Code ist wie Menschen - Nie fehlerfrei
Es sind harte Zeiten für Internetnutzer und viel besser werden sie wohl auch nicht. Spionageaffäre, Viren, gehackte Mailadressen, Backdoors (Hintertüren), Fehler in Cloudspeicherdiensten und fehlender Datenschutz. Wer das Internet nutzt, muss sich damit abfinden, dass er sich in Gefahr begibt. Diese Weisheit ist bei weitem nicht neu. Schon unsere Eltern verteufelten das "neumodische Zeugs" vor Jahren und im Grunde stellen wir nun fest, dass sie zwar keine Ahnung, aber deshalb nicht weniger Recht hatten.
Beide Themen bewegen die Gemüter reichlich. Gehackte Mailadressen und nun auch noch Codefehler in vermeintlich sicherer Verschlüsselungssoftware. Wie das genau funktioniert will ich an dieser Stelle gar nicht lang und breit erklären. Fakt ist aber, dass beide Dinge von Menschen gemacht wurden. Ersteres durch Böswilligkeit und der Fehlercode durch - sagen wir mal - Schlusigkeit. Doch all diejenigen, die selbst mit Code zu tun haben werden mir beipflichten, wenn ich sage: Man sieht die eigenen Fehler nicht. Besonders gilt das für Code in Software.Wenn ich selbst nur billigstes HTML oder CSS für Webseiten schreibe und mir diesen Code nach 14 Tagen nochmals ansehe, frage ich mich nicht selten: 'Welcher Depp hat das denn so kompliziert geschrieben?'
Soll heißen, selbst wenn man weiß was man tut, erkennt man die eigenen Fehler nicht. Selbst Schlechtschreibfehler bei längeren Texten sind keine Seltenheit.
Strikte Überprüfung von Dritten ist immer notwendig. Auch wenn die gewünschte Funktion erfolgreich ausgeführt wird bedeutet das eben nicht, dass der Code auch "sauber" ist.
Fast 21 Millionen Mailadressen wurden geknackt. Nutzer können selbst im Internet überprüfen, ob sie betroffen sind. Welche Ironie des Wahnsinns. Was, wenn genau diese Webseite nun das fehlerhafte OpenSSL-Zertifikat benutzt hat? Vom Regen in die Traufe. Lieber Passwort ändern oder gleich eine nagelneue Mailadresse anlegen und hoffen, dass man nicht betroffen ist.
Code wird von Menschen gemacht und Code kann daher auch nie ganz fehlerfrei sein. Zudem gilt auch im Internet: Code veraltet. Was vor ein paar Monaten noch brandaktuell war, kann in wenigen Wochen durch Erweiterungen und Verbesserungen auch Lücken aufweisen, die von Anfang an da waren, doch erst dadurch deutlich werden. Erst kürzlich fand Microsoft im RTF-Textformat (öffnet Textdokumente auch im Editor) einen Fehler, der über 10 Jahre unentdeckt war. Ständig muss am Code nachgearbeitet werden. Permanente Überprüfung von Alt-Software ist an der Tagesordnung.
Im Falle des Fehlers im OpenSSL ist die Sache allerdings noch viel brisanter. Es ist sicherheitstechnisch zwar relevant und für Nutzerdaten gefährlich gewesen, doch auch nicht so schlimm, wie es hochgepuscht wird. Angriffe über diese fehlerhafte Stelle sind bisher gleich gar nicht bekannt und alle großen Anbieter von Banking und Mailing haben die Zertifikate bereits getauscht.
Vielmehr zeigt die Veröffentlichung eines Fehlers zwei weitere Punkte, die die Medien noch einige Wochen beschäftigen werden.
Erstens, ist der Programmierer Deutscher gewesen. Gehen wir davon aus, dass dieser wirklich übersehen wurde und die Angaben der mehrfachen Überprüfung durch Dritte stimmen.
Rein zufällig entdeckte ein Google-Mitarbeiter diese Stelle. Ironie oder Zufall? Wäre der Fehler einem Amerikaner oder Russen in diesem Zertifikat passiert, wäre er überhaupt veröffentlicht worden?
Es ist OpenSource-Software. Jeder hätte den schadhaften Code finden können. Hat aber nicht jeder, sondern ein Mitarbeiter von Google (für mich - der Datenkrake überhaupt).
Weiterhin entbrennt nun wieder ein Streit, ob OpenSource besser ist, als ClosedSource. Also ob der Fehler in dieser offenen und frei zugänglichen Software nicht absichtlich eingebaut wurde oder zukünftig vielleicht eingebaut werden kann oder ob geschlossene Systeme hier sicherer ist und es schneller hätte entdeckt werden können. Wäre der Fehler in einem geschlossenem Zertifikatscode überhaupt aufgetaucht oder gefunden worden?
Für Interessierte bleibt es spannend. Dem normalen Nutzer bleibt nur, fragend mit der Schulter zu zucken und zu hoffen, dass er möglichst lange von Angriffen, Spyware und Datenverlust verschont bleibt und dass es genug Interessierte und Freaks gibt, die sich darum kümmern, dass das Internet halbwegs sicher bleibt.
Es gilt weiterhin :
Nutzen Sie das Internet mit Bedacht.
Brauchen Sie wirklich jeden Dienst? Können Sie Überweisungen vielleicht nicht auch am nächsten Tag am Terminal machen, statt von Daheim?
Die ständige Überprüfung des eigenen Nutzungsverhaltens ist noch immer der beste Schutz vor Angriffen oder Datenverlust.
Meint jedenfalls
//O.F.