Da sollte er gleich bei Microsoft und anderen Branchengrößen anfangen, denn Windows ist bekanntlich mit zahlreichen Sicherheitsmängeln ausgestattet. Und dann sollte er auch gleich die US-Geheimdienste mit verklagen, denn diese haben laut aktuellen Berichten Zero-Day-Exploits in Microsoft-Produkten (mutmaßlich auch in aktiver Zusammenarbeit mit Microsoft) zur Massenauspähung verwendet.

Wenn daraus aber ein gesetzlicher Hebel zur Zerstörung der einheimischen Software-Industrie und von Mittelstands- sowie Kleinfirmen werden sollte, dann nur zu - einen besseren Anlass für die Abwanderung von steuer-generierenden Betrieben aus Deutschland und den Abbau der einheimischen Wirtschaft kann man sich gar nicht vorstellen ...

Zusammenfassung: Ein solches Gesetz dürfte nicht zu allgemein gehalten sein, sondern müsste sehr spezifisch bei den in der Praxis aufgetretenen Gefährdungen ansetzen. Dazu zählt etwa die mangelhafte Absicherung von Internet-Geräten wie Router, Web-Cams und von WLAN-Netzen. Ich habe allerdings Sorge, dass Lobbyisten bei der Umsetzung ein gewichtiges Wort mitreden werden ...

--
Wenn man beim Programmieren Fehler macht, dann meckert der Compiler.

Es ist ja schön, wenn für kommerzielle Software gehaftet werden muss. Vermutlich steht in den AGB, die keiner liest, dann die Einschränkung.

Besser wäre es, wenn Schellnhuber oder Rahmstorf persönlich für ihre Klimasimulationssoftware aus Potsdam haften müssten. Und wenn nicht die, dann die Ministerin, die daraus 'Klimaschutz'-Maßnahmen ableitet.

Eine gute Quelle für spezifische aktuelle Informationen zum Thema IT-Sicherheit ist im deutschen Sprachraum die Website heise Security.

Für Nutzer des Gelben Forums dürfte daraus folgender Artikel interessant sein:

Riesiges Necurs-Botnetz wird nun anscheinend zur Aktienmanipulation eingesetzt

--
Wenn man beim Programmieren Fehler macht, dann meckert der Compiler.

Hallo CenTao,

es gibt ja derzeit eine ganze Reihe von neuen Gesetzesänderungen und
Vorschlägen, die die Zukunft hell erstrahlen lassen.

Soso?

"Noch in dieser Legislaturperiode wolle er ein Gesetz zur Produkthaftung
für mangelhafte Software auf den Weg bringen, sagte der CDU-Politiker
Thomas Jarzombek im DLF."

Ein paar Anmerkungen dazu: Es werden im Interview mehrere Themen vermischt und Thomas Jarzombeks offensichtliche Inkompetenz ist schmerzhaft.

Zu Anfang des Gesprächs geht es offensichtlich um die Firmware von Hardware. Um da eine wirksame Änderung durchzudrücken, bräuchte es A) internationale Regeln, oder B) ein Importverbot für alle ausländische Hardware. Beides ist unrealistisch.

Wenn A), dann bräuchte es eine Zertifizierungsstelle, welche eine Firmware auf Sicherheitslücken überprüft. Das würde Einsicht in den Quellcode und intimste Hardwarekenntnisse voraussetzen. Unmöglich. Angenommen, die Hersteller würden tatsächlich gezwungen, die Hosen herunterzulassen, und beides zugänglich zu machen, garantiert dies keine Sicherheit. Wenn der Prüfer nichts findet, bedeutet das nicht, das die Firmware sicher ist, sondern nur, dass bisher nichts gefunden wurde. Davon abgesehen wurde bisher so ziemlich jede Hard- u. Software gehackt - es gibt sogar regelmäßig Wettbewerbe dafür (die Dienste versuchen da gern zu rekrutieren). Die Frage lautet nicht, ob man "irgendwo reinkommt", sonder nur, wie aufwendig das wird.

Alternative: Nicht zertifizieren, aber Hersteller verklagen, wenn was schiefgeht. Ergebnis: Massenhaft insolvente Hersteller. Die Frage wäre nicht "ob", sondern nur "wann".

Bekannte Sicherheitslücken in Hard- und Software: Die Geheimdienste geben viel Geld dafür aus, solche Infos zu kaufen bzw. selbst zu eruieren, oder gar selbst zu verursachen. Inkl. Manipulationen direkt beim Chiphersteller(!). Die wären sicher nicht begeistert, wenn ihnen der gutbestückte Werkzeugkasten weggenommen würde.

"Schulz: Und der Staat wird dann künftig auch, anders als bisher ja geschehen, seinerseits keine Sicherheitslücken mehr sammeln? Das ist ja teilweise ein Anreiz der Ermittler, wenn sie wissen, diese und jene Software ist da und dort angreifbar, das merken wir uns mal, vielleicht wollen wir da noch mal drauf zurückgreifen. Das hört dann auch auf?

Jarzombek: Die Legende wird natürlich immer erzählt. Aber ganz ehrlich: Da müssen Sie mal mit Herrn Schönbohm reden. Er hat als BSI-Chef die Aufgabe, für IT-Sicherheit zu sorgen und gegen Lücken anzukämpfen, und das tut er, glaube ich, auch sehr energisch. Dass auf der anderen Seite der Bundesnachrichtendienst auch eine Möglichkeit haben muss, bei einem Gefährder auf das Smartphone zu kommen und zu sehen, ob da jemand wirklich konkret eine Terrorplanung macht, das ist, hoffe ich, auch unstrittig."

Die eierlegende Wollmilchsau mal wieder. Praktisch unmöglich. Entweder es gibt Hintertüren (=einfach angreifbar), oder nicht (Angriff schwieriger, aber auch nicht unmöglich).

"Jarzombek: Wissen Sie, das Problem ist, dass es so unendlich viele Sicherheitslücken gibt"

Korrekt.

"und dass es sehr viele Sicherheitslücken gibt, die auch noch überhaupt nicht erkannt sind,"

Auch korrekt.

"dass wir wahrscheinlich dafür keine so einfachen Lösungen finden werden, dass es nie wieder eine Lücke gibt,"

Nicht nur keine einfache, sondern gar keine, weil unmöglich.

"sondern das, was wir machen müssen, ist dafür zu sorgen, dass diese Lücken, die auf dem Markt heute sind, die auch bekannt geworden sind, dass wir hier die Hersteller in Regress nehmen, sofort für eine Lösung zu sorgen,"

Das Ansinnen klingt nobel, gleicht aber einem gesetzlichen Verbot der Schwerkraft...

"weil ansonsten jeder 16jährige anfängt, mit Script-Lösungen sich bei ihnen ins Netz einzuhacken, und genau das muss verhindert werden und das ist unser Problem im Augenblick."

Problem erkannt. Lösung unbekannt. Ein Volkscomputer vielleicht? Für alle das gleiche Modell, entworfen, programmiert, getestet, verbessert und zertifiziert von den Besten der Besten der Besten des staatlichen Technologieministeriums? Da wäre die Todesstrafe für Hacker langfristig erfolgversprechender. Blöd nur, dass die bei internetfähigen Geräten irgendwo auf der Welt sitzen können. Also noch eine chinesische Mauer um das nationale "Internet". Nee, Moment - das wird Arbeitsplätze kosten. Verdammt!

Ist alles absurd, diese Büchse der Pandora bekommt man nicht mehr zu.

Man mag lokale Anbieter zwingen können, großflächig missbrauchte Lücken schneller zu stopfen, aber das ändert am grundlegenden Problem exakt nichts.

Die Komplexität heutiger Geräte bietet unendlich viele Angriffsvektoren und eine Trendwende ist nicht in Sicht. Im Gegenteil, das "Internet of things" wird uns zunehmend mehr Spaß bescheren. Völlig nutzlos, aber mit enormen Verheerungspotential.

Fazit: Politischer Aktionismus von jemandem, der entweder nicht weiß, wovon er spricht, oder, der weiß, dass seine Ankündigungen wirkungslos bleiben werden (müssen). Ich tippe auf ersteres.

Grüße,

Positiv.

- kein Text -

Wieder so ein Geschwafel von überbezahlten Dummschwätzern.

Warum?

Deshalb:

Autonomes Autofahren

Gesetz zum automatisierten Fahren: "Das Auto lenkt, der Fahrer haftet"

https://www.heise.de/newsticker/meldung/Gesetz-zum-automatisierten-Fahren-Das-Auto-lenk...

Mit anderen Worten: Der Fahrer haftet, wenn die Software einen Unfall verursacht.

(Wenn ich schriebe, für was ich Politiker wirklich halte, bekäme ich eine Strafanzeige.)

Alles Heuchler. Mit Null Ahnung von der Materie.

--
"Wenn ihr euch fragt, wie es damals passieren konnte:
weil sie damals (...)."
Henryk Broder