[l] Wenn irgendjemand im IT-Kontext anfängt, von "responsible" zu reden, weißt du direkt, dass du alles ignorieren kannst, was aus dessen Mund kommt.
Bisher: Responsible Disclosure. Eine Erfindung von Microsoft, um davon abzulenken, dass sie es sind, die hier die ganze Zeit unsichere kaputte Software an ihre zahlenden, abhängigen Kunden ausliefern und damit die Welt gefährden.
Stattdessen soll man durch diesen linguistischen Neusprech-Terroranschlag dazu gebracht werden, denjenigen für übel, böse und gemein zu halten, der die Lücke findet und die von ihren Lieferanten ans Messer gelieferten Kunden informiert.
Wohlgemerkt: Die Lücke ist in der Software, und zwar unabhängig davon, ob jemand das öffentlich erzählt oder nicht. Böse Geheimdienste und andere Kriminelle können die finden und ausnuzten.
Wenn also jemand wie ich eine Lücke findet und einen Proof of Concept veröffentlicht, dann schadet das nicht etwa den Kunden, denn die wurden ja schon von Microsoft geschädigt, die ihnen unsichere Software angedreht hat.
Das schadet nur Zweien: Microsoft und der NSA. Microsoft, weil plötzlich offenbar wird, was das für ein Saftladen ist, der seine Kunden einen Hochsicherheitsbunker mit verstecktem Hintereingang verkauft hat. Der NSA, weil die für teures Geld Exploits gekauft oder entwickelt hat, die jetzt nicht mehr gehen, wenn ich die Lücke veröffentliche und Microsoft die schließt.
Warum erzähle ich das alles? Weil es einen Neusprech-Neuzugang gibt, mindestens genau so ekelig wie "responsible disclosure": "responsible encryption management".Was verbirgt sich hinter dieser Nebelwand eines trojanischen Tarnkappen-Pferdes? Die Idee, dass Whatsapp in ihre App eine Hintertür für das FBI einbauen kann (nicht freiwillig sondern weil man sie gesetzlich verpflichten will) ohne dass das auch die Chinesen reinlässt. Obwohl genau das dieses Jahr passiert ist mit den Telcos.
Durch diesen penetranten Gestank krimineller Machenschaften rieche ich ein Muster und sage daher jetzt an: Wenn euch jemand mit "responsible" kommt, will der euch nichts Gutes, und ihr solltet euch genau angucken, wie und womit der euch gerade verarschen will.
Das mit der gesetzlichen Verpflichtung geht im Allgemeinen mit einer Verschwiegenheitspflicht einher. Vom Cloud Act, der den US-Behörden eine Hintertür zu allen Clouds gibt, hat man daher auch noch keine Fälle öffentlich zur Kenntnis nehmen können. Weil die alle geheim sind. So wäre das hier auch.
There are no comments yet.