Warum gibt es überhaupt eine IT-Security-Industrie?

Schneier erklärte in einer Rede auf der auf IT-Sicherheits-Themen fokussierten Konferenz ‘Infosecurity Europe 2007’, dass selbst das Stattfinden dieser Konferenz ein Problem darstelle. “Eigentlich sollten sie überhaupt nicht auf diese Show kommen müssen”, so Schneier.

Laut Schneier müsste es keine Unternehmen geben, die E-Mail-Sicherheit verkaufen, sondern, E-Mails sollten bereits an sich sicher sein. Gleiches gelte für Netzwerke und Server. “Unsere Netzwerke und Server sollten bereits sicher sein”, wetterte Schneier.

Sicherheit sei ein kleines aber wichtiges Teil des “großen Bildes”, erklärt Schneier. Anwender sollten es schlicht nicht akzeptieren, dass ein gekauftes Produkt in sich selbst unsicher sei.

Da aber Software und andere Infrastruktur von Menschen konzipiert und umgesetzt werden, weisen sie nun einmal Fehler auf, entgegnete Jon Collins, Analyst bei Freeform Dynamics. Neben unsicheren Produkten existiere auch noch die Fehlerquelle Anwender. So würden immer wieder Produkte auf unsichere Weise implementiert. Daher sei die Vision fehlerfreier Software zwar eine schöne Utopie, die jedoch sehr weit in der Zukunft liege. Bis es soweit sei, müsse man wohl oder übel weiterhin Geld für Sicherheitslösungen ausgeben.