Sicherheitsrisiko bei vernetzten PC-Anwendungen vor allem unter Windows Durch das OLE-Interface kommen auch ungebetene Gaeste ins Haus

10.12.1993

FRAMINGHAM (IDG) - Der State of the art bei vernetzten PC- Anwendungen impliziert ein Sicherheitsrisiko: Neue Techniken wie Microsofts Object Linking and Embedding (OLE) oeffnen eine Hintertuer fuer Viren und Wuermer, die sich - zumindest unter Windows - bislang nicht schliessen laesst.

Was die OLE-Technik fuer PC-Anwender interessant macht, ist die Moeglichkeit, unterschiedliche Applikationen so eng zu koppeln, dass sie ohne grossen Aufwand Objekte austauschen koennen. Vom Standpunkt der Sicherheit stellt aber gerade diese Integrationsfaehigkeit eine Schwaeche dar.

Die OLE-Schnittstelle kuemmert sich naemlich nicht darum, was sich im Innern des jeweiligen Objekts verbirgt. Unbemerkt vom Anwender liesse sich demnach mit einem Dokument auch ein Zerstoerungsbefehl wie "delete *.*" einschleusen.

Joel Diamond, Technologie-Direktor beim Windows User Group Network in Media, Pennsylvania, spielt dieses Problem zwar herunter: "Nur einer von 10 000 Anwendern kennt sich in OLE, E-Mail und Netz gut genug aus, um so etwas fertigzubringen." Doch Ralph Trickey, Berater bei der Cap Gemini America Inc. in Middletown, Ohio, ist anderer Ansicht. Schon rudimentaeres Windows-Know-how wuerde ausreichen, um via E-Mail einen Befehl einzuschleusen, der die PC- Population einer DV-Zentrale dezimieren koennte.

Aufgrund ihres Mangels an Sicherheitsfunktionen sind Windows- Umgebungen hier zweifellos staerker gefaehrdet als Betriebssysteme mit erweiterten Security- beziehungsweise Journaling-Faehigkeiten wie Windows NT, Unix, Netware und OS/2. Bob Bales, Executive Director bei der National Computer Security Association in Carlisle, Pennsylvania, sieht hingegen nur marginale Unterschiede zwischen den Sicherheits-Features von OS/2 und Windows: Das IBM- System habe der Microsoft-Umgebung lediglich die Backup- und Restore-Faehigkeit voraus.

Wer seine Windows-Umgebung gegen ungebetene Gaeste schuetzen will, kann immerhin einzelne OLE-Features fuer die Anwender sperren, also beispielsweise den fuer die Einbindung von Objekten zustaendigen "Packager"-Dienst lahmlegen. Aber einem zu allem entschlossenen Saboteur wird es, so Mark Ryland, Senior Programming Manager bei Microsoft, kaum schwerfallen, ein adaequates Dienstprogramm selbst zu schreiben.

Wie die Microsoft GmbH in Unterschleissheim bei Muenchen bestaetigt, haengt das Sicherheitsrisiko keineswegs mit OLE, sondern mit dem jeweiligen Betriebssystem zusammen. Das fuer Mitte kommenden Jahres angekuendigte Windows 4.0 werde in dieser Hinsicht bereits besser ausgestattet sein.

Laut Ryland wird Microsoft moeglicherweise auch das eine oder andere Dienstprogramm schreiben, das den Sicherheitsaspekt in OLE adressiert. Doch allzu grosse Hoffnungen will der Microsoft-Manager damit nicht geweckt haben: Ein solches Utility werde von einem lokalen Betriebssystem ohne eingebaute Sicherheitsfunktionen in jedem Fall unterlaufen.

Im uebrigen sei OLE nicht die einzige Technik, die sich missbrauchen lasse: Die Opendoc-Spezifikation von IBM, Apple und Novell sowie eine Reihe neuer Multimedia- und Netzprotokolle koennten gleichfalls als Brueckenkoepfe fuer Virusattacken dienen. Bei der National Computer Security Association ist man sich dieser Gefahrenquelle zwar bewusst, will jedoch nicht zuviel Aufhebens davon machen. Dazu Executive Director Bales: "Diese Sache koennte sich leicht als selbsterfuellende Prophezeihung erweisen."