Hallo CenTao,

es gibt ja derzeit eine ganze Reihe von neuen Gesetzesänderungen und
Vorschlägen, die die Zukunft hell erstrahlen lassen.

Soso?

"Noch in dieser Legislaturperiode wolle er ein Gesetz zur Produkthaftung
für mangelhafte Software auf den Weg bringen, sagte der CDU-Politiker
Thomas Jarzombek im DLF."

Ein paar Anmerkungen dazu: Es werden im Interview mehrere Themen vermischt und Thomas Jarzombeks offensichtliche Inkompetenz ist schmerzhaft.

Zu Anfang des Gesprächs geht es offensichtlich um die Firmware von Hardware. Um da eine wirksame Änderung durchzudrücken, bräuchte es A) internationale Regeln, oder B) ein Importverbot für alle ausländische Hardware. Beides ist unrealistisch.

Wenn A), dann bräuchte es eine Zertifizierungsstelle, welche eine Firmware auf Sicherheitslücken überprüft. Das würde Einsicht in den Quellcode und intimste Hardwarekenntnisse voraussetzen. Unmöglich. Angenommen, die Hersteller würden tatsächlich gezwungen, die Hosen herunterzulassen, und beides zugänglich zu machen, garantiert dies keine Sicherheit. Wenn der Prüfer nichts findet, bedeutet das nicht, das die Firmware sicher ist, sondern nur, dass bisher nichts gefunden wurde. Davon abgesehen wurde bisher so ziemlich jede Hard- u. Software gehackt - es gibt sogar regelmäßig Wettbewerbe dafür (die Dienste versuchen da gern zu rekrutieren). Die Frage lautet nicht, ob man "irgendwo reinkommt", sonder nur, wie aufwendig das wird.

Alternative: Nicht zertifizieren, aber Hersteller verklagen, wenn was schiefgeht. Ergebnis: Massenhaft insolvente Hersteller. Die Frage wäre nicht "ob", sondern nur "wann".

Bekannte Sicherheitslücken in Hard- und Software: Die Geheimdienste geben viel Geld dafür aus, solche Infos zu kaufen bzw. selbst zu eruieren, oder gar selbst zu verursachen. Inkl. Manipulationen direkt beim Chiphersteller(!). Die wären sicher nicht begeistert, wenn ihnen der gutbestückte Werkzeugkasten weggenommen würde.

"Schulz: Und der Staat wird dann künftig auch, anders als bisher ja geschehen, seinerseits keine Sicherheitslücken mehr sammeln? Das ist ja teilweise ein Anreiz der Ermittler, wenn sie wissen, diese und jene Software ist da und dort angreifbar, das merken wir uns mal, vielleicht wollen wir da noch mal drauf zurückgreifen. Das hört dann auch auf?

Jarzombek: Die Legende wird natürlich immer erzählt. Aber ganz ehrlich: Da müssen Sie mal mit Herrn Schönbohm reden. Er hat als BSI-Chef die Aufgabe, für IT-Sicherheit zu sorgen und gegen Lücken anzukämpfen, und das tut er, glaube ich, auch sehr energisch. Dass auf der anderen Seite der Bundesnachrichtendienst auch eine Möglichkeit haben muss, bei einem Gefährder auf das Smartphone zu kommen und zu sehen, ob da jemand wirklich konkret eine Terrorplanung macht, das ist, hoffe ich, auch unstrittig."

Die eierlegende Wollmilchsau mal wieder. Praktisch unmöglich. Entweder es gibt Hintertüren (=einfach angreifbar), oder nicht (Angriff schwieriger, aber auch nicht unmöglich).

"Jarzombek: Wissen Sie, das Problem ist, dass es so unendlich viele Sicherheitslücken gibt"

Korrekt.

"und dass es sehr viele Sicherheitslücken gibt, die auch noch überhaupt nicht erkannt sind,"

Auch korrekt.

"dass wir wahrscheinlich dafür keine so einfachen Lösungen finden werden, dass es nie wieder eine Lücke gibt,"

Nicht nur keine einfache, sondern gar keine, weil unmöglich.

"sondern das, was wir machen müssen, ist dafür zu sorgen, dass diese Lücken, die auf dem Markt heute sind, die auch bekannt geworden sind, dass wir hier die Hersteller in Regress nehmen, sofort für eine Lösung zu sorgen,"

Das Ansinnen klingt nobel, gleicht aber einem gesetzlichen Verbot der Schwerkraft...

"weil ansonsten jeder 16jährige anfängt, mit Script-Lösungen sich bei ihnen ins Netz einzuhacken, und genau das muss verhindert werden und das ist unser Problem im Augenblick."

Problem erkannt. Lösung unbekannt. Ein Volkscomputer vielleicht? Für alle das gleiche Modell, entworfen, programmiert, getestet, verbessert und zertifiziert von den Besten der Besten der Besten des staatlichen Technologieministeriums? Da wäre die Todesstrafe für Hacker langfristig erfolgversprechender. Blöd nur, dass die bei internetfähigen Geräten irgendwo auf der Welt sitzen können. Also noch eine chinesische Mauer um das nationale "Internet". Nee, Moment - das wird Arbeitsplätze kosten. Verdammt!

Ist alles absurd, diese Büchse der Pandora bekommt man nicht mehr zu.

Man mag lokale Anbieter zwingen können, großflächig missbrauchte Lücken schneller zu stopfen, aber das ändert am grundlegenden Problem exakt nichts.

Die Komplexität heutiger Geräte bietet unendlich viele Angriffsvektoren und eine Trendwende ist nicht in Sicht. Im Gegenteil, das "Internet of things" wird uns zunehmend mehr Spaß bescheren. Völlig nutzlos, aber mit enormen Verheerungspotential.

Fazit: Politischer Aktionismus von jemandem, der entweder nicht weiß, wovon er spricht, oder, der weiß, dass seine Ankündigungen wirkungslos bleiben werden (müssen). Ich tippe auf ersteres.

Grüße,

Positiv.