Security: Warum Microsoft-CEO Ballmer es einfach nicht kapiert

In den letzten Jahren hat sich bei Microsoft das Verständnis des Begriffs Sicherheit spürbar gewandelt. Äußerungen von CEO Steve Ballmer auf der letzten Microsoft Worldwide Partner Conference zeigen jedoch, dass weiterhin deutlicher Besserungsbedarf besteht.

Der CEO aus Redmond drückte auf der in New Orleans gehaltenen Partnerkonferenz seinen Wunsch aus, dass Sicherheitsspezialisten, die Schwachstellen in Microsoft-Produkten finden, doch einfach den Mund halten sollten. Dies ist ein sicherer Indikator dafür, dass Ballmer nichts begriffen hat. Ihm schwebt vor, dass die Sicherheitsspezialisten ausschließlich Microsoft über die von ihnen gefundenen Fehlerquellen informieren. Er war sich auch nicht zu schade, das Wohlergehen der Welt als Argument dafür ins Feld zu führen.

Zitat Ballmer: „Ich wünschte, diese Leute würden einfach Stillschweigen bewahren. Das wäre für die Welt das Beste. Das wird nicht geschehen, also müssen wir auf geeignete Weise mit den Sicherheitsexperten zusammenarbeiten“.

Wer also sollte informiert werden, wenn eine Sicherheitslücke in Windows, Internet Explorer, Microsoft SQL Server, Internet Information Services (IIS) etc. gefunden wird? Ausschließlich Microsoft? In der Praxis hat es sich noch nie bewährt, Schwachpunkte allein dem für die Pflege des fraglichen Produkts verantwortlichen Anbieter anzuzeigen. Warum? Der Anbieter zeigt sich zunehmend unempfänglich und beginnt, halbherzige Fixes herauszugeben, die nicht immer das gewünschte Ergebnis zeitigen. Je transparenter also das Verfahren bei der Offenlegung ist, desto sicherer kann sich die Öffentlichkeit sein, dass der Anbieter dem Problem in geeigneter Weise begegnet. Das hat nichts mit Quantenphysik zu tun, das gehört zum Einmaleins der Informationspolitik.

Es gibt gewiss einige verantwortungslose Sicherheitsfachleute, aber die meisten werden Unternehmen wie Microsoft gerne einen angemessenen Vorsprung einräumen – ganz zu schweigen von ungehindertem Zugang zu den Ergebnissen ihrer Arbeit – damit die Unternehmen Gelegenheit haben, einen Patch zu entwickeln und zu verbreiten, bevor eine Schwachstelle publik gemacht wird. Solche inoffiziellen Regeln zum Aufzeigen von Schwachstellen sind bereits seit langer Zeit in Gebrauch.

Während Microsoft einen positiven Schritt unternommen hat, indem das Unternehmen eingestand, dass es mit Sicherheitsexperten zusammenarbeiten muss, ist es doch reichlich unglücklich, genau diese Fachleute vor den internationalen Partnern des Unternehmens dafür anzuprangern, dass sie im Grunde der Allgemeinheit einen Dienst leisten.

Andere Bemrkungen im Verlauf von Ballmers Vortrag zeigten, dass das Unternehmen seinen Kunden tatsächlich zuhört. Es hat ein offenes Ohr für ihre Klagen über die Schwierigkeiten beim Einsatz von Patches, darüber, wie die mit Schwachstellen durchsetzten Produkte zu Frustration bei den Systemadministratoren führen. Diese Frustration bringt Apathie hervor und das bedeutet, dass die Systeme nicht so gepflegt werden, wie es sein sollte. Hier tut Microsoft also das Richtige, indem das Unternehmen den Beschwerden der Kunden Aufmerksamkeit schenkt.

Themenseiten: Analysen & Kommentare, IT-Business

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

5 Kommentare zu Security: Warum Microsoft-CEO Ballmer es einfach nicht kapiert

Kommentar hinzufügen
  • Am 8. Dezember 2003 um 14:40 von Wilfried2004

    Zitat
    Damit meint er bestimmt ,das diese sogenannten Sicherheitsexperten es nicht unbedingt in die Welt hinausposaunen müssen ,wo ein neues Sicherheitloch besteht ,um zu verhindern das dies von irgentwelchen Hirnlosen missbraucht wird (Zitat Ende)!!!!!

  • Am 23. Dezember 2003 um 17:34 von M. Fiedler

    Security
    Ich meine, das MS mit Windows einen großen Schritt in Richtung Computer für alle gemacht hat. Natürlich wird immer wieder darüber diskutiert, das es ein "windowsähnliches" System schon bei SUN gab, das Netscape eher mit einem Browser da war, das LINUX sicherer ist und noch eine Menge weiterer bedeutungsloser Unsinn. Es ist einfach so. SUN hatte ein Betriebsystem, welches wie WINDOWS funktionierte. An statt es zu vermarkten, hat man verschiedene Firmen (ach MS) durch die Betriebsräume geführt, damit angegeben und da System dann sterben lassen.
    Mathias

  • Am 23. Dezember 2003 um 17:36 von M. Fiedler

    security Teil2
    Netscape hatte den ersten Browser. Toll, und wo blieb die Weiterentwicklung? Wo blieb die klare Marketungstrategie? Die Gründer von Netscape sind reich genug damit geworden. An Stelle das Ganze besser zu vermarkten, das heist einfach besser zu sein als MS hat man eigene Wege gewählt. Somit enstanden mehrere Standards. Jetzt darüber zu meckern ist einfach nur Neid. Als Gates damals DOS an IBM vermietet hat, haben ihn alle ausgelacht. Man hat in schlichtweg für verrückt gehalten. Jetzt, nachdem sein Plan funktioniert hat, will plötzlich jeder am Kuchen teilhaben. Warum haben die denn nicht gleich mit dem selben Risiko etwas versucht. Da waren alle zu feige. Jetzt aber zu jammern, ist wiederum nur Neid und Ärger über die eigene Dummheit. Und nun zum Sicherheitsproblem. Weil Windows so verbreitet ist, ist es auch ein Ziel für Angriffe jeder Art. Wenn sich heut ein Virus über WIN verbreitet, hat er in Sekundenschnelle Tausende von Rechnern infiziert. Da man also innerhalb eines Tages mehr WINDOWS Rechner mit einem Virus infizieren kann, als es überhaupt LINUX Rechner gibt, ist es ganz logisch, das man sich auf WIN konzentriert. Mit der weiteren Verbreitung von Linux, der ich sehr skeptisch gegenüber stehe, werden auch dort Sicherheitslücken bekannter und auch mit Viren ausgenutzt. Es ist ja mittlerweile zu einem Sport geworden, eine Schwachstelle in WIN zu finden. Wenn diese Leute die selbe Energie aufbringen würden, um nach Fehlern in Linux zu suchen, wären sie genauso erfolgreich. Aber was ist denn ein Fehler, der nur unter Versuchsbedingeungen auftritt, die so gut wie nie ein Anwender zustande bringen wird? Das ist kein Fehler. sondern Krampf.

  • Am 23. Dezember 2003 um 17:37 von M. Fiedler

    Security teil3
    Mir soll mal einer die software zeigen, die bei einem Programmierumfang wie WIN XP keine Fehler aufweist. Nur das interessiert natürlich niemend. Oder will mir hier irgendjemand weismachen, das Programme wie CorelDraw, openOffice, starOffice, Konquerror, Gimp, Adobe GoLive und andere absolut fehlerfrei sind? Was ist denn dann die Alternative? Rechner abschalten und schluß? Nein, ich bleibe weiter bei meinem Windows und bin damit zufrieden. All die sogenannten Sicherheitslücken und Bugs in WIN, Office und SQLServer haben mir noch nicht geschadet.
    Insofern finde ich die Äußerungen von Steve Ballmer gar nicht so verkehrt. Mit diesen ganzen Warnungen werden nur die Nutzer verängstigt. MS weis mit Sicherheit, das diese Meldungen doch an die Öffentlichkeit kommen, wenn kein Patch folgt. Also kann man schon davon ausgehen, das diese Meldungen der "Sicherheitsexperten" ernst genommen werden und auch bearbeitet werden.
    Mathias

  • Am 23. Januar 2004 um 10:21 von Microsoft-Fan

    Microsoft ist besser als ihr Ruf
    Mann sollte Linux echt mal auf Millionen von Rechnern installieren und zwar im Home-Bereich nicht nur in Betrieben. Ich wäre ja mal gespannt wieviel Sicherheitslücken innerhalb des ersten Monats auffliegen würden. Und dann die Zeit bis dazu ein Patch herauskäme………

    Mein XP-Pro läuft seit einem Jahr fehlerfrei und propleme mit Viren oder Trojanern hatte ich noch nie. Und ich nutze das Internet täglich ein bis zwei Stunden. Einfach ne gute Firewall installieren, eine gute und aktuelle Virensoftware einspielen und abendzu mal ein paar Patches einspielen mehr braucht es doch garnet. Vorausgesetzt man ist nicht so blöod Mails mit dem Betreff "Ich liebe dich" oder so ähnlich zu öffnen. Außerdem denke ich ist Linux auf seinem momentanen Stand für den Otto Normalverbraucher auch noch zu kompliziert. Und das ein Projekt wie XP mit über 20.000.000 Programmzeilen keinen Fehler aufweisen soll, kann man nun echt nicht erwarten oder ??

    Und jetzt wünsch ich der Linux Community viel Spaß beim Meckern über diesen Beitrag

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *