Datenklau: Sind zu komplexe Systeme schuld?

[Annika_Kremer]

Datendiebstahl ist ein leider allzu verbreitetes Problem (nicht nur) in deutschen Unternehmen. Login-Daten, sensible Kunden- und Mitarbeiterdaten oder Betriebsgeheimnisse sind ein beliebtes und lukratives Zielobjekt für Cyberkriminelle. Die Ursachen sind vielfältig. Oft jedoch, so berichtet nun eine Studie, sind die zunehmende Komplexität der Software und daraus resultierende Bedienfehler schuld.

zur News

[AluMiez]

Vereinfachung, Entbürokratisierung und Zentralisierung machen es aber NOCH schlimmer, weil man dann sofort weiß, wo man hin muss, wenn man bestimmte Daten kaufen will... oder gleich nen Abhörstream andocken will.

[ctvirus]

naja, kann man wohl so oder so sehen...
ein komplexes netzwerk kann gerade aufgrund seiner komplexität sehr anfällig sein (da es viele stellen gibt an denen man sich zugang verschaffen kann), aber auch sehr sicher sein (wenn es denn gut administriert wird).
im gegenzug kann ein kleines system ebenfalls sehr sicher sein, da der administrative aufwand eher gering ist und daher (auf gut deutsch) "nicht viel falsch gemacht werden kann". allerdings ist dann alles eher zentralisiert als in einem größeren system, dass heisst, wenn jemand mal zugriff hat, dann kann er sich fast beliebig austoben...

die beste lösung ist wohl ein angepasstes system (im bezug auf die größe und komplexität) welches unter guter protokollierung sehr gut administriert wird.

noch nie habe ich ein netzwerk gesehen, dass diesen anforderungen gerecht wird, egal ob privat oder in großen/kleinen unternehmen).

[quasimodo2000]

Alles eine Frage des Budgets und der Entscheidungsbefugnis.

Admins haben normalerweise von Beidem zu wenig.

[RizzoRat]

Ist wie bei Software allgemein. Sie wird immer komplexer, komplexer und nochmal komplexer, tausende wenn nicht millionen Zeilen von Code......

Und das ganze wird mit den selben Programmiermethoden gepflegt wie vor 10 jahren......kein Wunder das da sich lauter Bugs einschleichen. Kann ja keiner mehr überblicken......

Wir brauchen nen riesen sprung in den Programmiermethoden, damit wir ausm Stand sichere und fehlerfreie Software produzieren können. Sonst wird bei der Flickschusterei bleiben, die momentan standard ist.

[ctvirus]

...Wir brauchen nen riesen sprung in den Programmiermethoden, damit wir ausm Stand sichere und fehlerfreie Software produzieren können. Sonst wird bei der Flickschusterei bleiben, die momentan standard ist.

aber wie kann man dieses problem lösen? es gibt de facto keine andere möglichkeit oder hab ich was übersehen oder falsch verstanden?
hast du vll einen ansatz wenn du von "risen sprung in den Programmiermethoden" sprichst?

ich kann mir nicht vorstellen, dass patches und updates (zum schliessen von sicherheitslücken) irgendwann nicht mehr nötig sind...

[Farzi]

Und das ganze wird mit den selben Programmiermethoden gepflegt wie vor 10 jahren......kein Wunder das da sich lauter Bugs einschleichen. Kann ja keiner mehr überblicken......

Naja, das stimmt so nun aber auch nicht mehr. man versucht ja nun wirklich schon einiges. Man sah schon die Trendwende zur konsequenten Verwendung von Unit- und Integration-Tests, Staging-Servern, Continuous-Integration, Buzz-Word-Prinzipien wie Kiss, Yagni, Dry neuer Team-Management-Methoden wie Scrum, Sprachen mit strengerem Type-Checking (Java, .Net)...
Auch die ganze Thematisierung von Coding-Patterns ist in der Praxis noch recht jung (klar haben die Gurus darüber schon vor dreißig Jahren geschrieben, aber es inzwischen eben auch in der Praxis angekommen).
Neue Sprachen mit "revolutuionären" Features, wie Auslegung auf Message-Passing-Concurrency mit virtuellen Processen (Erlang) gibts natürlich auch schon länger, aber heute sind sie erwachsen genug für den Massenmarkt.
Es tat sich schon einiges in letzter Zeit - auch schon zur Zeit der Dot-Com-Blase udn davor. Die Entwicklung bleibt auch im software-Umfeld nicht stehen. Alleine schon das ende der Gigahertz-Spirale macht beispielsweise den Umstieg auf nebenläufige Datenverarbeitung unausweichlich. CUDA ist da auch nur der Anfang. In ein par Jahren hat der normale Desktop hunderte CPU-Cores. Und die wird man mit klassichen Taktiken nicht effizient auslasten können. Da geht noch einiges.

Aber natürlich passt sich die Entwicklergemeinschaft auch an. Sie wird dabei momentan noch durch "Real-World"-Anforderungen wie Deadlines und Budgets behindert, die meistens vom Management als wichtiger erachtet werden, als irgendwelche "abstrakten" Sicherheitsanforderungen. Aber auch da findet ein Umdenken in den managerköpfen statt. Sicherheitsprobleme beschmutzen die Marke und Marken sind heute immer noch genauso kostbar, wie früher.

Also es tut sich schon was. Aber die praktische Elektronen-basierte IT ist nicht mal hundert Jahre alt. Die ganze Technologie ist quasi noch im Säuglingsstadium.

Wir brauchen nen riesen sprung in den Programmiermethoden, damit wir ausm Stand sichere und fehlerfreie Software produzieren können.

Den Sprung haben wir bereits. Er ist gerade in vollem Gange. Virtualisierung, Nebenläufigkeits-orientierung (gerne auch hinter dem Buzzword "Cloud" versteckt) sind gerade in letzter Zeit vermehrt sichtbar geworden.
Aber was wir unabhängig davon wirklich bräuchten, wäre eine Verlangsamung der Hardwareentwicklung! Der Shit entwickelt sich schlicht zu schnell weiter - die Softwarebranche kommt einfach nicht so schnell hinterher, weil Programmierer eben immer noch menschen sind und die sich eben auch nicht in Nullzeit an neue Gegebenheiten anpassen.

[ctvirus]

Sicherheitsprobleme beschmutzen die Marke und Marken sind heute immer noch genauso kostbar, wie früher.

das wäre wünschenswert, aber das kann man erst in ein paar jahren feststellen.
ausserdem kommt mit der zeit noch hinzu, dass die älteren generationen, welche ohne computer und internet aufgewachsen sind, aus den managerposten (und natürlich auch im allgemeinen) durch junge leute ersetzt werden. wir müssen nur solange überleben...

was wir unabhängig davon wirklich bräuchten, wäre eine Verlangsamung der Hardwareentwicklung!

netter vorschlag, aber kein unternehmen der welt verzichtet auf innovationen die es bereits haben, nutzen oder verkaufen kann. würde ich auch nicht, so ganz nebenbei.

[antiHacker]

Alles eine Frage des Budgets und der Entscheidungsbefugnis.

Admins haben normalerweise von Beidem zu wenig.

Kann ich so unterschreiben.

Die meisten Firmen wollen sparen und nehmen die Empfehlungen der IT Abteilungen meist erst dann ernst, wenn es schon zu spät (geschehen ist). Ebenso lassen Sie sich auch gern mal die seltsamsten Anwendungen aufschwatzen, kaufen dann ohne Absprache mit der IT mehrere hundert Lizenzen und wollen diese natürlich auf jeder Workstation installiert haben. Und ob die dann noch nützlich sind oder nicht ist egal, sie haben Geld dafür bezahlt, also wird es benutzt.

Ich frag mich ehrlich, wozu sich Firmen IT Abteilungen einrichten wenn sie diese Einschränken bis zum geht nicht mehr oder sich vorher eh keinen Rat einholen und am Ende rumheulen.

[Farzi]

netter vorschlag, aber kein unternehmen der welt verzichtet auf innovationen die es bereits haben, nutzen oder verkaufen kann. würde ich auch nicht, so ganz nebenbei.

Naja, die Automobilindustrie zieht das doch schon seit Jahrzehnten durch: E-Autos sind keine neue Idee, Hybridantriebe auch nicht. Da hat man sehr lange die Entwicklung verschleppt, weil man mit dem alten Scheiß genug Kohle machen kann.
nur die IT-Industrie stürzt sich immer wieder gerne mal in ruinöse Tech-Wettbewerbe, reibt sich dabei gegenseitig auf und wenn dann mal irgendwo n Erdbeben ist, bekommt nirgends auf der Erde mehr Speicher nachgekauft. Die aktuelle Technik ist generell so frisch, dass es immer nur ein oder zwei Fabriken weltweit gibt, die den Shit überhaupt herstellen können. Das ist schon fast Erdbeeren-Selbstpflücken.

Das hat nicht nur Folgen für die Softwareindustrie, die scheinbar wirklich ein Problem mit der Anpassung an neue Hardware hat. Der IT-Hardwaremarkt ist kaputt und Anwender wollen nix mehr für Rechner ausgeben, weil der in nem Jahr eh wieder alt ist (genutzt wird er dann aber trotzdem weiter, weil er für Office und Web ganz real immer noch overpowered ist).
Ich vermisse da die ökonomische Nachhaltigkeit (und die ökologische sowieso, aber dafür interessiert sich noch viel weniger irgendwer wirklich)...

[ctvirus]

Ich vermisse da die ökonomische Nachhaltigkeit (und die ökologische sowieso, aber dafür interessiert sich noch viel weniger irgendwer wirklich)...

röchdööööch

leider hast du damit recht, aber da lässt sich so schnell nix dran ändern, wie dir sicher auch klar ist.
der vergleich mit der automobilindustrie passt nicht recht: ich glaube, wenn mehr menschen schon früher (vor einigen jahren) auf hybrid- oder e-autos scharf gewesen wären, hätten die hersteller sicher nicht gezögert. vll spielt der aspekt mit dem "weil man mit dem alten Scheiß genug Kohle machen kann" auch ne rolle, aber mehrheitlich ist der käufer bzw. das kaufverhalten schuld, so meine theorie.

was mich noch interessieren würde: was meinst du mit "die Softwareindustrie, die scheinbar wirklich ein Problem mit der Anpassung an neue Hardware hat"? ich kann mir zwar fikitve problem-szenarien ausdenken, aber ein reelles problem im bezug darauf fällt mir nicht ein...

[Farzi]

der vergleich mit der automobilindustrie passt nicht recht: ich glaube, wenn mehr menschen schon früher (vor einigen jahren) auf hybrid- oder e-autos scharf gewesen wären, hätten die hersteller sicher nicht gezögert. vll spielt der aspekt mit dem "weil man mit dem alten Scheiß genug Kohle machen kann" auch ne rolle, aber mehrheitlich ist der käufer bzw. das kaufverhalten schuld, so meine theorie.

Mit Angebot und Nachfrage ist das so ne Sache. Oft hängt die Nachfrage vom Preis ab. Oft weis man schlicht nicht, was dei Kunden wirklich wollen, weil es das angebot, das sie eigendlich am leibsten nachfragen würden, gar nicht gibt. Da kann man dann auch zu dem Schluss kommen, dass die Kunden generell kein Bock auf Hybrid- oder Elektro-Antriebe haben, wenn diese schlicht gar nicht oder nur mit schmerzhaftem Aufpreis angeboten werden.
Und nicht zuletzt lebt auch die ganze Werbebranche davon, dass die Nachfrage in gewisser Weise mit Information steuerbar ist.

Man kann aus der aktuellen Marktsituation ableiten, was der Kunde will. allerdings liegt man damit oft daneben.
Plötzlich hat jeder um mich herum ein iPhone oder was ähnliches mit Android. Den Markt gabs auch vor dem iPhone. Er wurde einfach nur nicht bedient.

was meinst du mit "die Softwareindustrie, die scheinbar wirklich ein Problem mit der Anpassung an neue Hardware hat"?

Multicore-Unterstützung ist so ein Klassiker. 64-Bit ein anderer. Beide Technologien werden immer nioch nicht wirklich breit unterstützt. Adobe Photoshop gibts beispielsweise immerhin schon als x64 Version, verarbeitet Bilder aber scheinbar immer noch single-threaded (die Auslastung beträgt wärend der längeren Befehle recht genau 25% auf nem Quadcore). Die FOSS-Konkurenz Gimp ist scheinbar auch nicht multithreaded - lässt sich aber immerhin mehrfach gleichzeitig starten. Lange Zeit hat die Softwareindustrie Multicore schlicht ignoriert und man war froh, wenn die software auf x64 überhaupt lief. Dabei ist das leidige Problem mit der Speicherverwaltung schon recht lange ein Problem auf 32-Bit-Systemen gewesen.
Spieleentwickler haben die Multicore-CPUs immer noch am schnellsten angenommen, nutzen aber heute übliche 4 GB Ram nicht wirklich.

Aber Technologiesprünge sind nichts Neues. Von Win16 auf Win32 hats auch ewig gedauert.

Andererseits wurde CUDA wirklich schnell aufgenommen von führenden Passwort-Bruteforcern unterstützt - Grafikprogramme interessieren sich für derart viel Rechenpower inzwischen natürlich auch.


Also eigendlich ist es nicht so, dass die Softwaretechnik hinterhinken würde. Die Technik ist da, aber Programmierer sind auch heute noch relativ konservative Leute. Allerdings kann das auch an oft obskuren Managementvorgaben liegen...

[ctvirus]

Multicore-Unterstützung ist so ein Klassiker. 64-Bit ein anderer. Beide Technologien werden immer noch nicht wirklich breit unterstützt.

*narf* auf die idee hätt ich selbst kommen können...
danke dir

Also eigendlich ist es nicht so, dass die Softwaretechnik hinterhinken würde. Die Technik ist da, aber Programmierer sind auch heute noch relativ konservative Leute. Allerdings kann das auch an oft obskuren Managementvorgaben liegen...

das klingt so, als wenn die programmierer angst hätten was neues anzufassen und passt für mich irgendwie nicht so recht ins bild (was nicht bedeutet, das es nicht stimmt). das mit dem management trifft sicher in einigen fällen zu.
irgendwie musses da noch nen andren grund geben, warum kaum software für neue hardwaretechnologien geschrieben wird... grade bei solchen sachen wie multithreading wäre das doch ne spitzen sache, denke ich.

naja, warten wirs ab, vll erfindet sich die welt der computer im jahr 2011 völlig neu und all unsere erkenntnisse sind fürn arsch

danke nochmal für deine antwort, farzi

[Dakari]

irgendwie musses da noch nen andren grund geben, warum kaum software für neue hardwaretechnologien geschrieben wird... grade bei solchen sachen wie multithreading wäre das doch ne spitzen sache, denke ich.

Es lassen sich eben nicht alle Berechnungen in mehrere Threads unterteilen.

[ctvirus]

Es lassen sich eben nicht alle Berechnungen in mehrere Threads unterteilen.

dass das bei einigen prozessen wenig sinnvoll ist kann ich mir denken. ich zwar nicht grade versiert auf dem gebiet, aber an anderen stellen wäre das sicher produktiv.

[Farzi]

das klingt so, als wenn die programmierer angst hätten was neues anzufassen und passt für mich irgendwie nicht so recht ins bild (was nicht bedeutet, das es nicht stimmt).

Angst vieleicht nicht. Aber natürlich kostet es Zeit, sich in was neues einzuarbeiten. Wissen muss man sich erst aneignen und Programmierer machen normalerweise (wie alle anderen auch) im Job eh schon Überstunden. Wenn man also nicht selbst entghusiastisch genug ist, bleibt man einfach beim alten Stil. Chefs sind normalerweise jedenfalls nicht daran interessiert (obwohl sie es sein sollten), dass sich die Coder stetig weiter bilden und Neues ausprobieren. Weiterbildung kostet immer erst mal Zeit und man produziert oft in neuen Sprachen und mit neuen Paradigmen erst mal schlechteren Code als mit dem Kram, den man schon jahrelang macht. Erfahrung ist in dem Job ne Menge wert und die hat man nunmal eher dort, wo man schon viel mit gemacht hat.
Man sieht ja, wie sich Microsoft anstrengt, die Leute zu gemanagetem Code (.net) zu überreden. Die haben für so ziemlich jede große Sprache eine .net-Version gebaut. Die wollen vermutlich nicht nur die Entwicklung für die Windows-Plattform einfacher machen, sondern auch endlich die dämliche Pointer-arithmetik-/BNuffer-Overflow-Fehler loswerden. Man kann in .net auch Pointer benutzen und Puffer selbst verwalten. Aber die Sprache (C#, obs die anderen überhaupt ermöglichen, weis ich grad nicht) verführt nicht so dazu, wie C(++).
Microsoft ist sogar recht erfolgreich, weil sie da richtig hinter stehen mit Werbung und Support. .net macht für die coder das Leben oft auch wirklich einfacher und Chefs mögen die kürzeren Entwicklungszeiten.
Auf Nebenläufigkeit (Multicorenutzung) ausgelegt ist auch .net nicht. Es gibt sicher Libraries von Fremdanbietern, die virtuelle Prozesse implementieren. Von Haus aus, gibts aber nur realtiv schwergewichtige Windows-Threads und Prozesse. Und lock-basierte Nebenläufigkeit ist auch noch der defacto-Standard. Message-Passing muss sich erst noch durchsetzen.
Wenn man mal so schaut, was wirklich "ready for N-Core with N >= 100" ist, findet man eigendlich nur so Exoten, wie Erlang. Und Erlang ist eine funktionale Sprache mit Single-Assignment. Das wird vermutlich nie Mainstream...

Wie gesagt: Die Leute mit Zeit (Studentebn, Hacker, Cracker, Wissenschaftler) stürzten sich recht schnell auf Cuda - und dort haste heute schon N Cores mit N > 100...


Die Frage ist meist auch nicht, ob sich etwas parallelisieren lässt, sondern wie das geht. Es gibt natürlich ein par Dinge, wo einfach nichts ist, was man parallel machen könnte. Aber immer, wenn mehrere Verarbeitungen nötig sind, die nicht voneienander abhängig sind, kann man die im Prinzip parallelisieren. Man muss abwägen, ob der Overhead größer als der Gewinn an Performance und Flexibilität durch Nebenläufigkeit ist. Oft muss man Algorithmen für die Nebenläufigkeit stark abändern. Das kostet natürlich Zeit und es wird meistens auch nicht gewürdigt (noch nicht).
Aber genau so, wie das 32-Bit-Limit bei der Speicherverwaltung heute allgemein als echte Beschränkung erkannt wurde (also ein par Jahre nachdem sich die ersten Leute darüber ärgerten, dass ihr OS nur 3,5 GB erkennt...) und deshalb die 64-Bit-Unterstützung zunimmt, wird man irgendwann nicht nur merken, dass man einzelne Cores nicht beliebig schnell machen kann. Es wird deshalb auch als echtes Handicap angesehen werden, wenn Code nur einen Core effektiv nutzen kann. Spieleprogrammierer sind längst erwacht und bauen für Multicore. Sie gehen momentan dabei meist von 2 bis 4 Cores aus, was auch der Realität entspricht. Die Spieleentwickler werden wohl die ersten sein, die sich bewegen, wenn Intel mit ner 100-Core-CPU den Massenmarkt flutet. Nur mit echten Threads oder gar Prozessen ist dann wohl Schluss. Man wird auf virtuelle Prozesse setzen müssen, damit der Overhead durch Context-Switching und Spawning nicht alle Vorteile wieder auffrisst.

Da geht noch was...

[ctvirus]

...

also erstmal: respekt!
du hast ne menge fachwissen und das klingt auch nicht grade so als hättest dus erfunden. ich bin selbst fachinformatiker - anwendungentwicklung, allerdings noch inner ausbildung (zuvor ne ausbidung zum it-se) und daher könnte ich nur mit etwa der häfte der begriffe auf anhieb was anfangen, wiki hat mir dann geholfen

zum text: die gründe klingen plausibel. dass bei einigen prozessen das multithreading nicht lohnt hatte ich auch schon irgendwo geschrieben. zusammenfassend hast mich soweit überzeugt dir bei deinem letzten satz zustimmen zu müssen:

Da geht noch was...

[susi773]

Hey, finde die Diskussion spannend Meiner Meinung nach kann kein System dieser Welt je fehlerfrei sein. Dies gilt auch wenn man das Personal und das Budget erhöhen würde. Menschen machen nun Mal Fehler und diese finden sich auch in Ihren Programmen wieder. Sehen wir es mal positiv, dies macht auch die Computerbranche menschlich - viele nehmen ja an da es sich um Technik handelt sind Fehler eher die Ausnahme... weit gefehlt Fehler sind in der Technik eher die Regel

Um zur Ausgangsfrage zurück zu kommen "Datenklau: Sind zu komplexe Systeme schuld?" - einfacher gestaltete Systeme können sicherlich Ihren Teil dazu beitragen, dass Datenklau erschwert wird! Datenklau an sich lässt sich nie ausschließen, deshalb empfiehlt sich sensible Daten nicht in Klartext zu speichern und den Schlüssel zur Entschlüsselung so wenigen Mitarbeitern wie Möglich zugänglich zu machen.

Härtere Strafen oder Gesetze, gegen Datenverbrechen wie z.B. den Handel mit Daten gehören sicherlich zu einem Gesamtpaket um Datenklau und den Handel mit diesen ein zu dämmen. Oder man könnte als Gesetzgeber andere Maßnahmen ergreifen, z.B. falsche Datensammlungen auf den "Datenmarkt" in Umlauf bringen, welche es schwerer machen würden Käufer für seine Daten zu bekommen...