Es geht darum, dass die hier offengelegte Sicherheitslücke abhängig ist von dem Szenario, in dem sie aufgetreten ist. Wenn das Szenario etwas anders ausgesehen hätte, wäre sie evtl. nicht aufgetreten. Das ist die Relativität um die es geht. Ist doch eigentlich ganz einfach zu verstehen; oder nicht ?
Wir haben da wohl völlig verschiedene Ansätze.
Ich wiederhole deshalb das Zitat (spiegel.de):
"Pohl weist auf diese Probleme hin:
Unveröffentlichte Sicherheitslücken werden von dieser Untersuchung nicht erfasst. Pohl: "Solche unveröffentlichten Sicherheitslücken werden weltweit gegen Bezahlung angeboten und von Interessenten, zum Beispiel Nachrichtendiensten oder Konkurrenzunternehmen, gekauft."
Dass es insgesamt weniger ungepatchte Sicherheitslücken gibt, macht ein System nicht zwangsläufig sicherer. Pohl: "Einem Angreifer muss nur eine einzige Sicherheitslücke bekannt sein, die er ausnutzen kann." Und die Untersuchung der ETH-Forscher zeige, dass Hersteller durchaus Sicherheitslücken patchen - aber eben "nicht alle und manche erst nach langer Zeit."
Daraus sollten laut Pohl alle IT-Anwender dieses Fazit ziehen: "Wertvolle Daten müssen auf Stand-Alone-Rechnern und in geschlossenen Netzen verarbeitet werden – ohne direkten oder indirekten Anschluss an das Internet."
=> Ein komplexes System hat immer Bereiche, die nicht gesichert sind.
Das Problem ist, daß diese "Schwachstellen" selbst für die Funktion gar keinen Fehler darstellen müssen.
Im Zusammenhang mit anderen Komponenten können diese "Schwachstellen" jedoch ein Bestandteil des Hebels sein, mit dem die Sicherheit zu Fall gebracht wird.
Es reicht *eine* nutzbare Lücke.
Ein Szenario sagt nur aus, welche Bedingungen z.B. für das Prüfen eines BS angenommen worden sind.
Das Reduzieren auf wesentliche Szenarien ist nötig, weil es in einem komplexen System nicht möglich ist, alle Einflüsse zu berücksichtigen.
Eine menschliche Schwäche beim Beurteilen von seltenen Fällen:
Während sich ein Lottospieler, den wenig wahrscheinlichen Fall als sofort eintretend erhofft - weil positiv besetzt, versuchen die Menschen, die z.B. ein BS als sicher erklären wollen, den wenig wahrscheinlichen Fall in die Unendlichkeit zu schieben - weil negativ besetzt.