Hobby Security Experts Marc Ruef | 26.11.2012 Ich mag Enthusiasten. Leute, die sich für etwas begeistern können und durch diese Begeisterungen einen ungemeinen Erfahrungsschatz zusammentragen können. Ich würde mich selbst auch als Enthusiast, mindestens in den ersten Jahren meiner Tätigkeit im Bereich der Computersicherheit, bezeichnen. In vielen Fachbereichen tun sich immerwieder enthusiastische Amateure hervor, die ihn in ungeahnter Weise voranzubringen in der Lage sind. So mancher Amateur hat jedoch das Gefühl, dass er mit markigen Sprüchen zu einem "Thought Leader" aufsteigen könne. Wenn dann mal wieder eine neue Schwachstelle in Java gefunden wird, dann heisst es flink: "Java gehört ja auch abgeschaltet." Oder wenn ein neuer kritischer Patch für den Internet Explorer ansteht: "Wer Ahnung hat, setzt ja auch keinen IE ein." Diese Aussagen stimmen vielleicht in ihren Grundzügen. Und theoretisch vermögen sie ein akutes Risiko zu mitigieren. Doch in ihrer Naivität ignorieren sie einen viel komplexeren Sachverhalt. Einerseits sind Computer da, um ein Arbeiten möglichst effizient gestalten zu können. Das pauschale Verzichten auf Funktionen aufgrund hypothetischer Risiken wirkt dem entgegen. Andererseits gibt es Situationen, in denen man halt einfach auf ungeliebte Komponenten wie Java und Internet Explorer angewiesen ist. Und hier trennen sich die amateurhaften von den professionellen Sicherheitsexperten. Agiert man in einem professionellen Umfeld, muss man die Bedürfnisse und Einschränkungen des Kunden berücksichtigen. Man kann nicht mehr einfach nur seine religiösen und fundamentalistischen Ansichten durchzwengen. Der Kunde interessiert sich nicht dafür, ob man nun privat ausschliesslich Linux nutzt und bevorzugt mit Lynx im Web unterwegs ist. Ihn interessiert, warum er seine teure Applikation nicht mehr nutzen kann und daher stundlich viel Geld verloren geht. (Ja, dass die Applikation nur mit IE funktioniert und Java voraussetzt, ist definitiv ungünstig per se.) Massnahmen müssen also sogenannte "Enabler" sein: Die Funktionalität muss freigeschaltet werden können, ohne nachhaltige Einbussen bezüglich der Sicherheit eingehen zu müssen. Das ist manchmal gar nicht so einfach, denn plötzlich müssen für scheinbar einfache Probleme sehr komplexe und von vielen Aspekten abhängige Lösungskonstrukte erarbeitet werden. Und dies zu bewerkstelligen, das macht den wahren Profi aus.