31.12.2001

2001

Bildquelle: orf on

Sicherheitslücken und Geheimniskrämerei

Auch 2001 wurden in zahllosen Softwareprodukten Sicherheitslücken entdeckt, missbraucht, gestopft und diskutiert.

Dabei ergab sich in der Folge der Würmer "Nimda" und "Code Red" eine besonders heftig geführte Debatte um die Sicherheit speziell von Microsoft-Produkten und die Informationspolitik des Konzerns.

In der öffentlichen Wahrnehmung war Microsofts Software auch die "löcherigste", was allerdings vor allem auf ihren Verbreitungsgrad und die daraus resultierende Betroffenheit von jeweils sehr vielen Nutzern zurückzuführen sein dürfte.

Denn auch zahlreiche andere Plattformen und Betriebssysteme wiesen 2001 Lücken auf [Mac OS, Oracle-Server, V-UNIX, Linux, Java, etc].

Oracle: XP-Lücken lenken von Lücken in eigener 9i-Software
V-UNIX: Admin-Rechte via Sicherheitslücke
Linux-FTP-Server-Lücke behoben
Sun warnt vor Sicherheitslücke in Java

Kampfansage

Eine spezielle Qualität bekam die Sicherheitsdiskussion 2001 zunächst durch eine außergewöhnlich deutliche Stellungnahme der Gartner Group nach den weltweiten Befall zahlloser Rechner durch den "Nimda"-Wurm. Tenor des Statements: "Suchen Sie sofort nach Alternativen zu Microsofts Internet Information Server."

Nach den Anschlägen vom 11. September stieg die Empfindlichkeit gegenüber Sicherheitslücken dann noch einmal generell und das CERT feuerte eine wahre Breitseite gegen die gesamte Softwareindustrie - und damit natürlich auch gegen deren Flaggschiff Microsoft:

"Die jetzigen Produkte sind zu komplex und die Angriffe zu häufig, als dass man alles auf den Benutzer abwälzen könnte", sagte der Direktor der CERT-Zentren, Rich Pethia. "Softwarehersteller strengen sich nicht genügend an. Wir sehen noch immer die selben Sicherheitslücken in neuen Versionen von Produkten wie in älteren Versionen."

Gartner Group empfiehlt Apache
"Software muss besser werden"

Geheimniskrämerei

Im Oktober forderte Microsoft dann "die Sicherheitsgemeinschaft" im Internet auf, "keinen Code über Sicherheitslücken" mehr zu veröffentlichen.

"Es ist Zeit, die Informations-Anarchie zu beenden", schrieb Scott Culp, Manager von Microsofts Security Response Center, in einem Aufsatz.

Und im November kündigte Microsoft an, in Zukunft detaillierte Informationen über Sicherheitslücken erst mitzuteilen, wenn seit mindestens 30 Tagen ein Patch erhältlich ist.

Microsoft fordert Selbstzensur
MS will Sicherheitslücken geheim halten
Virus-Autoren sind "industrielle Terroristen"

Öffentliches Interesse
Wie weit unterdessen nach den Anschlägen vom 11. September die Sicherheit von Software zu einem öffentlichen Gegenstand geworden ist, zeigen die FBI-Ratschläge an Windows-XP-Nutzer, nachdem kurz vor Weihnachten zwei gravierende Sicherheitslücken des Betriebssystems publik wurden.

FBI-Tipps für Windows-XP