Security: Warum Microsoft-CEO Ballmer es einfach nicht kapiert

Das einzige Problem mit dem Zuhören besteht darin, dass der durchschnittliche Microsoft-Kunde kein Experte in Sachen Sicherheit ist. Wäre es nicht angebrachter, wenn Microsoft jenen Menschen zuhörte, die das Unternehmen so gerne schlecht macht? Den Menschen, die 60 Stunden pro Woche damit verbringen, Windows-Code auf Fehler zu prüfen – und nicht lediglich die Cola trinkenden Systemadministratoren unter den Kunden nach ihren Erfahrungen beim Einsatz von Patches befragte?

Man muss Ballmer zugute halten, dass er ein paar wohlwollende, wenngleich geringfügig inakkurate Beobachtungen über die Verbindung zwischen dem Zeitpunkt der Herausgabe eines Patches und einem späteren Angriff anstellte.

„Die Zeitspanne zwischen der Herausgabe eines Patches unsererseits und dem Zeitpunkt eines Angriffs, der sich den Schwachpunkt zunutze macht, auf den sich der Patch bezieht, verkürzt sich“, teilte er seinem Publikum mit. „Ich denke, dass die meisten Anwesenden sich der Tatsache bewusst sind, dass es nur sehr wenige Angriffe gab, die der Veröffentlichung eines Patches vorausgingen. Tatsächlich verwendet die Hacker Community unsere Patches in gewisser Weise als Anleitung zum Aufspüren und Verstehen von Schwachpunkten.“

Es mag Herrn Ballmer nicht gefallen, aber die Schwachstellen, die sein hauseigener Sicherheitsstab behoben hat – nach dem diese zuvor größtenteils von unabhängigen Experten entdeckt wurden, die so nett waren, zuerst ihn davon in Kenntnis zu setzen – waren bereits im Produkt enthalten, bevor sie ausgemacht wurden. Ebenfalls ist die Tatsache wohlbekannt, dass eine große Zahl von Schwachstellen – sowohl in der Unix/Linux-Welt als auch unter Windows – bereits Monate bevor Microsoft von ihrer Existenz erfährt zu Angriffen genutzt werden. Es mag vielleicht keine breit angelegte Wurm-Attacke sein, es finden aber Angriffe statt.

Schwachstellen sind Fehler beim Entwurf. Der Begriff „neue Schwachstelle“, der auch in diesem Artikel mitunter verwendet wird, sollte eigentlich jedes Mal durch „neu entdeckte Schwachstelle“ ersetzt werden.

Auch wenn es tatsächlich Menschen gibt, die einen Patch auseinandernehmen oder die Beschreibung einer offengelegten Schwachstelle verwenden, um diese für einen Angriff zu nutzen, bleibt die Tatsache bestehen, dass eine bekannte Schwachstelle, für die es einen Patch gibt, besser ist als eine Schwachstelle, die nur einigen wenigen bekannt ist, die keinerlei Absicht haben, etwas darüber verlauten zu lassen. Wenn wohlmeinende Sicherheitsexperten Angriffe auf Schwachstellen durchführen, hilft ihnen das, diese zu begreifen. Anbieter von Intrusion-Detection-Systemen können mittels der so gewonnenen Erkenntnisse ihre Dateien aktualisieren und jedermann kann verstehen, wie es ursprünglich zu dem Problem kam. Man erfährt also, wie ein Angriff aussieht und wie er funktioniert.