ZDNet: Wie könnte denn nun ein wirklich neuer Ansatz für mehr Computersicherheit aussehen?
Brunnstein: Es gibt schon ein Konzept, mit dem man Computer vertrauenswürdig machen könnte, nämlich verschiedene Sicherheitskonzepte, von der Trusted Computing Base bis zur Trusted Computing Group. Wenn nicht die Interessen von IBM, Cisco und Microsoft etwa hinter der Trusted Computing Group stünden, wäre dies ein möglicher Weg. Es gab ja einmal ein Betriebssystem, das nicht von den Firmen, sondern von den Universitäten stammte. Dieses Multics war die Mutter aller neuen Sicherheitssysteme. Weil die damalige Hardware (ein auf vier Rechnerkernen mit vier kleinen Speicherbänken Speicher laufendes System) an Performanzproblemen scheiterte, hat man aus Multics den Sicherheitskern (den so genannten Referenz Monitor) herausgerissen. Daraus wurden dann später Unix und Linux. Also gilt: Unix und Linux ist Multics minus Sicherheit. Mit heutigen Prozessoren und Speichergrößen könnte Multics ein sehr sicheres und absturzarmes Arbeiten garantieren.
ZDNet: Warum kann die heute verwendete Software nicht sicher sein?
Brunnstein: Sichere Systeme liegen nicht im Interesse der heutigen Computerindustrie, in ihrer Kompetenz liegen sie auch nicht. Und wenn wir uns einmal die Entwicklung der Industriegesellschaft anschauen, hat es rund 80 Jahre gedauert, bis die Dampfmaschinen nicht mehr so häufig explodierten. Das wurde erst erreicht, als der Dampfkessel-Überwachungs-Verein die Qualität kontrollierte. Es hat auch rund 80 Jahre gedauert, bis mehr Sicherheit bei der Produktion von Automobilen berücksichtigt wurde. Und es braucht leider auch in der Informationsgesellschaft nach bisher rund 60 Jahren Entwicklung noch ungefähr zwanzig Jahre, bis die Unfälle so gravierend geworden sind, dass man die Sicherheitsdefizite nicht mehr akzeptiert.
ZDNet: Aber Anbieter sind doch auch Anwender – es muss doch auch in ihrem eigenen Interesse liegen, sichere Anwendungen zu produzieren?
Brunnstein: Ja, aber sie sind spezielle Anwender, dass heißt sie sind in einer bestimmten Denkweise geschult. Beispielsweise die Programmierer bei Microsoft: Diese machen Annahmen über die Bedürfnisse der Anwender, aber sie analysieren deren Risiken nicht. Fahrlässigerweise gehen sie von der Annahme aus, dass ihre vorgestellten technischen Maßnahmen in puncto Sicherheit bereits das Nonplusultra sind. Und Sie lernen nur schwer dazu! Aus der täglichen Erfahrung wissen wir: Ein Haus wird erst gegen Einbruch gesichert, wenn einmal eingebrochen wurde.
Vernetzte Produkte müssen laut Cyber Resilience Act über Möglichkeiten zur Datenverschlüsselung und Zugangsverwaltung verfügen.
Das jüngste Update für Windows, macOS und Linux stopft drei Löcher. Eine Anfälligkeit setzt Nutzer…
Zwei von Google-Mitarbeitern entdeckte Schwachstellen werden bereits aktiv gegen Mac-Systeme mit Intel-Prozessoren eingesetzt. Sie erlauben…
Die Hintermänner haben es unter anderem auf Daten von Facebook-Geschäftskonten abgesehen. Opfer werden über angebliche…
Bis 2027 werden 90 Prozent der Unternehmen eine Hybrid-Cloud-Strategie umsetzen.
Apple belegt in der Statistik von Counterpoint die ersten drei Plätze. Samsungs Galaxy S24 schafft…