BSI-Präsident

Zeitdruck macht Software fehleranfällig

07.02.2011
Softwarefehler haben oft drastische Konsequenzen, sie kosten Zeit und unter Umständen viel Geld.

Zum "Safer Internet Day" am Dienstag antwortet der Präsident des Bundesamts für Sicherheit in der Informationspolitik (BSI), Michael Hange, dazu auf drei Fragen der Nachrichtenagentur dpa.

Kümmern sich Software-Entwickler genug um die Absicherung ihrer Programme?

BSI-Präsident Michael Hange
BSI-Präsident Michael Hange
Foto: BSI

Hange: Software wird oft unter hohem Zeitdruck entwickelt. Das macht sie fehleranfällig. Software sollte vor der Veröffentlichung immer ausreichend ausgetestet werden. Zudem sollte die Möglichkeit bestehen, die Programme mit Updates und Patches immer auf den bestmöglichen Sicherheitsstandard zu bringen. Bei Smartphones stehen die Hersteller vor einer besonders großen Herausforderung, die Sicherheitsstandards zu erhöhen.

Gibt es bei der Sicherheit einen generellen Unterschied zwischen Software mit kommerziellen Lizenzen und Open-Source-Entwicklungen?

Hange: Grundsätzlich kann man das nicht sagen. Open-Source-Software ist nicht per se sicherer oder unsicherer als kommerzielle Software. Allerdings sind Programme mit offenem Quellcode konfigurierbar, man kann sie selbst auf eigene Bedürfnisse anpassen. Und jeder Interessierte kann sich den Code anschauen, so dass Fehler manchmal schneller gefunden werden. Bei kommerzieller Software halten wir es insbesondere dann für kritisch, wenn bekannte Schwachstellen nicht durch regelmäßige Patches beseitigt werden. Wenn wir feststellen, dass aus der Schwachstelle eine Gefährdung resultiert, dann können wir auch eine öffentliche Warnung aussprechen.

Wie beurteilen Sie im nachhinein die Pannen bei der Einführung der Software für den neuen Personalausweis?

Hange: Grundsätzlich wäre es unehrlich zu sagen, dass Software keine Fehler haben kann. Wichtig ist, dass man Software vorab hinreichend prüft und wie man mit Fehlern umgeht. Wir haben die aufgetretenen Fehler untersucht und sind zusammen mit den Herstellerfirmen nochmal alles durchgegangen und haben unsere Erfahrungen eingebracht. Nachdem bei der "AusweisApp" eine Schwachstelle gefunden wurde, haben wir alles daran gesetzt, diese Software mit der Herstellerfirma upzudaten, gründlich zu durchsuchen und auch den Prozess der Zertifizierung der AusweisApp voranzutreiben.

Die Fragen stellte Peter Zschunke von der Deutschen Presse-Agentur (dpa)