Das was faul ist im Bereich der Cyber Security dürfte wohl endgültig klar geworden sein als WannaCry auf den Anzeigetafeln der Deutschen Bahn erschien und in Großbritannien Krankenhäuser lahm legte. Laut der Rheinischen Post [1] hat die Innenministerkonferenz dazu eine ganz geniale Idee: Es sollen europaweite Gütesiegel für die IT-Sicherheit definiert werden.
In der Schule hieße es jetzt: Thema verfehlt, setzen, 6.
Natürlich werden bei dieser Nachricht in den Chefetagen der einschlägigen Zertifizierer die Sektkorken geknallt haben. Diese Branche ist seit Jahren dabei sich immer mehr zur Pest der EU Regulierungen zu entwickeln mit ihren guten Ratschlägen wie Richtlinien so gestaltet werden können, dass man ihre Einhaltung zertifizieren kann.
Damit lässt sich viel Geld verdienen, für die Zertifizierer. Und man kann so auch nebenbei die nicht so finanzstarke Konkurrenz von Startups und KMUs aus zukunftsträchtigen Märkten fernhalten.
Nur für die Sicherheit bringt das genau nichts. Das ist jedem der sich mit dem Softwareentwicklungsprozess auch nur halbwegs auskennt sofort klar.
Ein Zertifikat kann nur eine Momentaufnahme einer bestimmten Version der Software für ein Gerät erfassen. Und eine Zertifizierung kann nicht alle Sicherheitslücken aufspüren, da immer nur nach bereits bekannten Angriffsmöglichkeiten gesucht werden kann.
Daraus ergibt sich, dass ein Sicherheitszertifikat vom Start weg nichts wert ist. Es belegt nur, dass die üblichen Tests gemacht wurden. Sicher und fehlerfrei ist das Gerät damit noch lange nicht.
Außerdem erhöht das Zertifikat die Gefahr, dass neu entdeckte Lücken nicht umgehend geschlossen werden. Dann müsste ja neu zertifiziert werden. Jede noch so kleine Änderung könnte neue Sicherheitslücken zur Folge haben. Oder versehentlich wird die Software in einer anderen Fassung erzeugt, die z.B. Testfunktionen mit enthält, die den leichten Zugriff erlauben. Also geht kein Weg an einem kompletten Test vorbei. In der frühen Vermarktungsphase eines Produktes könnte das dann eine Zertifizierung pro Woche nach sich ziehen. Pro Produkt. Wie gesagt: Sektkorkenknallen…
Das vorhersehbare Ergebnis dieser Schnapsidee der Neulandfremdlinge sind dann noch mehr Produkte mit nicht ansatzweise aktueller Software, Zertifikate auf Produkten die massive Sicherheitslücken haben und jede Menge KMU und Startups die pleite gehen oder gar nicht erst Produkte auf den Markt bringen. Dem Hersteller der seine Updates hinaus zögert wird das veraltete Zertifikat im Schadensfall auch nicht helfen, Sorgfaltspflicht verletzt UND Geld für Zertifikate aus dem Fenster geschmissen.
Es gibt einen ganz klaren Punkt an dem dieses Problem angegangen werden kann und muss: Bei der Haftungsfrage. Wer fahrlässig unsichere Produkte auf den Markt bringt oder bekannte Sicherheitslücken nicht schließt muss im Schadensfall haftbar gemacht werden. Genau so müssen auch Anwender die Updates nicht installieren haftbar gemacht werden. Dies war bei WannaCry das größte Problem, die Sicherheitslücke war eigentlich seit März geschlossen, wenn man denn die Updates installiert hätte.
Und an einer Stelle ist der Staat ganz klar in die Verantwortung zu nehmen. WannaCry war nur möglich, weil die NSA jahrelang eine Sicherheitslücke in Windows selber ausnutzte, statt diese an Microsoft zu melden, damit sie geschlossen werden kann, dummerweise wurde dieses Wissen dann gestohlen.
Es ist absolut nicht hin zu nehmen, dass staatliche Stellen sich so verhalten und damit unsere Sicherheit gefährden. In Deutschland wird mit ZITIS grad eine ähnlich gefährliche Institution geschaffen, die Sicherheitslücken ausnutzen soll, statt wie das BSI zur IT-Sicherheit beizutragen. Damit ist dann die nächste Krise vorprogrammiert.
Wäre es zu viel verlangt von der Innenministerkonferenz zu erwarten, dass sie sich um echte Sicherheit bemüht? Ach, hab dabei vergessen, das ist ja alles Neuland.
Haftungsfrage ist kein Allheilmittel. Damit tötet man nur freie Lizenzen. Lies z.B. mal die GPL
NO WARRANTY
11. BECAUSE THE PROGRAM IS LICENSED FREE OF CHARGE, THERE IS NO WARRANTY FOR THE PROGRAM, TO THE EXTENT PERMITTED BY APPLICABLE LAW. EXCEPT WHEN OTHERWISE STATED IN WRITING THE COPYRIGHT HOLDERS AND/OR OTHER PARTIES PROVIDE THE PROGRAM “AS IS” WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE PROGRAM IS WITH YOU. SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF ALL NECESSARY SERVICING, REPAIR OR CORRECTION.
12. IN NO EVENT UNLESS REQUIRED BY APPLICABLE LAW OR AGREED TO IN WRITING WILL ANY COPYRIGHT HOLDER, OR ANY OTHER PARTY WHO MAY MODIFY AND/OR REDISTRIBUTE THE PROGRAM AS PERMITTED ABOVE, BE LIABLE TO YOU FOR DAMAGES, INCLUDING ANY GENERAL, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES ARISING OUT OF THE USE OR INABILITY TO USE THE PROGRAM (INCLUDING BUT NOT LIMITED TO LOSS OF DATA OR DATA BEING RENDERED INACCURATE OR LOSSES SUSTAINED BY YOU OR THIRD PARTIES OR A FAILURE OF THE PROGRAM TO OPERATE WITH ANY OTHER PROGRAMS), EVEN IF SUCH HOLDER OR OTHER PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES.