Software-Schwachstellen gehen zurück, yippie!?

Gute Nachricht?

Anfang des Jahres erreichte uns diese tolle Nachricht: Gegenüber 2015 ist die Anzahl der registrierten Software-Schwachstellen weltweit von 6.400 auf 5.600 zurückgegangen, über 10% minus! Die Quelle ist das Hasso-Plattner-Insititut in Potsdam.

Die Nachricht ist aus dem Januar 2017, jetzt, einen Monat später sind wohl doch noch ein paar Bugs nachgemeldet worden, jetzt sieht es doch wieder nach Anstieg aus. (gelb = geringer Schweregrad, rot = hoher Schweregrad). Schade, zu früh gefreut.

Software-Schwachstellen laut Hasso-Plattner-Institut am 18.2.17

Ein Armutszeugnis

Doch es ist eigentlich gar nicht so wichtig, ob die Werte nun noch ein wenig gestiegen oder womöglich wirklich ein kleines bisschen gesunken sind. Viel wichtiger ist mir ihre absolute Höhe. 6.500 Schwachstellen sind einfach zu viele. Diese Zahlen sind darum für mich ein Armutszeugnis für eine ganze Branche.

Es gab alleine knapp 2.500 schwere Software-Schwachstellen – so groß ist der rote Balken. Wenn das Autos wären, dann würden in all den betroffenen Modellen die Bremsen oder die Lenkung nicht funktionieren. Kühlschränke würden über Nacht abtauen. Atomkraftwerke würden unerlaubte Mengen Strahlung abgeben.

Seit 30 Jahren haben wir uns aber daran gewöhnt, dass das gute alte Prinzip der 0-Fehler-Auslieferung für Software einfach nicht gilt. Hier herrscht statt dessen das Multi-Fehler-Prinzip, ganz hemmungslos. Die spätere Fehlerbehebung ist ja bereits Teil des initialen Roll-Out-Plans, sie ist Teil der Marketing Strategie.

Zugegeben: es klappt auch bei den Autos, Kühlschränken und Atommeilern nicht immer. Wir kennen aufwendige Rückrufaktionen und wir kennen auch Tschernobyl. Aber in diesen Branchen wird es zumindest angestrebt. Im IT-Bereich ist grüne Banane das Geschäftsprinzip.

Ebenfalls zugegeben: Eine Ursache der Malaise ist der massive Preisdruck – und dafür sind am Ende ja wir selbst verantwortlich. Aber andererseits: bei Autos und Kühlschränken sind wir doch nicht wirklich großzügiger.

Dabei misst dieser Index (es ist der CVSS-Index) nur die Sicherheits-Schwachstellen, die Angreifbarkeit. Die reine Funktionalität (tut es, was es verspricht?) steht dabei noch gar nicht zur Debatte. Vermutlich könnte man alle Werte verdoppeln oder verdreifachen, wenn die Qualität in diesem Sinne ganzheitlich bewertet würde.

Die wirkliche Ursache

Aus meiner Sicht ist die wirkliche Ursache, dass Software keinen ernst zu nehmenden Zulassungsbedingungen unterliegt. Jeder, der sich für einen Entwickler hält, kann entwickeln und dann vermarkten. Angesichts der IT-Abhängigkeit von immer mehr Lebensbereichen ist diese Situation wirklich absurd fahrlässig. Doch welche (semi-)staatliche Stelle traut sich an eine solche Aufgabe heran?

Die schwierigen Deutschen gelten nicht gerade als Digitalisierungs-Fans. Sie sind eben Qualitäts-Fans, schon immer gewesen. Ein Grund für ihre Zurückhaltung ist darum sicher in dieser Multi-Fehler-Kultur zu suchen.

Google-Suche – aber bitte aktuell!

Geht Ihnen das auch so? Bei den allermeisten Google-Suchen bin ich nur an aktuellen Treffern interessiert und ärgere mich über die ollen Kamellen aus 2012 oder noch früher, die das Bild verstellen.

Um die also auszublenden wähle ich dann oben rechts “Suchoptionen” und stelle ein passendes Zeitfenster ein – meistens 1 Jahr.

Google1Schon oft habe ich mich gefragt, warum man das nicht in Google (oder dem Browser) voreinstellen kann, so wie die Sprache auch. Alle Treffer sollen höchstens 12 Monate alt sein. Das macht doch Sinn in den allermeisten Fällen.

Vermutlich will Google vermeiden, dass die organischen Reichweiten älterer Beiträge in den Keller sacken (das würden sie ja zwangsläufig) und bietet diese Funktion bewusst nicht an. Nun ja. Man merkt schon wieder, wer hier der wichtige Kunde ist. Wir Nutzer sind es jedenfalls nicht.

Nun hat mir ein Freund einen kleinen Trick gezeigt (auf den ich eigentlich auch allein hätte kommen können). Man ruft Google schon mit dieser zeitlichen Einschränkung auf, der http-string heißt: “https://www.google.de/#&tbs=qdr:y“, das Y am Schluss steht für “year”. Wer’s lieber monatsaktuell mag, wählt eben “m”.

Weil ich diese Einstellung regelmäßig verwenden will, habe ich mir in der Symbolleiste ein zusätzliches kleines Lesezeichen angelegt, es heißt “G-12”. Alles was ich über dieses Fenster suche, ist dann nie älter als 12 Monate.Google2

Danke, Dirk.

Der Passwort-Reim so kräftig holpert, …

…dass Brute-Force-Angriff sich verstolpert.

Dieser Vers ist ein mögliches Format für wirkliche sichere Passworte, folgt man einer Arbeit von Marjan Ghazvininejad und Kevin Knight von der University of Southern California (USC).

Der Reim ist ein vierfüßiger Jambus (aka “Knittelvers”), in dem sich betonte und unbetonte Silben abwechseln, beginnend mit einer unbetonten. Binär würde man dieses Ab und Auf in jeder Zeile so abbilden: 01010101. (In unserem Beispiel haben wir das Schema etwas stark “verknittelt”: die unbetonte letzte Silbe gehört da eigentlich nicht hin.)

Auf Englisch ist es etwas leichter:

Sophisticated potentates
misrepresenting Emirates

macht so gut wie keinen Sinn mehr, aber ist formal voll korrekt und reimt sich eben.

Und was soll der ganze Poesie-Zirkus? Die Verse sind gute Passworte!

WeiterlesenDer Passwort-Reim so kräftig holpert, …

Phishing Fritz phished frisch

phishingGerade ist eine recht gut gemachte Phishing-Mail im Umlauf. Sie ähnelt recht stark den Mails, die man sofort nach einer Zahlung von PayPal bekommt.

Als Phishing ist die Mail eigentlich nur erkennbar an der fehlenden Anrede, da müsste “Guten Tag, Peter Apel!” stehen. Ein weiteres Indiz ist noch die Referenznummer. Bei PayPal heißt das Transaktionscode – aber wer merkt sich solche Details?

Verdächtig sollte dem Empfänger die Mail allerdings sofort sein, denn erstens hat er die Bestellung ja gar nicht ausgelöst und zweitens stimmt die Lieferadresse nicht (hier mit grauem Balken).

Letzte Sicherheit, dass es sich um Phishing handelt, gibt dann ein Besuch beim Online Konto, kennt PayPal diese Zahlung? Nein, natürlich nicht.

PayPal ist ein beliebtes Angriffsziel für Spoofer und Phishermen, alles ist immer nur Online und gerade die vielen Sicherheits-Mails stumpfen irgendwie ab, machen den Aufmerksamkeits-Sensor taub. Darum hat das Unternehmen auch selbst dazu eine FAQ-Seite eingestellt.

Unter anderem findet man da eine Adresse, an die man verdächtige Mails schicken kann: spoof@paypal.com. Und auf der Facebook-Seite von PayPal sollen immer aktuelle Phishing-Fälle vorgestellt werden. Der hier gezeigt Fall ist da allerdings noch nicht, das frischeste Beispiel ist vom 21.10.15, also gut 20 Tage alt.

Wie schützt man sich gegen Phishing?

WeiterlesenPhishing Fritz phished frisch

Win 10 Umstellung – erstaunlich problemlos

win10Während eines laufenden Projekts mal eben das Betriebssystem ändern, das hätte ich vielleicht früher riskiert. Doch so mutig bin ich nicht mehr. Vielleicht habe ich auch dazugelernt.

Jedenfalls habe ich die immer drängenderen Aufforderungen von Microsoft zum Win 10 Upgrade standhaft ignoriert, bis eben gerade ein Fenster relativer Ruhe aufging. Das war vorvorgestern.

Aber von wegen relative Ruhe: entspannt war ich absolut nicht.

Das waren meine drei größten Sorgen:

WeiterlesenWin 10 Umstellung – erstaunlich problemlos

Ein CRM-System auswählen

OrdnerEin Gastbeitrag von Patrick Raue, oxmo Gmbh, Hannover

Kundenmanagement in Unternehmen: Die Kundenbetreuung via CRM verbessern

Die meisten Unternehmen haben ein sehr hohes Interesse daran, dass die Kunden sich beim eigenen Service bestens unterstützt fühlen. Daher wird auch immer wieder nach Methoden gesucht, wie sie den Service verbessern können, ohne dabei deutliche Kosten zu generieren. Eine einfache Möglichkeit findet sich bei der Anschaffung von neuer Software, die bei den Prozessen rund um die Zufriedenheit unterstützen soll. Ein CRM-System ist hierfür wohl eine der besten Optionen (CRM = Customer Relationship Management).

WeiterlesenEin CRM-System auswählen