Kommentar Ein Loch im .Net

Keine 48 Stunden nach Auslieferung des Programmierer-Kits für .Net-Software entdecken Experten erste Sicherheitslücken. Also ein ganz normaler Tag im Microsoft-Universum.

Von


[M] / AP

Wenn es darum geht, zum Sarkasmus neigenden Kolumnisten Munition zu liefern, ist Microsoft unschlagbar: Da jagt eine Steilvorlage die nächste.

Keine 48 Stunden nach Auslieferung des .Net-Entwicklerkits "Visual Studio" entdeckten Experten der IT-Sicherheitsfirma Cigital Inc. erste Sicherheitslücken im Programm. Die scheinen so gravierend zu sein, dass erstmals klar wird, warum das Entwicklerkit "Visual Studio" heißt: Mit diesen Entwicklungswerkzeugen, glaubt Gary McGraw von Cigital, lässt sich vor allem löchrige Software produzieren - Sicherheitslecks programmiert, sozusagen. Da kann dann jeder reinsehen, überall und jederzeit.

Nun ist es zwar gerade das erklärte Ziel der .Net-Initiative, alles Mögliche jederzeit und überall über das Internet miteinander kommunizieren zu lassen, aber gerade Hacker waren eigentlich nicht eingeladen zur Eröffnung der schönen, neuen Microsoft-Welt. Gerade erst letzten Monat erklärte Bill Gates die IT-Sicherheit zum obersten Unternehmensziel: 7000 Programmierer soll er von ihren eigentlichen Aufgaben abgezogen und damit betraut haben, in einer Abänderung der bisherigen Betriebspraxis Microsoft-Sicherheitslecks bereits vor Auslieferung an den Kunden zu stopfen.

Das sind doch mal schöne Schlagzeilen, viel schöner als diese ewige Miesepeter-Berichterstattung, nur weil mal wieder irgendwelche harmlosen Lecks auftreten. Im MSN-Messenger zum Beispiel, über den sich seit vorgestern mit Macht ein zum Glück völlig zahnloser Wurm verbreitet. Der, glauben Experten, beißt gerade deshalb nicht, weil er wahrscheinlich nur zu Demonstrationszwecken in Umlauf gesetzt wurde: Das vom Wurm genutzte Sicherheitsleck ist seit dem 19. Dezember öffentlich bekannt und wurde von Microsoft hartnäckig ignoriert.

Seit Montag bietet Microsoft endlich ein Patch an - und ein unbekannter Autor ein irritierendes, aber harmloses Wurm-Virus, um die MSN-Messenger-Nutzer mit der Nase auf die Notwendigkeit zu stoßen, dieses Patch vielleicht auch einmal zu installieren.

Im Gegensatz zu den Millionen von Outlook-Nutzern sozusagen, die sich seit dem Februar 2000 so ein-, zweimal im Monat mit bescheuerten VBS-Viren zuschütten lassen. Sorry, das war unfair: In Wahrheit suchen all diese Outlook-Nutzer ja seit Februar 2000 in den wirren Labyrinthen der Microsoft-Website fieberhaft nach dem viel beschworenen Outlook-Patch. Und jetzt auch nach dem Messenger-Flicken. Nur so ein Vorschlag: Warum setzt Microsoft keine harmlosen Wurm-Viren ein, um befallene Kunden automatisch zur richtigen Download-Seite zu führen?

Aber Schwamm drüber, all das ist unfair: Heute geht es um Visual Studio und die eingebaute Macke. Nun stellt die betreffende Software (Visual C++ .NET, Version 7, ein Teil der Entwickler-Suite) ja nicht etwa ein Sicherheitsrisiko dar, sondern her - was irgendwie irritierend ist, weil gerade dieser Teil der Entwicklersuite eigentlich dazu genutzt werden sollte, .Net-Anwendungen besonders sicher zu machen. In bester Tradition hilft die Software stattdessen also bei der Generierung von Sicherheitslücken, was einerseits faktisch wahr ist, andererseits natürlich blanker Sarkasmus: Dabei ist es noch nicht einmal so, dass uns Sicherheitsleck-Geschädigten alles Mitgefühl abginge.

Im Gegenteil: Wir alle wissen, dass sich jeder, der das Wort "Hacken" auch nur buchstabieren kann, mit nie erlahmender Begeisterung auf Microsoft stürzt. Und Sicherheitsexperten wie McGraw nehmen neue MS-Software eben ganz besonders intensiv unter die Lupe. Der Gag ist nur: Das alles hat einen Grund.

Man wird halt fündig.

Und das passt dann einfach nicht zu dem medienwirksamen Getöse rund um .Net und Gates "Vision", damit das Web zu verändern. Für viele Anwender klingt das eher nach einem Alptraum, der ihnen dann als integraler Bestandteil des nächsten Microsoft-Betriebssystems zwangsserviert wird. Zwar regiert es sich ganz ungeniert, ist der Ruf erst ruiniert - aber in der Software-Welt eigentlich nur so lang, wie es an Alternativen fehlt. Das ändert sich gerade, und darum warnt Gates schon mal vor dem Gebrauch der eigenen Produkte und verkündet Sicherheitsinitiativen.

Wie vorausschauend das war, wird sich an diesem neuen Fall zeigen: Das Patch zur gerade veröffentlichten Software wird sicherlich in Rekordzeit erscheinen. Denn Microsoft, hat uns Bill Gates im letzten Monat beigebracht, hat gelernt: Künftig kitten 7000 Sicherheits-Cracks die Fehler ihrer Kollegen. Die Zukunft wird nett. Mit Sicherheit.



© SPIEGEL ONLINE 2002
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.