News Cybersicherheit: USA setzen Finanzierung des CVE-Programms doch fort

[Ranayna]

@lex30: Ich weiss nicht wieviele Steuern fuer die grossen IT Firmen in den USA anfallen, aber ich gehe jede Wette ein: Es sind mehr als genug um das CVE System bezahlen zu koennen.

Und das vollumfaenglich in die Hande der Firmen legen?
Wie gut soll das funktionieren? Dann kostet wahrscheinlich der Zugang alleine schon bald Geld. Und fuer ein bisschen Geld koennen die Firmen dann womoeglich CVEs einfach als "geheim" deklarieren, so dass die Luecken unter den Teppich gekehrt werden koennen.

 

[Randnotiz]

Welches Xkcd ist nochmal das, wo die ganze Maschine auf einen kleinen Standfuß gestützt ist, welcher die Sollbruchstelle im System darstellt?

Passt hier doch wieder perfekt, Trump wütet mit seiner Truman-Show herum und weil wir uns alle so an den Großen Bruder gewöhnt haben, darf die ganze Welt jetzt live mit beobachten, wie das Kartenhaus in Zeitlupe zerfällt.

 

[scryed]

Natuerlich muessen die USA Geld einsparen

Ich hab kürzlich gehört die aktuelle Regierung hat jetzt schon mehr Geld ausgegeben als die vorherige im selben Zeitraum .... Natürlich nicht für wichtige Sachen sondern eher musk und seine klaunbande ... X Millionen am Tag ...

Scheinbar hat es die Bevölkerung noch nicht hart genug getroffen

Es ist mir unerklärlich das da drüben kaum einer was dagegen macht , Gerichte werden ignoriert , Politiker die eigentlich was machen sollten tun auch nicht

 

[Ranayna]

Welches Xkcd ist nochmal das, wo die ganze Maschine auf einen kleinen Standfuß gestützt ist, welcher die Sollbruchstelle im System darstellt?

https://xkcd.com/2347/

 

[DaZpoon]

Das CVE komplett in die Hände der Tech-Firmen zu übergeben halte ich für grob fahrlässig. Stattdessen sollten diese sich erheblich finanziell daran beteiligen müssen, wie eine Art Gebühr. Denn auf der anderen Seite haben die auch genug Gewinne um ein paar Babes ins Weltall zu schießen.

Ich weiß ja nicht wie groß der finanzielle Aufwand ist, aber ich würde mir diese zentrale und unverzichtbare Institution nach Europa locken.

 

[nlr]

Too much winning, endlich macht mal jemand was dagegen.

 

[seyfhor]

Dann sollte Europa mal etwas ähnliches erstellen, wieso braucht man die USA dafür?

Na ja, grundsätzlich denke ich war es halt so, dass die USA vieles einfach gemacht haben, machen wollten und sich verantwortlich gefühlt haben und vielleicht auch andere für nicht kompetent genug gehalten haben. Das hat dann Jahre oder Jahrzehnte auch funktioniert und jetzt sagt die neue Regierung von jetzt auf gleich: "wir machen gar nichts mehr, macht es selber".

aber ich denke das sollten Meta, Google, Intel, Apple und wie sie alle heißen selber finanzieren.

Ich frage mich wie sehr die ganz Großen denn da dabei waren/sind. Ich glaube eher, die machen das intern bei sich daheim. Es geht hier bestimmt eher um ganz viele Firmen und Entwickler weltweit.

 

[Alphanerd]

Ist euch Mal aufgefallen das in den USA die Leute auf dem jeweiligen Gebiet die was zu sagen haben eigentlich genau das Gegenteil sind , nicht nur das sie keine Ahnung haben aber dafür dann immer genau das Gegenteil machen wofür sie eigentlich da sind

Am besten war Linda McMahon. Bildungsministerium und Ehefrau von Vince McMahon (WWE).

Sitzt im Interview und laber die ganze Zeit was von A1.

Und meint AI.

Edit: btw, A1 ist da drüben ne beliebte Steak Soße.

 

[JoergB]

Ich würde sagen Europa macht so etwas nun und stellt bei Sicherheitslücken Rechnungen an die Tech Firmen.

Erste Rede von Biden nach Amtsantritt von Trump:
https://www.zdf.de/nachrichten/politik/ausland/usa-biden-rede-kritik-trump-100.html

 

[DonDonat]

Passt damit perfekt in Trumps bisherige Politik, in der IT Sicherheit schlicht inexistent ist.
Schon dass man nach dem massiven Hack der US Router und der Übernahme der US Regierung durch Trump danach schlicht nichts gemacht hat (mein letzter Wissens-Stand ist, dass die Angreifer immer noch Kontrolle über die Router haben?) spricht Bände wie wenig die aktuell Regierung von IT versteht.
Das hier ist unter den übrigen absoluten Fuc* Ups durch Elon & Freunde sowie "Signal Gate" nur ein Tropen auf dem heißen Stein der IT Sicherheit in den USA.

China, Russland & Co. müssen sich die nächsten 4 Jahre kaum Mühe geben irgendwie irgendwas zu hacken, da die US Regierung komplett im Blindflug unterwegs ist und die Auswirkungen auf übrige Organisationen durch Mittel-Streichung, Personal-Abbeu etc. dürfte auch erheblich werden.

Leider sind wir hierzulande aber dann auch mit in der Misere drin, da ein guter Teil der IT Produkte/Software leider im mindesten teil US basiert sind und je weniger dort richtig läuft und je mehr dort verkackt wird, desto eher sehen wir dann hier Seiten-Effekte.

Wie üblich wird es aber erst mal ne Zeit brauchen, bis die Effekte merklich werden und Verluste sowie Schäden deutlich hervortreten...

 

[pseudopseudonym]

Wieso müssen wieder Steuergelder verwendet werden, für Sachen um die sich die Firmen eigentlich selber kümmern sollten? Gerade den Firmen sollte es doch wichtig sein, ein sicheres System zu haben.

Weil das Systeme sind, die auch in Behörden laufen. Also Systeme, auf denen ganze Volkswirtschaften von Behörden bis zum Endverbraucher laufen.
Da besteht dann ein entsprechend großes Interesse, dass die Hersteller dieser Systeme nicht bloß in ihrer eigenen Suppe kochen.

 

[stefan92x]

Aber ans Militaer traut sich keiner dran.

Ich sags nur äußerst ungern, aber tatsächlich hat Trump keine neuen Abenteuer begonnen und Truppen nach Hause geholt, also tatsächlich solche Ausgaben eingespart. Ist eher nur ein Tropfen auf den heißen Stein, aber trotzdem eben grundsätzlich Teil seiner Politik. Was zwar politisch einen Haufen Schwierigkeiten verursacht, aber so ist das Leben...

 

[Ranayna]

Truppen nach Hause geholt

Du meinst den absolut dilletantischen Abzug aus Afghanistan? Ja... auch so ein gutes Beispiel fuer das voellig ueberstuertzte ungeplante Handeln der aktuellen US Regierung.
Ich muss das berichtigen. Ich hab kein Zeitgefuehl mehr seit Corona Der Abzug war nicht unter Trump.
Was nur gut zeigt wie schlecht die letzten paar US Praesidenten waren.

Ich bezog mich aber eigendlich mehr auf das Budget des US Miliataers selber. Da geht Trump nicht dran. Im Gegenteil, er beauftragt ja noch fuer ein paar Milliarden die Entwicklung neuer Kampfjets. Die er als absoluter Narzisst natuerlich F-47 nennen muss.

 

[Thaxll'ssillyia]

Hier mal eine Einschätzung von jemanden der sich in dem Gebiet gut auskennt:

https://blog.fefe.de/?ts=9901aa7b

Sorry, ich sehe hier keine Apokalypse. Ich sehe hier eine potentielle Selbstheilung. Mit Firmen, die von CVE-Datenbanken profitiert haben, habe ich kein Mitleid und ihr solltet auch keines haben.

 

[FJazzi]

Ich persönlich finde den Kommentar von Fefe gut zusammengefasst:
https://blog.fefe.de/?ts=9901aa7b

Insbesondere sein Hinweis, dass es zu einer Art "Währung" verkommen ist, musste ich selbst schon miterleben.

 

[rvollert]

Ich sags nur äußerst ungern, aber tatsächlich hat Trump keine neuen Abenteuer begonnen und Truppen nach Hause geholt, also tatsächlich solche Ausgaben eingespart. Ist eher nur ein Tropfen auf den heißen Stein, aber trotzdem eben grundsätzlich Teil seiner Politik. Was zwar politisch einen Haufen Schwierigkeiten verursacht, aber so ist das Leben...

Das wird er aber machen, sobald er innenpolitisch richtig unter Druck kommen sollte. Typisches Vorgehen von Autokraten und angehenden Faschisten. Erstmal inneren Feind markieren (Wokeness, Deep-State blablabal) und wenn das nicht mehr reicht, dann äußeren Feind (Kanada, Europa, Iran?) markieren und einen Krieg zur Ablenkung anfangen. Mit dem Krieg kann er auch die Notlage erklären, so dass es 2026 dann leider wegen des Kriegs keine Midterms geben kann. Mark my words.

 

[burkm]

Ich weiß gar nicht, über was ihr Euch "aufregt" ?
Hauptsache der "Chef / König / Oligarch" D. Trump nebst seinen Vasallen verdient noch nach wie vor mindestens das übliche Gehalt eines USA-Präsidenten und seiner Mitarbeiter. Ein "kleines" Zubrot ist dann das Hin-und-Her bei den Zöllen, die die Börsen in Bewegung halten und für die nötigen Zusatz-Gewinne sorgen :-) Eine "Insider" Verurteilung dafür (Vorsicht: Verschwörungstheorie !) wird es vermutlich auch nicht geben, da inzwischen jeder der Verantwortlichen "kuscht" um seinen eigenen Posten nicht zu gefährden. Da ha sich dann die "Demokratische Partei" und Ihre Anhänger dann erst einmal ganz schnell im "Untergrund" versteckt und den Mund gehalten :-) Selbst die "Justiz" und Ihre Richter treten dabei in den Hintergrund und werden anscheinend eher "willfährig".

Man könnte fast meinen, dass da ein "System" dahinter steckt, dass einen "Deal Maker" erfreuen könnte...

 

[~XxX~]

Am besten war Linda McMahon. Bildungsministerium und Ehefrau von Vince McMahon (WWE).

Sitzt im Interview und laber die ganze Zeit was von A1.

Und meint AI.

Edit: btw, A1 ist da drüben ne beliebte Steak Soße.

Hier ein Teil des Interviews wer es noch nicht kennt.
Die Kommentare dazu sind auch geil!

 

[DaZpoon]

Sitzt im Interview und laber die ganze Zeit was von A1.
Und meint AI.

Du lachst, vielleicht meint sie auch einfach Steaksauce. 🙃 Das reiht sich gut an Trumps damaligen Vorschlag, Desinfektionsmittel zu trinken.

 

[Piktogramm]

Vllt mal einen unpopular opinion, aber ich denke das sollten Meta, Google, Intel, Apple und wie sie alle heißen selber finanzieren. Natürlich war das eine gute Institution und natürlich ist das scheiße dass es das nicht gibt aber ich finde man sollte die großen Tech Firmen auch in Verantwortung ziehen

sehe ich ähnlich. Wieso müssen wieder Steuergelder verwendet werden, für Sachen um die sich die Firmen eigentlich selber kümmern sollten? Gerade den Firmen sollte es doch wichtig sein, ein sicheres System zu haben.
Klingt für mich halt auch wieder bissl nach "Gewinne privatisiert, Schulden sozialisiert"

Infrastruktur die der Gemeinschaft nutzt sollte nicht in die Hände von Firmen, die diese Infrastruktur in ihrem Sinne betreiben. Denn im Zweifelsfall dienen die CVEs als Beleg dafür, dass die IT Buden ihren Job nicht ordentlich machen. Das Interesse der Unternehmen ist es solche Belege nicht zu liefern.

Das CVE komplett in die Hände der Tech-Firmen zu übergeben halte ich für grob fahrlässig. Stattdessen sollten diese sich erheblich finanziell daran beteiligen müssen, wie eine Art Gebühr. Denn auf der anderen Seite haben die auch genug Gewinne um ein paar Babes ins Weltall zu schießen.

Nicht Gebühr sondern Steuern!

Hier mal eine Einschätzung von jemanden der sich in dem Gebiet gut auskennt:
https://blog.fefe.de/?ts=9901aa7b

Ich persönlich finde den Kommentar von Fefe gut zusammengefasst:
https://blog.fefe.de/?ts=9901aa7b

Fefe sieht das aus Sicht eines selbstständigen, spezialisierten, etablierten ITlers im Sicherheitsbereich. Er hat sich im Zweifelsfall einen Kundenstamm erarbeitet, der IT-Sicherheit als Notwendigkeit erkannt hat.
Abseits dieser Blase wird es halt echt duster. In der Realität stricken nicht wenige Firmen irgendwelche Programme zusammen und haben dennoch keine belastbare Ahnung von Programmiererung, Softwarearchitektur und/oder IT-Sec. Da ohne CWE und CVE und damit halbwegs formalisiert melden zu können dass ihr gammliger Softwarestack schlimmer stinkt als das örtliche Klärwerk ist fast nicht möglich.

Edit:
Eine Weiterentwicklung des Ganzen wäre aber durchaus sinnvoll. Das System und seine Prozesse sind ja schon etwas älter.