"Wir müssen an benutzbarer Sicherheit arbeiten" Matthew Garrett auf der Linuxconf.au 2014
Ganz im Lichte der NSA-Enthüllungen stand die Keynote auf der Linuxconf.au, in der sich Kernel-Developer Matthew Garrett mit den großen Sicherheitsthemen der IT auseinandersetzt. Überraschenderweise gibt es da Bereiche, in denen Microsoft gar nicht so schlecht abschneidet, etwa bei UEFI Secure Boot – doch insgesamt scheint die Situation verfahrener denn je. Vertrauen dürfe man Kühen, Schafen und anderen Objekten, niemals jedoch Computern, meint Garrett.
Die Angriffe von Regierungen und Geheimdiensten überstiegen selbst die schlimmsten Befürchtungen, und sie seien ganz und gar nicht auf Hersteller beschränkt, erklärt Garrett. Zwar sei es immer noch viel wahrscheinlicher “von jemand angegriffen zu werden, der sie nicht kennt, in einem Land sitzt, das Sie nicht kennen und der nur an ihre Kreditkarte will.”, doch selbst im Lichte der allumfassenden NSA-Enthüllungen gelte “Unperfekte Sicherheit ist besser als gar keine”.
“Es ist nicht einfach, Sicherheit nachzuweisen. Dagegen ist es sehr einfach, Unsicherheiten zu beweisen. Sehr wahrscheinlich kann niemand seiner Hardware mehr vollständig vertrauen. Es wird wohl niemals einen Weg geben, zu beweisen, dass die Hardware vor einem nicht kompromittiert ist. Aber wenn Sie Ihrer Hardware nicht vertrauen können, dann können Sie niemanden und nichts mehr vertrauen, das darauf läuft. Dann müssen sie sich fragen: Warum überhaupt einen Computer verwenden? Schafen kann man vertrauen, Kühen auch, aber nicht Fruchtfliegen. Wenn Sie Vertrauen wollen, dann lassen Sie Computer besser links liegen.”, erklärt Garrett lakonisch und lässt auch den Seitenhieb aufs Cloud Computing nicht aus. Vier Fragen solle jeder Cloud-Anwender seinem Anbieter stellen und diesem so die Pistole auf die Brust setzen:
Vier Fragen, die Cloud Anwender ihrem Dienstleister stellen sollten…
Trotzdem: Es braucht sichere Software, die flexibel und einfach zu bedienen sei. Microsoft habe da seiner Meinung nach zumindest bei UEFI Secure Boot das richtige Maß aus Sicherheit und Benutzerfreundlichkeit gefunden, so Garrett. Im Gegensatz zu Apple und Google haben nur die Redmonder den Key-Protection-Mechanismus richtig implementiert. Weder Apple noch Google erlauben es derzeit ihren Anwendern, den Key auszutauschen. Auf PCs mit Windows-8-Zertifizierung können sich Anwender auf den “beschwerlichen Weg” machen, doch bei Chromebooks und Apple-Geräten bleibt ihnen diese Freiheit verwehrt.
Für 2014 und danach erwartet Garrett, dass alle sicherheitsbewussten Anwender und Admins mehr Fragen stellen: Mehr Agressivität bezüglich der Sicherheit sei gefragt, aber auf eine Art, die die Usability nicht einschränkt. Niemals sollten Anwender zwischen “sicher” und “frei” entscheiden müssen. Außerdem solle man seinen Cloud-Anbietern mehr Fragen stellen – wie die aus der Abbildung oben – aber auch deren Kunden, etwa welche Garantien deren Cloud-Provider ihnen gebe. Sicherheit und Freiheit seien zwei Seiten einer Medaille, sagt Garrett.
Die Linuxconf.au findet derzeit an der University of Western Australia in Perth statt. Vom 6. bis 10. Januar treffen sich hier Linux-Experten zum Diskurs über freie Software, Sicherheit und andere aktuelle Linux-Themen.
