Ich bin kein Sicherheitsexperte.
Natürlich gibt es viele Tools zum Überprüfen von Software, aber:
1. Müssen solche Tools auch erstmal programmiert werden und da stellt sich die Frage: Funktionieren sie zuverlässig?
2. Um nach etwas zu suchen, muss man erstmal wissen wonach man sucht. Frei nach Ludwig Wittgenstein: "Warum hat die Rose keine Nase, weil man nicht weiss wo man da suchen soll."
Wir sehen doch alle nach den Vorfällen der vergangenen Jahre, dass das nicht funktioniert und die Sachen noch viel trivialer sind, als ein Betriebssystem zu manipulieren: Da vergisst das amerikanische Militär bei ihren Drohnen die gesendeten Daten zu verschlüsseln, OpenSSL, was ja immerhin OpenSource ist, also jeder nachsehen kann, funktionierte über viele Jahre überhaupt nicht und so geht es lustig weiter.
Jeder Entwickler weiss, dass das «normale» Fehler sind. Beim Entwickeln schaltet man SSL aus, weil es dann einfacher ist die Daten zu beobachten, gibt sich selber ein ganz schwaches Passwort, wenn überhaupt, weil das hundertmalige Eintippen des Passworts beim Testen der Software nervt, … und vergisst dann am Ende, das wieder rauszunehmen.
Passwörter sind überhaupt so eine Sache: Da wird der Mitarbeiter alle paar Wochen genervt, ein neues Passwort einzugeben für seinen beschränkten Zugang und die Adminpasswörter sind der Brüller.
Was man tuen sollte, weiss ich nicht. Aber es ist sicherlich nicht der richtige Weg, Sicherheit immer oben aufzuflanschen, als sich was zu überlegen, das Sicherheit die Basis ist. Deshalb glaube ich auch nicht, dass es die Kommunikations- und Datenaustauschwege von heute in ein paar Jahrzehnten noch geben wird.
1. Müssen solche Tools auch erstmal programmiert werden und da stellt sich die Frage: Funktionieren sie zuverlässig?
2. Um nach etwas zu suchen, muss man erstmal wissen wonach man sucht. Frei nach Ludwig Wittgenstein: "Warum hat die Rose keine Nase, weil man nicht weiss wo man da suchen soll."
Wir sehen doch alle nach den Vorfällen der vergangenen Jahre, dass das nicht funktioniert und die Sachen noch viel trivialer sind, als ein Betriebssystem zu manipulieren: Da vergisst das amerikanische Militär bei ihren Drohnen die gesendeten Daten zu verschlüsseln, OpenSSL, was ja immerhin OpenSource ist, also jeder nachsehen kann, funktionierte über viele Jahre überhaupt nicht und so geht es lustig weiter.
Jeder Entwickler weiss, dass das «normale» Fehler sind. Beim Entwickeln schaltet man SSL aus, weil es dann einfacher ist die Daten zu beobachten, gibt sich selber ein ganz schwaches Passwort, wenn überhaupt, weil das hundertmalige Eintippen des Passworts beim Testen der Software nervt, … und vergisst dann am Ende, das wieder rauszunehmen.
Passwörter sind überhaupt so eine Sache: Da wird der Mitarbeiter alle paar Wochen genervt, ein neues Passwort einzugeben für seinen beschränkten Zugang und die Adminpasswörter sind der Brüller.
Was man tuen sollte, weiss ich nicht. Aber es ist sicherlich nicht der richtige Weg, Sicherheit immer oben aufzuflanschen, als sich was zu überlegen, das Sicherheit die Basis ist. Deshalb glaube ich auch nicht, dass es die Kommunikations- und Datenaustauschwege von heute in ein paar Jahrzehnten noch geben wird.