Maulkorb für die Hackerszene: Grandioses Eigentor
Artikel erschienen in Swiss IT Magazine 2001/37
Um die Virengefahr einzudämmen und damit die IT-Sicherheit zu erhöhen, forderte ich vor einigen Wochen an dieser Stelle drakonische Strafen für Virenbastler. Einen anderen Weg, um die Unternehmenssicherheit zu erhöhen, hat kürzlich die Gartner Group vorgeschlagen: Die Marktforscher empfehlen den Unternehmen, auf Microsofts Internet Information Server grundsätzlich zu verzichten und statt dessen auf Alternativen wie den Apache-Server zu setzen. Bei Gartner geht man davon aus, dass es mindestens noch bis Ende nächsten Jahres dauern wird, bis Microsoft eine einigermassen sichere IIS-Version vorlegen kann.
In letzterem Punkt schliesse ich mich der Gartner-Meinung an: Der Microsoft-Internetserver wird in nächster Zeit auch mit noch so vielen Patches nicht annähernd so sicher werden, wie dies der Apache-Server ist. Dennoch dürfte sich die Mehrzahl der Unternehmen nicht für den empfohlenen Kahlschlag entscheiden, zumal der IIS fester Bestandteil des Serverbetriebssystems ist. Die Software entspricht damit dem typischen Windows-Erscheinungsbild und ist ohne Lernaufwand für jeden Systemadministrator einfach zu installieren und zu konfigurieren. Bei jedem anderen Produkt muss hingegen mit einem mehr oder minder grossen Lernaufwand gerechnet werden.
Dazu darf ein weiterer wichtiger Punkt nicht ausser acht gelassen werden: Auch Apache und Konsorten sind nicht sicher und müssen regelmässig mit Patches ausgebessert werden.
Trotzdem ist nicht von der Hand zu weisen, dass Microsoft in Sachen Sicherheit die Hausaufgaben nicht gemacht hat. Angesichts der Marktdominanz der Windows-Systeme fragt man sich ohnehin, weshalb der Softwareriese gerade im so wichtigen Security-Bereich nicht alle Hebel in Bewegung setzt, um den IIS endlich wasserdicht zu machen. Dass sich das Aufspüren von Sicherheitsmängeln in Microsoft-Software geradezu zum Volkssport entwickelt hat, wundert mich deshalb kaum. Unzählige Hacker sehen es als Herausforderung, ein neues Leck aufzustöbern. Allen voran der mittlerweile berühmt-berüchtigte Bug-Jäger Georgi Guninski, der es sich anscheinend zum Lebensinhalt gemacht hat, Microsoft-Software auf ihre Sicherheit hin zu prüfen.
Doch statt endlich die Hinweise von Guninski und Konsorten ernst zu nehmen, begnügt sich Microsoft damit, die Sicherheitsbedenken der Gartner Group abzuwiegeln. Geradezu als Eigentor werte ich die Aufforderung des Software-Konzerns von letzter Woche: Da wurde doch tatsächlich von der Hackerszene verlangt, auf die Veröffentlichung von Codes, die auf ein Sicherheitsleck hindeuten, generell zu verzichten, da erst durch die Bekanntmachung von Schwachstellen, die Programmierung von Malware überhaupt ermöglicht würde. Ganz nach dem Motto: Was ich nicht weiss, macht mich nicht heiss.
Stellen Sie sich vor, Unternehmen, die vom Kassensturz ins Visier genommen werden, würden die Verantwortlichen auffordern, die Recherche-Resultate doch bitte für sich zu behalten, damit die Öffentlichkeit nichts von faulenden Pilzen, überhöhten Krankenkassen-Prämien oder Placebo-Geräten zur Absorbierung von Handy-Strahlung erfährt.
Microsoft sollte den Bug-Jägern vielmehr dankbar sein, als sie zu Buhmännern zu stempeln.
(rd)