In einer aktuellen Untersuchung zu den Attacken des Nimda- und des Code-Red-Wurms auf Microsoft-Software kommen die Analysten von Gartner zu einem harten Urteil: Benutzer des durch die Wurm-Attacken betroffenen IIS-Servers sollten unverzüglich mit der Suche nach alternativen Produkten beginnen. Zur Auswahl ständen vor allem Java-basierte Web-Server wie etwa vom Hersteller Iplanet oder die Open-Source-Implementierung der Apache Software Foundation. Diese Produkte seien laut Gartner bisher viel seltener Virenattacken erlegen und auch nicht das bevorzugte Ziel der zahlreichen im Internet kursierenden Viren und Würmer. Zwar gebe es auch für diese Produkte mittlerweile Patches, doch insgesamt liege das Sicherheitsrisiko deutlich niedriger.

Vor allem aber sprechen laut Gartner die hohen Kosten gegen den weiteren Einsatz von IIS. So müssten Systemverwalter fast wöchentlich neue Patches einspielen. Eine höhere Sicherheit des Produkts wäre erst dann gewährleistet, wenn eine komplett neu entwickelte und öffentlich getestete Version des IIS zur Verfügung stände. Kontrollen seien zudem für die von Microsoft im Rahmen der .NET-Strategie angekündigten Web-Services nötig, die auch den IIS-Servern nutzen würden.

Microsoft reagierte auf die Vorwürfe mit dem Hinweis, dass die eigenen Produkte vor allem aufgrund ihrer weiten Verbreitung und Popularität ein häufiges Ziel von Attacken seien. Zudem existierten auch erste Linux-Würmer, und allein in diesem Jahr seien zehn Sicherheitslücken bekannt geworden, die mit der Integration der Skriptsprache PHP in den Apache-Web-Server entstanden seien. Laut Microsoft kümmern sich Anwender außerdem viel zu wenig um die Sicherheit ihrer Web-Server.