Categories: Unternehmen

Sun Microsystems: ‚Microsoft kann man nicht trauen‘

Tech Update: In meinen Gesprächen mit Ihnen, Scott McNealy und weiteren führenden Mitarbeitern von Sun, vertritt Sun den Standpunkt, dass Microsoft Passport und .Net My Services dem nächsten Microsoft-Monopol Tor und Tür öffnen, und dass ein Urteil im Antitrust-Prozess diese Bedrohung berücksichtigen muss. Worauf basiert diese Meinung?

Schwartz: Grundlage dieses Standpunkts sind zwei separate Aspekte. Zum einen ist da der kommerzielle Aspekt, zum anderen geht es um den Aspekt der Hochtechnologie. Das kommerzielle Problem ist von grundlegender Art – wenn man jeden Windows-Anwender zwingt, seine persönlichen Daten preiszugeben, indem man ihm bei der Lieferung eines beliebigen Microsoft-Produkts die Notwendigkeit des Passport vor die Nase hält, dann ist es in der Tat so, dass Microsoft hier rechtlich gesehen nicht nur ein Monopol hält, sondern es auch noch ausbaut, indem einfach der Gewinn erhöht wird, den man über jeden ausgelieferten Windows-PC einstreichen kann.

Tech Update: Geben Sie mir doch ein Beispiel.

Schwartz: Mein Vater, Ihre Eltern und die amerikanische Öffentlichkeit sind nicht abgebrüht genug, um auf Dauer dem Terror der immer wiederkehrenden Erinnerung von Microsoft zu widerstehen, die da lautet: „Sie müssen einen Passport haben, um sich ins Internet einzuwählen, Ihre Hot Mail abzurufen, den MSN Messenger zu verwenden, auf MSN-Dienste zuzugreifen usw. [Hinweis des Hrsg.: Beim ersten Start von Windows XP wird eine Meldung angezeigt, die den Anwender auffordert, sich einen Microsoft Passport ausstellen zu lassen; einige Anwender folgern daraus, dass sie einen solchen Passport für den Internet-Zugang benötigen. Der Passport ist für den Internet-Zugang jedoch nicht erforderlich.] Soweit ich weiß, gibt es keinen eindeutigeren Mechanismus dieser Art, um die ID-Daten des Kunden zu stehlen. Hierbei spreche ich als Verbraucher. Ich rege mich darüber auf.

Tech Update: Und wie sehen Sie das Ganze als leitender Mitarbeiter von Sun?

Schwartz: Wissen Sie, Sun Microsystems hat kein Heimanwender-Geschäft. Ich habe keinerlei Beziehung zur amerikanischen Öffentlichkeit. Aber unsere Kunden um so mehr. Ich kann Ihnen sagen, dass die Telekommunikationsbranche, die Finanzdienstleister und die Medienbranche empört sind. Damit meine ich, dass sie über die Tatsache wütend sind, dass Microsoft nun vorhat, ein bestehendes Monopol noch ein weiter auszudehnen, indem man sich die Identität des Kunden unter den Nagel reißt. Ich werte dies als Hinweis darauf, dass Microsoft sich die Eintrittskarte zu einer ganzen Reihe ID-gestützter Geschäftsmöglichkeiten verschaffen will – von Instant Messaging bis zu Finanzdienstleistungen. Mit MSN Money Central hat Microsoft schon jetzt eine der populärsten Websites für Finanzdienstleistungen laufen. Warum geben sie nicht gleich auch noch Kreditkarten aus?

Tech Update: Ausgehend von dem im letzten Juni vom US-Berufungsgericht gesprochenen Urteil muss es zwischen den folgenden beiden Vorgängen eine kausale Verbindung geben: die Geschäftstätigkeit von Microsoft auf der einen Seite und der Aufbau bzw. das Aufrechterhalten eines Monopols auf der anderen. Wäre Microsoft nicht in der Lage, im Zuge einer Beweisaufnahme hinsichtlich dieses kausalen Zusammenhangs seine Aktivitäten erfolgreich zu verteidigen?

Schwartz: Ich glaube nicht, dass sie das können. Warum sollten Sie Ihre Kunden auffordern, Ihnen ihre Identität preiszugeben, wenn Sie nicht planen, auf dieser Identität basierende Leistungen anzubieten? Aus reiner Willkür sicherlich nicht. Was haben die also vor? Alles nur zum Wohle des Kunden, für mehr Benutzerfreundlichkeit? Wohl kaum. Ist es, realistisch betrachtet, wirklich bequemer, nur über von Microsoft kontrollierte Funktionen Zugriff auf die Passport-Identität zu haben? Das ist es nicht. Es ist bequem für Microsoft. Aber meine Identität geht dort hin, wo ich hin gehe. Sie ist in dem Auto, in dem ich fahre, in meinem Telefon, das ich mit mir herumtrage, in dem Flugzeug, in dem ich sitze, und in allen möglichen anderen Dingen. Microsoft wird nicht an all diesen Orten sein, da Microsoft nur dort ist, wo Windows ist. Deshalb glaube ich in erster Linie, dass Microsoft von diesem kommerziellen Gesichtspunkt ablenken möchte.

Tech Update: O.k., das wäre also der kommerzielle Aspekt. Anfangs sagten Sie, es gäbe zwei Aspekte, einen kommerziellen und einen in Verbindung mit der Hochtechnologie. Was ist mit diesem zweiten Problem?

Schwartz: Microsoft sagt gerne, dass „man nicht vorhat, Kerberos-Standards zu verletzen“ oder solche Dinge wie „wir haben nicht vor, Active-Directory-Inhalte an irgendwelche Kerberos-Tickets zu binden“. Ehrlich gesagt – wen interessiert das? In erster Linie haben wir es hier mit dem kommerziellen Monopol zu tun, um das wir uns kümmern müssen, denn das ist für andere Unternehmen viel gefährlicher als alles andere.

Tech Update: Aber ist die Interoperabilität von Authentifizierungstechnologien nicht ebenso wichtig?

Schwartz: Ja, ganz klar. Unternehmen wie beispielsweise VodaFone werden eine einheitliche Anmeldung für alle 75 bis 80 VodaFone-Dienste haben wollen. Momentan sind separate IDs erforderlich, um sich für die einzelnen Dienste anzumelden. Deshalb sieht es heute so aus, dass man sich zunächst für den Telefonie-Dienst anmeldet und anschließend für einen der Premium-Dienste oder welche Anwendung auch immer. Natürlich wäre es angenehmer, hierfür nur eine einzige Benutzer-ID und ein Passwort zu benötigen. Das wird es aber nicht geben, bevor nicht jemand, vielleicht VodaFone selbst, als Trust Broker für sämtliche VodaFone-Dienste agiert. Und mit dem Trust-Brokering ist das so eine Sache: AOL ist zum Beispiel der gegenwärtige Trust Broker für alle AOL-Dienste, nicht wahr? Heißt das nun, dass alle Benutzer dieser Dienste für Transaktionen authentifiziert sind? Die Kreditkartenbranche wird Sie darüber aufklären, dass es bei Authentifizierung für Transaktionen um ganz andere Fragen als bei der Authentifizierung im Internet geht. Wenn wir von Authentifizierung sprechen, sprechen die von Verifikation.

Tech Update: Was ist da der Unterschied?

Schwartz: Benutzer-ID und Login. Die Authentifizierung stellt eine Übertragung der Haftung für Betrug dar. Ist man also in einer Art und Weise authentifiziert worden, die den Anforderungen der Kreditkartenbranche genügt, heißt das, die Kreditkartenunternehmen sichern den Betrugsfall ab. Deshalb kann dies im Internet nicht der Fall sein, da hier in den Augen dieser Unternehmen keine echte Authentifizierung stattfindet, es sei denn, man verwendet eine Smart Card, was wiederum eine ganz anderes Thema ist. Geschieht dieser Vorgang dagegen im Einkaufszentrum, dann ist da der Verkäufer, der Sie authentifiziert, und es gibt eine ganze Reihe von Regelungen und Bestimmungen seitens der einzelnen Kreditkartenunternehmen, die im Grunde besagen: wenn du diesen Schritten folgst – Kunden-ID überprüfen, Unterschrift verlangen und die folgenden drei Fragen stellen – übernehmen wir die Haftung für den Betrug. Daher nehmen die Kreditkartenunternehmen das Betrugsrisiko im Einkaufszentrum auf sich. Inzwischen hat es die Geschäftswelt jedoch mit Online-Betrug zu tun. Um nun also die gewünschte Art der Authentifizierung zu erreichen, braucht man zwangsläufig eine Vereinheitlichung.

Tech Update: Was bedeutet Vereinheitlichung der Authentifizierung im Zusammenhang mit Einzelanmeldungen und einer Überprüfung von Transaktions-IDs?

Schwartz: In einer zusammengewachsenen Welt muss es irgendeine eine Form von Trust Brokering geben. Wenn z. B. United Airlines einen Benutzer akzeptieren soll, der sich über die CitiGroup angemeldet hat und zu Transaktionen berechtigt ist, muss UAL darauf vertrauen, dass die CitiGroup tatsächlich alle erforderlichen Authentifizierungen und Überprüfungen vorgenommen hat. Möchte dieser Benutzer aber überhaupt keine Transaktionen vornehmen, bei denen ein Betrugsrisiko besteht, ist eine vollständige Überprüfung vielleicht gar nicht notwendig, und UAL kann einer schwächeren Form der Authentifizierung vertrauen, möglicherweise ohne eine Verifikation (im Sinne der Kreditkartenunternehmen) von anderer Seite. United Airlines wird beispielsweise nicht so sehr auf eine Überprüfung Wert legen, wenn Sie nur mal den Stand Ihres Vielflieger-Kontos abrufen möchten. In einigen Fällen wird United Airlines also in der Lage sein, zu sagen: „Wir vertrauen der Authentifizierung, die man uns weitergibt, egal woher sie kommt“. In anderen Fällen unterliegt die Authentifizierung dagegen bestimmten Überprüfungsanforderungen. Bleibt zu hoffen, dass wir diesen Vorgang im Project Liberty standardisieren können.

Tech Update: Was hat das alles denn nun mit Passport und dem Risiko eines neuen Microsoft-Monopols zu tun?

Schwartz: Im Grunde will Microsoft sagen, dass es keine vereinheitlichte Authentifizierung geben wird. Es sieht zwar so aus, als könnte eine solche Vereinheitlichung erreicht werden, doch wozu? Das ist nicht der springende Punkt. Eine vereinheitlichte Authentifizierung bringt Benutzern nur dann etwas, wenn sie dadurch Zugriff auf alle Dienste erhalten, die sie nutzen möchten. Doch werden nicht alle diese Dienste von Microsoft oder .NET My Services verfügbar gemacht.

Tech Update: Um Ihnen an dieser Stelle ein wenig vorzugreifen: Sie sind also über ein Szenario besorgt, in dem der Benutzer einige seiner Daten im Passport-Bereich verliert?

Schwartz: Richtig.

Tech Update: Sie könnten in der Datenbank von Starbucks stecken. Oder sie könnten in der Datenbank eines Dienstes von .Net My Services stecken, der von Microsoft angeboten wird.

Schwartz: Richtig.

Tech Update: Aber der Trust Broker muss nun entscheiden, wer vertrauenswürdig ist, und zwar auf Grundlage der Art der geplanten Transaktion. Er verfügt nicht über den Teil der Kundendaten, die in diesen Datenbanken hinterlegt sind.

Schwartz: Richtig.

Tech Update: Sie befürchten also dass, unabhängig davon, wie ein Benutzer oder eine Transaktion authentifiziert oder überprüft werden, ein einzelnes Unternehmen wie Microsoft über sein Monopol im Desktop-Bereich Kundendaten erheben und in einem von ihm betriebenen Speicher wie .Net My Services ablegen kann, um diese Daten dann praktisch als Druckmittel zu verwenden und allen, die Zugang zu ihnen benötigen, Gebühren zu berechnen?

Schwartz: Genau das wird Microsoft tun. Dies wurde bereits angekündigt. Sie sollten hierzu die Passport-Lizenzvereinbarung auf Passport.com lesen, insbesondere den Abschnitt zur Verwendung der an Microsoft überlassenen Daten. Sie werden staunen. [Hinweis des Hrsg.: zum Zeitpunkt der Veröffentlichung des vorliegenden Interviews enthielt die Microsoft Passport-Lizenzvereinbarung den folgenden Passus: „.NET Passport wird Ihre persönlichen Daten nicht weitergeben, verkaufen oder in einer Art und Weise verwenden, die von den Bestimmungen der vorliegenden Geheimhaltungsvereinbarung abweicht, es sei denn, uns liegt Ihr Einverständnis hierfür vor.“]

Tech Update: Wie interpretieren Sie die Vereinbarung?

Schwartz: Sie überträgt Microsoft im Grunde die Möglichkeit, sämtliche durch die Benutzer überlassenen persönlichen Daten zu verwenden, zu verkaufen, zu modifizieren, zu verbreiten, zu veröffentlichen oder was auch immer. Es bleibt Microsoft unbenommen, Ihre Identität an irgendjemanden zu verkaufen, der geschäftlichen Nutzen verspricht. Hinzu kommt, dass Microsoft sein eigenes Terrain mit einer Mauer umgibt. Hinter dieser Mauer möchte Microsoft alle versammeln, die Microsoft-Produkte verwenden. Und das ist jeder, der einen PC besitzt, denn Microsoft hat hier, wie wir wissen, eine Monopolstellung. Das Problem ist, dass es auch noch andere (nicht Microsoft unterstehende) Terrains geben wird, wie zum Beispiel den Bereich des Mobiltelefons. Wir sollten nun fragen, welche Daten im Königreich Microsoft allen Nicht-Microsoft-Getreuen zu Verfügung stehen. [Hinweis des Hrsg.: ZDNet Editorial Director David Berlind stellte eben diese Frage an Microsoft-Vertreter. Interview lesen.] Wird der Zugriff auf die im Microsoft-Reich gespeicherten Daten nur Benutzern und Unternehmen ermöglicht, die sich ebenfalls innerhalb der Microsoft-Mauern befinden, stellt dies eine Benachteiligung der Unternehmen in anderen Terrains dar. Deshalb ist dies wettbewerbsfeindlich.

Tech Update: Also gehen Ihre Bedenken über die Frage des Zugriffs von Unternehmen auf Kundendaten hinaus. Sie machen sich auch Sorgen darüber, dass Microsoft die Nutzung der Daten durch die Kunden selbst einschränkt?

Schwartz: Wenn Verbraucher nicht frei von einem ID-Bereich zum anderen wechseln und dabei gewünschte Informationen mitnehmen können, stellt dies ein großes Problem für Unternehmen dar. Microsoft wird sagen: „Aber nein! Wir wollen euch Einzelhändlern oder sonstigen Anbietern nichts Böses. Wir möchten Euren Benutzern einfach nur jedes Mal fünf Dollar berechnen, wenn sie ihre Passport-Identität in eine Umgebung außerhalb von Microsoft mitnehmen möchten“. Nach Aussage verschiedener Anbieter ließ Microsoft verlauten, dass man den Benutzer zur Kasse bitten werde. Unternehmen wie beispielsweise Fluglinien haben sich mit der folgenden Aussage an uns gewandt: „Microsoft hat uns versichert, dass sie uns für die Nutzung von Passport nichts berechnen werden. Dennoch hat Microsoft öffentlich und auch uns (den Unternehmen) gegenüber erklärt, dass sie vom Benutzer für den Zugriff auf seine eigenen Daten Gebühren verlangen werden.“ Dies stellt schon wieder monopolistische Herrschaft in Reinform dar. Als ob Microsoft zum Kunden sagte, bitte gib mir deine Daten, damit ich dir dann Geld abnehmen kann, wenn du auf diese zugreifen möchtest.

Tech Update: Eine letzte Frage: Ausgehend von bisherigen Präzedenzfällen ist eines der Ziele jedes Antitrust-Prozesses, den Wettbewerb auf dem von unrechtmäßiger Monopolisierung betroffenen Markt wiederherzustellen. Glauben Sie wirklich, dass der betroffene Markt – der ja nach allen rechtlichen Dokumenten der Markt für „Intel-basierte PC-Betriebssysteme“ ist – wieder normalisiert werden kann?

Schwartz: Ob ich glaube, dass der Wettbewerb bei PC-Betriebssystemen wiederhergestellt werden kann?

Tech Update: Ja. Meine Theorie ist, dass zu dem Zeitpunkt, an dem eine Antitrust-Verordnung tatsächlich greifen würde – also in ungefähr zehn bis zwanzig Jahren – Desktop-Computer keine Rolle mehr spielen könnten.

Schwartz: Ich glaube jedenfalls nicht, dass die Regierung hier nachgeben sollte.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago