News Black Hat: „Internet-Sicherheit hat kritischen Punkt erreicht“

[Krik]

Wenn für jedes bisschen Software der Entwickler direkt haftet, dann haben wir keine größer werdende Software-Branche sondern eine schrumpfende. Kleine Entwicklerfirmen müssten schließen, weil sie eine Haftung finanziell niemals abdecken könnten. Der Indie-Markt würde direkt abgewürgt werden.

Die Vielfalt würde geringer werden, die Preise steigen - und die Sicherheit etwas besser werden. Tools würden dann aber keine 10-50€ mehr kosten sondern ein paar hundert. Ein Betriebssystem (konkret: Windows) bekäme man dann nicht mehr für 70€ sondern nur für mehrere (zehn)tausend. Dieses zusätzliche Geld wäre mindestens nötig, um die Software tiefergehender zu testen.

 

[CD]

Und aktuell nimmt halt immer der Kunde an einem großen Public-"Beta"-Test teil, in dessen Verlauf über Jahre hinweg die letzten Bugs rausgebügelt werden. Ist doch eigentlich auch ok.

Um nochmal das Beispiel mit "aber wenn irgendwas kritisches gehackt wird" (zB medizinische Geräte, Bordcomputer im Auto und so) aufzugreifen: Gegenargument ist ganz einfach. Vernetzt solche Sachen nicht. Was von außen nicht erreichbar ist das ist folglich auch nicht (übers Netz) angreifbar. Fragt euch lieber mal, ob wirklich jedes Auto mit WLAN und 3G ausgestattet werden muss, ob das EKG und das AKW ans Internet angeschlossen werden müssen, ob wir ein "Internet der Dinge" wirklich wollen wenn wir die "Dinge" nicht gleichzeitig sicher machen können. Das Internet ist ein gefährlicher Ort an dem sich allerlei finstere Gestalten und böse Software rumtreiben. Schließt da nur an was unbedingt angeschlossen werden muss.

 

[Cool Master]

Wenn für jedes bisschen Software der Entwickler direkt haftet, dann haben wir keine größer werdende Software-Branche sondern eine schrumpfende. Kleine Entwicklerfirmen müssten schließen, weil sie eine Haftung finanziell niemals abdecken könnten. Der Indie-Markt würde direkt abgewürgt werden.

Oder es würde mehr GmbH's geben (25K € Maximale Haftung) was eine gute Sache wäre da man nicht (so stark) auf die Börse angewiesen wäre.

Die Vielfalt würde geringer werden, die Preise steigen - und die Sicherheit etwas besser werden. Tools würden dann aber keine 10-50€ mehr kosten sondern ein paar hundert. Ein Betriebssystem (konkret: Windows) bekäme man dann nicht mehr für 70€ sondern nur für mehrere (zehn)tausend. Dieses zusätzliche Geld wäre mindestens nötig, um die Software tiefergehender zu testen.

Kann ich als Entwickler so bestätigen. In dem Fall würde ich auch nichts mehr als Open Source veröffentlichen.

Als User kann man immer gleich schreien "mimimi Sicherheitslücke". Wie aber schon X mal gesagt, es wird so etwas wie "Bug Freie Software" nie geben. Zumindest wenn sie mehr als ein "Hallo Welt" ausgeben soll oder einfache (+, -, / und *) Rechnungen machen soll. Wenn man von einem Betriebsystem spricht fällt die Anforderung "Bug Frei" eh flach.


Ich kann CD auch zustimmen. Klar alles ans Netz bringen ist sicherlich cool. Aber sind wir mal ehrlich, warum muss ALLES ans Netz? Ein Auto, zumindest ein "Teil", könnte ich mir noch vorstellen z.B. um nach einem Unfall Hilfe rufen zu können wobei dies genau so gut über GSM gehen würde und geht (ist ja ab 2015(?) Pflicht bei Neuwagen). Ein Kühlschrank, Waschmaschine oder Spühlmaschine muss aber nicht ans Netz. Dies bietet überhaupt keinen Mehrwert.

Was viele auch nicht wollen ist mal eine richtige Firewall einzurichten. Was glaubt ihr was los sein wird wenn IPv6 zum Standard wird und plötzlich die ganzen "Firewalls" der NAT Router nicht mehr gehen und man direkten Zugriff auf Geräte hat. Das wird noch ein ganz toller spaß.

 

[U-L-T-R-A]

Wie wärs denn mit nem Herzschrittmacher? Leider ist der Artikel allerdings von 2012 http://www.heise.de/tp/artikel/37/37950/1.html

Klar alles ans Netz bringen ist sicherlich cool. Aber sind wir mal ehrlich, warum muss ALLES ans Netz?

Sehe ich genau so.
Kritische sachen entkoppeln dann hat man auch weniger Probleme mit "Cyberwar".
Strom-, Gas-, Wasserversorgung vom Netz nehmen wäre mMn schon viel gewonnen.

 

[mekunekud]

Bugs die bekannt sind / bekannt werden und ewig nicht geschlossen werden sind grob fahrlässig! Ebenso ist es grob fahrlässig wenn Kundendaten unzureichend geschützt werden!

Ebenso ist es grob fahrlässig wenn eine Fehlersuche erst gar nicht richtig stattfindet und Bananenware beim Kunden reift!

Um bei deinem Beispiel zu bleiben ein Flugzeug bei dem Plannungsfehler und Materialfehler nachgewiesen werden darf nicht mehr fliegen und kommt es dadurch zum Absturz sind die Schadensersatzforderung ziemlich hoch!

Produkthaftung gehört auch in die Welt eines Softwareentwicklers!

Das ist korrekt, allerdings wird hier um Bugs ohne nähere Spezifizierung gesprochen und einfach mal grob auf eine Berufssparte geflamed.
Ich denke schon gesagt zu haben, dass Differenzierung hier entscheidend ist. Das war übrigens nicht gerade "bei meinem Beispiel"...

 

[Bruddelsupp]

Produkthaftung gehört auch in die Welt eines Softwareentwicklers!

Richtig, das ist sie längst auch! Es kommt nur oft zur Diskussion über Haftungsauschlüsse, wenn der Kunde weit größer als der Lieferant. Ist und die mögliche Schadenshöhe über den Möglichkeiten des Lieferanten liegt.

Übrigens lautet ein Fazit zur aktuelllen IT Sicherheitslage, dass in vielen Fällen Verzicht die wirksamste bzw. die einzige Massnahme ist!

 

[MacroWelle]

Mir schwant, einige Leute haben sich auf den Text beschränkt und sich das Video nicht reingezogen.

Ich hab immernoch ein Problem damit, "Grob Fahrlässig" auf jegliche Sicherheitslücken anzuwenden. Dass es Leute die gibt die beim Programmieren Abkürzungen nehmen und sich zB sagen "ach, die Datenbank da muss man schon nicht verschlüsseln, Klartext tut auch" ist klar, sowas ist dann wohl fahrlässig weil sie wissen was sie tun und das Ergebnis in Kauf nehmen. Das gehört natürlich verfolgt.

Die Frage, was unter Produkthaftung fallen soll nicht natürlich ebenso wichtig wie schwierig zu definieren. Wichtig sind aus meiner Sicht folgende Punkte:

• es geht um kommerziell vertriebene Software, d. h. jemand verdient mit der Software Geld, also sollte er auch in einem gewissen Rahmen haften
• schwere Softwarefehler, insbesondere Sicherheitslücken, müssen gefixt werden, wenn sie öffentlich oder dem Hersteller bekannt werden, der Blackhat-Redner schlägt hierfür auch eine Befristung auf X Jahre vor
• wenn Hersteller für die Folgen von groben Mängeln an Software haften, wird gewöhnliche Software von der Stange weniger betroffen sein, Software für den Bereich Infrastruktur, Energie, Verkehr, Gesundheit, Militär und zum Teil für Unternehmen wird hingegen besser designt und getestet
• wenn dann niemand bereit ist sie anzubieten ist das ok so, denn bisher tragen das Mangelrisiko nämlich Kunden und vom Mangel betroffene Dritte

Kleine Anmerkung: laut dem Sicherheitsanalyst sind lediglich Religion und Software von der gesetzlichen Produkthaftung ausgenommen (vmtl. USA). Das sagt schon einiges. Software steckt ja heute fast überall drin.