Als Microsofts CEO Steve Ballmer in Berlin den "Windows Server 2003" vorstellte, betonte er besonders die verbesserte Sicherheit des Betriebssystems, die Teil der groß angelegten Trustworthy Computing Initiative ist. Doch am gleichen Tag entdeckte ein pakistanischer Softwareexperte ein eklatantes Sicherheitsloch in Microsofts Passport-Service, der ebenfalls in der neuen Server-Software enthalten ist.
Passwort per E-Mail
Kritiker warfen Microsoft daraufhin vor, dem Login-Dienst in Sachen Sicherheit nicht die gleiche Aufmerksamkeit geschenkt zu haben wie der Server- und Desktop-Software. Adam Sohn, Product Manager für Passport, versicherte: "Wir werden den Code-Review-Prozess für den Passport-Dienst sowie die Testwerkzeuge überprüfen, um herauszufinden, warum dieses Sicherheitsloch übersehen wurde."
Die Schwachstelle liegt in einer Funktion, mit der Passport-Anwender ihr Passwort per E-Mail außer Kraft setzen und Ersatz beantragen können, sollten sie den Zugangscode vergessen haben. Dem Pakistani Muhammad Faisal Rauf Danka war aufgefallen, dass Anwender sich durch einen Trick ein Passwort-Update für ein fremdes Passport-Konto an eine selbst gewählte E-Mail-Adresse schicken lassen können. Dazu benötigen sie wenig mehr als die E-Mail-Adresse des Konto-Inhabers. Nachdem Microsoft von dem Bug erfahren hatte, wurde dieses Feature gesperrt. Derzeit arbeiten Experten an einer Lösung. Erstaunlich ist, dass der Fehler erst jetzt entdeckt wurde - der Service ist seit Jahren online.
Mit dem Single-Sign-on-Dienst Passport sind rund 200 Millionen Anwender in der Lage, sich auf Microsoft-Sites wie Hotmail und MSN sowie einigen Partner-Websites einzuloggen, ohne dabei jedesmal ihren Benutzernamen und ihr Passwort eingeben zu müssen. Zudem gestattet es der Zusatzdienst "Passport Wallet", Kreditkarteninformationen zu hinterlegen, um so bequem Bezahltransaktionen auszulösen. Microsoft möchte den Service als universelles Login-Verfahren für das Internet etablieren. Auf den Microsoft-eigenen Online-Angeboten ist die Passport-Registrierung Pflicht, Partnerfirmen wie etwa Ebay und die Kaffeehauskette Starbucks haben ihre Web-Seiten für den Passport-Zugriff ausgestattet. Eine WSDL-Schnittstelle (WSDL = Web Services Description Language) soll es künftig erlauben, die Funktionen als Web-Service in unterschiedliche Online-Dienste oder Applikationen einzubinden.
Sowohl die amerikanische Regulierungsbehörde Federal Trade Commision (FTC) als auch die europäische Union beäugen Passport mit Argwohn. Die EU drängte den Konzern, den Datenschutz für die Anwender zu verbessern. Die FTC vereinbarte mit Microsoft weitreichendere Auflagen. Sollte die Firma die Privatsphäre ihrer Kunden nicht ausreichend schützen, droht jeweils eine Strafe in Höhe von 11 000 Dollar. Schon wird spekuliert, ob Microsoft durch den jüngsten Vorfall eine hohe Geldstrafe zahlen muss. Immerhin war dies nicht die erste Sicherheitspanne bei Passport. Bereits im November 2001 hatte ein Experte einen Fehler aufgedeckt, über den Hacker an die Daten von Nutzern der Passport Wallet gelangen konnten. (fn)