Schlagwort-Archive: Politik

Sicherheitstechnik gehört nicht ins Gesetz

Die SPD-Bundestagsfraktion hat ein Positionspapier zum IT-Sicherheitsgesetz 2.0 beschlossen. Da stehen einige sinnvolle Forderungen drin, etwa nach Verbesserungen im Opferschutz und bei den zuständigen Behörden. Andere sind Blödsinn, allen voran jene nach einer Verpflichtung von Dienstanbietern zu spezifischen Sicherheitsmaßnahmen wie 2-Faktor-Authentisierung.

Sicherheit sei kein Zustand, lautet ein geflügeltes Wort, sondern ein Prozess. Dies gilt nicht nur für den Betrieb von IT-Systemen, sondern auch für ihre Entwicklung und Gestaltung. Konkrete Ausprägungen von Sicherheitsfunktionen stehen am Ende einer langen Folge von Entwurfsentscheidungen.

Viele dieser Entscheidungen sind das Resultat von Abwägungen zwischen verschiedenen Entwurfszielen auf verschiedenen Gebieten, zum Beispiel Funktionalität, Usability und Usability. Noch mehr Entscheidungen treffen gar nicht die Entwickler selbst, sondern der Markt und der Stand der Technik, der sich ständig weiterentwickelt.

In diesem Kontext einen sinnvollen und lange haltbaren Fixpunkt zu setzen, ist schwierig, und Politiker sind für diese Aufgabe noch weniger qualifiziert als jene, die wenigstens das Problem verstehen. Die besten Lösungen entstehen vielmehr durch fortwährende Evolution.

Ein Beispiel: Die URL-Zeile im Webbrowser begann ihre Karriere vor mehr als einem Vierteljahrhundert als einfaches Eingabefeld für Web-Adressen. Im Laufe der Zeit stellte sich heraus, dass gefälschte Websites für allerlei Angriffe benutzt werden können und man daher gut daran tut, die Benutzer eines Browsers so gut wie möglich bei der Erkennung solcher Täuschungsversuche zu unterstützen.

Dabei müssen gleichzeitig andere Ziele berücksichtigt werden, wenn die URL-Zeile dient weiterhin auch ihrem ursprünglichen Zweck. Über die Jahre haben die Browser-Entwickler gelernt, auf welche Einzelheiten es ankommt und wie man die verschiedenen Ziele gut unter einen Hut bekommt, und daraus Empfehlungen formuliert.

Diese Empfehlungen repräsentieren den aktuellen Stand; die Entwicklung wird weitergehen, die Anforderungen werden sich ändern und man wird für neue Aspekte des Problems neue Lösungen finden. Evolution eben. „Security by Design“ klingt zwar gut, aber Design ist nichts anderes als forcierte Evolution.

Spezifische Entwurfsvorgaben von Gesetzesrang grenzen diese Evolution willkürlich ein. Sie machen aus einem Lern- und Innovationsproblem eine Compliancefrage und eine bürokratische Angelegenheit. Damit erreichen sie genau das Gegenteil des Gewollten: Die Sicherheit erhöht sich nicht, sondern alle sind nur noch damit beschäftigt, gesetzliche Vorgaben einzuhalten, seien sie nun sinnvoll oder nicht.

Tatsächlich ist liegt simple 2-Faktor-Authentisierung alleine sogar schon hinter dem Stand der Technik. Wer sich moderne, das heißt nichtdeutsche Websites oder gar „die Cloud“ anschaut, findet dort ausgefeilte Systeme zum Identitäts- und Rechtemanagement, in denen die unmittelbare Benutzerauthentisierung nur ein Baustein ist.

Einige andere Bausteine sind an der Benutzerschnittstelle zum Beispiel die Verwaltung von Clientgeräten (Funktionen wie: „Alle angemeldeten Geräte abmelden“), Benachrichtigungsfunktionen („Jemand hat Ihr Passwort dreizehnmal falsch eingegeben.“), die Nichtbehinderung von Passwortmanagern sowie Recovery-Funktionen, mit denen Benutzer in verschiedenen Situationen (Passwort vergessen, gehackt, E-Mail-Adresse verändert) wieder Zugang zu ihrem Account bekommen. All diese Bausteine sind sicherheitsrelevant und jeder von ihnen sowie ihr Zusammenspiel unterliegt ebenso wie die Gestaltung der URL-Zeile im Browser der fortlaufenden Evolution.

Gesetzestexte können schon die statische Komplexität des Themas nicht fassen, von der Weiterentwicklung gar nicht zu reden. Konkrete gesetzliche Vorgaben zur Gestaltung von Authentisierungsfunktionen wären schon bei Inkrafttreten des Gesetzes veraltet oder unvollständig. Sogar als rein wirtschaftlich motivierte Marktregulierung taugt der Ansatz wenig: Ausgerechnet heimische Anbieter wie GMX und Web.de tun sich schwer mit der Zwei-Faktor-Authentisierung, während sie bei den Großen aus Amerika längst Standard ist. Ganz ohne Gesetz übrigens.

Ich wäre der Politik dankbar, wenn sie sich auf das Formulieren von User Stories* beschränken und die Technik den ITlern überlassen würden. Glauben Sie mir, meine Damen und Herren, und das möchte ich hier in aller Deutlichkeit betonen: Es ist besser so. Wer die Evolution der Technik wirklich beeinflussen möchte, sollte das indirekt über die Anreize tun.


*) Eigentlich: Anforderungen, aber die Erklärung, warum Lösungsvorschläge schlechte Anforderungen sind, wäre mir hier zu lang geworden.

 

PS: Jemand hat mir dieses Video zum Thema zugespielt, das ich nachträglich im Text mit verlinkt habe.

Der Klimastrohmann

Egal ob Slashdot oder Anti-Ökologismus-Blog Telepolis oder ScienceBlogs, wo das Netz übers Klima palavert, geht die Debatte unweigerlich den Weg jeder Helmdiskussion. Zwei Lager stehen einander unversöhnlich gegenüber und jede Seite hält die andere für die rechte Hand des Teufels. Auf einer Seite der Front kämpft man gegen Leugner, auf der anderen gegen Alarmisten.

Das Ergebnis ist eine tausendfach wiederholte Strohmanndebatte, die zu nichts führt, weil sie um die falschen Fragen kreist. Tatsächlich geht es gar nicht zuerst um Wissenschaft, sondern um Politik. Der Versuch, die politische Debatte allein wissenschaftlich zu klären, ist ebenso unseriös wie umgekehrt eine Politk, die die Erkenntnisse der Wissenschaft ohne Begründung ignoriert.

Die Wissenschaft liefert uns eine physikalische Theorie über die Wirkung von CO2 in der Atmosphäre. Diese Theorie ist erstens mit anderen, selten angezweifelten Erkenntnissen der Naturwissenschaften kompatibel bzw. folgt sie daraus. Die Wissenschaft liefert uns zweitens direkte Messdaten aus den letzten ca. 200 Jahren, die zur Theorie passen. Bis hierhin sind Zweifel blöd, so blöd, dass man sie getrost ignorieren kann. Die direkte Wirkung von CO2 tritt sehr schnell ein, so dass man sie bereits über kurze Zeiträume gut beobachten kann; gleichzeitig erfolgt die Änderung des CO2-Gehalts auch schnell genug. Der Klimastrohmann weiterlesen

Helmgegner gibt es gar nicht. Wie sich Risikodebatten selbst verzerren

Es gibt Debatten, die auch unter ansonsten vernünftigen Menschen leicht in Glaubenskriege ausarten. Ich rede nicht von Editorkriegen Emacs vs. Vi, sondern von Risikodebatten über Helme und Helmpflichten, über Klimawandel und Klimaschutz, über Nichtraucherschutz und Passivrauchen. Diese Diskussionen haben gemein, dass es zu Teilfragen wissenschaftliche Untersuchungen gibt, die Grundfrage aber eine politische oder praktische ist: was ist zu tun? Soll ich einen Helm tragen oder gar jeder einen tragen müssen? Sollen wir Kohlekraftwerke abschalten und Autos abschaffen? Rechtfertigen Gefahren des Passivrauchens Rauchverbote und wenn ja, in welchem Umfang?

Einige Elemente tauchen in solchen Diskussionen immer wieder auf, und es braucht einige Runden, bis man sie verstanden hat.

Da ist zuerst der unklare Frontverlauf. Helmdiskussionen etwa scheiden ihre Teilnehmer schnell in Befürworter und Gegner. Oder so scheint es wenigstens. In Wirklichkeit verläuft der Konflikt aber woanders, nämlich zwischen Aktivisten [oder Advokaten] auf der einen und Skeptikern auf der anderen Seite. Die Aktivisten sind davon überzeugt, dass etwas zu tun sei, nämlich ein Helm zu tragen, und sie sind außerdem davon überzeugt, dafür überzeugende Argumente zu haben.Die Skeptiker zeigen sich uneinsichtig. Daraufhin stampfen die Aktivisten mit dem Fuß auf, was die Skeptiker noch viel weniger überzeugt. Spätestens dann kann man die Diskussion vergessen, wenn sich nicht ausnahmsweise jemand findet, der sie effektiv moderieren kann.

Helmgegner gibt es gar nicht. Wie sich Risikodebatten selbst verzerren weiterlesen