IIS-Sicherheitslücken Das Ende der Flicken?

Mit Server-Software ist es wie mit Fahrradschläuchen: Wenn sie Löcher haben, flickt man sie. Kurz bevor daraus ein Patchwork wird, sollte man sich einen neuen zulegen.


[M] DPA

Redmond - Der Softwareriese Microsoft ist schon in einer dummen Lage: Weil er bestimmte Märkte monopolartig beherrscht (siehe Urteil im Kartellprozess), ist er mit seinen Produkten auch immer Ziel Nummer eins für Hacker und Virenschreiber. Die Nachricht über jede neu entdeckte Sicherheitslücke verbreitet sich wie ein Lauffeuer und wird der Öffentlichkeit in Form fieser Virenwellen oder spektakulärer Hack-Attacken vorgeführt.

Zu den Top-Zielen der letzten zwei Jahre gehörten in dieser Hinsicht Microsofts Outlook Express und der Microsoft Internet Information Server (IIS). Während es sich zum Höhepunkt der Maul-und-Klauen-Seuchenwelle ein Scherzbold erlaubte, die Nachricht zu verbreiten, MKS sei (wissenschaftlich bestätigt) die erste Krankheit, die Outlook nicht verbreiten könne, gilt der IIS bis heute als Scheunentor für DoS-Attacken.

Diverse Sicherheitslücken sind bereits seit dem Frühjahr 2000 bestens bekannt, Microsoft bietet entsprechende Flicken an.

Doch das zieht einfach nicht: Sowohl Outlook als auch IIS müssten längst aus den Schlagzeilen (und Witzpointen) verschwunden sein, wenn jeder Kunde und User wirklich die angebotenen Patches einsetzen würde. Das jedoch passiert nicht - und sorgt für anhaltende Imageschäden.

Das will Microsoft - zumindest bezüglich IIS - nun ändern. Der US-Softwarekonzern hat eine Reihe von Maßnahmen zur Verbesserung der Sicherheit seiner Softwaresysteme angekündigt. Das Unternehmen wolle unter anderem einen kostenlosen Service für Probleme mit Computerviren und ein Online-Sicherheits-Paket für die Internet Information Server anbieten, teilte der Konzern in Redmond mit.

Die nächste IIS-Version werde dann bereits mit den sichersten Einstellungen ausgeliefert. "Als Branchenführer hält Microsoft es für seine Verpflichtung, zur Sicherheit des Internet und der Daten unserer Kunden beizutragen", sagte Brian Valentine, Senior Vice President des Geschäftsbereiches Windows bei Microsoft, in der Mitteilung. Auch bei der künftigen Entwicklung von Software werde Microsoft die Sicherheit der Systeme im Auge behalten, teilte der Konzern weiter mit.

Das alles könnte die derzeitigen Probleme des IIS lösen, nicht jedoch das grundsätzliche Problem: Denn auch bei künftigen Microsoft-Entwicklungen werden die Hacker dieser Welt die Sicherheitslücken der Systeme im Auge haben. Das Problem ist folglich kaum zu lösen: Man kann auch einen Fahrradschlauch nicht präventiv flicken. Man kann den Mantel dicker auslegen. Um dann noch ein Loch hinein zu bekommen, braucht man nur einen längeren Nagel. Das Ende der Flicken mag sich Microsoft wünschen, in Sicht ist es nicht.



© SPIEGEL ONLINE 2001
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.