Frühwarnsystem für Sicherheitslücken
Microsoft hat begonnen, einige seiner großen Kunden schon wenige Tage vor dem öffentlichen Release von Patches darüber zu informieren.
Bei dem kostenlosen Programm erhalten die Kunden schon drei Tage vor dem monatlichen Patch-Tag Bescheid, wie viele Sicherheitslücken gefunden wurden und welche Produkte sie betreffen.
Weiters erhalten die Exklusiv-Kunden auch Informationen darüber, wie schwer die Lücken die [Unternehmens-]Sicherheit bedrohen.
Während Microsoft betont, dass Geschäftskunden dadurch eine bessere Planung ermöglicht wird, beschweren sich Kritiker, dass dieses Programm nur gewissen Kunden angeboten wird.
Weil viele gar nicht von der Existenz des Programms wüssten, könnten sie sich auch nicht dafür anmelden und hätten dadurch einen Nachteil, meint John Pescatore vom Marktforschungsinstitut Gartner.
Offizielle Empfehlung zum BrowserwechselVon 3.500 Firmen genutzt
Microsoft hat in den vergangenen Jahren verstärkt versucht, die Sicherheit seiner Programe wie etwa des Windows-Betriebssystems und des Office-Pakets zu verbessern.
Dennoch werden immer neue Sicherheitslücken offen gelegt. Erst am Dienstag wurde eine schwere Lücke bei der Verarbeitung von JPEG-Dateien bereinigt. Die Frühwarnung wurde bereits am Donnerstag vorher ausgeschickt.
Das Frühwarnsystem wurde letzten Herbst eingeführt und im April ausgeweitet, derzeit sind rund 3.500 Kunden angemeldet.
Bedenken, dass jemand die Sicherheitslücken durch das frühe Preisgeben der Information ausnutzen könnte, gibt es bei Microsoft jedoch nicht. Laut Amy Carrol, Leiterin der Security-Abteilung, seien die Informationen dafür zu allgemein gehalten. Außerdem müssten sich die Teilnehmer des Programms verpflichten, die Informationen vertraulich zu behandeln.
Am erst kürzlich veröffentlichten Service Pack 2 haben Hunderte Programmierer ein Jahr gearbeitet, 300.000 Betatester nach Bugs gesucht. Die Entwicklungskosten des Service Pack 2 sind laut Microsoft Österreich im zweistelligen Millionenbereich anzusiedeln.
Service Pack 2 erzieht Nutzer zur VorsichtGartner sieht Sicherheitsrisiko
Gartner-Vize Pescatore sieht durch das Frühwarnsystem dennoch ein Sicherheitsrisiko. So könnte ein Angreifer etwa einen Präventivschlag starten, nachdem er die Informationen zu einem geplanten Patch erhalten hat.
Weiters glaubt Pescatore, dass die vorab veröffentlichten Informationen durchaus für potenzielle Angreifer wertvoll sein könnten, weil sonst keine Verpflichtung zur vertraulichen Behandlung bestünde.
Das Frühwarnsystem gilt nur für das monatliche Sicherheits-Update, das jeweils am zweiten Dienstag des Monats veröffentlicht wird. Laut Carrol hat Mircosoft jedoch nicht den Luxus, seine Kunden auch über Patches, die dazwischen veröffentlicht werden, vorzuinformieren.