Security: Warum Microsoft-CEO Ballmer es einfach nicht kapiert

Der CEO aus Redmond drückte auf der in New Orleans gehaltenen Partnerkonferenz seinen Wunsch aus, dass Sicherheitsspezialisten, die Schwachstellen in Microsoft-Produkten finden, doch einfach den Mund halten sollten. Dies ist ein sicherer Indikator dafür, dass Ballmer nichts begriffen hat. Ihm schwebt vor, dass die Sicherheitsspezialisten ausschließlich Microsoft über die von ihnen gefundenen Fehlerquellen informieren. Er war sich auch nicht zu schade, das Wohlergehen der Welt als Argument dafür ins Feld zu führen.

Zitat Ballmer: „Ich wünschte, diese Leute würden einfach Stillschweigen bewahren. Das wäre für die Welt das Beste. Das wird nicht geschehen, also müssen wir auf geeignete Weise mit den Sicherheitsexperten zusammenarbeiten“.

Wer also sollte informiert werden, wenn eine Sicherheitslücke in Windows, Internet Explorer, Microsoft SQL Server, Internet Information Services (IIS) etc. gefunden wird? Ausschließlich Microsoft? In der Praxis hat es sich noch nie bewährt, Schwachpunkte allein dem für die Pflege des fraglichen Produkts verantwortlichen Anbieter anzuzeigen. Warum? Der Anbieter zeigt sich zunehmend unempfänglich und beginnt, halbherzige Fixes herauszugeben, die nicht immer das gewünschte Ergebnis zeitigen. Je transparenter also das Verfahren bei der Offenlegung ist, desto sicherer kann sich die Öffentlichkeit sein, dass der Anbieter dem Problem in geeigneter Weise begegnet. Das hat nichts mit Quantenphysik zu tun, das gehört zum Einmaleins der Informationspolitik.

Es gibt gewiss einige verantwortungslose Sicherheitsfachleute, aber die meisten werden Unternehmen wie Microsoft gerne einen angemessenen Vorsprung einräumen – ganz zu schweigen von ungehindertem Zugang zu den Ergebnissen ihrer Arbeit – damit die Unternehmen Gelegenheit haben, einen Patch zu entwickeln und zu verbreiten, bevor eine Schwachstelle publik gemacht wird. Solche inoffiziellen Regeln zum Aufzeigen von Schwachstellen sind bereits seit langer Zeit in Gebrauch.

Während Microsoft einen positiven Schritt unternommen hat, indem das Unternehmen eingestand, dass es mit Sicherheitsexperten zusammenarbeiten muss, ist es doch reichlich unglücklich, genau diese Fachleute vor den internationalen Partnern des Unternehmens dafür anzuprangern, dass sie im Grunde der Allgemeinheit einen Dienst leisten.

Andere Bemrkungen im Verlauf von Ballmers Vortrag zeigten, dass das Unternehmen seinen Kunden tatsächlich zuhört. Es hat ein offenes Ohr für ihre Klagen über die Schwierigkeiten beim Einsatz von Patches, darüber, wie die mit Schwachstellen durchsetzten Produkte zu Frustration bei den Systemadministratoren führen. Diese Frustration bringt Apathie hervor und das bedeutet, dass die Systeme nicht so gepflegt werden, wie es sein sollte. Hier tut Microsoft also das Richtige, indem das Unternehmen den Beschwerden der Kunden Aufmerksamkeit schenkt.