Microsoft’s größtes Sicherheitsrisiko

Viele Computerexperten machen es sich einfach und weisen immer wieder auf Sicherheitslücken in Microsoft Produkten hin. Schwieriger wird es dann schon wenn man diese Experten fragt, welche Software denn eigentlich sicherer sei. Man kann Microsoft nun wirklich nicht unterstellen, die Sicherheit ihrer Produkte zu vernachlässigen. Die von Microsoft angebotenen Services für Update ihrer Produkte speziell zum Schließen von Sicherheitslücken sind leicht bedienbar und funktionieren (mit kleinen Ausnahmen) einwandfrei. Das können viele andere Mitbewerber am Software Markt einschließlich der Open Source Szene weit weniger gut.

Es gibt aber bei Microsoft Software ein systematisches Problem von dem mehr als 150 Millionen der 450 Millionen Office Benutzer betroffen sind. Die Angriffe der Hacker sind zunehmend nicht mehr auf die Server sondern auf die Internet Clienten der Benutzer gerichtet. Diese Clienten sind heute häufig über Breitbandverbindungen am Internet und sind in der Regel weit weniger gut geschützt als die Server von Unternehmen, die sich Sicherheitsservices und -experten leisten können. Attacken benutzen zunehmend den Benutzern bekannte  WORD (doc) oder Bilddateien (wmf, jpg), die Benutzer in der Regel von anderen ihnen bekannten Benutzern erhalten oder auf fremden Webseiten öffnen. Man muss also kein unbekanntes Attachment einer eMail öffnen oder einer WORD Dokument auf einer fremden Website öffnen, um sich ein Problem auf dem eigenen PC einzuhandeln. Das BSI hält eine Menge gute Ratschläge für die Benutzer bereit, die aber wenig praxistauglich sind. Eigentlich hilft nur ein regelmäßiger und rechtzeitiger Update der Microsoft Software und zwar nicht nur des Betriebssystems sondern auch der Anwendungssoftware speziell Microsoft Office. Dieser Update ist aber nur möglich, wenn vorher die Installationsprüfung der Software erfolgreich durchgeführt wurde. Nun sind aber etwa 150 Millionen der etwa 450 Millionen weltweit installierten Office Systeme nach Microsofts Ansicht nicht korrekt installiert und können deshalb nicht korrigiert werden. Damit sind etwa 150 Millionen PCs permanent für Hacker angreifbar und können mit geringer krimineller Energie in Zombie Computer umgewandelt und u.a. als Basis für Spam eMail oder Denial of Service Attacken eingesesetzt werden, ohne dass der Benutzer des PCs dies bemerkt.

Microsoft hat lange “nicht korrekte“ Software toleriert und unterstützt. Der Erfolg von Microsoft Office beruht nämlich stark darauf, dass gelegentliche Benutzer illegale Versionen z.B. von WORD benutzen. Der Preis von Word ist nämlich für nur gelegentliche Nutzung viel zu hoch. 2006 wurde jedoch die Firmenphilosophie geändert – „nicht korrekte“ Software wird nicht mehr unterstützt – Benutzer bekommen keine Updates mehr für diese Software.  Natürlich kann man es Microsoft nicht verdenken, dass Kunden, die ihre Software nicht bezahlen, auch nicht unterstützt werden. Jedoch trifft diese Strategie auch viele Benutzer, die ihr System legal gekauft haben oder z.B. zwei Systeme auf ihrem Heim PC und ihrem Laptop völlig legal installiert haben.  

Konsequent wäre es, wenn Microsoft die „illegale“ Nutzung der Software unterbinden würde. Das wäre wohl der endgültige Durchbruch von Open Office, da niemand für nur gelegentliche Nutzung den vollen Preis von Microsoft Office bezahlen würde.  Private Benutzer, Schulen und gemeinnützige Organisationen sind gut beraten, Microsoft Office speziell WORD und EXCEL nicht zu verwenden, um legale Probleme und unkalkulierbare Sicherheitsriskien zu vermeiden.