Bill Gates will Deutschland sicherer machen

ZDNet: Microsoft hat auch Kritik dafür eingefahren, dass es erst dann eine Sicherheitslücke veröffentlicht, sobald der Patch dafür geschrieben wurde. In der Zwischenzeit steht die Lücke natürlich offen. Insider wissen darüber aber in der Regel bescheid…

Obert: Das Modell, das wir gerade fahren, basiert darauf, dass wir einen Tipp von unseren Kunden bekommen. Wir stellen das Update zur Verfügung, sobald es fertig entwickelt ist. Unser Problem war es, dass das nicht planbar ist. Also sind wir dazu übergegangen, feste Zyklen einzuführen. Jeden zweiten Dienstag im Monat stellen wir Sicherheits-Updates zur Verfügung.

ZDNet: Die Kritik zielte aber darauf ab, dass eine Sicherheitslücke erst Tage oder möglicherweise Wochen nach ihrer Entdeckung geschlossen wird. Bis zu Ihrem Patch steht sie ungeschützt offen.

Obert: Wenn eine Lücke nicht öffentlich bekannt ist, kann sie nicht ausgenutzt werden. Da bleibt das Risiko überschaubar. Wenn aber jeder eine Sicherheitslücke veröffentlichen würde, sobald er eine gefunden hat, kämen sie mit dem Patchen nicht mehr hinterher. Also ist es gut, dass sich die meisten Unternehmen und Entwickler an diese Sicherheits-Policy halten. Allerdings stellen wir eben immer wieder fest, dass es sehr kleine Sicherheitsanbieter gibt, die sich Publicity dadurch erhoffen, dass sie diese Lücke an die große Glocke hängen. Aber das schadet dem Anwender! Denn niemand ist in der Lage, sofort eine Lösung für eine Schwachstelle aus dem Hut zu zaubern.

Thomas Obert (34) besetzt seit dem 1. Dezember 2004 die Rolle des Chief Security Advisor bei der Microsoft Deutschland GmbH. In dieser Funktion verantwortet er für den deutschen Markt Microsofts IT-Sicherheitsstrategie. Dazu gehören neben dem Trustworthy Computing auch alle möglichen Sicherheitsinitiativen.