Sicherheits-Guru: Hersteller müssen für Bugs haften

EnterpriseSoftware

Sicherheits-Guru Bruce Schneier hat sich mit einer provokanten Rede von der RSA-Konferenz in Wien verabschiedet und damit vielen Anwendern aus der Seele gesprochen.

Sicherheits-Guru Bruce Schneier hat sich mit einer provokanten Rede von der RSA-Konferenz in Wien verabschiedet und damit vielen Anwendern aus der Seele gesprochen. Um die Sicherheit im Internet zu steigern, sollten Internet Provider und Softwarehersteller für Sicherheitslücken in ihren Angeboten haftbar gemacht werden können. “Derzeit tragen jene die Kosten für Sicherheitslücken, die unter ihnen leiden”, so Schneier.

Derzeit herrsche ein grober Missstand: Unternehmen geben Unmengen von Kapital aus, um die Fehler von Softwareherstellern zu beheben oder abzusichern, und auch Privatpersonen und Regierungen investieren viel Zeit und Geld in die Weiterbildung der Anwender, damit diese mit benutzerunfreundlicher und unsicherer Software umgehen lernen.

Dabei würde es bereits genügend technische Lösungen geben, um Software sicherer zu machen. Schneier fordert deshalb Gesetze, die es erlauben, Softwareunternehmen leicht auf Schadensersatz zu verklagen, wenn man als Anwender wegen eines Sicherheitsproblems Geld verliert. Eine entsprechende gesetzliche Regelung wünscht sich Schneier auch für ISPs (Internet Service Provider), damit alle Provider eines Landes verpflichtet werden, Dienste für mehr Sicherheit anzubieten.

Die Frage, wer für Sicherheitslücken haftet, erhitzt derzeit die Gemüter. Erst in der vergangenen Woche hatte sich ein ehemaliger Berater des Weißen Hauses in Sachen Cybersecurity, Howard Schmidt, dafür ausgesprochen, Softwareentwickler für die Sicherheit ihrer Codezeilen verantwortlich zu machen.

Bereits damals hatte Schneier dieser Forderung in seinem Blog widersprochen und auf die Verantwortung der Softwareunternehmen verwiesen – diese seien jedoch nur an ihrem Gewinn interessiert. “Sie versuchen die Kosten für sicherere Software – zusätzliche Entwickler, weniger Features, spätere Markteinführung – mit den Kosten für unsichere Software abzugleichen: Patch-Aufwand, gelegentlich schlechte Presse, möglicher Umsatzverlust”, schreibt es dort. “Das Ergebnis ist, dass unsichere Software die Regel ist.”