Langweilige Sicherheit
- Jürgen Seeger
Dass der ILOVEYOU-Virus und seine Abkömmlinge ihr Unwesen nur auf Windows-Systemen verrichten können, ist in der Publikumspresse weitgehend unterschlagen worden. Gehandelt wird der, rein fachlich gesehen geschickt geschriebene, Übeltäter als Bedrohung ‘für alle Computer’ beziehungsweise des oder durch das Internet. Wie ILOVEYOU wirklich funktioniert, ist ab Seite 16 in dieser Ausgabe nachzulesen, auch, wie man sich gegen diesen und andere Makroviren schützt.
Hier soll es aber nicht um Technik gehen, sondern um die Frage, zugespitzt gestellt: Ist wieder einmal Microsoft schuld? Schließlich machte die Technik Windows Scripting zusammen mit Outlook die Verbreitung des Virus erst möglich. Hinzu kommen die für viele undurchsichtigen, zum Teil von Haus aus zu lasch vorgegebenen Sicherheitseinstellungen. Und dann wäre da noch die Sache mit der vielbeschworenen Monokultur. Gäbe es nicht so viele Windows-Systeme auf der Welt, wäre doch der Schaden deutlich geringer.
Sicherlich hätte Microsoft bessere Software schreiben sollen, klarer auf die möglichen Folgen von so genanntem ‘Active Content’ hinweisen müssen. Aber obwohl die Redmonder zurzeit zu den Lieblingsprügelkindern der Medien zählen, liegen die Dinge so einfach doch nicht. Auch Sun musste sein Sandbox-Konzept für Java-Applets (vereinfacht gesagt: kein Zugriff auf Systemressourcen) aufgeben und stellte mit ‘Signed Applets’ die Möglichkeit her, auf die lokalen Platten zuzugreifen und frei wählbare Netzverbindungen aufzunehmen. Und es dürfte genügend unbedarfte Anwender geben, die alles und jedes als vertrauenswürdig einstufen - so ein Virus könnte systemübergreifend tätig werden, dank der plattformübergreifenden Lauffähigkeit und Standardkonformität von Java.
Grund: Die Anwender fanden die ursprüngliche, restriktive Sicherheitspolitik zu unpraktisch. Was zum Kern des Problems führt. Bequeme Benutzbarkeit, neudeutsch Usability, und Sicherheit sind sich grundsätzliche widersprechende Anforderungen. Am sichersten ist immer noch das System, das eingeschlossen im Tresor zu nichts und niemanden Kontakt hat. Nur leider hat keiner was davon.
Eine definitive Lösung für Attacken durch Viren oder Systemeinbrüche ist deswegen nicht in Sicht. Was man tun kann: die Anwender besser schulen und versuchen, die möglichen Folgen zu begrenzen. Jeder sollte nur Zugriff auf die Ressourcen haben, die er wirklich braucht; regelmäßige Backups sind obligatorisch et cetera. Das ist zwar alles reichlich langweilig und auch seit Jahrzehnten bekannt, aber eben nicht zu ändern. (js)
