Schon die im Artikel genannten 4 Massnahmen (von 15) sind eine derart
illustre Mischung, dass man die garnicht im Paket diskutieren kann.
Darum mal einzeln:
> Die Entwickler sollen künftig für die Löcher in ihrer Software haften;
Unsinnige Forderung, wie haftet man denn für ein Sicherheitsloch?
Höchstens haftet man für den durch die Existenz eines solchen
entstehenden Schaden. Wenn man das konsequent umgesetzt würde, würde
komerzielle Software unbezahlbar teuer, da die Entwickler
entsprechende Risiken bzw. die Kosten zu ihrer Verringerung auf den
Preis aufschlagen müssen. Und wie macht man die Entwickler von Open
Source Software haftbar? Was wenn der Hersteller pleite ist?
--> untauglich
> Sicherheitslücken sollen künftig kostenfrei gestopft werden müssen. Dazu
> sollten die virtuellen Flicken von den übrigen Softwareaktualisierungen
> getrennt auf die Kundensysteme aufgespielt werden;
Werden sie eigentlich heute schon. Die Frage ist nur wie lange - wie
lange muss ich als Entwickler Patches für alte Zweige meiner Software
zur Verfügung stellen? Bis in alle Ewigkeit? Wiederum würde
komerzielle Software unbezahlbar teuer, ausserdem entstünde die
paradoxe Situatuion, das es bei einem gewissen Alter irgendwann viel
einträglicher ist, eine komplett neue Software (mit komplett neuen
Sicherheitslücken) zu entwickeln als eine alte, gereifte, weitgehend
sichere Software, wo jede kleine Lücke einen riesigen Rattenschwanz
von Patches für ale Vorgängerversionen erfordert, zu unterhalten. Und
was ist hier wenn der Hersteller pleite ist? Was ist mit Open Source?
--> unausgegoren
> Serverbetreiber sollen öffentlich genannt werden, wenn sie ungebetenen Besuch
> nicht verhindern konnten
Analog wird dann auch ein Pranger für Opfer von Einbrüchen ("nicht
genug abgesichert"), Gewalttaten ("nicht gut genug in
Selbstverteidigung") und Betrug ("Zu doof") eingeführt? Absurd.
> Anwender sollen virtuelle Flicken genauso auf ihre Systeme spielen müssen,
> wie sie im Auto verpflichtet sind, den Gurt anzuschnallen
Wer kontrolliert das? Im Gegensatz zum Gurtanlegen ist das
vollständige Patchen selbst eines einfachen Consumer-PCs mit der
üblichen Software durchaus nicht trivial - die Kontrolle noch viel
weniger.
> Markenartikler, die ihren Kunden – wie [extern] Sony 2007 - Spionagesoftware
> unterschieben, sollen sich künftig strafrechtlich verantworten.
Na das ist mal ein full ack - warum das nicht selbstverständlich ist,
ist mir eh unklar.
Von der ganzen Herangehensweise her (Haftung, Verpflichtung,
Überwachung, Kontrolle) scheint mir dieser Katalog weder das Werk von
Juristen (zuviele entsprechende Schnitzer, z.B. Punkt 1 und 3) noch
von Informatikern (Punkt 1 und 2), sondern von Politikern zu sein,
denen die Fachkompetenz, taugliche Massnahmen für das
Software-Sicherheitsproblem zu entwickeln, völlig abgeht.
illustre Mischung, dass man die garnicht im Paket diskutieren kann.
Darum mal einzeln:
> Die Entwickler sollen künftig für die Löcher in ihrer Software haften;
Unsinnige Forderung, wie haftet man denn für ein Sicherheitsloch?
Höchstens haftet man für den durch die Existenz eines solchen
entstehenden Schaden. Wenn man das konsequent umgesetzt würde, würde
komerzielle Software unbezahlbar teuer, da die Entwickler
entsprechende Risiken bzw. die Kosten zu ihrer Verringerung auf den
Preis aufschlagen müssen. Und wie macht man die Entwickler von Open
Source Software haftbar? Was wenn der Hersteller pleite ist?
--> untauglich
> Sicherheitslücken sollen künftig kostenfrei gestopft werden müssen. Dazu
> sollten die virtuellen Flicken von den übrigen Softwareaktualisierungen
> getrennt auf die Kundensysteme aufgespielt werden;
Werden sie eigentlich heute schon. Die Frage ist nur wie lange - wie
lange muss ich als Entwickler Patches für alte Zweige meiner Software
zur Verfügung stellen? Bis in alle Ewigkeit? Wiederum würde
komerzielle Software unbezahlbar teuer, ausserdem entstünde die
paradoxe Situatuion, das es bei einem gewissen Alter irgendwann viel
einträglicher ist, eine komplett neue Software (mit komplett neuen
Sicherheitslücken) zu entwickeln als eine alte, gereifte, weitgehend
sichere Software, wo jede kleine Lücke einen riesigen Rattenschwanz
von Patches für ale Vorgängerversionen erfordert, zu unterhalten. Und
was ist hier wenn der Hersteller pleite ist? Was ist mit Open Source?
--> unausgegoren
> Serverbetreiber sollen öffentlich genannt werden, wenn sie ungebetenen Besuch
> nicht verhindern konnten
Analog wird dann auch ein Pranger für Opfer von Einbrüchen ("nicht
genug abgesichert"), Gewalttaten ("nicht gut genug in
Selbstverteidigung") und Betrug ("Zu doof") eingeführt? Absurd.
> Anwender sollen virtuelle Flicken genauso auf ihre Systeme spielen müssen,
> wie sie im Auto verpflichtet sind, den Gurt anzuschnallen
Wer kontrolliert das? Im Gegensatz zum Gurtanlegen ist das
vollständige Patchen selbst eines einfachen Consumer-PCs mit der
üblichen Software durchaus nicht trivial - die Kontrolle noch viel
weniger.
> Markenartikler, die ihren Kunden – wie [extern] Sony 2007 - Spionagesoftware
> unterschieben, sollen sich künftig strafrechtlich verantworten.
Na das ist mal ein full ack - warum das nicht selbstverständlich ist,
ist mir eh unklar.
Von der ganzen Herangehensweise her (Haftung, Verpflichtung,
Überwachung, Kontrolle) scheint mir dieser Katalog weder das Werk von
Juristen (zuviele entsprechende Schnitzer, z.B. Punkt 1 und 3) noch
von Informatikern (Punkt 1 und 2), sondern von Politikern zu sein,
denen die Fachkompetenz, taugliche Massnahmen für das
Software-Sicherheitsproblem zu entwickeln, völlig abgeht.