piwik no script img

Cyberattacke in IrlandGesundheitssystem ausgeknockt

Kriminelle haben die Daten des irischen Gesundheitsdiensts verschlüsselt. Sie wollen 20 Millionen Euro erpressen.

Hackerangriff auf das Gesundheitssystem, aber Impfzentren, wie hier in Dublin, können weiterarbeiten Foto: Clodagh Kilcoyne/reuters

Dublin taz | Mitten in der Coronapandemie ist das irische Gesundheitssystem durch den womöglich bisher größten Hackerangriff in der Geschichte des Landes lahmgelegt worden. Wie groß der Schaden sein wird, ist bisher unklar. Das Kabinett wurde am Dienstag von Internetsicherheitsexperten über die mögliche Tragweite informiert. „Es gibt ernste Sorgen wegen der Auswirkungen des sehr begrenzten Zugangs zu Diagnostik, Labordiensten und Patientendaten aus der Vergangenheit“, teilte Irlands Gesundheitsdienst Health Service Executive (HSE) mit.

Eine Woche nach dem Cyberangriff auf eine US-Pipeline hatten Cyberkriminelle am Freitag das IT-System des HSE mit Schadsoftware infiziert. Dadurch sind die Dateien und Laufwerke des Gesundheitsdienstes verschlüsselt worden. Die Täter drohten mit der Veröffentlichung der gestohlenen Patientendaten inklusive Bankverbindungen, falls man auf ihre Forderung nicht eingehe. Sie verlangen 20 Millionen Euro für einen Code, mit dem sich die Daten entschlüsseln lassen. Die Regierung in Dublin lehnte eine solche Zahlung ab.

Der Gesundheitsdienst hatte am Freitag alle IT-Systeme vorsichtshalber heruntergefahren. Die meisten ambulanten Termine mussten abgesagt werden, darunter auch die Bestrahlungen für Krebspatienten. Impfungen gegen Covid seien aber nicht betroffen, gab der HSE bekannt, und auch der Notruf sowie die Krankentransporte funktionierten. Die Behandlung in der Notaufnahme ist jedoch dramatisch verlangsamt, weil das Personal keinen Zugriff auf Daten hat.

Die Experten für Internetsicherheit überwachen derzeit das Darknet, um festzustellen, ob die Hacker die erbeuteten Daten veröffentlichen, wie sie angedroht haben. Man befürchtet außerdem, dass es einen erneuten Angriff geben könnte, während man versucht, das System in den nächsten Tagen schrittweise wieder hochzufahren. Priorität hat die Wiederherstellung der diagnostischen Bildgebung, der Laborsysteme und der Onkologie.

Hinter dem Angriff könnte laut Experten die russische Gruppe Wizard Spider stecken

Der Posten des Direktors des Nationalen Zentrums für Internetsicherheit ist allerdings seit mehr als einem Jahr unbesetzt. Das Gehalt von 89.000 Euro im Jahr liege weit unter dem üblichen Niveau für eine solch verantwortungsvolle Aufgabe, sagte der unabhängige Abgeordnete Cathal Berry. Der frühere Armee-Offizier monierte, dass das Zentrum lediglich fünf Millionen Euro im Jahr erhalte, nur 25 Mitarbeiter beschäftige und nicht mal über ein eigenes Gebäude verfüge, sondern in einem Notbehelf untergebracht sei. „Weil Irland international aktiver wird, zum Beispiel durch den Sitz im UN-Sicherheitsrat, ist das Land Hackerangriffen verstärkt ausgesetzt“, sagte er.

Viele HSE-Computer laufen mit veralteten Windows-Betriebssystemen, aber das habe bei dem Hackerangriff keine Rolle gespielt, sagte ein HSE-Sprecher. Europol untersucht nun die Software und vergleicht sie mit früheren Angriffen, zum Beispiel mit dem auf Colonial Pipeline vor fast zwei Wochen, dem Betreiber der größten Pipeline der USA. Die Hacker sollen ein Lösegeld in Höhe von fünf Millionen Dollar kassiert haben. Der japanische Elektronikkonzern Toshiba ist Anfang des Monats ebenfalls erpresst worden.

In Deutschland ist die Uniklinik Düsseldorf vorigen September mit Erpressersoftware angegriffen worden. Das eigentliche Ziel war aber vermutlich die Heinrich-Heine-Universität. Als die Hacker von der Polizei darauf hingewiesen wurden, dass sie durch ihre Aktion Leben gefährden, bliesen sie die Erpressung ab und händigten den Entschlüsselungscode aus.

Hinter dem Angriff auf den Gesundheitsdienst könnte nach Angaben von Experten Wizard Spider stecken. Diese russische Organisation hat wiederholt solche Aktionen mit der Schadsoftware Conti unternommen. Ein Sprecher der russischen Botschaft in Dublin verurteilte den Angriff und sagte, die Regierung in Moskau sei bereit, eine Untersuchung einzuleiten, wenn sie von irischer Seite darum gebeten werde.

Links lesen, Rechts bekämpfen

Gerade jetzt, wo der Rechtsextremismus weiter erstarkt, braucht es Zusammenhalt und Solidarität. Auch und vor allem mit den Menschen, die sich vor Ort für eine starke Zivilgesellschaft einsetzen. Die taz kooperiert deshalb mit Polylux. Das Netzwerk engagiert sich seit 2018 gegen den Rechtsruck in Ostdeutschland und unterstützt Projekte, die sich für Demokratie und Toleranz einsetzen. Eine offene Gesellschaft braucht guten, frei zugänglichen Journalismus – und zivilgesellschaftliches Engagement. Finden Sie auch? Dann machen Sie mit und unterstützen Sie unsere Aktion. Noch bis zum 31. Oktober gehen 50 Prozent aller Einnahmen aus den Anmeldungen bei taz zahl ich an das Netzwerk gegen Rechts. In Zeiten wie diesen brauchen alle, die für eine offene Gesellschaft eintreten, unsere Unterstützung. Sind Sie dabei? Jetzt unterstützen

Mehr zum Thema

33 Kommentare

 / 
  • @RUDOLF FISSNER:

    Aber ohne Vektor keine Party.

  • Butter. Fische.

    Nach allem was ich weiss, war das in Irland Conti. Ich lasse mich eines Besseren Belehren.

    "Summary

    Conti is an advanced ransomware tool [...]

    Affected platforms



    The following platforms are known to be affected:

    Microsoft Windows



    Versions: all" [1]

    [1]



    digital.nhs.uk/cyb...lerts/2020/cc-3544

    • @tomás zerolo:

      "The entrance hole is not the target of the honey thief" (me)

      Sie verwechseln Butter mit Fischen bzw. Ziel und Schwachstelle. "Default behaviour [von Conti] is to encrypt all files on local and networked Server Message Block drives, ignoring files with DLL, .exe, .sys and .lnk extensions."

      SMB ist keine Spezialität von Windows.

  • @RUDOLF FISSNER

    Weiss nicht, was sie unter "nationale" meinen, auch nicht, was unter "Gesundheitssoftware".

    Ansonsten:

    en.wikipedia.org/wiki/GNU_Health



    en.wikipedia.org/wiki/GNU_Solidario

    Wenn Sie sich für spezifischere Branchen (z.B. Imaging) interessieren:

    www.orthanc-server...hp?page=conference

    Ich kann mich des Eindrucks kaum erwehren, Sie sind es, der hier mit Nebelkerzen schmeisst.

    • @tomás zerolo:

      "Weiss nicht, was sie unter "nationale" meinen, auch nicht, was unter "Gesundheitssoftware"."

      Dass sollte nach Lesen des Artikels offensichtlich sein. Es wurde die IT des nationale Gesundheitssystem in Irland geknackt. Keine Software einer einzelnen Praxis oder eines Krankenhauses..

      Insofern habe ich auch nicht nach Open Source Software für Krankenhäuser gefragt (GNU-Health) oder Organisationen, die Praxis- oder Krankenhaussoftware entwickelt (Slidario) gefragt.

      Es gibt auf der Ebene des nationalen Gesundheitssysteme schlicht keine spezielle Open-Source-Software.

      Softwaresysteme dort sind hanfdgeklöppelt und individuell den fachlichen nationalen Erfordernissen angepasst. Standards werden Sie dort finden sofern sie auf EU Ebene oder Weltweit vorliegen.

      Der Entwicklungsprozess solcher Software hat sich in der Regel über Jahrzehnte hingezogen. Und auf Systemenebene werden Sie eine heterogene Landschaft vorfinden mit Altsystem, Neusystemen und diversen Betriebsystemen auf Server und Clientseite.

      Es gibt lediglich Software, die bei Prozessen unterstützen kan. Zb beim Dokumentenmanagement (Sharepoint, Alfresco u.a) , Rechteverwaltung, .... Auch da gibt es wieder viele Möglichkeiten und Systeme.

      Open Source ist aber auch da nicht = Qualität & Sicherheit. Das muss man sich im Detail anschauen. Mit Linux vs. Windows Rechner Diskussionen ist man bereits auf dem Holzweg.

  • @INGO BERNABLE: Naja, Sie brauchen beides.

    Ich habe auf die Schnelle keine Info bekommen, was für Vektoren in diesem Fall im Spiel waren, aber eine "Social Engineering"-Komponente (früher liegengebliebene Datenträger -- Natanz!, heute eher Phishing-Mails etc.) braucht es, und eine virus- oder wurmartige Komponente, die typischerweise eine Schwäche ausnutzt.

    @RUDOLF FISSNER: Wenn man wie Sie, Outlook For Linux benutzt... selber schuld ;-P

    Und zur "staatlichen Gesundheitssoftware" des HSE: ich möchte wetten, die ist mit Excel, IIS, Spucke, Pappmaché und ein Bisschen Draht zusammengenoppelt. Und oh, MS SQL Server *und* Oracle, because.

    Teuer war sie aber schon.

    • @tomás zerolo:

      "Wenn man wie Sie, Outlook For Linux benutzt... selber schuld ;-P"

      ROFL: Wenn das die Antwort auf meine Frage ( taz.de/!5773456/#bb_message_4128108 ) soll das wohl heißen: Sie kennen auch keine nationale verwendete Gesundheitssoftware, die Open Source ist und verlagern ihre Antwort auf den Kaffeesatz, der ihnen zeigt, wer, wie, wo und was...

      Dass sie nun schon wetten zeigt , dass Sie wohl ohne jegliches Hintergrundwissen über dem HSE Fall reden, weder die eingesetzten Betriebssysteme kennen und deren Verteilung, keine Ahnung haben, durch welche Löcher die Hacker hereinkamen und auch nicht wissen welche menschlichen und technischen Fehler vorlagen.

  • Einer der Gründe, warum im hiesigen Beamtenapparat die Digitalisierung so langsam voranschreitet. Oder?

  • Ich würde Malware nur auf Linuxsystemen aus einer Email heraus starten 🤣

    Die Debatte hier ist eine Flame-War , der mit den konkreten Ereignissen in Irland nichts zu tun hat.

    Auch ist staatliche Gesundheitssystemsoftware kein Produkt von der Stange, weder als Open noch als Closed Source. Man wäre auch gebauchpinselt, den Quellcode der eigentlichen Software zur Findung von Löchern offen zu legen.

  • Jetzt is mir klar, warum das hiesige Gesundheitsamt die Corona-Daten nachwievor per Fax übermittelt. So neumodischem Kram wie Windows kannste einfach nicht trauen.

  • @INGO BERNABLE

    Sie werden aber nicht behaupten wollen, dass die letzten Ransomware-Attacken durch am Monitor klebende Passwörter "reingekommen" sind?

    Die Sysadmins sind sicher der grössere Faktor, das Betriebssystem komt vermutlich mit den Nutzer*innen an zweite Stelle.

    Nur: Windows ist die letzten 40 Jahre damit verkauft worden, dass es den Sysadmin nicht braucht.

    Die Cloud-"Lösungen" sind dabei, die nächste Eskalationsstufe einzuläuten. Die ersten Ergebnisse sehen wir gerade mit Freuden.

    • @tomás zerolo:

      "Sie werden aber nicht behaupten wollen, dass die letzten Ransomware-Attacken durch am Monitor klebende Passwörter "reingekommen" sind?"



      Nein, das will ich nicht behaupten, allein schon deshalb nicht, weil ich bislang nirgends konkrete Angaben zu den ausgenutzten Sicherheitslücken gelesen habe. Allerdings kann man wohl schon davon ausgehen, dass die Angriffe auf die Colonial Pipeline und die irischen Gesundheitsdaten nicht zufällig, sondern gezielt erfolgten. Dafür aber dürften fehlerhafte Administration und unvorsichtige Nutzer deutlich vielversprechendere Ansätze sein, als als Hacker darauf zu setzen eine bislang unbekannte Lücke im OS zu entdecken.

  • Leider wird man solche Meldungen noch sehr viel öfter lesen, weil sich solche Attacken für die Angreifer lohnen.

    Das Problem ist auch, aber eben nicht nur Windows.

    Ein Problem, dass die Politik immer noch nicht begriffen hat, ist das das Brechen von Verschlüsselung durch Einbauen von Hintertüren kategorisch unvereinbar ist mit sicherer Software und sicherer Kommunikation. Lücken, die der BND nutzen kann, können und werden auch Kriminelle (und irgendwann auch Kriegsgegner) nutzen. Und die Wirkung dieser Angriffe wird mehr und mehr in die reale Welt hineinreichen, seien es Krankenhäuser, Stromnetze, Ölförderanlagen, Urananreicherungsanlagen, Autofabriken, Ampelsteuerungen, Lebensmittelproduktionen und Kühlhäuser, medizinische Geräte, oder die Trinkwasserversorgung.

    Ein weiteres, tiefer liegendes Problem ist, dass die populären Betriebssysteme aufgrund ausgiebig betriebener Verdummung der Nutzer und im Namen der Bequemlichkeit keine saubere Trennung mehr vollziehen zwischen Daten und Programmen, was dazu führt, dass das Öffnen von fremden Dateien unweigerlich zur Ausführung von Schadcode führen kann. Diese Trennung muss wiederhergestellt werden, denn der Input ist nicht grundsätzlich vertrauenswürdig. Sonst gibt es in einer vernetzten Welt keine Sicherheit mehr.

    Zudem garantiert einzig Open Source Software wie die GNU/Linux Software, dass der Code nicht nur signiert ist, sondern auch einsehbar und reproduzierbar ist und im Interesse des Computerbesitzers agiert.

    Das Paradigma, dass "alles in der Cloud" liegt, geht indes leider haargenau in die falsche Richtung. Schließlich gibt es im Grunde keine Cloud, sondern nur die Computer von jemand anders, z.B. Amazon mit seinen Amazon Web Services. Und dieser "jemand anders" hat normalerweise ganz ganz andere Interessen als der Nutzer der Programme und legitime Eigentümer der Daten. Für Amazon beispielsweise sind die stets unverschlüsselten Daten von Webshops der Konkurrenz, die in AWS liegen, ein gefundenes Fressen.

    • @jox:

      "Zudem garantiert einzig Open Source Software wie die GNU/Linux Software, dass der Code nicht nur signiert ist"



      Das wäre mir neu. Es gab wohl mal vor Jahren Bestrebungen Signaturen für ELF-Binaries zu ermöglichen und theoretisch kann man das wohl auch machen. Durchgesetzt hat sich das aber nicht.



      "sondern auch einsehbar und reproduzierbar ist und im Interesse des Computerbesitzers agiert."



      Ich bin ja nun wirklich auch ein Anhänger von FOSS, aber wie groß ist der Anteil der Computerbesitzer denn tatsächlich die in der Lage sind mal eben im Code nachzuschauen ob der in ihrem Sinne funktioniert. Selbst die meisten IT-ler sind doch allenfalls in einer handvoll Programmiersprachen wirklich fit. Zur Probe aufs Exempel hier mal ein noch verhältnismäßig zugänglicher Teil der Linux-Firewall:



      git.netfilter.org/...ptables/iptables.c



      "keine saubere Trennung mehr vollziehen zwischen Daten und Programmen"



      DEP ist doch längst Standard oder wollen sie die grundsätzliche Abkehr von der von-Neumann-Architektur?

      • @Ingo Bernable:

        > Ich bin ja nun wirklich auch ein Anhänger von FOSS, aber wie groß ist der Anteil der Computerbesitzer denn tatsächlich die in der Lage sind mal eben im Code nachzuschauen ob der in ihrem Sinne funktioniert

        Der Anteil ist nicht groß, aber die absolute Zahl ist groß genug und wichtig ist (neben der Einhaltung "hygienischer" Praktiken) auch, dass die Überprüfung möglich ist.

        Es behauptet auch keiner, dass Open Source Software fehlerfrei ist. Aber sie ist erfahrungsgemäß meistens sicherer.

      • @Ingo Bernable:

        > Das wäre mir neu. Es gab wohl mal vor Jahren Bestrebungen Signaturen für ELF-Binaries zu ermöglichen und theoretisch kann man das wohl auch machen.

        Viele Source-Code Archive sind signiert (die Funktion ist in der git Versionsverwaltung drin), natürlich auch der Linux Kernel.

        Dazu kommt, dass, wenn Sie z.B. Debian einsetzen, alles aus nachvollziehbaren Quellen gebaut wird und die Binaries von den Paketerstellern signiert und bei der Übertragung geprüft werden.

        Deutlich niedriger sind die Standards allerdings bei Web-Software wie JavaScript Bibliotheken, die oft vom Server runter geladen und unbesehen ausgeführt werden ("curl xyz | bash"). Da braucht man sich nicht wundern, wenn der Rechner anschließend jemand anders gehorcht.

        > "keine saubere Trennung mehr vollziehen zwischen Daten und Programmen"



        >



        > DEP ist doch längst Standard oder wollen sie die grundsätzliche Abkehr von der von-Neumann-Architektur?

        Grundsätzlich können Daten auch Programme sein und ausgeführt werden. Z.B. ist das der Fall bei Postscript / PDF oder bei Python Code. Die Trennung ist rein konzeptionell, auch ein C Compiler erzeugt ja aus Programmcode (= Daten) ausführbaren Maschinencode.

        Hier sollte aber stark unterschieden werden zwischen vertrauenswürdigem Programmcode, den der Autor der Software unter Kontrolle hat, und Nutzerdaten, die per se nicht vertrauenswürdig sind.

        Die ganzen Makrofunktionen z.B. in Excel oder Office unterlaufen diese Trennung nun, denn sie packen ausführbaren Code in Dokumente rein, die per EMail aus Aserbeidschan eintrudeln können. Klickt der Mailempfänger darauf, wird der Code ausgeführt. Und das ist Mist.

        Das Gegenmittel ist, dafür zu sorgen, dass so ein Dokument *nur* als nicht-vertrauenswürdige Daten behandelt wird, und sonst nichts.

        • @jox:

          "Viele Source-Code Archive sind signiert"



          Das hilft aber auch nur denjenigen die sich ihre Software selber bauen und auch nur dann wenn alle Abhängigkeiten ebenfalls aus signierter Quelle stammen. Aber ob ein fertig compiltes Programm tatsächlich (nur) aus dem Inhalt eins öffentlichen Repos erzeugt wurde oder da noch mehr drin steckt lässt sich nur sehr schwierig feststellen.



          "Dazu kommt, dass, wenn Sie z.B. Debian einsetzen, alles aus nachvollziehbaren Quellen gebaut wird und die Binaries von den Paketerstellern signiert und bei der Übertragung geprüft werden."



          Das kann man schon machen, müsste dann aber eben die Ausführung von Code aus anderen Quellen unterbinden. Ähnliche Ansätze gibt es ja auch im proprietären Bereich etwa mit den AppStores unter Windows oder OS X oder den Entwicklungen im Kontext von Trusted Computing, nur führt das eben letztlich dazu, dass der Nutzer nicht mehr Herr im eigenen Hause ist, sondern Dritte darüber entscheiden welcher Code noch ausgeführt werden darf.

  • "... ist das Land Hackerangriffen verstärkt ausgesetzt"

    Gähn. Diese Ransomware-Angriffe werden langsam langweilig.

    Wäre ich eine Versicherungsgesellschaft, hätte ich bereits erhöhte Prämien für alle Kunden, die Windows einsetzen. Zu hoch das Risiko.

    • @tomás zerolo:

      Ein schlecht administrierters *nix kann genauso unsicher sein wie ein schlecht administriertes Windows und auch dort gibt es teils riesige Lücken, die Shellshock-Backdoor in der Bash existierte etwa von ´89 bis ´14. Umgekehrt sollten fähige Admins durchaus in der Lage sein auch proprietäre Systeme relativ gut abzusichern.



      Das Problem ist vielmehr, dass sich die Sicherheit des Gesamtsystems an der des schwächsten Gliedes bemisst und das kann ggf. eben auch schon eine Arztpraxis mit veralteter WLAN-Verschlüsselung oder einem an den Monitor geklebten Passwort sein.

  • "Viele HSE-Computer laufen mit veralteten Windows-Betriebssystemen, aber das habe bei dem Hackerangriff keine Rolle gespielt, sagte ein HSE-Sprecher."



    - natürlich nicht, wer kommt denn darauf ...

    Das Problem ist: Sofern man überhaupt noch eigene IT-Spezialisten hat und die sagen "wir brauchen fünf Millionen für die "Härtung" der IT-Systeme" kommt irgendein "Master of Business Desaster" um die Ecke und sagt: "Aber Dafür gibt es doch garkeinen Business-Case."



    Also gibt es auch keine Kohle. Also auch keine Härtung der Systeme.

    Die IT-Leute sagen: "Die neue Version unserer Internetseite ist noch nicht auf Schwachstellen geprüft" sagt ebenjener "Master of ...": "Wieso - die ist doch sehr ansprechend. Sieht doch richtig gut aus! Glückwunsch an das Team - morgen geht das live!"

    Wohl gemerkt: Wenn man noch eigene IT-Spezialisten hat!



    Sonst ist man nämlich auf die als Sicherheitsberater getarnten Vertriebsleute irgendwelcher Softwarehäuser angewiesen - die einem natürlich jeden Tag was Neues andrehen wollen.

    Oder noch schlimmer: Die beim oberen Management auf der Bettkante sitzen und denen erfolgreich eine Cloud aufschwatzen...

    Aber die Wurzel des Problems ist, dass es für Software KEINE PRODUKTHAFTUNG gibt.



    Die gibt es nur für dingliche Sachen - also für Sachen die man anfassen kann.

    Also geht es mir als Softwarehersteller am Allerwertesten vorbei wenn meine Kunden totgehackt werden.

    • @Bolzkopf:

      > Aber die Wurzel des Problems ist, dass es für Software KEINE PRODUKTHAFTUNG gibt.

      Das stimmt genau genommen nicht. Das Haftungsrecht gilt selbstverständlich auch für Software. Zwar kann Haftung zwischen gewerblichen Vertragspartnern in bestimmten Fällen ausgeschlossen werden, und Software-Lizenzen tun das regulär. In Fällen grober Fahrlässigkeit greifen solche Klauseln jedoch nach geltendem Recht nicht (§ 276 BGB).

      Die rechtlichen Regeln gibt es also, sie müssen nur von Gerichten auch durchgesetzt werden.

      Und warum sollen für wackelige Software, die in sich zusammenfällt, und wie hier im Fall des irischen Gesundheitsdienstes sicherlich auch Menschen physisch schädigt oder ums Leben bringt, andere Regeln gelten, als für Ingenieure, die eine wackelige Brücke bauen, die zusammenfällt und Menschen mit in die Tiefe reißt? Wer eine Brücke konstruiert und baut, haftet voll für Pfusch.

      • @jox:

        §1 ProdHaftG:

        Im Falle der Sachbeschädigung gilt dies nur, wenn eine andere Sache als das fehlerhafte Produkt beschädigt wird und diese andere Sache ihrer Art nach gewöhnlich für den privaten Ge- oder Verbrauch bestimmt und hierzu von dem Geschädigten hauptsächlich verwendet worden ist.

    • @Bolzkopf:

      "Aber die Wurzel des Problems ist, dass es für Software KEINE PRODUKTHAFTUNG gibt."



      Wie sollte die konkret aussehen, etwa in einem Szenario in dem viele Softwarehersteller in ihren Produkten eine freie Bibliothek einsetzen, und zwar eine die ein anerkannter Quasi-Standard ist, und in der sich dann später eine massive Sicherheitslücke zeigt (wie etwa beim Heartbleed-Bug geschehen). Soll man nun, obwohl keinem der Beteiligten ein konkreter Fehler vorzuwerfen ist, per Haftung die halbe Branche in die Insolvenz schicken?



      Vor Allem aber wäre bei einer Produkthaftung zu erwarten, dass Versicherungen zur Minderung ihres Risikos von ihren Kunden den Einsatz von proprietärer Software fordern würden, was effektiv das Ende von FOSS im kommerziellen Umfeld bedeuten dürfte.

      • @Ingo Bernable:

        Wenn ich ein Auto kaufe und die Bremsen gehen wegen eines Herstellerfehlers nicht, brauche ich mich auch nicht darum kümmern, wer die Bremsbeläge zugeliefert hat oder die Bremsscheiben oder das Bremsöl - es haftet der Hersteller.

        Wenn ich mein Auto hingegen selber baue (FOSS) muss ich auch selber dafür grade stehen - aber ich habe wengistens die Wahl.

      • @Ingo Bernable:

        > Vor Allem aber wäre bei einer Produkthaftung zu erwarten, dass Versicherungen zur Minderung ihres Risikos von ihren Kunden den Einsatz von proprietärer Software fordern würden, was effektiv das Ende von FOSS im kommerziellen Umfeld bedeuten dürfte.

        Das wäre auch für die Versicherer kontraproduktiv, denn solche Software hat erfahrungsgemäß oft schlechtere Qualität, verursacht also mehr Kosten.

        • @jox:

          "Das wäre auch für die Versicherer kontraproduktiv, denn solche Software hat erfahrungsgemäß oft schlechtere Qualität, verursacht also mehr Kosten."



          Abgesehen davon, dass ich diese Aussage so pauschal nicht teilen würde, ist das gar nicht der wesentliche Punkt dabei. Entscheidend wäre, dass sie dann jemanden auf Schadensersatz verklagen könnten.

      • @Ingo Bernable:

        Übrigens haben weit genutzte kritische Software-Infrastrukturen, wie die vom Heartbleed-Bug betroffene OpenSSL Bibliothek, die GnuPG Software zum Erstellen und Prüfen von Signaturen, oder die Linix-Real-Time Kernel Patches, die in zahllosen industriellen und robotischen Systemen laufen, größte Schwierigkeiten, überhaupt die Wartung und Weiterentwicklung dieser Software zu finanzieren. Vor allem die Industrie benutzt diese sehr wertvollen Komponenten nur zu gern, weigert sich aber da irgend was zurück zu geben. Von daher habe ich kein Problem damit, wenn solche industriuellen Anbieter fehlerhafter Software zur Kasse gebeten werden, wenn sie von Bugs betroffen werden.

      • @Ingo Bernable:

        > Wie sollte die konkret aussehen, etwa in einem Szenario in dem viele Softwarehersteller in ihren Produkten eine freie Bibliothek einsetzen, und zwar eine die ein anerkannter Quasi-Standard ist, und in der sich dann später eine massive Sicherheitslücke zeigt (wie etwa beim Heartbleed-Bug geschehen).



        > Soll man nun, obwohl keinem der Beteiligten ein konkreter Fehler vorzuwerfen ist, per Haftung die halbe Branche in die Insolvenz schicken?

        Es geht um die Erfüllung von Sorgfaltspflichten. Und zur Sorgfaltspflicht gehört dazu, dass man eingesetzte Komponenten begutachtet und testet, ob sie ihre Funktion erfüllen. Wenn man z.B. aus Kosten- oder Qualitätsgründen freie Komponenten einsetzt, muss man um so sorgfältiger testen, da der "Anbieter" ja in dem Fall keine Erfüllung von Eigenschaften garantiert - ein Bestehen darauf wäre auch nicht angemessen bei Komponenten, die von den Autoren gratis zur Verfügung gestellt werden.

        So ein sorgfältiges Testen garantiert natürlich noch keine Fehlerfreiheit.

        Aber zum einen kann es Haftungsrisiken für den Ersteller der Software drastisch vermindern, zum anderen würden sehr viele kritische Fehler schon aufgedeckt, wenn umfassend und solide getestet würde (und die Software auch auf Testbarkeit hin entworfen wird).

        Und bei Verwendung von Software in vernetzten Einrichtungen in Gesundheitswesen sollte IT-Sicherheit schon eine zugesicherte Eigenschaft sein. Das ist dann halt nichts für Amateure.

        • @jox:

          "Es geht um die Erfüllung von Sorgfaltspflichten. Und zur Sorgfaltspflicht gehört dazu, dass man eingesetzte Komponenten begutachtet und testet, ob sie ihre Funktion erfüllen."



          Ein Problem wie die Heartbleed-Lücke wird man durch Testen allein aber kaum aufdecken, deshalb kann man mE in solch einem Fall eben nicht von der Verletzung von Sorgfaltspflichten sprechen.



          "Wenn man z.B. aus Kosten- oder Qualitätsgründen freie Komponenten einsetzt, muss man um so sorgfältiger testen, da der "Anbieter" ja in dem Fall keine Erfüllung von Eigenschaften garantiert"



          Das Testen auf Funktionsfähigkeit ist aber etwas anderes, als die Abwesenheit von Fehlern garantieren zu können. Das wäre selbst dann nicht möglich wenn man routinemäßig mit formalen Verifikationsmethoden und nach Standards wie MSIRA oder DO-178C entwickeln würde, was abgesehen davon auch kaum ein Kunde bereit wäre zu bezahlen.

  • Muss ich meinem jungen Neffen mal als Beruf vorschlagen Cyber Security Expert - extreme Gehälter, weltweite Nachfrage und ein sicherer Job für die nächsten 40 Jahre :)

    • @Expat:

      Als jemand, der im Bereich IT arbeitet, kann ich nur sagen, dem steht gegenüber, dass Firmen praktisch nie wirklich Verantwortung übernehmen oder auch nur minimale Kosten eingehen wollen für bessere IT-Sicherheit.

      Eigentlich braucht es dafür hochqualifizierte Leute, das ist richtig, aber das heißt nicht dass es für diese gute Stellen gibt und Qualifikation belohnt wird.

      • @jox:

        Da hast Du recht, allerdings ist das auch ein deutsches Problem, denn hier kommen Technologiefeindlichkeit und Niedriglohnland zusammen.

        Die richtige Firma im richtigen Land und das 6-digit-salary ist so gut wie sicher. Eine Google-Suche nach "salary cyber security specialist worldwide" gibt einen ersten Eindruck.

        • @Expat:

          > Die richtige Firma im richtigen Land und das 6-digit-salary ist so gut wie sicher.

          Aufgepasst, es ist auch ein Sektor in dem Bullshit und das Fächeln heißer Luft ziemlich verbreitet sind. Auch auf Seiten von Jobanbietern.