Das ist ja interessant. ich habe mit meinem Mini-Compaq-Laptop das gleiche Problem, dieselben Zahlen und ich finds auch ärgerlich - tierisch langsam.
Werde mal verfolgen, ob es eine Lösung gibt

Jo

Grundsätzlich rate ich von WLAN ab (ich schwöre auf kabelgebundene Netze); nicht nur wegen Elektrosmog (wo sich jeder seine eigene Meinung zu bilden sollte), sondern auch aus rein technischen Argumenten: so ist die Fluss- und Staukontrolle
> de.wikipedia.org/wiki/Transmis…euerung_und_Staukontrolle
bei dem im Internet verwendeten TCP-Protokoll auf Kabel ausgelegt und nicht auf funkgebundene Netze. Nur mit vielen technischen Tricks haben es die Ingenieure hinbekommen, die Layers des Internet-Protokoll-Stacks auch in funkgebundenen Netzen (WLAN, Mobilfunk) verlässlich zum Laufen zu bekommen.

Die volle, vom Hersteller versprochene Geschwindigkeit wird man bei WLAN nie hinbekommen - siehe
> de.wikipedia.org/wiki/Wireless_Local_Area_Network#Frequenzen
(zweite Tabelle)
Selbst IEEE 802.11a und g sind also schon in der Praxis recht knapp über der Übertragungsrate eines 16.000er-DSL-Anschlusses. Wenn dann noch die Antenne deines Routers oder Laptops minderwertig ist (überraschend viele sind das), sind wir schon weit unterhalb des Wertes.

Eine weitere Möglichkeit ist, dass der Treiber der WLAN-Karte deines Laptops zu schlecht programmiert ist (man glaubt es kaum, wie viele WLAN-Treiber schlecht programmiert sind).

Und diese beiden Faktoren auszuschließen, probiere sowohl einen anderen Router als auch einen anderen Rechner/WLAN-Karte aus und protokolliere unter verschiedenen Umständen die Änderungen in der Übertragungsgeschwindigkeit.

Du schriebst außerdem, dass du es mit IEEE 802.11n versucht hast. Dieser Standard ist jedoch noch nicht allzu lange offiziell verabschiedet (auch wenn vorher schon eine Menge an IEEE 802.11n Draft-Hardware verkauft wurde). Daher sind viele verkaufte Hardware (gerade wenn sie noch nach "Draft" gebaut wurde) nicht ganz so kompatibel zueinander, was ebenfalls negative Auswirkungen auf die Geschwindigkeit hat.

Ein weiteres sehr bekanntes Problem sind Interferenzen mit benachbarten Netzen: wenn sich in der Umgebung ein WLAN mit einem benachbarten Kanal (wobei benachbart auch etwas größere Unterschiede in der Kanalnummer als 1 bedeuten kann), bricht auch die Geschwindigkeit zusammen. Hier andere Kanäle auszuprobieren, bis es funktioniert, ist immer sinnvoll (und häufig notwendig).

Daher: wenn du wenig Streß haben willst, empfehle ich die Finger von WLAN zu lassen und lieber ein paar Netzwerk-Dosen (Ethernet, idealerweise gleich mit Cat-7-Kabeln verkabelt (ist bei Neuverkabelungen sinnvoll), dann bist du auch für aktuelle Übertragungskapazitäten (10GBASE-T - 10n GBit/s) gerüstet - da wird WLAN lange nicht rankommen ) zu verlegen oder verlegen zu lassen. Ethernet (kabelgebunden) ist nicht so "stylisch" wie kabelloses WLAN, aber eine im Laufe der Zeit sehr ausgereifte Technik, die damit möglicherweise deutlich besser deinen Anforderungen entspricht. Weitere Werbung möchte ich ersparen (siehe Eingangssatz)

Ergänzung bezüglich deines Vorposts: beim Kauf von Technik sollte man sich immer fragen, was man denn tatsächlich will: wenn du gerne streßfreie, robuste Technik willst, dann solltest du etwas kaufen, was etabliert ist, vielleicht nicht "hip" ist. Also auf gut Deutsch: was zu einem passt.
Bis vor wenigen Jahren hätte ich vielen nicht-Technik-oder-Neues-affinen Menschen auch dazu geraten, weiterhin bei Fernsehern auf Röhre, statt auf modernen Flachbildschirm auf LCD- oder Plasma-Basis zu netzen; einfach weil dies robuste, funktionierende Technik ist - das was sie wollen.
Ich habe grundsätzlich (verzeihe mir, TirNaNog, wenn es dich provoziert) ein sehr eingeschränktes Verständnis für Menschen, die sich das allerneueste, moderne ins Haus holen und dann feststellen, dass sie damit nicht klarkommen, weil das, was sie wollten, ausgereift und etabliert sein soll. Im IT-Support gibt es für so etwas die Abkürzung: KpnzG (Kunde passt nicht zum Gerät), um andere Support-Mitarbeiter zu warnen.

@TirNaNog

Dass ich in genannter Thematik ein wenig allergisch bin, hat vielfältige Gründe.

Einer davon (der auf dich wohl nicht zutrifft, aber sehr häufig anzutreffen ist) ist der, dass sehr viele Leute bei Geiz- oder Blödmarkt das nächstbeste Gerät, was danach klingt, den Anforderungen zu entsprechen, kaufen. Anschließend muss ich mir dann Heulereien anhören, wie kompliziert die Technik doch ist. Häufig schaffen sie es dann auch noch das Gerät kaputtzukonfigurieren. Wer soll es dann unentgeltlich für sie richten? Das könnt ihr euch denken

Da keiner dieser Menschen auch nur im Geringsten bereit ist, dem Hersteller einen Beschwerdebrief oder -email zu schreiben, in denen sie sich beim Hersteller darüber auskotzen (inklusive detaillierter Beschreibung, welche Schritte sie beim Einrichten durchgeführt haben, damit der Hersteller nachvollziehen kann, bei welchen Schritten der Einrichtung der Kunde auf Probleme stieß, um in der nächsten Produktgeneration hier etwas verbessern zu können), muss ich davon ausgehen, dass sie gar kein Interesse daran haben, dass ihre Probleme gelöst werden.

Daher stoßen Klagelieder, wie viel besser die Vergangenheit doch war, als alles so einfach war, in vielen Fällen einfach nur auf taube Ohren. Wie soll der Hersteller denn wissen, dass Verbesserungsbedarf da ist, wenn kein Kunde für sie nachvollziehbare Berichte einsendet, wo er auf Probleme stieß?

Bevor ich fortsetze, vielleicht eine Bemerkung: ja, wenn ich auf Probleme bei technischen Dingen stoße, mache ich so etwas tatsächlich (erst vor wenigen Tagen wieder eine detaillierte Email an den technisch Verantwortlichen einer Webseite eines großen deutschen Unternehmens geschrieben, in der ich auf Fehler in der Benutzerführung hinwies - es soll halt niemand ehrlich behaupten können, er hätte nichts gewusst).

Interessanterweise ist keiner dieser Menschen bereit, mich dafür mit meinem regulären Stundensatz zu bezahlen, dass ich ihr kaputtkonfiguriertes Gerät wieder rette, was mir nochmals diese Doppelmoral zeigt.

Bezüglich des in derartigen Diskussionen immer auftauchenden Kommentars, dass die Ingenieure (die im Allgemeinen wirklich gut ausgebildet sind) doch wissen müssen, woran die Nutzer bei der Bedienung scheitern: nein, das tun sie wirklich nicht. In Experimenten mit halbdurchlässigen Spiegeln (auf der einen Seite des Spiegels (von der man nichts sehen kann) unbedarfter Nutzer, der den Auftrag bekommt, mit dem Gerät eine festgelegte Liste an Funktionen abzuarbeiten, auf der anderen Seite die entwickelnden Ingenieure, die somit damit konfrontiert werden, wie Nutzer mit dem Gerät umgehen), kam es schon regelmäßig zu kleineren Eklaten (Entwickler beginnen entgegen der Vereinbarungen des Experiments hinüberzuschreien: "benutz Menüpunkt Bla, wie wie auf Seite 23 der Bedienungsanleitung beschrieben").

Ob "Betriebsblindheit der Ingenieure" dafür ein passender Begriff ist, darüber kann man stundenlang streiten. Ich vetrete nicht die Meinung, dass die Ingenieure betriebsblind sind, sondern, dass sie enorme Schwierigkeiten haben (selbst wenn sie nicht Ingenieurwissenschaften studiert hätten, was das Betriebsbildheitsargument widerlegt), sich in die Denkweisen der unbedarften Nutzer hineinzudenken. Aber ich bin durchaus für Gegenargumente durchaus offen.

Ein weiterer Punkt, weswegen ich das Vertrauen in viele Anwender verloren habe, ist der Erfolg der Firma "Apple". Diese schränkt bei ihren mobilen Geräten (iPod, iPhone, iPad) durch ihre Politik massiv die Freiheit der Endanwender ein (Stichwort: AppStore statt der Möglichkeit des freien Installierens von Software, wie beim PC üblich). Die Tatsache, dass viele Nutzer bereit sind, das mit sich machen zu lassen, stellt ein offenes Bekenntnis dar, dass ihnen ein "gestyletes" Erlebnis wichtiger ist, als Werte wie Freiheit. Dies ist mit meinem Wertesystem nicht verträglich.

Ich hoffe, du hast also ein wenig Verständnis dafür, warum ich ein wenig in die Offensive gegangen bin (in deinem Fall wohl eher unberechtigt, wofür ich mich auch entschuldige).

Hm, ich habe nichts davon verstanden, was Nubok schrieb, außer so ein paar kleinigkeiten. Aber mein Läppi ist vom Fachmann mit allen Programmen eingerichtet und konfiguriert worden, also liegt es doch am Wifi (deutsch W-lan), denn mein PC ist sehr schnell (Ethernetkabel )- das hab ich verstanden.

Aber was TirNaNog geschrieben hat, kann ich komplett nachvollziehen, zur Zeit sausen meine Katzen allerdings mehr durch den Schnee als über eine Frühlingswiese - aber das kommt wieder in ein paar Tagen haben wir Wintersonnenwende....

Gruß Jo

Es kann unter bestimmten Umständen sein, dass das Internet langsamer wird, wenn zwei oder mehr Rechner gleichzeitig mit dem Router+Internet verbunden sind.

@Jo


Es reicht definitiv nicht aus, wenn der Rechner korrekt von einem Fachmann eingerichtet wurde. Der muss auch korrekt gewartet werden. Stichworte:

* Schadsoftware (im Gegensatz zu einer sehr häufig verbreiteten Meinung schützen Virenscanner, Personal Firewalls etc. NICHT davor, siehe folgende Artikel des (gelegentlich sehr provokanten) Sicherheitsexperten Felix von Leitner:
> fefe.de/iloveyou.html
> fefe.de/pffaq/halbesicherheit.txt
die auch schon im Internet vielfach kontrovers diskutiert wurden.

* Windows neigt dazu im Laufe der Zeit immer mehr dazu zu vermüllen (angeblich soll dies bei neueren Versionen (ab Vista/7) besser sein - ich bin skeptisch)

Außerdem: der Verbindungstyp (Ethernet/WLAN etc.) zwischen Rechner und Router legt nur fest, welche theoretische Übertragungskapazität möglich ist. Bei WLAN tritt die Störanfälligkeit (z. B. durch Inteferenzen) auf, die die Übertragungsraten oft massiv in den Keller treibt. Ethernet hat ein anderes "Problem": wenn ein Gerät nicht die höchstmögliche Übertragungsrate mitmacht, wird die Übertragungsrate heruntergeschraubt. Das macht die Benutzung sehr unproblematisch, aber man sollte davon wissen (lässt sich aber spielend einfach diagnostizieren). Da es jedoch heutzutage kaum Geräte gibt, die nur 10 MBit/s unterstützen und 100 MBit/s, was eigentlich jede nicht-steinzeitliche Netzwerkkarte mitmacht, zumindest für den Anschluss PC<->Router problemlos ausreicht (wenn auch nicht für schnelle interne Vernetzungen), ist dies vollkommen problemlos.

Mit der Geschwindigkeit deines PCs hat die Verbindung des PCs zum Router rein gar nichts zu tun. Sie legt nur fest, wie schnell theoretisch über das Übertragungsmedium Daten übertragen werden *können*. Wenn dein Internet-Anschluss eine geringere Übertragungsrate besitzt (was nicht identisch mit "schnell" ist, da je nach eigenen Anforderungen spielt für "schnell" auch ganz anderes eine Rolle, wie Roundtrip-Time), dann wird nicht die volle Übertragungsrate benutzt (unproblematisch). Wenn die Übertragungrate des Internet-Anschluss höher ist, als die der Verbindung Router<->PC, kann man natürlich nicht die volle Übertragungsrate des Internet-Anschlusses ausnutzen, was nicht wünschenswert ist.

@TirNaNogDen wirklich wirksamen Schutz gibt es nicht. Dennoch gibt es ein paar Dinge, die man tun kann, um Wahrscheinlichkeiten für nicht-gezielte Angriffe (!) (sich gegen Angriffe abzusichern, die sich gezielt gegen den eigenen Rechner richten, ist komplizierter, besonders wenn eine ganze Menge Geld im Spiel ist) möglichst klein zu halten.

Warum gibt es den wirklich wirksamen Schutz nicht?

Schadsoftware verbreitet sich insbesondere auf zwei Wegen:
* Sicherheitslücken in installierten Programmen
* Dummheit des Nutzers (inklusive Social Engineering)
(es gibt selbstverständlich auch andere Wege, gerade bei gezielten Angriffen; warum nicht beispielsweise einfach in einem Einbruch Schadsoftware heimlich installieren oder einen Administrator bestechen, dass er heimlich welche installiert? In der Betriebsspionage ist das alles nicht unüblich. Oder es gibt Angriffe, die auf Schwächen des Internet-Protokollstacks basieren. Dennoch werde ich auf solche Wege nicht näher eingehen)

Ich werde im wesentlichen auf den ersten Punkt eingehen (dann wird auch klar werden, warum Virenscanner kaum helfen).

Sicherheitslücken werden zum Installieren Schadsoftware gerne dadurch ausgenutzt, dass durch künstlich erzeugte, maliziöse Eingabedaten ein Speicherbereich überschrieben wird, wodurch Teile der Eingabedaten in einem Speicherbereich landen, der ausführbare Daten enthält (Buffer Overflow). Hierdurch kommen dann diese Teile des Codes (die in Wirklichkeit Teil der maliziösen Eingabedaten waren) zur Ausführung (ja, es gibt auch andere Methoden, aber der Einfachheit möchte ich mich darauf beschränken).
Aufgrund einiger Eigenheiten der Programmiersprachen C/C++, in der viele Programme entwickelt werden, sind sehr viele Programme für solche Angriffe anfällig, wenn der Programmierer geschlampt hat.
Das Programm ist so lange anfällig, bis der Hersteller einen Patch oder ein Update zur Verfügung stellt, welches diesen Fehler beseitigt.
Hersteller von Virenscannern versuchen, Muster in verbreiteten Angriffen auf solche Sicherheitslücken zu erkennen, um den Nutzer vorher zu warnen. Das funktioniert manchmal passabel, hilft aber nichts, wenn der Angriff auf die selbe Sicherheitslücke nach einem neuen Muster geschieht.
Zudem (das ist ein Argument von Felix von Leitner gegen Virenscanner): wer sagt, dass der Virenscanner nicht exakt auch eine solche Sicherheitslücke besitzt, wodurch der Virenscanner selbst zur Schwachstelle wird, aufgrund der sich die Schadsoftware im System installieren kann (gerade im Falle gezielter Angriffe ist dies ein sehr ernsthafter Punkt)?
Zudem gibt es Möglichkeiten, Code auf sehr komplizierte Weise zu verschleiern, dass Virenscanner eigentlich keine Chance haben, zu erkennen, ob Schadcode vorliegt oder nicht (wird nicht so oft angewendet, weil auch die Entwickler von Schadsoftware faul und nicht immer allzu intelligent sind).

Daher: immer überprüfen, ob alle Programme auf dem aktuellen Patch-Stand sind. Mit Heise Update Check
> heise.de/security/dienste/Update-Check-877012.html
gibt es ein Tool, welches dies für einige verbreitete Programme überprüft. Dass dieses Tool nichts ausgibt, ist jedoch *kein* Persilschein. Es überprüft wirklich lediglich einige Programme, bei denen in der Vergangenheit häufig Sicherheitslücken auftraten.

Grundsätzlich rate ich: im Zweifelsfall nur Programme installieren, die man auch unbedingt braucht (nicht mehr Angriffsziele als nötig). Und bei denen penibel darauf achten, immer zeitnah die Patches des Herstellers einzuspielen. Ist Arbeit, aber es geht nicht anders. Windows ist in dieser Hinsicht recht unkomfortabel.

Für Leute, die gerne experimentieren: macht ruhig einen Versuch euch mal eine Linux-Distribution eures Vertrauens parallel zu eurem Windows zu installieren (schaden tut es höchstwahrscheinlich nicht), beispielsweise Ubuntu
> ubuntu.com/
und probiert aus, ob ihr damit zurecht kommt.
Entgegen einem im Internet verbreiteten Irrglauben ist Linux nicht sicherer als Windows, allerdings bietet es dennoch in Sachen Sicherheit ein paar gerade für unerfahrene Anwender wertvolle Vorteile:
* im Allgemeinen zentrales automatisches Installieren von Software-Patches, so dass man als Anwender deutlich weniger Arbeit hat, alle Software auf dem patchmäßig neuesten Stand zu halten
* Linux ist wegen der aktuell geringen Verbreitung deutlich seltener Ziel von Angriffen (daher auch genannter Irrglaube)
* die meisten Programme akzeptieren sehr sauber unter Linux viel strengere Trennung zwischen Administrator (root)- und Benutzeraccounts

Aber zurück zu Windows: die ganzen Sicherheitsprogramme am besten von der Festplatte herunterschmeißen (und sinnvollerweise Windows komplett neu aufsetzen, da sich diese Sicherheitsprogramme häufig tief ins System einklinken). Wenn unbedingt (sei es aus Versicherungsgründen oder weil ihr skeptisch seid, dass man wirklich auf Virenscanner verzichten kann oder warum auch immer) ein Virenscanner benötigt wird, empfehle ich Microsoft Security Essentials
> microsoft.com/security_essentials/
welcher für Privatpersonen und Kleinunternehmen kostenlos ist, da dieses Programm nur wenig Rechenleistung "verschwendet" (im Gegensatz zu vielen anderen verbreiteten Virenscannern).

Das wichtigste, was man als Anwender somit tun kann, ist:
* penibel darauf achten, dass zu jedem Zeitpunkt alle installierten Programme auf einem aktuellen Patch-Stand sind
* nur Software installieren, bei denen man dies gewährleisten kann und bei denen die Entwickler in der Lage sind, im Falle von Sicherheitslücken zeitnah Patches zu liefern
* wenn sich der Computer merkwürdig verhält und man keine unmittelbare Erklärung dafür hat: platt machen und neu aufsetzen (Rat der Professorin für IT-Sicherheit)
* wer experimentierfreudig ist, sollte mal schauen, ob er mit einer Linux-Distribution des Vertrauens (z. B. Ubuntu) zurecht kommt. Hier sind diese Empfehlungen deutlich einfacher umzusetzen

Vielleicht noch eine Endbemerkung über Programme, die in der Vergangenheit durch Sicherheitslücken aufgefallen sind und daher, wenn sie nicht unbedingt nötig sind, besser vom System verschwinden sollten:
- Adobe Flash Player (leider gibt es keine bessere Alternative)
- Adobe Reader (hier sagen viele, dass Sumatra Reader eine sicherere Alternative ist (ich kann dazu nichts sagen); Foxit Reader, der ebenfalls häufig als Alternative genannt wird, gilt trotz anderslautenden Gerüchten als genauso unsicher und kann daher nicht als Alternative empfohlen werden)
Man beachte jedoch, dass wenn man PDF-Dokumente mit sehr fortgeschrittenen Features lesen will (nur selten der Fall) es keinen Weg an Adobe Reader vorbei gibt
(eigentlich am besten alles von Adobe von der Festplatte werfen ).
- Java (die Runtime Engine) - insbesondere das Browser-Plugin hat unter Sicherheitsaspekten einen ähnlich schlechten Ruf wie "Adobe Flash Player"
EDIT: ach ja, ganz vergessen:
- Internet Explorer: nicht vom System entfernbar, aber sollte nicht verwendet werden, wenn nicht wegen möglichen zusätzlichen Angriffspunkten für Schadsoftware (z. B. ActiveX) schon alleine deswegen weil es ein technisch absolut veralteter Browser ist (leider sieht man noch Nutzer, die ernsthaft diesen Browser benzutzen). Das Browsen mit diesem Programm grenzt an Masochismus. Alternativen gibt es einige:
* Google Chrome: wenn der Rechner über viel RAM verfügt und man gerne einen hohe Geschwindigkeit hat, ist Google Chrome die erste Wahl. Er hatte in der Vergangenheit einen sehr schlechten Ruf in Sachen Datenschutz, aber die kritisierten Punkte wurden nachgebessert, so dass ich keinen Grund sehe, ihn wegen diesem Punkt nicht zu empfehlen. Hat in Sicherheitsfragen von den genannten drei Alternativen den besten Ruf
* Mozilla Firefox: die wahrscheinlich problemloseste Wahl für unerfahrene Anwender, wenn auch leider nicht so schnell. Lediglich penibel darauf achten, welche Erweiterungen man installiert (die Versuchung ist hier sehr groß)
* Opera: irgendwie werde ich mit diesem Browser nicht wirklich warm (besonders weil er sich in der Vergangenheit mit Google-Services ein wenig "schwer tat", woran aber sicherlich Google Schuld ist), aber er hat eine sehr eingeschworene Fangemeinde. Ausprobieren, ob er "zu einem passt", schadet sicherlich nichts
(lediglich von Safari, welches gerne als Alternative genannt wird, rate ich ab)

Hallo Kai

TirNaNog schrieb:

weil ich die Sinnhaftigkeit von separaten E-Book-Readern noch nicht ganz verstanden habe und ich es tatsächlich sehr praktisch finde nicht immer die "große Maschine" brummen zu lassen

Das war bei mir bis vor kurzem genauso; doch jetzt, wo es Reader unter 100.-€ gibt, seh ich das anders. Denn 1. kann ich den Reader mit ins Bett nehmen, um vor dem Einschlafen noch zu schmökern, und 2. braucht das Teil (vorausgesetzt, es hat E-ink) nur Strom, wenn man umblättert...

Gruss

LightDrop

TirNaNog schrieb:

Vielleicht hast Du ja noch einen effektiven Tip?

brain.exe hihihi... running Gag... wars mal.

Bis vor wenigen Jahren hätte ich dir zugestimmt. Leider sind einige Sicherheitsmechanismen (das Paradebeispiel: Zertifikate für https (exakter: TLS)) sehr kompliziert und subtil in ihrer korrekten Anwendung, dass man nicht mehr auf Intuition oder "brain.exe" vertrauen kann. Nicht zuletzt sind bei genanntem Beispiel auch viele Admins mit einer korrekten Konfiguration häufig überfordert, so dass der Nutzer daran "gewöhnt" ist, nicht korrekte Zertifikate zu akzeptieren. Auch die Browser machen im Umgang damit einiges falsch - eine korrekte Behandlung wäre es, dass der Nutzer von Anfang an selbst entscheidet, welchen Certificate Authorities er vertraut. Problem: das würde 99% der Nutzer überfordern.
Ich könnte hier sehr ins Detail gehen, aber ich denke, dass die Leute, die darüber Bescheid wissen müssen, die Probleme kennen und der Rest mit meinen Erklärungen überfordert wäre.

Ein weiterer Grund, warum "brain.exe" heutzutage nur noch eingeschränkt weiterhilft, ist, dass sich Angriffe stark professionalisiert haben. Heißt: die meisten Täter haben ein kommerzielles Interesse. Seien es Stehlen von Kreditkartendaten, PIN/TAN-Codes für Onlinebanking (wenn Schadsoftware auf dem Rechner ist, kann es passieren, dass wenn man eine Banktransaktion betreibt, in Wirklichkeit eine ganz andere Geldmenge auf einem ganz anderen Konto landet; und solange die Kontoauszüge nur im Internet betrachtet werden, kann man dies wahrscheinlich gar nicht merken (ich weiß nicht, ob dies schon so praktisch umgesetzt wurde); ich glaube, ich brauche nicht zu erwähnen, dass ich kein Onlinebanking betreibe), Nutzung des Rechners als Teil eines Botnetzes (z. B. für DDoS oder Spamversand) etc.

Für all dies ist es essentiell, dass die Schadsoftware lange unerkannt bleibt. Gegen den Eindringungspunkt von sicherheitsrelevanten Fehler in Programmen kann man nichts tun, außer das Programm von der Festplatte zu werfen *bevor* die Sicherheitslücke (die noch unbekannt ist) ausgenutzt wird. Und die "dummen" Tricks, die in den 90ern funktionierten - da weiß selbst jeder, der ComputerBILD aufmerksam liest, Bescheid.

Wohlgemerkt: ich rede hier ausschließlich und weiterhin nur von nicht-gezielten Angriffen. Sich gegen gezielte Angriffe zu schützen ist, wie schon erwähnt, weitaus komplizierter (wenn ein konkretes Interesse besteht, schreibe ich etwas dazu; aber ich gehe weniger davon aus, da es nicht "die Masse" betrifft).

Das soll keine Rechtfertigung von Dummheit sein - ganz im Gegenteil. Vielmehr ist es in meinen Augen so, dass wenn man durch Nachdenken feststellt, dass etwas faul ist, es häufig schon zu spät ist.

Vielleicht lesen die Programmierer mit und werden den Einwand als neues Feature für Schadsoftware-Prophylaxe im neuen Update berücksichtigen. Ein Filter, der schon bei der Installation neuer Software den gesamten Code reverse engineert, analysiert und auf Viren, Spyware, Adware, Trojaner und Winzigweich durchforstet und zugleich über Meta-Suchmaschinen in den einschlägigen Communities und Foren nach Warnungen und Risiken bezüglich des Programms sucht.

Wozu? Wenn eine Sicherheitslücke bekannt wird, so wird umgehend ein Update zur Verfügung gestellt das die Sicherheitslücke schließt. In dem Moment brauchst du nicht mehr nach zu suchen. Wenn die Sicherheitslücke aber noch unbekannt ist, kannst du nicht automatisiert nach suchen. Weil du nicht weißt und nicht sagen kannst, wonach du suchst. An den Programm-Code (wenn du den ProgrammCode im Sinne einer Programmiersprache meinst, nicht als Maschienensprache) kommste übringens nicht mal ran, solange die Software nicht OpenSource ist. Alles andere macht bereits klassische Antivirensoftware. Aber auch die kann nur suchen, was als Sicherheitslücke bereist bekannt ist.

Es gibt nur eine Möglichkeit, um sicherzustellen, dass ein Programm nur und nur das macht, was es machen soll. Der Programmbeweis. Dazu bedarf es ein Mensch (der nochmal Fehler machen kann). Und selbst dann ist nicht sichergestellt, ob nicht eine Sicherheitslücke entsteht, vielleicht macht gerade das, was das Programm machen soll, eine Sicherheitslücke auf. Das ist so furchbar aufwändig, das man es jetzt nicht macht und in Zukunft nicht macht. Höchstens bei ein paar akademischen Beispielen.

Automatisieren kann man das nicht. Man setzt Hacker darauf an, Sicherheitslücken zu entdecken. Aber vor der ENtdeckung werden sie immer offen bleiben.

Gruß

Das mag vielleicht alles für herkömmliche Software gelten, aber du kennst brain.exe noch nicht! Denn eben darum gings in deinem Zitat.

Es wird keineswegs immer ein Update zur Verfügung gestellt. Es gibt allerhand hartnäckige Teams (bekannt dafür sind beispielsweise die Security-Teams von Microsoft und Yahoo, aber auch die Entwickler von OpenBSD - ich könnte noch andere Negativ-Beispiele nennen), die erst einmal abstreiten, dass überhaupt ein Problem existiert. Der Grund, warum das möglich ist, liegt darin, dass das Finden einer Schwachstelle keineswegs einen Exploit impliziert - das ist häufig nochmals harte Arbeit und funktioniert keineswegs immer.
Wenn dann nach einiger Zeit dann doch ein Exploit auftaucht, geht das Heulen dann natürlich los...
Zum Glück gibt es auch Positivbeispiele, wie das Security-Team von Google (mit dem hatte ich schon zu tun, daher kann ich dies höchstpersönlich bezeugen).


In Ergänzung zu deinem nächsten Punkt (auch in Ergänzung zu deiner Widerlegung des Punktes von Illuminatus): Man kann die Korrektheit eines Programmes nur in Bezug darauf beweisen, dass es eine Umsetzung einer formalen Spezifikation darstellt. Wenn die formale Spezifikation Sicherheitslücken enthält, wird es wahrscheinlich nichts helfen...
Exakt eine solche formale Schwachstelle trat vor Kurzem in Bezug auf WebSockets auf: heise.de/newsticker/meldung/We…viert-Update-1150157.html (auch wenn die Darstellung in diesem Artikel sehr ungünstig ist).
Alles korrekt bezüglich der Spezifikation, aber die Protokolle für transparente Proxies und WebSockets (beide für sich einzeln korrekt umgesetzt) kollidieren in einem sehr subtilen Punkt miteinander, was zu einem Poisoning des Proxy-Caches führen kann.

Dennoch: der Nachweis der Korrektheit bezüglich einer Spezifikation stellt aktuell eine der mächtigsten Methoden dar, um Sicherheit zu gewährleisten. Leider ist dies ausgesprochen aufwändig und bislang ist es nicht gelungen, "die einfachen Teile" davon so weit zu automatisieren, dass es für ab mittelgroßen Computerprogramme wirtschaftlich akzeptabel nutzbar ist.

Ein weiteres Problem ist, dass gerade bei kryptographischen Verfahren das Beweisen von Sicherheit darauf hinausläuft ein paar ausgesprochen starke komplexitätstheoretische Schranken zu beweisen (beispielsweise die Existenz sogenannter Trapdoor-Funktionen nachzuweisen, bei denen die eine Richtung sich sehr schnell ausrechnen lässt. Das Problem ist nachzuweisen, dass es kein Computerprogramm geben kann, welches die umgekehrte Richtung schnell (in einem formalen Sinne) ausrechnet), bei denen aktuell niemand so wirklich weiß, wie man da überhaupt ansetzen soll.

Dass man an den Programmcode nicht herankommt, stimmt auch nicht ganz. Die Decompiler werden auch immer besser. Mittlerweile sogar so gut, dass das Team hinter ReactOS (die versuchen, Windows als Open Source nachzubauen) im vor einiger Zeit im Verdacht stand, Teile des Original-Windows-Quellcodes nicht, wie in den USA vorgeschrieben Clean-Room-implementiert zu haben, sondern direkt einige Teile einfacht decompiliert zu haben.
Außerdem: bei vielen Programmen (die nicht durch gezielte Maßnahmen dies erschweren) ist es recht einfach, den Maschinencode in Mnemonics (für Menschen einfacher lesbare Variante des Maschinencodes) zurückzuübersetzen. Wenn nicht durch gezielte Maßnahmen es erschwert wurde, kann auch dieser Code recht schön visualisiert werden, dass es für viele Analysezwecke ausreicht. Wie so etwas aussieht, kann man beispielsweise unter
> hex-rays.com/idapro/freefiles/ida5preview.htm
sehen.

Dass man nicht automatisiert nach Sicherheitslücken suchen kann, stimmt so nicht. Gerade in den letzten Jahren sind sehr viele Sicherheitslücken in allen möglichen Programmen mittels Fuzzing gefunden worden. D. h. wir erzeugen automatisiert Massen an künstlich gestörten (oder zufälligen) Eingabedaten, lassen das Programm auf diese laufen. Wenn es abstürzt, ist dies ein Hinweis auf eine Schwachstelle, die eine Sicherheitslücke implizieren könnte. Gerade beim Browser Firefox wird diese Methode sehr aktiv im Rahmen des Entwicklungszyklus verwendet, um auf Sicherheitslücken zu stoßen.
Allerdings sind die Grenzen dieser Methode relativ offensichtlich. Ich möchte daher nur auf eine nicht ganz offensichtliche Konsequenz hinweisen: angenommen durch Fuzzing finden wir heraus, dass das Programm bei gewissen Eingabedaten abstürzt. Wir finden den Fehler im Programm und beseitigen ihn. Hierdurch ist es nun möglich, dass Teile vom Programmcode betreten werden, wo es vorher abstürzte. Wenn diese Sicherheitslücken aufweisen (was bei solchen "ungetesteten" Teilen häufig der Fall ist), haben wir folgende Situation:

vor Beseitigung des Fehlers: Programm stürzt ab (ungefährlich)
nach Beseitigung des Fehlers: ernsthafte Sicherheitslücke

Man muss also bei der Beseitigung von durch Fuzzing gefundenen Problemen ziemlich aufpassen, dass dadurch keine schlimmeren Sicherheitslücken auftreten.

Ich empfehle auch Fefes Blog, in dem er hin und wieder das Thema SSL anspricht.
blog.fefe.de/?ts=b25933c5
blog.fefe.de/?ts=b544bbc7
etc.