Softwaresicherheit ist eine Externalität

Hervorragender Text über Software, der mit einer langen Analogie zu Brücken einsteigt: „Software is a Long Con„:

The Software Is Provided “As Is”, Without Warranty of Any Kind

This line is one of the most common in software licenses. In developed nations, it is a uniquely low standard. I cannot think of anything infrastructural that is held to such a low standard. Your restaurants are inspected. Your consumer purchases enveloped in regulations and liability law. Your doctors and lawyers must be accredited. Your car cannot stop working while it is going down the freeway and kill you without consequences, except maybe if it’s caused by a software bug.

It is to the benefit of software companies and programmers to claim that software as we know it is the state of nature. They can do stupid things, things we know will result in software vulnerabilities, and they suffer no consequences because people don’t know that software could be well-written. Often this ignorance includes developers themselves. We’ve also been conditioned to believe that software rots as fast as fruit. […]

Programmers make the same mistakes over and over again for decades, because software companies suffer no consequences when they do. Like pollution and habitat destruction, security is an externality. And really, it’s not just security, it’s whether the damn things work at all. Most bugs don’t drain our bank accounts, or ransom our electrical grids. They just make our lives suck a little bit more, and our infrastructure fail a little more often, even without any hackers in sight. […]

I’m glad people like Andy Greenberg and others at my old Wired home, the good folks at Motherboard and Ars Technica, and others, are telling these stories. It’s important that we know how often the bridges burned down.

But make no mistake, as long as we blame the people burning the bridges and not the people building them, they will keep burning down.

​Das Augenmerk muss nicht auf die Angreifer gelegt werden, sondern auf die, die den Angreifern Angriffspunkte lassen:

Stop asking what the Russians could do to our voting machines, and start asking why our voting machines are so terrible, and often no one can legally review their code.

Stop asking who is behind viruses and ransomware, and ask why corporations and large organizations don’t patch their software.

Don’t ask who took the site down, ask why the site was ever up with a laundry list of known vulnerabilities.

Start asking lawmakers why you have to give up otherwise inalienable consumer rights the second you touch a Turing machine.

Das schließt technische Sicherheitslücken genau so ein wie social exploits, wie man sie bei Facebook-Ads und Google-Ads jüngst gesehen hat. Völlig unterschiedliche Problematiken, aber die Ursache ist die gleiche: Nachlässigkeit, Verantwortungslosigkeit. Auch ein bisschen: Naivität. (Auch: Überwältigtsein vom eigenen Erfolg und seinen gesellschaftlichen Implikationen.)

Ganz klassisch zu Software: Mit iOS bis Version 6.x hatte die breite Öffentlichkeit einmal erlebt, wie stabil Software sein kann. Ein Grund, warum das ein kurzes Intermezzo war, das so wohl aus sich heraus nicht wieder kommen wird, ist der knallharte Wettbewerb zwischen den Tech-Riesen.

Regulierung wird kommen. Für beide Seiten, für die technischen Aspekte wie die sozialen Aspekte. Besonders Facebook und Google rennen da gerade mit Hochgeschwindigkeit hinein.

Es scheint den wenigsten Verantwortlichen bei den großen Techkonzernen klar zu sein, dass immenser Erfolg in Verbindung mit immenser Nachlässigkeit zu immensen Folgen auch für sie selbst führt.

Ein Spiel mit dem Feuer: Das Hauptproblem ist natürlich, dass die gesellschaftliche Bedeutung besonders von Facebook und Google gleichzeitig dazu führt, dass nicht ansatzweise eine ausgeglichene Berichterstattung über sie in den Massenmedien möglich zu sein scheint. Für die kommenden Regulierungsansätze verheißt das nichts Gutes.

neunetz.com abonnieren und keine Artikel mehr verpassen!

Neue Artikel auf neunetz.com per Email erhalten, immer Montags, Mittwochs und Freitags. Jetzt anmelden und künftig besser informiert sein!

Email-Adresse eingeben:


neunetz.com kann auch per RSS-Feed (oder JSON-Feed) abonniert werden. neunetz.com ist natürlich auch auf Twitter und Facebook vertreten.

About Marcel Weiß

Marcel Weiß, Jahrgang 1979, ist Gründer und Betreiber von neunetz.com.
Er ist Diplom-Kaufmann, lebt in Berlin und ist seit 2007 als Analyst der Internetwirtschaft aktiv. Er arbeitet als (Senior) Strategy Analyst bei Exciting Commerce, schreibt für verschiedene Publikationen, unterrichtet als Gastdozent an der Popakademie Mannheim und hält Vorträge zu Themen der digitalen Wirtschaft. Mehr zum Autor.
Marcel Weiß auf Twitter und auf Facebook abonnieren. (Mehr)