Katzenbeisser, Stefan

Informatik, Security Engeneering

Mehr zur Person

Die Herausforderung:

Sicherheitslücken sind nicht nur Probleme, sondern von Geheimdiensten und Kriminellen gleichermaßen nachgefragte Güter. Da es auch bei besserem Software Design immer Sicherheitslücken geben wird, entsteht die Frage des verantwortlichen Umgangs mit dieser Gegebenheit.

Aus der Diskussion:

Schätzungsweise gibt es einen Fehler pro 500 bis 1000 Zeilen eines Programmcodes, der aus Millionen von Zeilen bestehen kann. Selbst wenn diese Fehlerquote geringer würde, entstehen zusätzliche Sicherheitslücken durch die Einbettung in technische Systeme: Wie leicht lassen sich Herzschrittmacher elektronisch manipulieren oder Bankautomaten? Der Tresor muss nicht aufgebrochen werden, wenn über die Software große Auszahlungen verordnet werden. Für den Umgang mit solchen Problemen wird das Prinzip der „responsible disclosure“ diskutiert. Wer eine Sicherheitslücke findet, meldet sie erst dem Betreiber, um ihm die Chance zu geben, sie zu reparieren und veröffentlicht sie dann erst. Wissenschaftlich interessant sind ohnehin die wenigsten Sicherheitslücken: die nachträgliche Analyse erweist sie oft als erwartbar und leicht auszubeuten. Dafür entwickeln Sicherheitsforscher große Fantasie für das, was in ganz unterschiedlichen technischen Systemen schief gehen kann. Die Basistechnologie (der Computer) fährt weit auseinanderliegende Technikfelder zusammen.

Perspektive:

IT Privacy and Security ist kein rein technisches Problem und die Verantwortung für Sicherheit kann nicht individuellen Verbrauchern oder Nutzern Überlassen werden sie wollen eine Technik nutzen und können sie nicht ständig kritisch beäugen. Bisher verbürgen sich die Hersteller zumeist nicht für den Schutz von privacy and security. Hier ist die Politik gefragt.