Wenig überraschend ist es, dass die NSA offensichtlich kommerzielle Produkte beeinflusst und Sicherheitslücken hat einbauen lassen. Eine alte Regel der Sicherheit bestätigt sich mal wieder: "Security by obscurity" - also Sicherheit durch das Verstecken von Informationen - funktioniert nicht. Sicherheit kann es nur dann geben, wenn alle Elemente der Sicherheitskette öffentlicher Kontrolle unterliegen.

Was folgt daraus? Nur Open Source Software kann tatsächlich für sicherheitsrelevante Abschnitte eingesetzt werden. Egal ob es um Transportsicherung geht - also bspw. OpenSSL - oder um Serversoftware oder um Router.

Ist Open Source Software perfekt? Weit gefehlt. Open Source Projekte fahren immer wieder mit Vollgas an die Wand. Fehler sind menschlich, sie passieren. Open Source Projekten fehlt üblicherweise auch das Geld um bspw. "Bug Bounty" Programme zu unterhalten und somit exter
nen Sicherheitsexperten einen starken Anreiz zu geben, die Software zu überprüfen. Bei solchen Programmen werden Meldungen von Sicherheitslücken belohnt, wenn sie bestimmten Regeln folgen (also bspw. erst das zuständige Sicherheitsteam informieren und Veröffentlichungen erst nach angemessener Frist, etc).

Für die Politik ergeben sich daraus mehrere Forderungen:

  1. In Schulen sollte ausschließlich Open Source Software eingesetzt werden. Ja, Linux auf den Desktops! Warum? Damit Schüler und Lehrer den Umgang mit dieser Software lernen und sie auch zu Hause einsetzen können. Wird in Schulen kommerzielle Software (bspw. Windows und MS Office) eingesetzt, müssen die Schüler zu Hause ähnliche Produkte einsetzen um Kompatibilität sicherzustellen.
  2. In Behörden sollte ausschließlich Open Source Software eingesetzt werden. Das dient einmal der Sicherheit vertrautlicher und sensibler Daten und andererseits dazu, dass Bürger ihrerseits nicht gezwungen sind kommerzielle Software einzusetzen.
  3. Behörden sollten den Einsatz öffentlich kontrollierter Kryptoverfahren forcieren - bspw. im Umgang mit Firmen sollte die Verwendung solcher Verschlüsselungsverfahren erzwungen werden.
  4. Der Staat muss den Umgang mit Verschlüsselungsprodukten in den Pflichtbildungskatalog aufnehmen - damit meine ich, dass es einerseits in die schulische und andererseits in die Erwachsenenbildung aufgenommen werden muss.
  5. Der Staat muss eigene Bug Bounty Programme fördern und Open Source Projekte finanziell dafür unterstützen. Projekte wie Bugcrowd oder andere öffentlich kontrollierte Vermittler-Projekte könnten die Verwaltung staatlicher Fonds übernehmen, die Sicherheitsmeldungen gehen an die jeweiligen Projekte. Dabei kann die Förderung auf strategisch relevante Projekte - wie bspw. Verschlüsselungssoftware und -protokolle, Betriebssysteme, Serverprodukte, oÄ beschränkt werden. Die Meldung der Lücken erfolgt dabei aber NICHT an staatliche Stellen sondern an die Projekte, diese bestätigen die Meldung dem Bug Bountry Programm.

Für den Staat wäre insbesondere (5) ein günstiges Programm, Bug Bounty Programme kosten nicht viel, bringen aber einiges. (1) und (2) sparen langfristig Geld, (3) ist eigentlich eine Selbstverständlichkeit und (4) eine notwendige Folge aus der Bespitzelungsaffäre.

Also - worauf warten wir noch?

Blog reactions

No reactions yet.

Creative Commons Attribution 3.0 Germany
This Work, 5 Notwendige staatliche Folgen aus der Backdoor-Veröffentlichung, by Sebastian Nerz is licensed under a Creative Commons Attribution license.

Flattr