Web

 

Microsoft: Kopfgeld statt Sicherheit?

06.11.2003

MÜNCHEN (COMPUTERWOCHE) - Microsofts Bekanntgabe, für die Ermittlung von Virenschreibern Belohnungen von bis zu 250.000 Dollar auszusetzen (Computerwoche online berichtete), hat unterschiedliche Reaktionen hervorgerufen. Während Beamten der US-Polizeibehörden FBI und Secret Service sowie der internationalen Fahndungsbehörde Interpol das Engagement begrüßten, äußerten Sicherheitsexperten Kritik.

Microsoft stellt im Rahmen des Programms "Anti-Virus Reward" einen Fonds von fünf Millionen Dollar zur Verfügung. Die ersten jeweils 250.000 Dollar hat der Hersteller für Informationen ausgelobt, die zur Ergreifung der Urheber der Internet-Würmer "Sobig" und "MBlast" führen. Die verbleibenden 4,5 Millionen Dollar seien für zukünftige Fahndungsaktionen angelegt, sagte Microsoft-Syndikus Brad Smith.

Hilfe aus dem privaten Sektor sei unerlässlich für einen Fahndungserfolg der Behörden, sagte Peter Townsend, stellvertretender Direktor der Verbrechensermittlung beim Secret Service. Täter könnten nur geschnappt werden, wenn Industrie und Polizei zusammenarbeiteten.

Kritik kommt dagegen von Connie Sadler, IT-Sicherheitschefin an der Brown University im amerikanischen Providence. Das Geld sei besser investiert, wenn es in die Entwicklung eines sichereren Windows-Systems fließe. Bislang übertrage Microsoft dem Anwender die Verantwortung, Sicherheitssysteme zu implementieren, um durch Viren und Würmer verursachte Schäden zu verhindern. So sei es zum Beispiel notwendig, zusätzliche Firewall-Regeln zu erstellen, um die systemweite Ausbreitung von Schädlingen zu vermeiden. "Es wäre besser, ein Netzbetriebssystem zu haben, das solche Aufgaben unterstützt", sagte Sadler.

Auch Hugh McArthur, Information Security Officer bei der Online-Billing-Firma Online Resources, bezweifelt die Effektivität der Kopfgeldjagd. Microsoft versuche lediglich, sich mit solchen Aktionen ein positives Image zu verschaffen. Die eigentliche Ursache für Virenattacken - Sicherheitslücken in der Software - werde damit jedoch nicht beseitigt.

Der Fonds solle kein Ersatz für die Entwicklung sichererer Systeme sein, reagierte Smith auf die Kritik. Es handle sich vielmehr um eine zusätzliche Anstrengung, um Virenangriffe einzuschränken. Belohnungsprogramme haben bereits in der klassischen Verbrechensbekämpfung gute Dienste geleistet, sagte Patrick Gray, Chef des Emergency Response Teams bei Internet Security Systems und ehemaliger FBI-Beamter. Es gebe keinen Grund anzunehmen, warum sie nicht zur Aufklärung digitaler Verbrechen beitragen sollten. (lex)