Ist Datenspeicherung auf einem Computern mit proprietärer Software (z. B. Windows und Microsoft Datenbanken) nicht unsicher?

Kann mir jemand sagen, ob die Speicherung von Daten auf Computern mit proprietärer Software sicher sein kann?
Es ist den Benutzern doch nicht bekannt, was diese Programme im einzelnen mit den Daten machen, weil der Programmcode nicht einsehbar ist.
Welche informationen von diesen Programmen gesammelt und vielleicht über das Internet an Dritte weitergeleitet werden weiß doch letztendlich nur der Programmierer. Liege ich da richtig?

1 Like

Prinzipiell ja. Und dabei muss es nicht mal kostenpflichtige Software sein, es reicht eine Freeware, die closed source ist. Sogar von open-source-Quellen geforkte („kopiert“ und (evtl. nur leicht) weiter veränderte) und wiedervermarktete Software ist in dem Sinne nicht vertrauenswürdig. Das macht ultimativ die enorme Bedeutung von open-source und freier Software klar.

Aber ich denke man muss auch sagen, dass weit verbreitete closed-source-Software in gewisser Weise „sicher“ ist, wenn nichts darüber bekannt ist, dass die Software Dinge tut, die sie nicht tun sollte. Solche Dinge wären ja entweder irgendetwas zu manipulieren - was sicherlich auffallen und bekannt werden würde - oder „nach Hause zu telefonieren“ - was ebenfalls früher oder später auffallen sollte, wenn die Software Dinge ins Internet schickt, die der Nutzer nicht veranlasst hat. Also:

Ist nicht zwingend richtig, da jeder Nutzer einer Software, der sich mit Programmen wie Wireshark mal an seinen Netzwerkadapter setzt, eine solche Kommunikation der Software mitbekommen würde. Da das aber technisch nicht trivial ist, gibt es natürlich immer die Möglichkeit, dass sich noch nie ein „Experte“, der sich damit auskennt, das Programm diesbezüglich genauer angeguckt hat. Gerade bei neuen Versionen eines populären Programmes haben tausende Nutzer eine der Welt erstmal völlig unbekannte Software auf dem Rechner.

Um speziell noch Windows 10 zu nennen: Hier ist es bekannt, dass Windows 10 „nach Hause telefoniert“ und Microsoft sich ausdrücklich in den Lizenzbedingungen das Recht einräumt, das zu tun (Windows 10 soll wohl die Festplatte nach urheberrechtlich geschützten Medien absuchen und dies melden können) oder zukünftig nachzurüsten
Dennoch nutzen mehr als genug Leute Windows 10 - für mich ehrlich gesagt nicht nachvollziehbar.

Hallo,

Kann mir jemand sagen, ob die Speicherung von Daten auf Computern mit proprietärer Software sicher sein kann?

Sicher kann das Sicher sein mit dem einfachsten Mittel der Welt :smile:

Schließe an den Computer keinen Zugang zum Internet an und kein Programm kann
nach Hause telefonieren.

Das heißt dann wohl, wenn eine closed Software so programiert ist, dass Sie nur selten und nur nach einem Anruf von außen aktiviert wird um nach Daten zu suchen und diese in einer als Sicherheitsupdate getarnten Internetverbindung an Dritte schickt nur sehr schwer oder gar nicht identifiziert werden kann. Da will ich hoffen, dass die öffentlich Hand keine solche Software benutzt. Ist das so? Benutzen z. B. Finanzämter und Krankenkassen open Source Software?

Aber solche Insellösungen sind glaube ich wenig praktikabel für große Datenverarbeitungssysteme. Oder?

Oh, es gibt durchaus Konzepte, die „Air Gap“ ohne Netzwerk(karten) zu überbrücken. Das geht dann aber in die Richtung, wie weit ich meiner Hardware vertrauen kann und ist nicht immer unbedingt mit Open Source-Software zu unterbinden.

Sehr hässlich …

1 Like

Ja. Damit liegst Du richtig.

Nun, um einen „Anruf von draußen“ zu erhalten, muss die Software selber nach draußen telefonieren, ansonsten wüsste derjenige „draußen“ nicht, wo das „drinnen“ denn zu erreichen ist, unter welcher Adresse. Eine ausgehende Nachricht des Programmes - das Schicken gesammelter Daten beispielsweise - würde natürlich ebenfalls auffallen. Tarnen als Update der Software kann man das nicht - ein Update geht ja in die andere Richtung (die Software würde bei einem Update was herunterladen, nicht hoch).
Aber ja - wenn die Software insgesamt nur sehr selten und sporadisch aktiv wird, ist es entsprechend schwerer unerwünschtes Verhalten festzustellen. Aber wie gesagt, ein „Anruf von draußen“ zum aufwecken ist nur möglich, wenn die Software regelmäßig ihre „Position“ im Internet (IP-Adresse) verschickt. Aber wenn auch dies entsprechend selten passiert, so dass die Wahrscheinlichkeit es bei einer kurzen Überprüfung zu entdecken gering ist, kann die Software unerwünschtes Verhalten durchaus gut tarnen - ist dann aber vielleicht nicht ganz so „schädlich“, weil sie nur sehr selten aktiv wird.

Behörden und Unternehmen verwenden sicherlich auch open-source-Software - wie jeder Anwender auch. Aber zweifelsohne auch close-source-Software. Gerade bei Behörden und Unternehmen ist closed-source möglicherweise noch weiter verbreitet, da der Softwarehersteller oft Support für seine Software anbietet, was bei so wichtigen Einsatzorten von Software entsprechend wichtig ist.
Von der Bundesagentur für Arbeit (wohl größte Behörde Deutschlands und auch im europaweiten Vergleich riesig) weiß ich, dass aktuell Windows 7 auf den Anwender-PCs eingesetzt wird, der Internet Explorer als Browser und Microsoft Office. Alles davon ist closed-source, wenn auch sehr weit verbreitet und entsprechend „getestet“. Für die Datenbanksysteme kommt Software von Oracle zum Einsatz - meines Wissen nach auch nicht open-source. Und das grundlegende Verwaltungssystem der BA ist ERP (von SAP) - zweifelsohne nicht open-source. Auf Anwenderebene kommt glaube ich für die PDF-Betrachtung der Adobe Acrobat Reader zum Einsatz - proprietäre Freeware.

Ob Microsoft hier einen ihrer größten Großkunden (ist wirklich so, hab da „Insiderwissen“ :stuck_out_tongue: ) ausspionieren und damit riskieren würde ihn zu verlieren ist fraglich. Aber kleinere Behörden oder Unternehmen… ja wieso denn nicht? Es ist weithin bekannt, dass Microsoft gezwungen ist, Hintertüren in ihre Software einzubauen für die NSA und diese interessiert sich sicherlich durchaus dafür, was in deutschen Behörden abgeht. Verteidigungsministerium vielleicht?
Keine Ahnung wie wahrscheinlich so ein Szenario wirklich ist, aber wenn uns die letzten Jahre eines gelehrt haben was IT-Sicherheit angeht, dann dass es weit schlimmer ist, als man sich eigentlich immer vorstellt.

1 Like

Die Daten, die die Bundesanstalt für Arbeit von Arbeitslosen speichert sollten doch auf jeden Fall vertraulich bleiben. Das kann nicht mit closed Code Software garantiert werden.

Lassen dies die deutschen Vorschriften für die Datensicherheit zu? Es ist eine unangenehme Vorstellung, dass andere wissen, wann und wie ich arbeitslos war, oder was ich verdient habe…

Keine Ahnung ob das irgendwelche Gesetze und Vorschriften zulassen. Und ja, ich finde es auch etwas bedenklich. Ich weiß aber leider auch nichts genaueres, ob beispielsweise Internetverkehr detaillierter überwacht wird, so dass unbemerktes Kommunizieren der verwendeten Software auffallen würde.
Wo ich mir aber sicher bin ist, dass man nicht sagen kann „die wissen schon was sie tun und lassen sowas bestimmt nicht zu“: Für den deutschen Staat ist Internet immerhin Neuland und Amerika - und da hocken die Firmen, die diese Software herstellen - ist anscheinend unser Freund, dem wir überschwänglich alle vier Backen hinhalten zum Draufschlagen.

Hallo,

Oh, es gibt durchaus Konzepte, die „Air Gap“ ohne Netzwerk(karten) zu überbrücken

Auch die NSA kann nicht zaubern lach

Ohne ein funkfähiges Gerät kann niemand eine Verbindung von einem PC nach draußen oder umgekehrt aufbauen.
Solange also in dem PC weder WLAN, Blue-Tooth,Funk-Tastatur oder ähnliche Geräte eingebaut sind, ist da nix mit Kommunikation.

Doch, durchaus.


http://www.jocm.us/uploadfile/2013/1125/20131125103803901.pdf

Viel Spaß

1 Like

Bestimmt so weit verbreitet wie Volkswagen-Dieselmotoren und genauso gut getestet.

Die Motorsteuerung der Autos ist auch closed source und total gut getestet. Ergebnis: Das Auto fährt echt gut und pustet im Prüfzyklus wenig Stickoxyde raus.

Keine weitere Fragen zu dieser Art der Prüfung.

Moderne Betriebssysteme neigen dazu, verschlüsselt mit irgendjemandem zu kommunizieren. Du hast in der Regel schlechte Chancen zu erkennen, was da kommuniziert wird. Große Hersteller von Closed-Source-Software haben immer auch mal wieder Probleme mit Verschlüsslungen, die nicht wirklich sicher sind, das elende PPTP von Microsoft, diverse Software-Zufallsgeneratoren, die von von der NSA in Standards hereingedrückt wurden und eigentlich sichere Verschlüsselungen wertlos macht, Elliptische Kurven/Parameter aus ebenjener Quelle.

Das alles fällt nicht mal eben durch Tests auf, da muss man schon nicht nur genau gucken sondern extrem viel Spezialwissen haben. Das fällt nicht mal eben den „Nerds“ von Chip und ComputerBild auf.

Sebastian

1 Like

Wäre eine verschlüsselte Kommunikation, die ich nicht „veranlasst“ habe, nicht auffällig bei genauerem Hinsehen? Dass verschlüsselte Verbindungen von closed-source-Software, die ich als Nutzer veranlasst habe - HTTPS-Verbindungen eines Browsers beispielsweise - nicht wirklich sicher vor NSA & Co. sind, ist ja sowieso bekannt.

1 Like

Hallo,

lach

sicher, es fällt einem überhaupt nicht auf, wenn Wildfremde Leute bei einem in der Wohnung rumlaufen.
Außerdem könnte es auch lustige Rückkopplungen mit Haustieren geben.
Das Menschen diese Töne nicht hören können,trifft ja nicht auf Tiere zu.

Wäre es dann nicht einfacher und besser, wenn die öffentliche Verwaltung Open Source Software benutzt. Am besten freie Software, die sicherer ist und Steuern spart?

Es gibt hier zwei Ansätze. Einmal der technische Ansatz das bedeutet Zugangssicherheit zu den Daten. Das kann entweder durch technische Absicherung passieren oder eben durch Zugangskontrollen.
Das andere ist der soziale Ansatz nämlich wer Zugang und in welchem Umfang zu eben diesen Daten erhält. Beides ist getrennt zu betrachten. Pauschal kommerzieller mit OpenSource vergleichen zu wollen ist hier der falsche Ansatz und nicht Zielführend. Hundertprotzentige Sicherheit gibt es eh nicht. Enjoy.

Ich würde nicht mal behaupten, freie Software - welche kostenlos ist - ist unbedingt günstiger im Endeffekt. Beispielsweise technischen Support für Microsoft-Windows-Systeme zu bekommen dürfte billiger sein als für Linux. Dann könnte ich mir noch vorstellen, dass es sich finanziell negativ niederschlägt, dass man für Linux-Systeme die Hardware sehr viel sorgfältiger auswählen muss als für Windows (welches überall läuft).
Also, günstiger für denn Steuerzahler wird es nicht unbedingt.

Ich habe jetzt verschiedene Ubuntu Versionen 14.05 bis 15.10 auf verschiedenste Computersysteme (Minipc, Laptops und neue PC Systeme, alte und neue) installiert. Lief alles sofort ohne Probleme.

Nur bei einem altem Macbook 4.1 ging sie Isight Kamera nicht ohne einen Treiber nachzuinstallieren.

Also glaube ich das mit der schwierigen Hardwareauswahl nicht.