Kritik: Vista-Sicherheit nur vorgetäuscht

Vista soll das sicherste Windows aller Zeiten sein, doch Sicherheitsexperten bemängeln die neuen Sicherheits-Features als Abwälzung der Verantwortung auf den Anwender.

Petko D. Petkov, Gründer von Gnucitizen und Sicherheitsforscher, hat den Sicherheitsansatz moderner Betriebsysteme wie Microsofts Windows Vista oder Apples Mac OS X als nachteilig für die Entwicklung eines gesunden Menschenverstandes beim Umgang mit Sicherheitsrisiken in der IT bezeichnet.

Auch wenn Vista und Mac OS X technisch gesehen sicherer seien als all ihre Vorgänger, würde doch ein Großteil dieser Sicherheit nur vorgetäuscht und wäre nicht wirklich vorhanden. Durch die vielen Nachfragen, die das System stellt, basiere das Sicherheitskonzept darauf, dass sich der Anwender mit diesem Thema auskennt.

Damit würden die Hersteller die eigentliche Verantwortung auf die Nutzer abwälzen, die bekanntermaßen nicht immer genau wissen, was sie eigentlich gerade anklicken. “Warum soll der Anwender für die Sicherheit verantwortlich sein? Ohne Zweifel wird sich ein Mangel an gesundem Menschenverstand, wenn es um Sicherheit geht, nachteilig auswirken”, erklärte Petkov. Seine Kritik hat er sehr harsch mit dem Satz “Wir trainieren eine Gruppe von Affen darauf, bei jeder Sicherheitswarnung auf ‘Ja’ zu klicken” zusammengefasst.

Seiner Ansicht nach basieren die heutigen Sicherheitsmodelle fast ausschließlich darauf, dass die Person vor dem Bildschirm die richtige Entscheidung trifft. “Soll ich die Datei herunterladen oder nicht, soll ich die Datei öffnen oder nicht, soll ich auf ‘Ausführen’ klicken oder nicht”, nannte Petkov, der vor allem durch die Entdeckung diverser Sicherheitslücken bekannt wurde, als Beispiele für Sicherheitsabfragen.

Hinter diesen Abfragen steht, so Petkov, keine Sicherheitstechnologie im engeren Sinne. Tatsächlich würden Technologien benötigt, die den Anwendern weniger Entscheidungen abverlangen. “Eine sichere Technologie ist etwas, dass die Balance zwischen Sicherheit und Bedienbarkeit hält. Es wird immer erfolgreiche Angriffe auf Computer geben, aber die Balance ist der Faktor, der alles funktionieren lässt”, sagte Petkov.

Die derzeitigen Entwicklungen zur Absicherung von Client-Systemen hält Petkov für den falschen Weg zu mehr Sicherheit. Stattdessen müsse das Bewusstsein der Anwender für Sicherheitsbelange besser gefördert werden

Mit dieser Forderung steht Petkov nicht alleine dar. Auch die Web Security Context Working Group unter dem Dach des World Wide Web Consoriturm (W3C) unterstützt die Entwicklung von Grundlagen, die dabei helfen sollen, dass Internet-Nutzer die richtigen Entscheidungen im Internet treffen können.