Re: Versicherungen können nicht Software-Sicherheit messen - Mehr IT-Sicherheit durch Haftbarkeit
versicherungenu das ist das Problem. Wie mißt du z.B. Zukunftskompatibilität
> > > (ein sehr wichtiges Qualitätsmerkmal bei Software)? Oder um beim
>
> > Das führt hier sicher zu weit. Was heißt denn z.B.
> > Zukunftskompatibilität?
>
> Ich rede von der Fähigkeit, die Software an neue, manchmal
> unvorhersehbare Anforderungen anzupassen. Wenn man die
JA eben. Was heißt das genau?
> Schwierigkeiten der Bankenbranche betrachtet, allein auf das Jahr
> 2000 umzustellen, kann man sich ungefähr vorstellen, wie es da mit
Das wäre ja sogar vorhersehbar gewesen!
> Anpaßbarkeit aussieht. Die richtig schwierigen Dinge wären, eine
> Standardsoftware für Banken zu schreiben, die auch in 10 Jahren noch
> ohne Hacks einsetzbar ist.
Eine ganze Menge Software läuft sogar noch viel länger. Alles das,
was Du hier beschreibst geht. Es ist nur oft viel zu teuer. Aufwand
und Ertrag müssen irgendwo in einem annehmbaren Verhältnis stehen.
> Du hast aber recht, das hat wenig mit Sicherheit zu tun (nur mit
> Qualität).
> > Es gibt eine endliche Anzahl von Möglichkeiten, die zu betrachten
> > sind.
>
> Es gibt auch eine endliche Zahl von Kombinationen, um einen Public
> Key zu brechen…
Eben. Aber diese Diskussion driftet doch in reine Theoriebereiche ab.
> Äh, klar, das wird ja gemacht. Das reicht aber bei weitem nicht aus.
> Die Bugs, die dann von den Angreifern ausgenutzt werden, sind oft
> ziemlich obskur. Ließ mal ein bischen Browser-Bugs in Bugtraq oder
> CERT.
Ja und? Was hat das damit zu tun, dass man Qualität nicht messen
kann? Und wie betrifft Dich das tatsächlich? Welche wichtigen Daten
Deinerseits gehen dadurhc bei Deiner Bank ins Web? 0 Bytes. Weil die
Dich betreffenden Daten in einem ganz anderen System gehalten werden,
und nicht über den Browser verwaltet werden (noch!).
Aber wie gesagt: Das ist Theorie.
In der Praxis haben Softwaresysteme ganz bestimmte Anforderungen.
Außer im Homebereich werden diese meist von den Anwendern sehr stark
mitedfiniert. Wenn diese heute nichts zur Sicherheit sagen, ist die
Software morgen (nach Deinem Terminus) unsicher.
Dann ändert sich die Umwelt (z.B. neue Gesetze) und die Software muß
angepaßt werden.
Warum soll man die Qualität dabei nicht messen können? Man muß sich
nur einmal tatsächlich festlegen, welche Punkte wichtig sind. Und
genau dabei kommt dann oft nur Wischiwaschi raus.
Und nächstes Jahr haben wir andere Schwerpunkte und ändern die
Kriterien. Dann vergleichen wir möglicherweise Äpfel mit Birnen…
June 16th, 2008 at 6:02 am
[…] Deine Versicherungen Just another WordPress weblog ← Re: Versicherungen können nicht Software-Sicherheit messen - Mehr IT-Sicherheit durch Haftbarkeit […]
June 25th, 2008 at 11:07 am
[…] versicherungen ist das Problem. Wie mißt du z.B. Zukunftskompatibilität > > (ein sehr wichtiges Qualitätsmerkmal bei Software)? Oder um beim > Das führt hier sicher zu weit. Was heißt denn z.B. > Zukunftskompatibilität? Ich rede von der Fähigkeit, die Software an neue, manchmal unvorhersehbare Anforderungen anzupassen. Wenn man die Schwierigkeiten der Bankenbranche betrachtet, allein auf das Jahr 2000 umzustellen, kann man sich ungefähr vorstellen, wie es da mit Anpaßbarkeit aussieht. Die richtig schwierigen Dinge wären, eine Standardsoftware für Banken zu schreiben, die auch in 10 Jahren noch ohne Hacks einsetzbar ist. Du hast aber recht, das hat wenig mit Sicherheit zu tun (nur mit Qualität). > Es gibt eine endliche Anzahl von Möglichkeiten, die zu betrachten > sind. Es gibt auch eine endliche Zahl von Kombinationen, um einen Public Key zu brechen… > Außerdem geht es nicht immer nur um die Buzzwords, > sondern teilweise um ganz “normale ” Fakten. Wie würdest Du es > finden, wenn auf Deinem Kreditvertrag eine andere Summe steht als > die, die Du in Anspruch nimmst? > Fangt doch erst mal mit den wirklich wichtigen Dingen an… Äh, klar, das wird ja gemacht. Das reicht aber bei weitem nicht aus. Die Bugs, die dann von den Angreifern ausgenutzt werden, sind oft ziemlich obskur. Ließ mal ein bischen Browser-Bugs in Bugtraq oder CERT. […]