Im Oktober hat Microsoft mit grossem Presse-Echo eine Initiative für mehr Sicherheit beim Einsatz ihrer Software lanciert. Administratoren in den Betrieben sollten verstärkt darauf achten, dass die von ihnen eingesetzten Systeme auf dem neuesten Stand sind. Auch Tools zum Testen der eigenen Systeme wurden abgegeben.
Doch seither ist kaum eine Woche vergangen, in der Microsoft nicht von neuen Fehlern oder neuen Sicherheitslücken berichten musste. Noch im Oktober erwiesen sich Excel und Powerpoint als löchrig, während der Kopierschutz des Media Player geknackt wurde. Am Tag der Lancierung von Windows XP waren schon fünf Security-Updates nötig. Dann musste Microsoft ihren Passport-Service wegen eines Sicherheitslecks ausser Betrieb nehmen. Leider konnten auch Dritte auf die virtuelle Brieftasche zugreifen. Vergangene Woche wurde davor gewarnt, dass es eine Eigenheit auch im neusten Windows XP Programmen erlaubt, über DLLs in andere Programme einzugreifen. Und der Internet Explorer ermöglicht es auch in der neusten Version, dass Hacker über einen manipulierten Hyperlink auf Cookie-Daten des Benutzers zugreifen können.
Angesichts dieser "schönen" Aussichten erstaunt es nicht, dass das Vertrauen des Publikums in die Sicherheit unserer Computersysteme zusehends schwindet. Sogar die Politik ist hellhörig geworden, zusätzlich sensibilisiert durch die Anschläge in den USA: Aus dem US-Kongress wird bereits mit einer staatlichen Regulierung der Sicherheit von Computer- und Internetsystemen gedroht, sollte die Industrie sich nicht stärker anstrengen.
Die IT-Branche sollte ein ureigenes Interesse daran haben, für sicherere Systeme zu sorgen. Nehmen wir Microsoft als Beispiel: Die Firma will nicht mehr nur Betriebssysteme und Office-Programme verkaufen, sondern im Rahmen ihrer grossangelegten .Net-Strategie über die Verbindung von Services, Software und Internet eine engere Beziehung zu ihren Kunden aufbauen. Doch das wird nur gelingen, wenn eben diese Kunden darauf vertrauen, dass die von ihnen benutzten Services sicher sind.
Zum Leidwesen von Microsoft werden das heute viele Benutzer noch nicht tun. Dabei geht es nicht um die Frage, wie sicher die Angebote von Microsoft wirklich sind oder wer zum Beispiel die Hauptschuld an Negativschlagzeilen wie Nimda oder Code Red trägt. Es geht um das Bild, das die Kundschaft von den Angeboten der Firma hat. Es ist wie mit einer Bank: Das Publikum muss das Gefühl haben, dass ihr Geld dort sicher lagert. Wie gut es wirklich beschützt ist, kann es weder beurteilen noch nachprüfen.
Microsoft habe inzwischen realisiert, dass sie als sichere Firma wahrgenommen werden müsse, soll ihre Dot-Net-Strategie Erfolg haben, hat ein Analyst kürzlich gesagt. Das erklärt auch die Informations-Offensive des Software-Konzerns. Ich bin mir allerdings nicht sicher, ob diese Erkenntnis für das gesamte Unternehmen gilt. Zwar hat Microsoft inzwischen in der Tat einiges unternommen, damit die Anwender sich besser schützen können. Auch hat man sich mit anderen Firmen darauf geeinigt, wie heikle Informationen über neue Sicherheitslücken künftig kommuniziert werden sollen, damit Hacker sie nicht gleich als Vorlage nutzen können.
Doch das Thema Sicherheit muss sich in der Entwicklung der Produkte noch sehr viel stärker niederschlagen, als bisher. So wäre es wohl an der Zeit, dass Software- und Internetfirmen bei der Entwicklung von neuen Angeboten etwas weniger Gewicht auf neue Funktionen legen, und dafür die Sicherheit ausbauen und unnötige Risiken meiden. Leider fehlt es aber zuweilen an der nötigen Sensibilität.
Microsoft hat in Deutschland zum Beispiel angekündigt, dass dortige MSN-Benutzer 2002 die Möglichkeit erhalten werden, mehrere ihrer Online-Bankkonten über eine einzige Website zu verwalten. Der Kunde kann sich auch einen Master-PIN einrichten. Doch so nützlich ein solcher Dienst auch sein mag, so sehr ist er eine Einladung an die Hacker, das System zu knacken. Gelingt ihnen dies auch nur halbwegs, was wohl früher oder später der Fall sein wird, so wird nicht nur die Häme, sondern auch der Vertrauensschaden immens sein, und zwar nicht nur für Microsoft. Es würde nichts nutzen, wenn keine Kundengelder verloren gingen oder der betreffende Hackereinbruch in Wirklichkeit gar nicht die Schuld von Microsoft war.
Es kann keiner Firma, auch Microsoft nicht, der Vorwurf gemacht werden, dass ihre Produkte Fehler haben und Hacker Sicherheitslöcher finden. Solche gibt es immer. Das Problem der Branche ist jedoch, dass sie mit sich selbst zuwenig kritisch umgeht. Dabei wirkt sie umso unglaubwürdiger, je mehr Selbstvertrauen sie kommunziert. Es wäre darum gut, wenn bei der Einführung von Produkten und Services nicht nur mehr in Sicherheit und Fallback-Szenarien investiert würde, sondern auch in die Offenlegung der Risiken. Heute kümmern sich andere darum, und zwar sehr viel weniger schonend.
