Microsoft ist ein Sicherheitsrisiko, sagen Experten

Kathrin Schmitt,

Microsoft-Anwender patchen sich die Finger wund. Jetzt haben sich Security-Experten der Sache angenommen und einen vernichtenden Befund erstellt – ohne Folgen, wie es scheint.

Was Anwender schon lange wussten – jetzt ist es hochoffiziell: Die weite Verbreitung von Microsoft-Produkten als Betriebssystem stellt eine große Gefahr für die Anwender dar und lädt zum Hacken ein, da die Funktionen bekannt sind und mehr Angriffspunkte eben auch mehr potenzielle Opfer machen können. Zu diesem Ergebnis kamen nun sieben Sicherheitsexperten, die auf einem Treffen der von Sun und Oracle gestützten Industrievereinigung ‘Computer and Communications Industry Association’ (CCIA) ein entsprechendes Papier vorgelegt haben.
Die Antwort aus dem Microsoft-Lager ließ nicht lange auf sich warten. So berichtet das Wall Street Journal von einer Microsoft-gestützten Industriellengruppe namens ‘Americans for Technology Leadership’, die den Report als “unverschämtes” Bemühen wertete, “um die Interessen einiger weniger Unternehmen” voranzutreiben. Die sieben Experten würden mit ihrer Ansicht lediglich die durchaus vielfach vorhandenen Ängste um die “National Security” im IT-Bereich ausnutzen.

Doch die Experten, darunter Security-Berater und Chefs von Security-Firmen, führen schweres Geschütz ins Feld. Sie rufen Unternehmen und Regierungsabteilungen dazu auf, bei ihren anstehenden Kaufentscheidungen in Betracht zu ziehen, dass homogene Systeme einfach anfälliger seien. Zwar räumen sie ein, dass die Schuldfrage nicht allein bei dem Hersteller des am meisten verbreiteten Betriebssystems läge, sondern auch die Käufer deswegen heranzuziehen wären. Allerdings sei die jetzt oftmals herrschende “Monokultur” an sich schon ein Sicherheitsrisiko.

Einer der Co-Autoren des Papiers, der Buchautor und Branchenkenner Bruce Schneier, sagt beispielsweise: “Ich denke, dass die Hauptlast bei den Kunden liegt, der Hersteller wird nur verkaufen, was die Kunden auch wollen. Jeder macht dasselbe, weil es jeder kauft, weil es kompatibel ist, weil es einfach ist. Unser Anliegen mit dem Report ist es, darauf hinzuweisen, dass die Kaufentscheidung Folgen für die Security haben kann.”

Sein Mit-Autor, der Security-Berater Perry Metzger, geht noch einen Schritt weiter, indem er betont, dass Microsoft mit seinen Ansprüchen, jeden Fehler auch wieder zu beheben, nicht weit genug gehe oder das Problem eben nicht an der Wurzel packe. Die Verlässlichkeit eines Produkts zu erhöhen, werde die dem Produkt zugrundeliegenden Angriffsflächen nicht beseitigen, da sie einer Architektur inhärent seien, die nur auf einer Bauweise basiere. Gegenüber der US-Presse ließ er sich sogar zu einem Vergleich mit der Humangenetik hinreißen: “Das ist genauso, als ob alle Personen in der Vereinigten Staaten exakt die selben Gene hätten.”

Auch wenn eine zeitliche Nähe zu den neuen Beschwerdepunkten der EU im Kartellrecht und zu den Forderungen der neuen IT-Leitung im Weißen Haus durchaus bestehe und auch mit Blick auf die Microsoft Rivalen, die gemeinsam in der CCIA für eine größere Betriebssystem-Vielfalt in den USA kämpfen, sei der Report doch nicht in irgendeiner Weise bezahlt von diesen Unternehmen. Das betont der Initiator Dan Geer. Der Report verfolge weniger wirtschaftliche Ziele, sondern wolle die Diskussion über IT-Monokultur und die damit verbundenen Gefahren aufzeigen.

Wer bei Microsoft Deutschland auf dieses Thema zu sprechen kommt, erhält außer einem süffisanten Lächeln oft die stereotype Antwort: Wer viele Betriebssysteme verkaufe, werde eben öfter gehackt, als der, der wenige verkaufe.