Gestern Abend fand die GV der Information Security Society Switzerland mit dem Referat “Security and Privacy at Google Scale” statt.

Dr. Thomas Dübendorfer, Präsident der ISSS eröffnete die Veranstaltung mit dem Vortrag “Security and Privacy at Google Scale”.

Seit einigen Jahren arbeitet er bei Google und hat in seinem Team verschiedene Analysen zum Thema Browser und Security durchgeführt. Dr. Dübendorfer hat einige Statistiken bezüglich eingespielten Sicherheitsupdates, 3 Wochen nach der Veröffentlichung einer Lücke, gezeigt. Auch die “besten” Browser haben nach 3 Wochen immer noch äusserst erschreckend wenige User mit eingespielten Updates. Somit sind bei den meisten Browsern über die Hälfte der Benutzer nach 3 Wochen immer noch auf diese teils sehr gefärhlichen Sicherheitslecks angreifbar.

Als Lösung für dieses Problem hat sich Google verschiedene Ansätze überlegt und ist zum Punkt gekommen, dass nur sehr benutzerfreundliche Updates, bzw. sogar ein automatisches Einspielen von Updates zu einem erfolgreichen Rollout der Patches führt. Zu viele Internetbenutzer scheuen Updates, wissen nicht ob sie gemacht werden sollen und lassen lieber alles beim alten.

Als Beispiel geht Google mit Chrome voran. Bei dem Browser aus dem eigenen Haus werden alle Updates automatisch eingespielt, auch wenn der Browser nicht gestartet ist. Die Updates werden so, bis auf neue Features die einem vielleicht beim nächsten Start von Chrome entgegen lachen, unsichtbar. Leider kümmern sich die Betriebsystemherstellern kaum um diese Problematik. Es kann doch nicht sein, dass ich mit einem oft als “weniger benutzerfreundlich” verrufenem Linux alle für den Normalverbraucher nötigen Programme und sehr viele andere Pakete automatisch mit dem System updaten kann, während ein “benutzerfreundliches” OS X oder Windows nur die Anwendungen aus dem eigenen Haus updated.

Mit Chrome OS soll die automatische Update-Strategie auf alle Applikationen ausgeweitet werden. Da Anwendungen ausschliesslich über Chrome gestartet werden, können die Hersteller wichtige Updates ohne Zutun der Benutzer einspielen. Was bei einigen System Engineers vielleicht Bauchschmerzen verursacht, dient der Sicherheit des Anwenders.

Die Dataliberation Initiative und das Google Dashboard sollen den Google Nutzern helfen, auch die Privacy unter Kontrolle zu halten. Im Dashboard werden alle Google Accounts übersichtlich dargestellt, während die “Data Liberation Front” Hilfe beim löschen und umziehen von Daten bei Google leistet.

Die ISSS hat sich zum Ziel gesetzt, dieses und andere Sicherheitsprobleme anzugehen. So sicher fühlte ich mich erst jedoch nicht, als ich sah, wie über die Zukunft der Information Security Society Switzerland abgestimmt wird.

Nein im Ernst auch wenn einem ein GoogleDocsSpreadsheet und drei farbige Zettel für jeden Teilnehmer als Abstimmungsmittel im Google Headquarter Zürich etwas oldschool vorkommen, vertrauenswürdige Stimmenzähler führen durchaus zu einem ordentlichen Resultat. Dr. Thomas Dübendorfer wurde aus dem Publikum sogar für seine speditive Durchführung der GV gelobt. Da die ISSS das Privileg hat, beliebig lange Filme auf Youtube zu laden, sind die Talks der ISSS Veranstaltungen einfach zugänglich.