Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Sicherheit scheitert am Qualitätsmanagement

Trübe Aussichten auf der Security-Konferenz IT-Defense in Leipzig

Sicherheit scheitert am Qualitätsmanagement

6. Februar 2007, 23:55 Uhr |

Ein wenig optimistisches Bild von der Informationssicherheit der Zukunft zeichnete Felix "FX" Lindner von den Sabre Labs heute auf der Sicherheitskonferenz IT-Defense 2007 in Leipzig: Während die bekannten Abwehrtechniken der Perimetersicherheit und Ideen wie Intrusion Detection und Intrusion Prevention teils ihre Grenzen gezeigt hätten und teils wegen der webbasierten modernen Kommunikation prinzipiell immer weniger zur Sicherheitsbilanz einer Organisation beitragen könnten, sehe er auch kaum eine Chance, das Problem der Sicherheitslücken in moderner Software in absehbarer Zeit in den Griff zu bekommen. Windows Vista allein würde für eine echte Qualitätsüberprüfung mehr Spezialisten erfordern, als weltweit zu bekommen seien, würde man denn die Honorare für diese Personen überhaupt zahlen wollen.

Die Qualitätskontrolle von Open Source wiederum funktioniere nur bei Projekten gut, die im Mittelpunkt des allgemeinen Interesses stünden, während Sicherheitslücken in weniger zentralen Programmen oft jahrelang unbeachtet blieben und dann mitunter zuerst von Personen mit unlauteren Absichten entdeckt würden. Außerdem seien auch Spezialisten für die Qualitätskontrolle von Programmen im Unix- und Linux-Umfeld so gefragt, dass sie schnell für kommerzielle Projekte eingesetzt würden. Dort wiederum werden ihnen nur begrenzte Zeit und Mittel zugestanden – eine Software ist aus wirtschaftlicher Sicht eben "fertig", sobald sich damit Geld verdienen lässt.

Sicherheitsmängel können somit nicht abnehmen, da die Zahl der Fehler pro Zeilen Code seit Jahren konstant bleibt, die Komplexität und Größe der Applikationen jedoch ständig zunimmt.

Andere Faktoren seien die anhaltende Übermacht von C und C++ als fehleranfälligen Sprachen mit direktem Speicherzugriff und der Trend zu Web 2.0, der I/O-Fehlern zusätzliche Bedeutung gebe und obendrein die für Sicherheitsmängel aufgrund ihres komplexen Codes extrem anfälligen Browser noch mehr als bisher in die Rolle der zentralen Client-Software rücke.

Hinzu komme, dass sich die akademische Welt kaum noch mit dem Problem der Überprüfung von Software auf Funktionsfähigkeit und Fehler befasse. Hier seien die relevanten Veröffentlichungen im Grunde auf dem Stand von 1970. Für objektorientierte Programmierung und die ebenfalls extrem komplexen Hintergrundstrukturen für weborientierte Anwendungen gibt es heute, so FX, praktisch keine anwendbaren Prüfechniken.

LANline/wj

Lesen Sie mehr zum Thema

Lampertz GmbH & Co. KG
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Lampertz GmbH & Co. KG

Erweiterungen in All-in-One-Forensik-Lösung

Oxygen Forensics: Datenextraktion mit Mediatek-Chipsatz

Neue Datenarchitekturen schaffen

Denodo: Anforderungen an moderne Daten-Architekturlösungen

Hilfe bei Abwehr von Advanced Persistent Threats

Guardicore: Weitere Version von Infection Monkey

Auswahl des Managed-Security-Services-Providers

Indevis: Tipps zur Auslagerung von IT-Security-Prozessen

Anzeige

SECUDOS bietet Adhoc-Lösung für Teamarbeit vom Homeoffice

Matchmaker+
Panduit

Panduit

d.velop AG

d.velop AG
Riello UPS GmbH

Riello UPS GmbH
Plusnet GmbH

Plusnet GmbH
AvePoint Deutschland GmbH

AvePoint Deutschland GmbH
comTeam Systemhaus GmbH

comTeam Systemhaus GmbH