„Safe Computing“ wie vor 30 Jahren

Microsoft-Produkte seien unsicher. Linux? Auch nicht der richtige Weg, wenn es um die IT-Sicherheit geht - so Professor Klaus Brunnstein, Präsident der International Federation for Information Processing. Im Gespräch offeriert der langjährige Experte seine Vision des Safe Computing.

Ein grundsätzliches Umdenken bei der IT-Sicherheit mahnt der Präsident der International Federation for Information Processing (IFIP), Professor Klaus Brunnstein, an. Er fordert ein Safe Computing wie es schon vor über 30 Jahren bei dem Betriebssystem Multics üblich war. Für die Internet-Kommunikation verlangt Brunnstein ein Secure Networking mit Authentifizierung von Sender und Empfänger statt des aktuellen, unsicheren Internet Protocols. Und Software-Hersteller wie Microsoft hätten seiner Meinung nach die funktionelle Eignung ihrer Produkte zu garantieren. Notfalls sollten sie per Gesetz zum Ersatz der Schäden, die solche Systeme angerichtet haben, gezwungen werden.

ZDNet: Wie sicher sind denn nun die Produkte aus dem Hause Microsoft, Herr Professor Brunnstein?

Zur Person
Prof. Klaus Brunnstein (Jahrgang 1937) ist seit 2002 Präsident International Federation for Information Processing (IFIP), die 1960 auf Initiative der UNESCO als Weltverband der Informatikgesellschaften gegründet wurde. Die IFIP vertritt gegenüber den UNO-Organisationen rund 750.000 Experten aus 53 Mitgliedsländern.

Brunnstein hat das Thema „Datenschutz und IT-Sicherheit“ 25 Jahre lang an der Hamburger Universität vertreten und geprägt. Generationen von Studenten sind durch ihn auf ihr Informatikerleben vorbereitet worden.

Brunnstein: Die Anzahl der Programm-Patches zeigt doch, wie unsicher deren Software ist. Im Jahr sollen damit etwa 60 bis 70 schwerwiegende Fehler in MS-Systemen korrigiert werden. Und dann das unsägliche Chaos an Patches und Re-Patches, weil Schnittstellen zu Programmen nicht mehr richtig funktionieren. Weil Microsoft so viele Fehler macht, die im laufenden Betrieb korrigiert werden müssen, kommen zudem immer neue Fehler hinzu. Dadurch wird die Software immer komplexer und noch anfälliger für Abstürze. Daher lautet mein Rat an die Unternehmen: Patchen nur, wenn man vorher in einer ausgewählten Testumgebung nachgewiesen hat, dass die Missionskritischen Anwendungen den Patch überleben werden.

ZDNet: Microsoft-Produkte gleich „Malware“?

Brunnstein: Na ja, das wäre denn doch des Bösen zu viel.

ZDNet: Ist Linux die Alternative?

Brunnstein: Nein! Die Anzahl der Linux-Patches ist etwa zehnmal höher als bei Microsoft. Da aber Microsoft über 90 Prozent der Systeme in den Unternehmen bedient, sind die Fehler dort natürlich viel gravierender.

ZDNet: Aber die Verbreitung von Linux nimmt doch zu…

Brunnstein: Ja, besonders im Server-Bereich. Aber damit steigt zum Beispiel auch die Zahl der Linux-Würmer. Wir haben Linux-Schädlinge, die würden genau dieselben Probleme machen wie unter Windows. Aber zurzeit gibt es nur wenige kritische Anwendungen unter Linux. Trotzdem: Zu viele Linux-Köche verderben eben den Linux-Brei. Auch die Linux-Welle ist nicht der richtige Weg in die Informationsgesellschaft. Man braucht Systeme, die wirklich ein Qualitätssiegel verdienen. Und Hersteller wie Microsoft sollen zahlen, wenn es Probleme wegen ihres Betriebssystems gibt. Notfalls muss man sie per Gesetz dazu zwingen.

Themenseiten: Hacker, Security-Analysen

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

7 Kommentare zu „Safe Computing“ wie vor 30 Jahren

Kommentar hinzufügen
  • Am 16. August 2006 um 19:11 von Der Skeptiker

    Firmen zwingen?
    Wenn man Microsoft in Deutschland zwingt, für private Schäden aufzukommen, dann würde Windows entweder 1.999 EUR kosten, oder der Vertrieb würde eingestellt. Deutschland ist nicht mehr der Nabel der Welt. Microsoft würde auf die Deutschen locker verzichten.

    Und die Unternehmen? Es herrscht Vertragsfreiheit. Und damit würde MS natürlich diesen Regress mit Sicherheit ausschließen.

    Ende des Themas – reine Dampfblase aus dem Elfenbeinturm der Universitäten.

    • Am 17. August 2006 um 8:44 von Hoffnungsloser Optimist

      AW: Firmen zwingen?
      Bzgl. der deutschen Marktbeherrschung gebe ich dem Skeptiker recht. Anders sähe es bei einem Vorgehen der EU aus. Und daher mal ketzerisch gefragt: Wir überprüfen regelmäßig die technische Verkehrssicherheit unserer Automobile – warum machen wir das dann nicht auch mit der anderen wesentlichen technischen Infrastruktur unserer Tage ? Wobei man gefährliche Autos aus dem Verkehr ziehen MUß; bei gefährlicher SW genügte ein öffentliches Malus-Siegel ("Die EU-Wirtschaftsminister raten dringend vom Gebrauch dieser SW ab!").

    • Am 24. August 2006 um 15:44 von Coke

      AW: AW: Firmen zwingen?
      >> Die EU-Wirtschaftsminister raten dringend vom Gebrauch dieser SW ab!" <<

      was aber schon jetzt nicht wirklich vom Rauchen abhält… ;-)

      Und: könnte es dann überhaupt Software geben, von der nicht dringend abgeraten werden müßte?

      Es stimmt schon: Abstürze oder unsichere Systeme sind ärgerlich und verursachen unter Umständen hohen Schaden. Aber wo wäre das Unternehmen ohne eben diese "gefährliche" IT? Es ist *immer* eine Gradwanderung zwischen Flexibilität und Sicherheit — und die muß jedes Unternehmen / jeder Anwender für sich selbst abwägen.

  • Am 27. August 2006 um 13:02 von Ihr Name

    Sehr guter Artikel
    Leider interessiert wirklich (noch) nicht die, die daran was ändern könnten.
    Der Vergleich der industriellen Entwicklung mit der Computerentwicklung ist leider gut.
    Vlt müssen wirklich erst die "Großen" schweren Schaden erleiden, bevor sie einlenken.

  • Am 29. August 2006 um 0:20 von Narmer

    "wie vor 30 Jahren"
    Meiner Meinung nach sind Ansichten von vor 30 Jahren leider nicht mehr so ganz realisierbar. Eine Haftung für die produzierte Software ist mehr als lachhaft. Ein Großprojekt wie Linux oder Windows lebt von den vielen Programmierern die daran arbeiten. Soll Herr Gates wieder in seine Garage und dort alleine an Vista weiterprogrammieren? Dies Verschiebt doch nur wieder den Erscheinungstermin, würde aber eine geringe Fehlerquote bedeuten.

    Herr Prof. Brunnstein ich wüsste gerne wie Sie ein Projekt wie Linux/Windows koordinieren wollen mit so vielen Mitarbeiter UND dabei ein Fehlerfreies System abzuliefern…???

    Windows hat ja nun zugegeben ein großes Problem und das lautet: "Was steht denn da im Quellcode?" Bei Linux kann man sich zumindest dies anschauen und nach belieben verändern, zumindest weiß man dann worauf man sich einlässt.
    Außerdem bin ich der Meinung, dass zwar viele Köche den Brei verderben können, dafür sehen aber 4 Augen mehr als 2 und wenn es 4000 Augen sind die freiwillig an einem System basteln wird wohl der ein oder anderer Fehler schon irgendwann irgendwem auffallen.

    Und im Übrigen: Das größte Sicherheitsrisiko sitzt vor dem Bildschirm.

    • Am 30. August 2006 um 14:13 von Norbert

      AW: "wie vor 30 Jahren"
      "Und im Übrigen: Das größte Sicherheitsrisiko sitzt vor dem Bildschirm."
      Das ist ein Denkfehler! So als würde man sagen ‚Warum sollen wir sichere Autos bauern? Soll der Fahrer doch besser aufpassen.‘
      Nicht der Anwender muß sich an fehlerhafte, unsichere Software anpassen, sondern die Software muß idiotensicher gemacht werden.

    • Am 30. August 2006 um 18:48 von Narmer

      AW: AW: "wie vor 30 Jahren"
      So war der Vergleich nun auch nicht gemeint. Ich sage ja damit ja nicht aus, dass die derzeitige Software nicht verbessert werden muss. Nur was nutz es wenn der Fahrer das Auto selbst und vielleicht sogar mutwillig (aus Unwissenheit) gegen die Wand fährt? Technisch lässt sich da unglaublich viel machen. Nur wird selbst eine 100% Software nicht viel anrichten können, wenn z.B. der Nutzer weiterhin arglos Dateianhänge öffnet und somit nen Trojaner einschleust… Klar kann man mit Antivirensoftware viel erreichen, doch was ist wenn das Update nicht eingespielt wird, weil die IT-Abteilung oder der Nutzer zu faul dazu sind oder es sich schlechtweg um einen total neuen Schädlig handelt.

      Es gibt keine totale Sicherheit, es wäre zwar wünschenswert, aber es wird bei diesem Wunsch bleiben. Was uns bzw. unsere Computer davor schützen kann ist ein Umdenken der Anwender. Viele Kunden verlangen Sicherheit, sind aber nicht bereit dafür etwas dafür zu tun (Ich will hier noch nicht einmal schreiben bezahlen). Selbst wenn alle Sicherheitssoftware auf dem Markt kostenlos und perfekt wäre kenne ich genug Leute die sagen würden:
      "Was ist denn ein Firewall? so was brauche ich nicht!", "Wer hat denn schon Interesse an meinen privaten Daten?","Updates brauche ich nicht…" usw. Zitate kann ich da noch viele nennen.
      Gegen solche User Hilft selbst kein Programm was Idiotensicher ist, denn spätestens wenn so ein User das erste mal mit der integrierten Firewall von Windows (und sein sie noch so genial programmiert) seinen Webbrowser blockiert hat, wird er alles daran setzen sie auszuschalten, koste es an Sicherheit was es wolle.

      Ein weiteres gutes Beispiel:
      "Bei ihnen Zuhause ruft jemand von ihrer Bank an, und bittet Sie Ihre EC-Karte inklusive des PINs an eine Postfachadresse in Timbuktu zu senden!"
      was machen Sie?
      Wenn Sie diese Frage mit JA beantworten weise ich Sie nur darauf hin, das es in Timbuktu aller Wahrscheinlichkeit keine Postfächer gibt.
      Nun da 99,99999999% aller normalen Menschen diese Frage mit NEIN beantwortet haben. Eine zweite Frage:
      "Ihre Bank schreibt ihnen eine EMail, diese enthält die Bitte auf einer Webseite die zufällig nicht der Originalseite entspricht ihre PIN sowie ihre TAN Nummer einzugeben!" was tuen Sie?
      Ich lasse die Kommentierung jetzt mal offen. Nur ein kurzer Vermerk: So was nennt man dann „Social Engineering“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *