Gesetz oder Hersteller? So kommt mehr Sicherheit in die Software

Experten sind sich uneins, wie die Security der Zukunft aussehen soll. Während auf der einen Seite immer mehr Gesetze und Regeln in Softwareentwicklung und -Nutzung eingreifen, wollen viele Kunden und auch Hersteller die Kräfte des Marktes verwenden, um die notwendige Regulierung durchzusetzen. Das ist das Ergebnis von Diskussionsrunden auf der RSA-Security-Konferenz in San Francisco.

Konsens erreichten die Experten darüber, dass den Kunden Möglichkeiten offen stehen, schlechte Software zu sanktionieren. Sie sollten mit offenen Boykottmaßnahmen auf unsichere Produkte reagieren. Auf der anderen Seite sollten die Entwickler, die schlechte Produkte abliefern, eher persönlich verantwortlich gemacht werden können, so heißt es.

Dafür aber ist wieder der Arm des Gesetzes vonnöten, oder gesonderte Betriebsvereinbarungen regeln die Haftbarkeit. Bruce Schneier, Kryptograph und CTO von Counterpane, gibt zu bedenken, dass die meisten Softwaredesigner die Kosten ihrer Fehler nicht zu tragen hätten. Die Unternehmer sollten daran denken, dass sie keinen Wohltätigkeitsverein, sondern ein marktwirtschaftlich organisiertes Unternehmen leiten.

Security-Papst Richard Clarke setzt auf Vertrauen in die Kräfte des Marktes und fordert mehr Arbeit mit Standards, die sich die Industrie selbst setzt und für die sie wiederum von der Industrie gemessen werden kann. Softwareunternehmen sollten sich also Qualitätsmarken setzen, die für Kunden und Partner sichtbar und vergleichbar sind. Er sagt: “Die Kräfte des Marktes arbeiten besser, als wir alle denken.”