Ich glaube aber, dass Heimanwender ein Bedürfnis haben, einfach nur den Rechner anzuschalten und sich nicht um Sicherheit kümmern zu müssen. Das auf Unternehmensebene zu erwarten, halte ich für etwas verfrüht.

CW: Viele IT-Abteilungen scheinen aber mit den ständig neuen Herausforderungen im Bereich Sicherheit überfordert zu sein. Für sie wäre "Sicherheit als Voreinstellung", wie Microsoft es jetzt seit zwei Jahren wiederholt, sicher wünschenswert. Ich sollte mich als Unternehmen nicht mit der Frage befassen müssen, ob ich eine Firewall brauche oder welches Antiviren-Tool besser ist.

DIFFIE: Dem kann ich natürlich nicht widersprechen. Aber das trifft nur auf die Dinge zu, über die es sich nicht nachzudenken lohnt. Dazu gehören Firewalls beispielsweise nicht. Unternehmen und besonders die IT-Abteilungen müssen eine Menge Entscheidungen treffen, beispielsweise um Spam auszufiltern. Das führt dazu, dass viele legitime Mails nicht zugestellt werden. Spezialeinstellungen, um solche Fehler zu verhindern, kann kein Hersteller vorkonfigurieren, das muss der Anwender selbst leisten.

Ähnliches gilt für Entscheidungen, die Zugriffsrechte auf Ressourcen regeln. Hier müssen zum Teil sehr differenzierte Einstellungen vorgenommen werden, die davon abhängen, wer im Unternehmen arbeitet, wo sich eine Niederlassung befindet oder mit welchen Partnern ein Unternehmen kooperiert. Ich sehe nicht, wie ein Anbieter einem Anwender diese Arbeit abnehmen könnte. Was man vom Hersteller jedoch erwarten kann und soll, sind Tools, die einerseits dafür sorgen, dass diese Entscheidungen richtig getroffen werden, und anderseits dabei helfen, Fehler zu vermeiden. Das ist leider oft nicht der Fall.

CW: Können Sie ein Beispiel nennen?

DIFFIE: Schauen Sie sich C und Java an: C fordert Probleme mit Pufferüberläufen geradezu heraus, während Java das nicht tut.