Sicherheitsexperten halten nichts von Microsoft

Jetzt ist es amtlich

Drei Viertel aller Sicherheitsprofis im Bereich Computer-Software bei Großunternehmen halten die Produkte von Microsoft für nicht vertrauenswürdig. Einer Umfrage des Marktforschungsunternehmens Forrester Research zufolge halten 77 Prozent der Befragten Sicherheitsaspekte für “das Hauptproblem” bei der Verwendung von Windows in Unternehmensumgebungen.

Die Tiefeninterviews mit den 35 Security-Profis in Unternehmen, die mehr als 1 Milliarde Dollar im Jahr umsetzen, ergaben aber außerdem, dass 89 Prozent von ihnen die Software nach wie vor für kritische Applikationen einsetzen. Fazit von Studienautorin Laura Koetzle: Unternehmen, die Windows-Produkte einsetzen, legen zu wenig Wert auf die Sicherheit der Anwendungen. Einen Teil der Verantwortung für diese Situation verschiebt sie damit vom Hersteller auf die Unternehmen selbst.

Koetzles Analyse nach haben 40 Prozent der Unternehmen offenbar resigniert und geben an, keine eigenen Initiativen starten zu wollen, um die IT-Sicherheit der Systeme zu erhöhen. Sogar nur 59 Prozent derjenigen, die bereits Opfer von Angriffen wurden, leiteten anschließend Änderungen beim Einsatz von Microsoft-Betriebssystemen ein.

Ein Microsoft-Sprecher sagte gegenüber Reuters: “Wir sehen ein, dass es schwierig ist, die Ziele für ein umfassendes ‘Trustworthy Computing’ zu erreichen. Das ist eine Sache von Jahren, vielleicht Jahrzehnten, bis die Systeme den Sicherheitsstandard erreicht haben, den wir uns alle vorstellen.”

Microsoft selbst hat gerade im vergangenen Jahr viel Geld und Arbeit in eine neue Sicherheits-Initiative gesteckt, die Kundenvertrauen wecken und die Patch-Politik effektiver machen sollte. Der Unternehmenssprecher weiter: “Wir arbeiten daran, die jetzigen Sicherheitsbedenken anzugehen, das beinhaltet auch unser Patch-Management. Das ist aber nur der Anfang und wir sind zuversichtlich, dass die Kunden hier im Laufe der Zeit mit weiteren Verbesserungen rechnen können.”

Tatsächlich seien bei den zerstörendsten Wurmattacken, wie bei “Nimda” und “SQL Slammer” die Patches bereits im Vorfeld verfügbar gewesen. Allerdings hätten viele Admins und Sicherheitsexperten diese nicht rechtzeitig aufgespielt. Koetzle hat auch hier nachgehakt. Während Microsoft bei den letzten neun größeren Sicherheitslöchern in Windows die Patches bereits bis zu 305 Tage im Voraus verfügbar gemacht hatte, sei das Vertrauen der Admins in die Patches gering gewesen.

“Sie befürchten, dass eine solche Aktion das laufende System im Arbeitsprozess stoppen oder behindern könnte. Außerdem haben viele von ihnen weder die ausreichenden Tools noch die Zeit, mit Microsofts Patch-Lawine fertig zu werden”, meint die Forrester-Analystin.

Dieses Problem dürfte aber Microsoft selbst auch nicht fremd sein. Offensichtlich wurde das verbreitete Problem mit der Komplexität der Patches, als im Januar SQL-Slammer zuschlug und den weltweiten Internetverkehr beeinträchtigte. Ein bereitgestellter Patch von Microsoft – mit sechs Monaten im Voraus mehr als rechtzeitig verfügbar – erwies sich beispielsweise als so schwierig zu installieren, dass zum Teil der Schaden, den der Wurm verursachte, noch durch die Downtime “ergänzt” wurde, die Unternehmen in das Aufspielen des Patches investieren mussten.

Koetzle rät dem Betriebssystem-Hersteller also dringend: “Microsoft sollte neue, einfach zu installierende und gut integrierbare Werkzeuge zum Gebrauch von Patches entwickeln.” An die Adresse der Anwender richtet sie den Rat: “IT-Profis sollten enger mit Microsoft und Softwareunternehmen, die für Microsoft-Programme schreiben, zusammenarbeiten. Nur so können sie ihre Bedenken konstruktiv einbringen, um Systeme effizienter und sicherer zu machen, statt immer aus der Defensive heraus Microsoft anzuklagen.”

silicon meint: Seltsamer Rat: Während Microsoft immer mehr Arbeitsbereiche beherrscht, sollen die Anwender sich also noch enger an den Softwareriesen anschließen. Anwendergruppen, wie sie beispielsweise Oracle und SAP haben, können zwar viele Probleme aus der praktischen Arbeit heraus lösen, allerdings besteht die ganz grundsätzliche Kritik an solchen Vereinigungen teils zurecht, denn: Die Anwender lösen in Eigeninitiative und in ihrer Freizeit die schlimmsten Produktfehler – und die Firma dankt.