11.02.2004 · Im Betriebssystem Windows klafft offenbar eine „kritische“ Sicherheitslücke - und das bereits seit sechs Monaten. Hilfe für die Anwender bietet die Software-Firma aber erst jetzt.
Von Monika Ganster
© dpa
Windows ist anfälliger als gedacht
Eine gravierende Sicherheitslücke in seinem Windows-Betriebssystem hat Software-Hersteller Microsoft bekanntgemacht. Allen Kunden werde dringend geraten, eine im Internet zur Verfügung gestellte Reparatursoftware - ein sogenanntes Patch - herunterzuladen, um die Lücke zu schließen. Bis dahin sei es Hackern möglich, unbemerkt in fremde Computer einzudringen und dort Daten zu stehlen oder zu löschen.
Der für Sicherheitsfragen zuständige Microsoft-Manager Stephen Toulouse sagte, es handele sich „um ein ausgesprochen tiefes und umfassendes“ Problem. Es habe jedoch nichts mit der Welle von Computerwürmern wie Mydoom zu tun, die in jüngster Zeit das Internet überschwemmen.
Angriff auf das Immunsystem
Die Sicherheitslücke - nur eine von dreien, die Microsoft am Dienstag bekanntmachte - betrifft das Abstract Syntax Notation One, das die Rechner dabei unterstützt, miteinander zu kommunizieren und sichere Verbindungen aufzubauen. Dieses Protokoll arbeitet derzeit bei Microsoft fehlerhaft und könnte von findigen Hackern genau für die gegenteilige Wirkung eingesetzt werden: Für den Zugriff von außen auf einen Rechner. Russ Cooper, ein Sicherheitsexperte von TruSecure Corporation, vergleicht diesen Fehler mit dem Zugriff auf das „Immunsystem des Computers“. Ein Protokoll, das eigentlich den Datenschutz garantieren soll, kann zum Schaden des Anwenders eingesetzt werden.
Die Sicherheitslücke ist offenbar nicht leicht zu entdecken, denn bislang sind noch keine Hackerangriffe durch dieses Einfallstor bekanntgeworden, teilte Microsoft mit. Auf Hackerseiten im Internet, wo derartige Informationen sonst großzügig ausgetauscht werden, findet sich kein Hinweis darauf. Bisher.
Microsoft drängt jedoch die Nutzer seines Windowsbetriebssystems, sich so rasch als möglich den Sicherheitspatch herunterzuladen.
Problem seit sechs Monaten bekannt
Die Internet-Sicherheitsfirma eEye, die sich als Entdecker der Sicherheitslücke ins Spiel bringt, habe Microsoft schon im vergangenen Juli auf die Probleme hingewiesen. Marc Maiffret von der Firma eEye Digutal Security Inc. wies darauf hin, daß vermutlich noch nie so viele Computersysteme durch einen Windows-Fehler bedroht gewesen seien - weil es eben ein grundlegendes Problem des Betriebssystems ist. Durch die Lücke „kann man in Internet-Server eindringen, in interne Netzwerke, praktisch in jedes System“, sagte Maiffret. Auch Computersysteme, die Stromkraft- oder Wasserwerke kontrollierten, seien gefährdet.
Maiffret kritisierte, daß Microsoft nach dem Hinweis seiner Firma sechs Monate brauchte, um ein Patch bereitzustellen und die Öffentlichkeit zu informieren. Laut Microsoft-Manager Toulouse benötige eine umfassende Lösung des Problems diese Zeit: „Wir wollten keine schnelle Lösung, die dann doch nicht bei jedem Anwender funktioniert. Das wäre schlechter, als gar keine Lösung zu haben“.
