Logisch, FeFe?

Werwöhlfe sind keine Hacker. Insofern sei Felix von Leitner ein deutlicher Know-How-Vorsprung zugestanden. Aber die Gesetze der Logik sollten auch für Hacker gelten, wenn sie sich öffentlich äußern. Daran scheint es etwas zu hapern.

Aber es hat Jahre gedauert, bis sich jemand dazu geäußert hat. Es gab diese Schere im Kopf bei den Antivirus-Leuten. Sie dachten, wir können darüber nicht publizieren, denn es könnte ja unsere Regierung sein, die mit diesem Trojaner gegen Terroristen vorgeht. Das ist wirklich krass, denn es gibt ja nicht nur Antivirenhersteller in den Vereinigten Staaten, sondern auch in Großbritannien, Deutschland oder Russland. Und das ist die politische Dimension der ganzen Sache.

Hat die Wirtschaft hier versagt?

Eindeutig. Der Wirtschaft geht es nicht vordringlich darum, uns zu schützen, sondern Geld zu verdienen. Von daher sollte es nicht den Virenherstellern überlassen sein, Trojaner aufzudecken, sondern dem Staat.

Also ganz langsam: Weil „die Wirtschaft“ der Meinung war, ihre Regierung sei am Werk, hat sie bei der Aufdeckung von Trojanern versagt. Wohl in Kauf nehmend, dass ihre Software deswegen als weniger zuverlässig erscheint, sobald dies bekannt wird. Wie wahrscheinlich ist das? Und wo liegt da das wirkliche Problem? Bei „der Wirtschaft“? Oder nicht doch „ihrer Regierung“, der man sowas zutraut?

Was sollte die Gesellschaft tun?

Ich fordere, dass Deutschland aufhört, sich an diesem Spiel zu beteiligen. Wir müssen den Markt für Zero-Day-Sicherheitslücken abschaffen. Denn natürlich steigt der Anreiz, Schwachstellen zu finden, wenn Geheimdienste Unsummen für sie ausgeben. So entsteht nicht nur ein Markt für Trojaner wie „Regin“, sondern auch zu ihrer Verteidigung, und beide Märkte bilden eine Symbiose. Der einzige Ausweg ist, dass die Bundesregierung aufhört, Zero-Day-Sicherheitslücken über den BND zu kaufen. Irgendwer muss damit anfangen. Das hätte Signalwirkung und würde den Markt auf lange Sicht implodieren lassen.

Aber die Geheimdienste Chinas, Russlands und der Vereinigten Staaten würden doch nicht damit aufhören, Sicherheitslücken zu kaufen.

Deswegen sollten wir gleichzeitig Sorge tragen, dass es weniger Schwachstellen im Angebot gibt.

Das ist doch großartig: Ich mache erst einen genialen Vorschlag zur generellen Lösung des Problems und lege dann die eigentlich relevante Forderung nach, die im Grunde nur bestätigt, dass mein erster Vorschlag Bullshit war, aber nicht halb so viel Beifall von der politisch gewünschten Seite erhalten würde.

Von Leitner unterstellt hier, dass der staatliche Ehrgeiz, von Software-Lücken als erstes zu erfahren, diese erst produzieren würde. Nun, spätestens seit dem „Heartbleed“-Desaster wissen wir, dass es für heftige Lücken solcher angeblichen Anreize nicht bedarf, und dass sie sogar direkt vor den Augen Anderer lange Zeit existieren können. 

Es ist auch nicht zu verstehen, warum er so kurz springt. Open Source ist zwar offensichtlich keine Garantie gegen fatale Bugs, aber viele Augen sehen mehr als nur zwei oder vier oder acht. Wenn wir also über staatliche Anreize sprechen, dann vielleicht doch darüber, Programmierungs-Know-How so weit zu fördern, dass es sich für möglichst viele lohnt, Code zu prüfen (normalerweise wenig ruhmreich) statt ihn zu verfassen (normalerweise sehr ruhmreich). Und natürlich Open Source überhaupt voran zu bringen. 

Wie wäre das statt mühevoll provozierender, aber letztlich unwirksamer Vorschläge?

Advertisements


Platz für Senf.

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s