MÜNCHEN (COMPUTERWOCHE) - Experten sind sich weitgehend einig, dass der Ende vergangener Woche mit verheerenden Folgen aktive E-Mail-Virus "ILOVEYOU" aus einem einfachen Grund so fatal erfolgreich war: Microsoft liefert bei seiner hoch integrierten Kombination aus Betriebssystem und Anwendungen möglichst viel Funktionalität - auf Kosten der Sicherheit. Der bösartige Wurm hat nichts weiter getan, als dies auszunutzen. Trauriges Fazit: It´s not a bug, it´s a feature...
"Microsoft setzt stets auf mehr Funktionen statt mehr Sicherheit", lautet das harsche Urteil von Gary McGraw, Vice President von Reliable Software Technologies. "Und der Markt will das so, denn er hat wenig Ahnung von Sicherheit. Produkte an solche Leute zu verkaufen ist einfach. Die Kunden wollen nun einmal zuvorderst ihren Job erledigen, Sicherheit rangiert unter ferner liefen."
Microsofts Sicherheitsexperte Scott Culp will das nicht auf sich und seinem Arbeitgeber sitzen lassen: "Wir wägen immer zwischen Benutzerfreundlichkeit und Sicherheit ab", sagt der Fachmann vom Security Response Center. "All unsere Produkte überlassen dem Anwender die Entscheidung, worauf er den Schwerpunkt legen will."
In diesem Zusammenhang stellt sich allerdings die Frage, ob die mit Office 97 erstmals eingeführte Programmiersprache "Visual Basic for Applications" (VBA) mit ihrer Skriptkomponente "VBScript" nicht doch einen Schritt zu weit gegangen ist - erlaubt diese doch quasi systemweite Ein- und Angriffe. "Wir sehen hier das Ergebnis einer mächtigen Sprache für Anwendungen, die Kontakt mit dem Internet haben", meint Elias Levy, Moderator der populären "Bugtraq"-Mailingliste.
Microsoft-Mann Culp widerspricht: "Der Wurm hätte auch als Programmdatei oder auf anderen Plattformen oder in einer Nicht-Skriptsprache geschrieben werden können. Nur weil wir zufällig Skripting in unserem Betriebssystem unterstützen, ist das noch nicht per se ein Sicherheitsthema." Womit er Recht hat - schon in der Frühzeit des Internet zu Beginn der 80er Jahre legte der "Morris-Wurm" Unix-Rechner lahm, indem er sich über die Adressbücher von Anwendern und den "sendmail"-Server verbreitete und das Betriebssystem beschädigte. Die nun gegen Microsoft erhobenen Vorwürfe stellen aus Sicht von Culp eine wenig sinnvolle Vereinfachung dar. "Hier geht es nicht um Skripting, sondern um das gesellschaftliche Problem des Virenschreibens."
Gartner-Experte John Pescatore will das so nicht gelten lassen. "Microsoft hat den idealen Übertragungsmechanismus für Viren in sein Betriebssystem integriert und macht es deren Autoren wirklich leicht", lautet seine vernichtendes Urteil. "Über das Adressbuch [von Outlook] verbreiten sich Viren mit der Geschwindigkeit des jeweiligen Rechners, statt sich auf Leute zu verlassen, die dumm genug sind, infizierte Mails weiterzuleiten." McGraw sieht das genau so: "Es wäre weitaus sicherer, würde dieser Mechanismus standardmäßig abgeschaltet. Dass Microsoft ihn defaultmäßig aktiviert, ist typisch."
Die Experten loben in diesem Zusammenhang einhellig das Sicherheitsmodell von Sun Microsystems´ Sprache Java. Dort kann externer Code nur in einem abgeschotteten Bereich, der sogenannten "Sandbox", ausgeführt werden. Microsoft verlässt sich bei seinem "Trust"-Modell hingegen darauf, dass die Anwender entscheiden, welche Rechte sie eingehenden Skripts und Active-X-Komponenten einräumen. "Java wurde so geschrieben, dass man allen Code ausführen kann, so lange er dem Modell entspricht", erklärt Secure-Software-Mann McGraw. "Das lässt zwar auch Raum für Irrtümer. Microsoft erlaubt es allerdings, externem Code die komplette Kontrolle zu überlassen. ILOVEYOU ist das perfekte Beispiel dafür, was passiert, wenn man diese Kontrolle mit zwei Mausklicks aus der Hand gibt."
Pescatore bläst ins gleiche Horn. "Visual Basic und Active X kommen auch nicht ansatzweise an den Sicherheitsstandard von Java heran", meint der Gartner-Analyst. "Java wurde mit Blick auf Sicherheit konzipiert. Visual Basic hingegen wurde designt, damit Anfänger alles schreiben können. C++ ist nicht viel besser."
McGraw hofft unterdessen, dass der Markt letzten Ende bessere Sicherheitsstandards erzwingen wird. "Wenn man sich bestimmte vertikale Sektoren ansieht, zum Beispiel den Finanzbereich, dann ist dort das Sicherheitbewusstsein schon viel höher. Wenn der elektronische Handel richtig abhebt, dann werden die Leute stärker auf Security achten und ihre Anwendungen sicherer gestalten."
ILOVEYOU-Fakten:
45 Millionen Menschen erhielten die "ILOVEYOU"-Mail am ersten Tag ihrer Existenz; rund die Hälfte kam ohne Schäden davon. Experten rechnen mit einem volkswirtschaftlichen Gesamtschaden durch das Virus von bis zu zehn Milliarden Dollar.
Inzwischen sind das Virus und seine mindestens acht bekannten Varianten nach Einschätzung von Experten weitestgehend unter Kontrolle. Alle Anbieter gängiger Antivirenprogramme haben aktualisierte Definitionen veröffentlicht.
Die philippinische Polizei fahndet derzeit nach einer 23-jährigen Informatik-Studentin aus Manila, deren Rechner als Ursprung des Mail-Wurms ermittelt wurde. Die Gesuchte müsse aber nicht unbedingt auch die Täterin sein, so die Ermittler.
Der schwedische Sicherheitsexperte Frederick Björk von der Universität Stockholm, der vor Jahresfirst den Urheber des "Melissa"-Virus ermittelt hatte, hält indes einen deutschen Austauschstudenten in Australien für den Schuldigen. Dieser, so Björk, habe das Virus von den Philippinen aus aktiviert.