komplexen und mannigfaltigen Verwüstungen der Hackergemeinde ist. Jeder aufstrebende Internet-Terrorist braucht zuerst ein Ziel und überlegt sich dann die beste Möglichkeit, es anzusteuern. Deshalb können die Programmierer unmöglich jede Art von Angriff vorausahnen, die auf ihre Anwendung gerichtet sein könnte.

Noch wichtiger erscheint mir der Aspekt, dass stärkere Sicherheit häufig zu Lasten der Benutzerfreundlichkeit geht und die Produktivität ständig von Dialogfenstern beeinträchtigt wird, die vor potentiellen Bedrohungen warnen und den Nutzer fragen, was er denn gern tun möchte.

Die Eliminierung von Schwachstellen in der Software vor ihrer Markteinführung könnte eine weitere Auswirkung auf die Entwicklergemeinde haben, die weit katastrophaler ist: Viele Programmierer leben davon, Patches und Bug-Fixes zu schreiben – wenn diese Fähigkeiten eines Tages überflüssig geworden sein sollten, werden sie sich ein anderes Betätigungsfeld suchen müssen.