Re: [FYI] Mr Erkki Liikanen on Internet security and privacy

[Florian Weimer <fw@deneb.enyo.de>]

kris@koehntopp.de (Kristian Koehntopp) writes:

> Das ist natuerlich von objektiver Sicherheit verschieden, aber
> ein realer Prozess mit realen politischen, finanziellen und
> taeglich gelebten Konsequenzen und daher deutlich verschieden
> von "Politiker-Gewaesch". Es existiert dringender und realer
> "Sicherheit-Outsourcingbedarf" bei Waehlern, und es ist dringend
> notwendig fuer die Teilnehmer an der politischen Diskussion,
> hier Loesungen zu praesentieren und anzubieten.

Das ist doch jetzt Zynismus pur. Ich will ja gar nicht bestreiten, daß
in dieser Zeit für einen Politiker überlebenswichtig ist, Sicherheit
zu versprechen und ein Gefühl von Sicherheit zu vermitteln, unabhängig
davon, ob eine Bedrohung existiert oder irgendein Schutz. Aber
andererseits ist doch recht schwer zu leugnen, daß diese Sehnsucht
nach Sicherheit aus vermeintlich vergangenen Zeiten stammt und in
einem Zeitalter der Aufklärung (in dem wir uns, wenn überhaupt,
immer noch befinden), auf dem Weg über die offene zur abstrakten
Gesellschaft leicht deplaziert wirken muß.

Es ist natürlich wesentlich leichter, Menschen mit ihren Gefühlen zu
beeinflussen, als ihnen zu erklären, warum sie diese Gefühle haben,
warum diese manchmal angebracht sind, manchmal nicht. Die Naivität
im Umgang mit nicht ganz ungefährlicher Technik einerseits und die
unterschwellige vorhandene und vielfach geschürte Angst vor dem
BÖsen aus dem Netz bergen eine besondere Möglchkeit zur Lenkung,
eine Möglichkeit, die selbstverständlich niemand aufgeben will. Auch
ernährt sich eine ganze Industrie davon.

[Kriminalisierung von Recherche im Computersicheitsbereich]

> Erster Schritt: Wir etablieren eine Reihe von Institutionen, die
> Security offiziell machen.

Das ist bisher in Deutschland ziemlich kläglich gescheitert, auch wenn
zahlreiche Versuche unternommen wurden. Mag sein, daß hinter den
Kulissen mittlerweile einiges geschieht, aber meines Wissens gibt es
in Deutschland keine Institution, die sich offiziell mit
Computersicherheit für die Öffentlichkeit beschäftigt *und* öffentlich
präsent ist.

> Ich denke mal, so oder so aehnlich wird es binnen der naechsten
> fuenf oder sieben Jahre umgesetzt werden.  

Dieser Zeitrahmen ist eindeutig zu lang, bis dahin wird es in
Deutschland im Computersicherheitsbereich ganz andere Entwicklungen
gegeben haben, wobei es fraglich ist, ob sich diese einfach so
umkehren lassen.

> Komplett mit Sicherheitsberatungsverbot fuer Laien.

Als Laie hätte ich dagegen nicht einmal etwas einzuwenden, wenn
es denn funktionieren würde: in Verbindung mit verpflichtender
Sicherheitsberatung für Leute, die irgendwas an öffentliche
Computernetze anschließen. Momentan ist es so, daß ein
kompromittierter Host in der Regel überall Kosten verursacht,
nur nicht beim Verantwortlichen. Das muß geändert werden, und
zwar in einer Weise, so daß Fahrlässigkeit auf Seiten des
Host-Verantwortlichen ziemlich wehtut.

Leider gibt es natürlich ganz erhebliche Probleme mit der Tatsache,
daß es in Deutschland auch in absehbarer Zukunft keine Möglichkeit
geben wird, eine anerkannte Ausbildung zu absolvieren, die einen
in der Praxis dazu befähigt, sowohl konzeptionell zu beraten als
sich auch die Fähigkeit zu erhalten, gängige Implementationen zu
beurteilen (letzteres kann man nicht direkt vermitteln, da die
Inhalte zu schnell veralten). Aufgrund der Breite des Feldes, das im
Extremfall Kenntnisse in Algebraischer Geoemetrie, Prozessordesign
und (nahezu) Atomphysik erfordert, ist auch mit Prüfungen nur schwer
herauszubekommen, ob jemand qualifiziert ist, sich kompetent zu einem
breiteren Themengebiet zu äußern. (Außerdem: Wer soll prüfen?) Der
Scharlatanerie wird man also wieder einmal nicht beikommen können,
und damit bringt das Sicherheitsberatungsverbot am Ende doch keinen
Vorteil.