Hat das hier wer schon auf dem Radar gehabt? Bitte ziwckt mich... Ich träume oder? ODER? :eek: :D

https://www.youtube.com/watch?v=rD5CkX4c8IQ

Da das Video schon 2 Monate alt ist und offenbar noch keiner was davon gehört hat, ist das tendenziell eher BS.

MfG
Rooter

Da das Video schon 2 Monate alt ist und offenbar noch keiner was davon gehört hat, ist das tendenziell eher BS.

MfG
Rooter

Ich will es hoffen. Sonst kann ich meinen Wissenschaftler-Job in der EU potenziell an den Nagel hängen.

das ist sehr real: RICHTLINIE (EU) 2024/2853 DES EUROPÄISCHEN PARLAMENTS UND DES RATES
vom 23. Oktober 2024
über die Haftung für fehlerhafte Produkte und zur Aufhebung der Richtlinie 85/374/EWG des Rates (https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=OJ:L_202402853) (ProdHaftRL).

https://www.ibf-solutions.com/fachbeitraege/news-zur-eu-produkthaftungsrichtlinie
https://www.heise.de/select/ix/2025/1/2431913265021361670

Ist kein BS, siehe hier: https://www.oppenhoff.eu/de/news/detail/ueberarbeitung-des-produkthaftungs-und-produktsicherheitsrechts-neue-herausforderungen-fuer-software-entwickler-und-hersteller-digitaler-produkte/

Das wird Europa extrem voran bringen in Sachen Software. Nicht :facepalm: Die EU wird immer bekloppter.

Ich kann das durchaus verstehen warum man das macht. Es kann sehr schnell gehen, dass ein Bug in einer Software ein paar Tausend Leute killt. In der Softwareentwicklung herrscht immer noch wilder Westen.

Die Intention mag erstmal sinnvoll sein, aber die Frage ist, was der Gesetzgeber daraus macht. Insbesondere für Open Source Software ist eine Haftung imho völliger Unsinn, da ich als Entwickler weder eine Vergütung erhalte, mit der ich etwaige Schäden bezahlen oder versichern könnte, noch habe ich eine Kontrolle darüber wer diese Software einsetzt und ggfs. missbraucht. Hier eine Entwicklerhaftung aufzusetzen wäre in etwa so, als würde man jeden Menschen dafür bürgen lassen, dass er alles was er sagt und schreibt 100% korrekt ist und er für jede falsche oder halbrichtige Information, die zu irgendeinem Schaden geführt hat (weil sich ohne weitere Prüfung blind auf die Richtigkeit verlassen wurde) unmittelbar haften müsste. Es würde ganz einfach niemand mehr etwas sagen und schreiben, weil niemand für etwas verantwortlich gemacht werden möchte, was gar nicht in seiner Macht lag. Ich bin mir bewusst, dass es Sonderregeln für OSS geben soll, aber ich traue unserer Politik leider zu, da komplett weltfremden Unsinn zu verzapfen, der es juristisch untragbar macht, in Deutschland noch wissenschaftliche OSS zu entwickeln.

Btw: Gehört das Thema nicht eher ins Powi? Ist ja rein politischer Natur.

Für Open Source soll das nicht gelten. Aber eines wird es bewirken: es wird weniger Software in der EU entwickelt werden. Großer Erfolg!

Btw: Gehört das Thema nicht eher ins Powi? Ist ja rein politischer Natur.Hää?? (grübel...) So überhaupt rein gar nicht? :usweet: (wall of text. mach mal bitte und und zu einen Absatz bitte)
Dein Beispiel... Laut allem was ich bisher gesehen habe am guten reverse oder auch direkt Quellcode Analysen in C(), liegt die Quote bei Bugs - jeglicher Couleur in einem einzigen Topf - bei grob 85%, wenn es um Pfusch, grobe handwerkliche Fehler und allgemeines Unvermögen geht. Viele Teilnehmer früherer Hackathons behaupten sogar bis heute, beim Thema security issues liegt diese Quote bei 95%.

Das hat mit "immer 100% richtig liegen" nichts zu tun.

@ all
Ich find die Diskussion grad bisschen seltsam. Die ganzen fefes, CCCs und nahezu alle internationalen Pendants, reden schon seit einer Ewigkeit davon.

Der Linus (Neumann) sprach das in einer Anhörung das erste Mal wirklich laut an, das ist glaub ich mittlerweile 10 Jahre her. Das gleiche Narrativ kommt auch von HonkHase (Atug).
Ob solche und die andere sich dabei keine Gedanken um Softwareentwicklung machen?

Das Thema taucht bisher auch vor allem und am meisten auf bei allem was mit Systemsicherheit zu tun hat.

PS:
OpenSource ist natürlich genauso betroffen, WENN es auch fertig kompiliert angeboten wird. Ein kostenloses aber für die Benutzung fertiges Produkt, ist ein Produkt. Und das ist es laut der bisherigen Definition, wenn es kompiliert ist.

PS:
OpenSource ist natürlich genauso betroffen, WENN es auch fertig kompiliert angeboten wird. Ein kostenloses Produkt, ist ein Produkt. Und das ist es laut der bisherigen Definition, wenn es kompiliert ist.

Vor genau solchen Spitzfindigkeiten graut es mir. Es macht einfach genau null Unterschied für die Sicherheit auf Code-Ebene, ob jemand den Code so wie er ist runterlädt und kompiliert oder ob ich das mache und das Ergebnis hochlade. Aber in dem einen Fall bin ich voll haftbar und dem anderen nicht. Was für ein Schwachsinn. Vor allem gibt es einen Unterschied zwischen Recht haben und Recht bekommen: Wenn jemand mein OSS-Tool falsch bedient und damit Daten löscht oder überschreibt, dann kann derjenige mich trotzdem versuchen zu verklagen und am Ende muss ich noch nachweisen, dass das Tool falsch bedient wurde. So idiotensicher kann man Software gar nicht schreiben, vor allem nicht ohne Bezahlung. Ich bin dann schon auf die ersten Präzedenzfälle gespannt :rolleyes:. Vielleicht sollte ab da nur noch Gartenzwerge verkaufen.

Vor genau solchen Spitzfindigkeiten graut es mir. Es macht einfach genau null Unterschied für die Sicherheit auf Code-Ebene, ob jemand den Code so wie er ist runterlädt und kompiliert oder ob ich das mache und das Ergebnis hochlade. Aber in dem einen Fall bin ich voll haftbar und dem anderen nicht. Was für ein Schwachsinn.Sehe ich nicht. Wenn das nur ein Quellcode ist, ist das eine Textdatei. Ein Quellcode ist nichts als eine Textdatei. Bzw. mehrere. Es geht nicht um das Haften für Texte, sondern für Produkte.
Produkte sind etwas was jemand produziert (Kompilieren) und für eine direkte Benutzung bereitstellt.

Vor allem gibt es einen Unterschied zwischen Recht haben und Recht bekommen: Wenn jemand mein OSS-Tool falsch bedient und damit Daten löscht oder überschreibt, dann kann derjenige mich trotzdem versuchen zu verklagen und am Ende muss ich noch nachweisen, dass das Tool falsch bedient wurde. So idiotensicher kann man Software gar nicht schreibenVerstehe auch hier nicht was du meinst. Liest sich ziemlich hingebogen...
Du musst dich damit nur soweit beschäftigen, zu verstehen, wie eine Klage aufgebaut ist. Da gehört "Begründung" dazu. Warum sollte es da eine Rolle spielen wer was aus Versehen gelöscht hat? Es geht nur um BUGS. Wenn du einen Dialog mit Löschen/Abbruch hast und der auf Abbruch drückt und trotzdem was gelöscht wird ist das klar dein Bier. All die Fantasiefälle um das möglichst abzuwehren, sind es nicht.

Wer sich nicht zutraut das obige korrekt zu implementieren da wäre ich selbst auch dafür, daß er ggf. zeitig darüber nachdenkt lieber Gartenzwerge zu verkaufen.

Jetzt geht natürlich die Angst umher. Man müsste wirklich 3x genau hingucken was man da auf die Menschheit loslässt. Und auch nur das machen was man wirklich beherrscht.

Nach ~75 Jahren einer völligen Anarchie soll man jetzt drauf achten was man da eigentlich tut und verursacht. Was für ein Graus...

Ich kann das durchaus verstehen warum man das macht. Es kann sehr schnell gehen, dass ein Bug in einer Software ein paar Tausend Leute killt. In der Softwareentwicklung herrscht immer noch wilder Westen.

Wer haftet dann wenn man externe Frameworks/Libs verwendet bzw eine externe Schnittstelle die sich ändern kann? Kann man dem Kunden dann endlich Updates aufzwingen weil sonst seine 10 Jahre alte nicht mehr gewartete Software Fehler schmeißt und sonst dafür haften müsste? Muss dann Microsoft jegliche Produkte in der EU einstellen :D

Haben die Anwälte keine Arbeit mehr oder warum muss man jetzt mit sowas kommen ;D

@The_Invisible
Das sind nur weitere Pseudofälle. Nirgendwo steht in dem ENTWURF was von lebenslanger Haftung. Oder erstmal sonstigen zeitlich Zeiträumen.
Nur bei Routern postulierte der CCC mal 5 Jahre.

edit:
Muss dann Microsoft jegliche Produkte in der EU einstellenNa guck. Verstanden in welcher Schlangengrube wir sich da eigentlich bewegen ;) Kann man natürlich für gängig und normal betrachten, wenn man in solcher 75 Jahre steckt (erste Quellcodes/Programme). Ich hab das noch nie als normal betrachtet...

Für das was da produziert wird würde jeder andere Hersteller abgewickelt werden und die Verantwortlichen als Vorbestraft enden. Nur die Softwareindustrie meint, das Gängige und Normale der Welt bei sämtlichen anderen Branchen und Produkten, sollte sie selbst nicht betreffen. Wegen des Fortschritts :uclap:

Ich glaub wenn das durch ist, gibt es 5 Jahre später nur noch Rust, ASM, Fortran (bei IBM noch Cobol) und die paar wenigen Scriptsprachen. Alles andere wird bereits ausgestorben sein :usweet: weil keiner mehr sich trauen wird auf dem Minenfeld zu laufen.
Richtig so. Programmieren ist Handwerk. Auch da gibt es Berufe die auf Kreativität bauen. Handwerk ist ja nicht nur Fliesenleger und Dachdecker. Was Programmieren aber nicht ist, ist abstrakte Kunst. Die fetten Jahre der feingeistiger Sorglosigkeit gehen wohl langsam vorbei.

Richtig so. Ist nichts mehr mit Schmetterling. Die Ameise ist der Gewinner :up:

Für Open Source soll das nicht gelten. Aber eines wird es bewirken: es wird weniger Software in der EU entwickelt werden. Großer Erfolg!

Es wird nicht weniger entwickelt werden. Aber die Entwicklung wird teurer werden. Weil viele Unternehmen zusätzliche Versicherungen abschließen werden. Und die Versicherer werden dann irgendwelche Zertifikate für Softwareentwicklung verlangen etc.

Die Problematik ist halt, dass die Entwicklung guter Software Kohle kostet. Und dummerweie sind sehr viele Kunden nicht bereit die Kohle auf den Tisch zu legen. Also wird seitens der Softwarehersteller geschludert ohne Ende weil man ansonsten den Auftrag nicht bekommt.

Was ist eine "gute Software"? Eine die so funktioniert wie bestellt/erwartet/versprochen? Das hat eine eigene Kategorie? :|

Und die gestiegenen Entwicklungskosten begründet man wie? Mit obigem? Ab 2027 kostet unsere Software 40% mehr, weil sie schon mit v1.0 all das richtig macht was sie darüber in unseren Beschreibungen bereits seit 2005 lesen konnten (?)

Und dummerweie sind sehr viele Kunden nicht bereit die Kohle auf den Tisch zu legen.
Und das soll sich jetzt weswegen ändern? Dann lassen die Kunden die Software halt außerhalb der EU entwickeln, die Kanalinseln, Delaware oder die Golfstaaten bieten sich an.

Sehe ich nicht. Wenn das nur ein Quellcode ist, ist das eine Textdatei. Ein Quellcode ist nichts als eine Textdatei. Bzw. mehrere. Es geht nicht um das Haften für Texte, sondern für Produkte.
Produkte sind etwas was jemand produziert (Kompilieren) und für eine direkte Benutzung bereitstellt.

Es ist in der Wissenschaft üblich, Pakete und Tools über Paketmanager zu installieren, die natürlich vorkompilierte Binaries verwenden. Allein schon, damit die ganzen dependencies automatisch komfortabel aufgelöst werden können. Alles selber kompilieren und zusammenklamüsern wäre sinnlose redundante Arbeit und ein Alptraum für die spätere Reproduzierbarkeit. Insofern sehe ich Open Source da ganz und gar nicht von ausgenommen, je nachdem wie das Gesetz ausformuliert wird.

Und das soll sich jetzt weswegen ändern? Dann lassen die Kunden die Software halt außerhalb der EU entwickeln, die Kanalinseln, Delaware oder die Golfstaaten bieten sich an.

Kann passieren. Dummerweise könnte die EU dem aber auch den Riegel vorschieben: Lieferkettengesetz für Software. Dann haftet nicht mehr der Hersteller sondern der Nutzer wenn der Hersteller im EU-Ausland sitzt und nicht greifbar ist. Das wäre sogar der nächste logische Schritt.

Das wäre sogar der nächste logische Schritt.
Ja, der nächste Schritt zurück zu Kugelschreiber und Papier. Tut mir leid, ich finde solche Gesetze fortschrittsfeindlich.

Ja, der nächste Schritt zurück zu Kugelschreiber und Papier. Tut mir leid, ich finde solche Gesetze fortschrittsfeindlich.

Kann man so rum und so rum sehen. Würdest du in ein Flugzeug steigen, dessen Konstruktion und seine Wartung keinerlei Regularien unterliegt? Und wenn so ein Flugzeug dann wegen Konstruktionsfehlern in ein Hochhaus kracht, wer soll dann haften? Sind solche Regularien, die Mindesststandards bei Sicherheit erzwingen fortschrittsfeindlich?

Wie gesagt, Szenarien bei denen ein Bug in der Software paar Tausend Leute tötet, sowas kann sich fast jeder Softwareentwickler vorstellen. Und Flugzeuge sind schon wegen Softwarefehlern abgestürzt.

Kann man so rum und so rum sehen. Würdest du in ein Flugzeug steigen, dessen Konstruktion und seine Wartung keinerlei Regularien unterliegt?
Unterliegt die Software in Flugzeugen denn keinerlei Regularien?

Wie gesagt, Szenarien bei denen ein Bug in der Software paar Tausend Leute tötet...
Von welcher Software reden wir hier und wird die ohne vorherige Prüfung eingesetzt?

Und Flugzeuge sind schon wegen Softwarefehlern abgestürzt.
Flugezeuge stürzen wegen vieler Probleme ab, trotz Regularien und Überprüfungen. Unfälle passieren, es gibt nirgends 100%ige Sicherheit, nichtmal bei der Hausarbeit, bei der die meisten Menschen sterben, völlig unreguliert und unauditiert. Hoffentlich bringe ich die EU jetzt nicht auf neue Ideen :freak:

Es spricht ja nichts dagegen, dass Software in kritischen Bereichen sher genau überprüft wird, wenn diese Prüfung aber geschafft ist, kann man dem Entwickler nicht trotzdem die Haftung für Bugs anhängen. Meine Meinung.

Bei 08/15-Alltagssoftware sollte es so eine Haftung schonmal gar nicht geben. Das würde sonst zu einer unglaublichen Klagewelle inkl. Kahlschlag in der Softwareindustrie führen.

Ich kann das grad nicht ganz nachvollziehen warum Leute die sich hier schon tausendfach über irgendwelche Fehler schwarz ärgerten oder über die 101ste Sicherheitslücke, plötzlich dagegen sind, daß man den Ersteller der Software dafür belangen kann. Es muss auch nicht um eine Klage gehen. Die muss erst zugelassen werden. Nix Abmahnungen. Beinhaltet also, daß er z.B. 3 Tage hat um Stellung zu nehmen und je nach z.B. 5 Schwerestufen, eine feste Zeit hat sie zu beheben. Fertig.

Völlig an der Tatsache vorbei, daß - WIE ERWÄHNT - auch der CCC sowas schon seit zig Jahren fordert. Aber ok, was wissen die schon über Software...

Echt. Als wenn man mit einer Wand in einem Potemkischen Dorf reden würde :usweet: Die Welt besser machen, GERNE!, aber nur wenn es einen selbst nicht aktiv betrifft :uup:

https://blog.fefe.de/?ts=99cd9f98 (wir)
https://blog.fefe.de/?ts=981125b0 (die Amis)

https://blog.fefe.de/?ts=984a4b04

PS:
"Windenergie? Eine richtig tolle Sache! Solange ich auch weit am Horizont keine Windräder aus dem Küchenfenster sehe!!" :uclap:

Ich glaube, ich fange noch ein Jurastudium an :cool: Das wird einen warmen Geldregen an Abmahnungen und Schadenersatzforderungen geben.

Denke nicht, daß man das am Ende so regeln wird, daß dies jeder Hinz&Kunz machen kann (Abmahnungen, wie früher mit Impressum der Webseiten)
Haftung meint hier vor allem Behebung. Zeiträume, Pflichten, die jeweilige Schwere usw.

ENDLICH.

Falls das wirklich darauf hinausläuft, dass man für Bugs haftbar gemacht wird, dann gute Nacht.

Software ist immer fehlerbehaftet. Das zeigen die fast schon täglichen Updates von Apps und Betriebssystemen. Das ist ein fortlaufender Entwicklungsprozess, der nie ein ende findet.

Daher fraglich, wie das in der Praxis überhaupt aussehen soll und für welche Aspekte man überhaupt haftbar gemacht wird. Geht es um grundlegende Konzepte bei der Umsetzung von SW oder wird man schon haftbar gemacht, wenn ein hochsporadischer Fehler, irgend ne SW crashen lässt? (Dazu kannste dann nichtmal ein Statement abgeben, solange du den Fehler nicht nachstellen und debuggen kannst)

Schlimmstenfalls vervielfacht das Entwicklungszeiten und damit Entwicklungskosten von Produkten und führt schlussendlich zu einer vervielfachung des Endkundenpreises. Und trotzdem hätte man keine Sicherheit, dass die Produkte sauber sind, weil schlichtweg unmöglich.


Software ist nunaml nicht mit physischen Gegenständen vergleichbar. Während Physische Gegenstände relativ einfach geprüft werden können und Mängel relativ offensichtlich sind, zeigen sich bei Software Fehler über unzählige Ebenen und Dimensionen. Wie gesagt, gerade im hochsporadischen Bereich Haftung zu verlangen ist völliger unsinn und kann nicht funktionieren.

Es gibt leider kein funktionierendes Konzept, um Softwarefehler auszuschließen. Vielleicht gelingt das in ferner Zukunft einer Super KI (und selbst da wäre ich mir nicht sicher), aber ganz sicher keinem menschlichen Entwicklerteam.

Software ist immer fehlerbehaftet. Das zeigen die fast schon täglichen Updates von Apps und Betriebssystemen.Inwiefern ist das ein Naturgesetz? Weil... du das anders nicht kennst? Das ist immer nur so, weil es schlampig gemacht wird.
Software ist nunaml nicht mit physischen Gegenständen vergleichbar.Ja, Sataya :uup: Steile These. Auch ein Buch(inhalt) ist nicht mit physischen Gegenständen vergleichbar. D.h. aber nicht, daß man sich eins kauft und keiner darf haftbar gemacht werden bzw. keiner was am Hut hat das nachzubessern, wenn es so geschrieben ist als wenn es ein Legastheniker auf der Schreibmaschine geschrieben hätte. DAS, ist die Analogie. Es geht um HANDWERK. Nicht die Story dahinter.
Es gibt leider kein funktionierendes Konzept, um Softwarefehler auszuschließen.Welche Erfahrung hast du denn damit (ohne Sarkasmus), daß du hier Naturgesetze festlegst?

Schlimmstenfalls vervielfacht das Entwicklungszeiten und damit Entwicklungskosten von Produkten und führt schlussendlich zu einer vervielfachung des Endkundenpreises.Ja, Sataya :uup: Steile These. Und wie begründest du deine neuen Preise? Die EU ist schuld, weil du jetzt deine Software vom Anfang an sorgfältig entwickeln musst? Beste Grüße an dein Marketing :usweet:

Es gibt leider kein funktionierendes Konzept, um Softwarefehler auszuschließen.

Da hat aber jemand zuviel seine Meta Grütze auf dem Kopf gehabt und am Windows Rechner gearbeitet und ist dementsprechend ausgeleiert.

Das ist ne steile These, ne ganz steile These die eigentlich nur aussagt, dass du keinerlei Ahnung hast.

Ganze Heerscharen an Safety Engineers kümmern sich um genau sowas in allen Firmen mit ordentlichen Produkten. Dazu zählen auch Produktionsanlagen für Medikamente. Da kannst nicht die beliebte Ausrede ziehen "Softwarefehler, kann man nichts machen, nun sind halt tausend Leute tot aufgrund falscher Mischverhältnisse"

Echt schade das in einem 3dcenter forum so wenig Wissen über Softwareentwicklung vorherrscht.

Sichere Software wird schon lange über das Produktsicherheitsgesetz verlangt.
Die 61508 ist schon lange um den Softwarepart erweitert. Die USA haben sogar im Militärbereich ihr eigenes Handbuch für sichere Software, weil so ne Fire&Forget Rakete bitte nicht in die eigenen Truppen ballern soll wegen "Softwarefehler, kann man nichts machen"
Ansonsten könnte man auch mal sich die 26262 anschauen für den Automobilbereich und das E-Gas Konzept. Weil sich selber mit Vollgas beschleunigende Autos sind nicht so ganz förderlich für zufriedene Kunden und die PR ist dann nicht so gut.

Was nun halt dazu kommt, hier werden die Daumenschrauben für weitere Bereiche angezogen sodass etliche Teilnehmer nicht mehr behaupten können "Wir haben nur für den Trottel der Pornos runterladen will entwickelt. und jeder der Windows für Onlinebanking zusätzlich benutzt ist eh selber schuld."

Ist halt für Pfuscher die mal eben Freitag Nachmittag noch einen ungeprüften Patch ausrollen halt demnächst problematischer. Hilft aber vielleicht irgendwann gegen den ganzen Schrott anzukämpfen der sich im Consumerbereich breitgemacht hat.

Hat jemand überhaupt die Richtlinie mal anschaut und dort das Wörtchen Cybersicherheit gefunden? Das finde ich viel interessanter. Das killt unsere ePA sofort eigentlich.

@badesalz
danke für den thread und danke für die Links. So musste ich bei fefe nicht suchen :D

Echt schade das in einem 3dcenter forum so wenig Wissen über Softwareentwicklung vorherrscht.Ja. So bisschen, aber nicht gleich tragisch.

Erschreckend dagegen ist es, wie dann streckenweise anscheinend nur nach einer kurzen Betrachtung des Betreffs und egal, ob da grad schon 5 oder 15 Beiträge dran hängen und natürlich gleich völlig ungeachtet dieser, in bester ZBA-Manier einfach drauf los gelabert wird :uconf3:

Ich mach mir ernste Sorgen um AVM :ulol:

Ich sehe es nicht so negativ. Ich kenne beispiele, wo software nix taugt und da ist man als auftraggeber komplett ausgeliefert.
Irgendwo macht es sinn auch hier richtlinien zu schaffen. Ich sehe es sogar als qualitätssiegel für das ausland.


Wenn eine anlage teile für ein produkt fertigt und dann das in ein produkt für einen zulieferer verbaut wird und das fertige produkt bei nem großserienhersteller landet, hat software teilweise einen richtig großen hebel und potential auch gigantische finanzielle verwerfungen anzurichten.

Bleibt abzuwarten wie sich das Ganze mit Blick auf experimentelle Software entwickelt. Ich denke, daß der Korken mit seinen Befürchtungen nicht ganz unrecht hat. Manche Leute werden eine öffentlich bereitgestellte Alpha auch produktiv einsetzen und dann versuchen, den Hersteller für die Fehler haftbar zu machen.

Du bekommst ja nichts anderes mehr. Wenn der hersteller der anlage schon ein jahr verspätung hat und sonst noch seine problemchen hat, wird mit der anlage gearbeitet, weil der hersteller auch mal geld sehen möchte.

Bleibt abzuwarten wie sich das Ganze mit Blick auf experimentelle Software entwickelt.Garnicht. Die Begriffe Alpha und Beta werden berücksichtigt. Dann müssen die Hersteller das aber auch entsprechend deklarieren ;)

Ich mach mir ernste Sorgen um AVM :ulol:

Ich mache mir eher Sorgen um Firmen, die "Sicherheitslösungen" anbieten ala Cisco, Palo-Alto etc. :freak: So richtig vermissen wird die keiner. Ausser natürlich irgendwelche CIOs, die irgendwelche "Compliance"-Regeln befolgen wollen.

Ich mache mir eher Sorgen um Firmen, die "Sicherheitslösungen" anbieten ala Cisco, Palo-Alto etc. :freak: Fortinet. Ganz wichtig. Nie auslassen ;) guckt euch unten den Wert/Umsätze usw. der Pfuscher. Un-glaub-lich.

So richtig vermissen wird die keiner.Dann sind es also doch keine Sorgen? ;) Bei mir auch nicht. Quasi jeder der das anfasst hätte es lieber sein gelassen.

70 seit 2008 =)
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=pfsense

46 seit 2020 :freak:
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=zyxel+atp

Moxa ist auch sehr dick im Geschäft
https://de.wikipedia.org/wiki/Moxa_(Unternehmen)
https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2025-0006

Palo-Alto wollte ich auch mal verlinken, aber das machte nach 30s Recherche was am besten passt, keinen Sinn. Es ist der gleiche Wasserfall an Fails wie Fortinet.
Und drunter ist ein Sumpf. Man braucht eigentlich auch nichts recherchieren. fefe liebt die beiden geradezu :uup:

https://de.wikipedia.org/wiki/Palo_Alto_Networks
https://de.wikipedia.org/wiki/Fortinet
https://blog.fefe.de/?ts=99c2aee7
https://blog.fefe.de/?ts=99ccc177
https://blog.fefe.de/?ts=99c3f49f

Bei den sonstigen Verdächtigen mit soho routern... Nochmals schlimmer :freak: Diese Probleme hat AVM tatsächlich nicht. Die haben mal alle 8 bis 10 Jahre (?!) ein Sicherheitsproblem (!), reagieren nahezu blitzschnell - oft schneller mit dem Fix als tp-link es hinbekommt erste Stellungnahme zu verfassen... - und EOL der Geräte hat dabei oft kaum Bedeutung.
https://blog.fefe.de/?ts=9ac13bb4

Das ist schon ein richtiges Pfund (AVM). Globaler TopDog bei dem Thema :smile: Sorgen mach ich mir eher was die Zuverlässigkeit der ausgelobten Fähigkeiten (nicht sicherheitsrelevanten) von FritzOS angeht :ulol:

Ich mache mir eher Sorgen um Firmen, die "Sicherheitslösungen" anbieten ala Cisco, Palo-Alto etc. :freak: So richtig vermissen wird die keiner. Ausser natürlich irgendwelche CIOs, die irgendwelche "Compliance"-Regeln befolgen wollen.

Die ganzen Sicherheitssoftware kannst dann eigentlich eh gleich ALLE in die Tonne treten.

Wir sind jetzt nach Cisco, PaloAlto und Fortinet bei Barracuda angelangt. Jeder kocht nur mit Wasser, die Software ist hochkomplex und es ist unmöglich diese bugfrei zu bekommen.

Der ZTNA Client lässt mein Arbeitsnotebook 1-2x am Tag BSODen da er sich komisch in den Win Netzwerkstack hängt und irgendwelche Sachen macht. Mit WSL und Docker hängts ihn dann irgendwann aus, schon seit 3/4 Jahr reported aber keiner weiß was.

Datto haben wir auch noch drauf was die ganze Kiste oft ohne Grund auf 100% laufen lässt, gefühlt 25% der Ressourcen das Notebooks gehen für irgendwelche Echtzeitchecks drauf.

Aja Linux dürfen wir nicht mehr verwenden da nicht mit "Compliance" vereinbar. Ich habs trotzdem noch auf einer externen NVME laufen, das System läuft gefühlt doppelt so schnell und vor allem stabil.

Wir sind jetzt nach Cisco, PaloAlto und Fortinet bei Barracuda angelangt. Jeder kocht nur mit Wasser, die Software ist hochkomplex und es ist unmöglich diese bugfrei zu bekommen.Der ZTNA Client lässt mein Arbeitsnotebook 1-2x am Tag BSODen da er sich komisch in den Win Netzwerkstack hängt und irgendwelche Sachen macht. Mit WSL und Docker hängts ihn dann irgendwann aus, schon seit 3/4 Jahr reported aber keiner weiß was.Kann sich da keiner mehr von denen draufschalten?
https://www.cert.at/de/warnungen/2013/1/warnungen-20130124
Aja Linux dürfen wir nicht mehr verwenden da nicht mit "Compliance" vereinbar. Ich habs trotzdem noch auf einer externen NVME laufen, das System läuft gefühlt doppelt so schnell und vor allem stabil.Lass sie das ruhig vor die Wand fahren. Das zieht sich leider nicht von alleine zurück.

Das muss erst so zerschellen, daß der Karosserieschlosser nichts mehr machen kann und mit dem Riffelhammer dem Compliance-Kasper von Group Information Management eine drüberzieht.