Neuigkeiten Übersicht

Dumm
gelaufen!

Lizenz zum Schmunzeln
Glosse der Woche

E-Learning - Lernen mit freier Zeiteinteilung - Wo immer Sie wollen! EDV-Schule Heil, Fulda

Spaß im Internet gibt's massenhaft, aber die Lizenz zum Schmunzeln finden Sie nur hier!
30. Mai 2006:

Wenn Programmierer Brücken bauen...

Selbsterkenntnis ist der erste Schritt zur Besserung, heißt es. Wenn diese „Lebensweisheit“ stimmt, dürften die Produkte, die die Softwarefirma Oracle produziert, ihren Nutzern künftig keine grauen Haare mehr bereiten. Denn Mary Ann Davidson, bei Oracle für sichere Software zuständig, hat auf der letzten W3C-Konferenz im schottischen Edinburgh eine Selbsterkenntnis nach der anderen zum Besten gegeben. Oder meinte sie mit ihrer Kritik an den laxen Sicherheitsstandards in der Softwareindustrie lediglich die anderen? Egal ob Oracle, Microsoft oder Symantec! Das Problem ist bei jeder Softwarefirma virulent, es rankt sich um die Frage: Warum bekommt die Softwareindustrie es nie gebacken, sichere Programme auf den Markt zu werfen?

„Blue Bridge of Death“
Oracles Sicherheitschefin Mary Ann Davidson nahm auf der W3C-Konferenz in Edinburgh kein Blatt vor den Mund. Wenn Architekten Brücken bauten, wie Programmierer ihre Software schreiben, würden viele Menschen auf dem allmorgendlichen Weg zur Arbeit die „Blue Bridge of Death“ präsentiert bekommen. Davidson spielte damit auf den berüchtigten blauen Bildschirm an, den Blue Screen of Death, der immer dann den Windows-Nutzer aufschreckt, wenn das Redmonder Betriebssystem aufgrund eines Fehlers im Programm unrettbar im Datenchaos versinkt. Viele solcher Fehler sind vermeidbar, würde Software gründlicher getestet, meinte Davidson. Doch die absolut fehlerfreie Software gibt es – selbst bei Oracles Datenbankprogrammen – nicht.

Kein Gespür für Sicherheit
Mary Ann Davidson ist offenbar kein Kind von Traurigkeit. „Welcher Idiot hat sich das denn zusammengeträumt?“, kommentierte sie einen Werbespruch, in dem Oracles Datenbankprodukte als „unbreakable“ bezeichnet wurden. Hacker würden immer besser und gewiefter. Sie würden jede x-beliebige Software auf Lücken abklopfen und kein Sicherheitsleck ungenutzt lassen. Das eigentliche Problem liege jedoch nicht in den gewachsenen Fähigkeiten der Hackerszene, sondern in der Mentalität vieler Softwarefirmen und ihrer Programmierer, die für Sicherheitsprobleme einfach kein Gespür hätten. Das Problem fange schon bei der Ausbildung der Programmierer und Software-Ingenieure an. Sicherheit sei hier kein Thema, und die Hochschulen seien auch keinesfalls bereit, ihre Lehrpläne entsprechend zu ändern. Das führe beispielsweise dazu, dass Oracle Hochschulabsolventen firmenintern einer Zusatzausbildung unterziehe, bevor man sie ans Programmieren lasse.

Schäden durch fehlerhafte Software
Solche Zusatzkosten rechnen sich für Oracle genauso wie für die Anwender, meint Mary Ann Davidson. Das US-amerikanische National Institute of Standards and Technology habe herausgefunden, dass der jährliche Schaden, der durch unsichere Software hervorgerufen wird, zwischen 22 und 60 Milliarden US-Dollar liege. Dabei würden auch die Softwareproduzenten selbst oftmals Opfer ihrer eigenen, fehlerhaften Software. Das Beseitigen einer Sicherheitslücke in einem Oracle-Datenbankprogramm habe einmal gar 78 Sicherheitspatches erforderlich gemacht, bis die Lücke felsenfest geschlossen worden war. Eine Million Dollar an Entwicklungskosten habe das Unternehmen dafür auf den Tisch des Hauses legen müssen.

Hausinterne Hacker
Aus Erfahrung wird man auch bei Oracle klug, meint zumindest Mary Ann Davidson. Man habe unternehmensintern etliche Maßnahmen ergriffen, um sichereren Quellcode zu erstellen. Jedem Programmierer werde ein 200-seitiger Leitfaden über Programmierstandards ausgehändigt. Daneben prüfe ein hausinternes Hackerteam jede Anwendung auf Bits und Bytes. Mit speziellen Werkzeugen werde intensiv nach möglichen Buffer Overflows und anderen Mängeln gefahndet. Dies sei allerdings in ihrer Branche keinesfalls der Standard, konnte sich die Oracle-Dame ein bisschen Eigenwerbung nicht verkneifen.

Ein TÜV für die Branche
Eigenwerbung hin oder her: Davidson zufolge habe sich das große Sicherheitsproblem, mit dem die Softwarebranche offenbar nicht fertig werde, allgemein herumgesprochen. Immer mehr Verantwortliche in Wirtschaft und Verwaltung würden deshalb nach staatlicher Regulierung der Softwarebranche rufen. Staatliche Regulierung würde bedeuten, dass staatliche bzw. unabhängige Stellen wie in Deutschland etwa der TÜV damit beauftragt würden, Softwareprodukte vor Veröffentlichung gründlich durchzuchecken. Niemand in der Branche wolle eine solche Lösung, erklärte Davidson. Damit es dazu am Ende auch nicht komme, sei die Branche selbst gefordert, ihre eigenen Produkte mit hauseigenen Mitteln sicherer zu machen und erst nach intensiven Tests auf den Markt zu werfen.

Zurück zur News-ÜbersichtNach oben

Zurück zu den Brandneuen Lizenzen
Alfred Krüger: Angriffe aus dem Netz. Die neue Szene des digitalen Verbrechens.

Vorsicht Surftipps!
Ärztelatein, Falsche Viren, Film ab! Propaganda, Suppenseite, Fotografie, Frische Fische, Nachrichten, Freud, Filmfehler, Kultfilme, Boxen, Donald Duck, Musikseiten!

CD-Tipp des Monats:
Hier geht's zu den CD-Kritiken...
just books
JustBooks.de ist der Marktplatz für gebrauchte, antiquarische und vergriffene Bücher. Hier finden Sie alles: Vom antiquarischen Sammlerstück über Fach- und Studienliteratur bis hin zu Comics und Science-Fiction.
just books


Infos zu Ihrer Stadt
 
© Alfred Krüger http://www.akrue.de/