Wäre dann eine allgemeine Zertifizierung von Software, beispielsweise durch das BSI, nicht eine sinnvolle Lösung? Bei den Daten für den Personalausweis etwa geht der Bundesbürger – bei aller Kritik – auch davon aus, dass sie vertrauensvoll verwaltet werden. Ließe sich Trusted Computing beziehungsweise diverse Schlüssel nicht ähnlich verwalten? Ist die deutsche Politik in der Lage zu bestimmen, was eine gute beziehungsweise sichere Hard- und Software ist? Der Präsident des BSI, Udo Helmbrecht, dazu:
„Die Frage ist also: Welche Rechner lassen sich leichter auspusten? Die mit Windows oder die Linux? So schwarz-weiß lässt sich das nicht malen. Wenn wir von Zertifizierung sprechen, meinen wir Zulassung. Beispielsweise, wenn ein Programm bei der Bundeswehr eingesetzt werden soll, dann schauen wir uns das vorher an. Im Falle von Linux heißt das, dass jemand einen Antrag auf Zertifizierung stellen muss, das ist aber ein freiwilliger Akt, anders etwa beim Kraftfahrtbundesamt. Da gibt es den Zwang, ihr Auto überprüfen zu lassen. Anders bei Software: da darf jede Klitsche etwas produzieren, dass dann eingesetzt wird. Aktuell sind wir dabei, ein neues Zertifizierungsverfahren aufzubauen, womit wir wie der TÜV einen Stempel ausgeben können. Problem: Aktuell ist es so, dass wenn wir von Zertifizierung sprechen, wir verschiedene Levels meinen. Die fangen bei 1 an, bei 4 ist mein Hochsicherheitsbereich, 5 ist national und 7 schafft kaum einer. Wen wir so etwas zusammen mit IBM oder Suse machen, dann dokumentieren wir damit die Sicherheit des Betriebssystems oder des Servers. Aber ähnlich wie beim TÜV können Sie nie sicherstellen, dass Ihr Auto oder Ihr Programm nicht in der nächsten Kurve rausfliegt.“
Einen gewissen Sicherheitsstandard wäre aber durchaus wünschenswert – sowohl bei Autos als auch bei Softwareprogrammen. Wozu hat man denn sonst Behörden? Helmbrecht dazu:
„Ob das alle wollen ist nicht klar. Wir haben heute kein Konzept für so etwas. Bisher ist die Zertifizierung freiwillig. An welcher Stelle soll der Staat eingreifen und fordern? Gehen wir morgen hin und tun das, schreit sofort die Wirtschaft und erklärt, wie viele Hunderttausende zusätzlich dadurch auf sie zukommen. Wir hätten also vorher erst eine Diskussion zu führen, zu welchem Grad der Staat Zwang ausüben soll.“
Neu entwickeltes Open-Source-System soll Signatur-Umgehungen durch adaptive Missbrauchserkennung transparent machen.
Von mindestens einer Schwachstelle geht ein hohes Sicherheitsrisiko aus. Betroffen sind Chrome für Windows, macOS…
Digitale Währungen haben in nur kurzer Zeit die komplette Finanzlandschaft auf den Kopf gestellt. Mit…
Mindestens eine Anfälligkeit erlaubt eine Remotecodeausführung. Angreifbar sind alle unterstützten Versionen von Android.
Ein einziges IT-Problem kann ein gesamtes Unternehmen zum Stillstand bringen. Insbesondere sicherheitsrelevante Vorfälle bedrohen dabei…
Viele Sicherheitsanwendungen erkennen die absichtlich beschädigte Dokumente nicht als gefährliche Dateien. Die Hintermänner haben es…