Im Kontext der gravierenden Sicherheitslücken der näheren Vergangenheit, begrüße ich derlei Aktivitäten explizit. In diesem Fall ging es um die Sicherheitsüberprüfung von Keepass und Vaultwarden . Ersteres benutzen sicher einige von Euch.

Solche Audits werden immer wieder mal durchgeführt. Ich erinnere beispielsweise an den Test von TrueCrypt , welches ihr ja sicher noch kennt (und hoffentlich nicht mehr benutzt, sondern durch dessen Nachfolger VeraCrypt ersetzt habt). Außerdem steckt hinter diesem Audit noch ein handfester politischer Skandal und - meines Wissens nach - wurden in einem Folgeaudit sehr wohl Sicherheitslücken in TC gefunden. Was wiederum Fragen aufwirft zur Durchführung dieser Sicherheitsaudits - ohne aber diese generell infrage zu stellen.

Ein anderes Thema schneidet gerade heise an: hier es geht um die Finanzierung der Linux-Manuals . Alle wollen Updates, aber niemand ist bereit Geld für die Dokumentation auszugeben. (Zumal diese ja eigentlich "unnötig wäre", wenn nicht immer die "doofen ProgrammiererInnen" "zu unfähig" wären, intuitiv zu erorakeln, was der/die jeweilige AnwenderIn "natürlich" haben will.)

So wie Alle Restore wollen, aber kein Backup.

Und am Ende erinnert dies an die Situation, in der sich die Admins befinden: Läuft alles rund, dann sind sie "überflüssiger und teurer Ballast". Wenn es dann aber knirscht, dann sind immer sie es "schuld" - selbst wenn der/die AnwenderIn im Büro Mist gebaut hat und alles soll "genau so wie vorher, aber sicher" - am besten bis "vorgestern" wieder funktionieren.

Die ganze Diskussion ist nicht neu. Vielleicht bzw. ganz sicher sollten wir als Gesellschaft auch bei OpenSource-Software mal Geld in die Hand nehmen, um das ganze Drumrum abzusichern - vor allem für die Basissoftware, die wir alle benutzen (Webserver, Verschlüsselung, etc.)

Genereall aber lässt sich häufig feststellen, dass die größte Sicherheitslücke rund einen Meter vor dem Bildschirm sitzt.