Kolumne

"Code Microsoft"

28.09.2001
Wolfgang Sommergut Redakteur CW

Es ist dieser Tage viel die Rede von neuartigen Bedrohungen und Sicherheitsrisiken. Angesichts der herrschenden Stimmung liegt es natürlich nahe, auch den Attacken des Computerwurms "Nimda" eine neue Qualität zu bescheinigen. Für eine solche Einschätzung spricht zumindest, dass dieses Schadprogramm erstmals Computersysteme über Mail, das Web und Datei-Server gleichzeitig angreift. Da Nimda jedoch bekannte Sicherheitslücken ausnützt, die etwa schon seinem Vorgänger "Code Red" zur raschen Verbreitung verhalfen, ließe sich die Debatte leicht wieder in gewohnte Bahnen lenken: Leichtsinnige Systemverwalter haben in großer Zahl versäumt, die von Microsoft angebotenen Patches einzuspielen und so die gefährlichen Lecks abzudichten.

Natürlich unterliegen Administratoren, aber auch Endbenutzer einer Sorgfaltspflicht - Letztere beispielsweise, indem sie nicht unbedacht jeden Mail-Anhang öffnen. Aber Nimda stellt nicht nur die Kompetenz vieler IT-Profis in Frage, sondern auch jene von Microsoft.

Wenn kritische Software oft mehrmals im Monat eines Updates bedarf, damit sich grobe Sicherheitsmängel beheben lassen, dann erhebt sich zuerst die Frage nach den Qualitätsstandards. Dies umso mehr, als Cracker immer wieder die Microsoft-Abwehr mit Varianten bekannter Tricks übertölpeln. So erwiesen sich ungültige URLs schon zu oft als Mittel, um den "Internet Information Server" (IIS) zu knacken. Ergebnis: Programmabsturz und freier Zugriff auf den Windows-Rechner, Ausbruch aus virtuellen Verzeichnissen und Aufruf beliebiger Programme oder das unbefugte Herunterladen von Server-Scripts inklusive Kennwörtern.

Angesichts der Häufigkeit, mit der schwerwiegende Sicherheitsprobleme von Microsoft-Programmen publiziert werden (allein 48 Bulletins vom Hersteller selbst in diesem Jahr), unterliegen Systemverwalter einer gewissen Abstumpfung. Wenn die hastig erstellten Patches wie unlängst im Fall von "Exchange 2000" dann auch noch fehlerhaft sind, werden Verantwortliche lieber zum Abwarten neigen.

Als verhängnisvoll erweisen sich zudem altbekannte Microsofts-Praktiken: Zwangsbeglückung der Anwender durch Bundling, enge Verschränkung von Desktop und Internet, die Erziehung von Administratoren zur Unmündigkeit mittels Wizards und Assistenten sowie die weitgehende Integration der hauseigenen Produkte untereinander. So sorgte etwa der mit dem IIS automatisch installierte "Index Server" für das Leck, durch das Code Red und Nimda schlüpften - übrigens auch dann, wenn diese Suchmaschine gar nicht genutzt wird.

Da diese Microsoft-Politik vor allem der Expansion dient, darf trotz Nimda mit keiner grundlegenden Änderung gerechnet werden. Im Gegenteil: Mit Windows XP schickt sich die Company an, PC-Programme mit dem hauseigenen Passport-Service zu verweben. Dieser zentrale Anmeldedienst speichert schon heute persönliche Daten Tausender Anwender, Kreditkartennummern inklusive. Auf seinen GAU darf gewartet werden.