Sicherheit durch Verpflichtung
Schon mal ein EULA (End User License Agreement) durchgelesen? So heißen die Texthaufen, die man bei der Installation eines Programms meist ungelesen wegklickt. Kleine Schrift in Versalien, extrem lesefreundlich. Oft findet sich darin die Aussage, Software sei nach dem aktuellen Stand der Technik nie fehlerfrei. Daraufhin schwimmt sich der Hersteller von aller Verantwortung frei, indem er Schadensersatzforderungen begrenzt usw. (Das EULA von Windows XP findet sich unter %windir%\system32\eula.txt. Viel Spaß damit.)
Nun argumentieren einige Leute seit Jahren, die Software-Hersteller müssten für Versagen ihrer Produkte zur Verantwortung gezogen werden. Ein Argument, das ich bislang nicht so besonders sinnvoll hielt, bis Bruce Schneier es mir erklärt hat. Schneier ist ein renommierter, aber nicht unumstrittener Sicherheitsexperte. Er erklärt, welcher Gedanke hinter den in einigen Läden aufgehängten Schildern steckt, auf denen steht: "Wenn Sie keinen Beleg erhalten, bekommen Sie Ihren Einkauf geschenkt."
That sign is a security device, and a clever one at that. And it illustrates a very important rule about security: it works best when you align interests with capability.
http://www.schneier.com/blog/archives/2006/06/aligning_intere.html
Dieses Schild ist deshalb ein Sicherheitsmittel, weil der Kunde aufgrund des Versprechens wie ein Fuchs aufpassen wird, ob er einen Beleg bekommt. Bekommt er keinen, geht er zum Manager, um seinen Einkauf gratis zu bekommen. Der Manager weiß dann, dass der Kassierer den Betrag nicht abgerechnet, sondern in seine eigene Tasche gesteckt hat. Das Schild dient also dazu, die Angestellten vom Klauen abzuhalten. Die Kunde werden als Sicherheitsleute instrumentalisiert.
Und so, meint Schneier, werde es auch kommen, wenn Software-Hersteller für die Fehler in ihren Anwendungen zur Verantwortung gezogen werden können. Dann können sie es sich nicht mehr leisten, fehlerhafte Software auf den Markt zu bringen und werden aus eigenem Interesse mehr Augenmerk auf die Vorbeugung/Beseitigung von Fehlern richten. Die Software-Hersteller werden als Sicherheitsleute instrumentalisiert.
Kleines Manko in Schneiers Argumentation: Freeware- und Shareware-Entwickler wären dann ziemlich schnell am Ende. Daher mahnt Schneier auch, man müsse darauf achten, wie man dieses Thema handhabe. Eine Lösung schlägt er leider nicht vor.
Empfohlene Lektüre:
- Aligning Interest with Capability
http://www.schneier.com/blog/archives/2006/06/aligning_intere.html
Zuletzt geändert am 23.06.2006 um 19:17
Zurück zur Hauptseite