Wider die Sorglosigkeit
Artikel erschienen in Swiss IT Magazine 2003/02
Genau ein Jahr ist es her, dass Bill Gates seine Mitarbeiter mit einer Mail beglückt hat: Der Umgang mit Computern müsse nun endlich sicherer werden, forderte der Chef. Schliesslich hätten sich die Sicherheitsrisiken in der total vernetzten Welt in einer Weise verstärkt, wie es sich auch die schwärzesten Pessimisten nicht ausgemalt hätten. Und immerhin hätte Cyberkriminalität die US-Unternehmen bereits über 445 Millionen Dollar gekostet.
Höchste Zeit also für sichere Plattformen. Microsoft lässt für die Initiative rund 200 Millionen Dollar springen, und nicht weniger als 11'000 Entwickler will man in sicherer Programmierung ausgebildet haben. Mit speziellen Teams würden Bedrohungsszenarien simuliert, was bisher zur Entdeckung einer stattlichen Zahl von Programmfehlern geführt habe.
Aktivismus an allen Fronten. Aber führt das zum Erfolg? Natürlich ist es zu begrüssen, wenn Microsofts Entwickler sich um sicheren Programmcode bemühen. Und die aufgezwungene Weiterbildung wird sicher keinem geschadet haben.
Bloss - das Problem liegt nicht bei den Programmierkünsten von Microsoft, sondern in der Sorglosigkeit und Ignoranz der Anwender, wie sich letztes Wochenende einmal mehr gezeigt hat. Applikationen im Umfang der Betriebsysteme, Office- und Back-Office-Suiten von Microsoft vollkommen fehlerfrei zu programmieren, dürfte ein Ding der Unmöglichkeit sein. Die Fehler zu finden und mit Patches zu bekämpfen, ist dagegen schon einfacher.
Wirklich simpel ist es aber, die aktuellen Patches aufs System aufzuspielen und dieses laufend den neusten Sicherheitserkenntnissen anzupassen. Offenbar tut das aber keiner. Nur so ist es zu erklären, dass ein kleiner, nicht mal besonders schädlicher Wurm wie "SQL Slammer" pünktlich zum ersten Trustworthy-Geburtstag einen derartigen Erfolg haben, das halbe Internet ausbremsen und auf der Gefährlichkeitsskala höhere Werte als wirklich gefährliche Viren wie "Code Red" erhalten kann. Ausgerechnet "SQL Slammer", ein Wurm notabene, der ein Sicherheitsleck nutzt, gegen das schon über ein halbes Jahr ein Patch erhältlich ist. Das ist nur ein Beispiel unter vielen. Einmal mehr zeigt sich damit, dass auch die schönsten und teuersten Initiativen nichts nützen, wenn die Betroffenen nicht mitmachen.
Sorglose Anwender und überarbeitete Administratoren entscheiden letztlich zu einem erheblichen Teil über Microsofts Image als vertrauenswürdige Firma, die möglichst sichere Programme schreibt. Diese Erkenntnis kann einem die Geburtstagsfeier für Trustworthy Computing schon vermiesen.