https://www.faz.net/-gum-nm8e

Software : Wieder Sicherheitslücke in einem Angebot von Microsoft

Wieder ist eine große Sicherheitslücke in einem wichtigen Internetdienst des Softwarekonzerns Microsoft bekannt geworden. Daten im "Passport"-Dienst sind Hackern zugänglich gewesen.

          3 Min.

          Wieder ist eine große Sicherheitslücke in einem wichtigen Internetdienst des Softwarekonzerns Microsoft bekannt geworden. Wohl schon seit Bestehen des digitalen Internetausweises "Passport" hatten Hacker zumindest theoretisch Zugang zu Kreditkartennummern, Geburtstagsdaten, E-Mails und anderen persönlichen Informationen von rund 200 Millionen Passport-Nutzern.

          Carsten Knop

          Chefredakteur digitale Produkte.

          Microsoft hat nach eigenen Angaben inzwischen zwar dafür gesorgt, daß ein entsprechender Datenklau nicht mehr möglich ist. Doch erst im vergangenen Herbst hatte das Unternehmen mit der amerikanischen Federal Trade Commission (FTC) einen Vergleich geschlossen, der fortan eigentlich den Schutz der persönlichen Verbraucherdaten gewährleisten sollte, die über Passport gesammelt werden. Microsoft mußte sich damals dazu verpflichten, ein umfangreiches Informationssicherheitssystem einzurichten. Es mußte außerdem zustimmen, bei jedem neuen Problem bis zu 11000 Dollar Strafe je Verstoß zu zahlen, was angesichts der Zahl der Passport-Kunden schnell zu einer hohen Summe werden kann.

          Von Anfang an negative Schlagzeilen

          Hinter dem Passport-Dienst steckt die Idee, Internetnutzern die Anmeldung bei verschiedenen Websites zu erleichtern, die erforderlich ist, um dort einzukaufen oder personalisierte Angebote zu nutzen. Persönliche Daten, die einmal im Microsoft-Passport gespeichert sind, müssen nicht immer wieder neu eingegeben werden, wenn der jeweilige Betreiber der Internetseite die Datenübertragung aus dem Passport-Dienst akzeptiert. Zudem vermeidet es der Passport-Nutzer, sich eine Vielzahl von Paßwörtern und Benutzernamen für die unterschiedlichsten Internetseiten merken zu müssen. Zur Zeit wird Passport auf 300 unterschiedlichen Websites akzeptiert.

          Der Dienst sorgt immer wieder für Schlagzeilen, die für Microsoft sehr unerfreulich sind. Bei der Einführung des Betriebssystems "Windows XP" war es die dort zunächst vorgesehene Passport-Zwangsregistrierung, die für Unmut sorgte. Dann wieder haben sich Partner aus Einzelhandel und Kreditwirtschaft geweigert, Passport zum Schlüssel für kostenpflichtige Angebote unter dem Namen "My Services" zu machen, die von Microsoft verwaltet werden.

          Grund war die Sorge, daß sie so den eigenen Zugriff auf die Daten ihrer Kunden und damit auf ihr wichtigstes Kapital verlieren würden. Seit März dieses Jahres wiederum ist auf der Microsoft-Internetseite der Hinweis darauf zu finden, daß alle im Passport-Dienst zuvor gespeicherten Kreditkartendaten gelöscht worden seien und diese Daten künftig auch nicht mehr angenommen würden.

          Sicherheitslücke groß wie ein Scheunentor

          Die jüngste Sicherheitslücke hat ein 23 Jahre alter Computerspezialist aus Pakistan entdeckt. Um die Lücke zu durchschreiten, brauchten Hacker keine besonderen Programmierkenntnisse. Es reichte aus, eine beliebige Passport-Internetseite zu besuchen und dort für ein schon bestehendes Konto ein neues Paßwort zu beantragen. Nach der Freischaltung des neuen Paßworts konnte auf die Daten des Passport-Nutzers zugegriffen werden.

          Die FTC hat sich noch nicht dazu geäußert, ob sie den Vorfall untersuchen will. Ein Microsoft-Sprecher sagte, er erwarte keine neuen Schwierigkeiten mit der FTC. "Wir haben uns in dem Vergleich darauf verständigt, vernünftige Maßnahmen zur Verbesserung der Datensicherheit zu ergreifen. Perfektion wird nicht gefordert." Im vergangenen Januar hatte Microsoft weitere Schritte zur Verbesserung der Sicherheit im Passport-Dienst unternommen, um einer Bestrafung durch die Europäische Kommission zu entgehen. Danach hieß es bei der Kommission, daß das Microsoft-System nun den Erfordernissen der EU-Datenschutzrichtlinien genüge.

          Alternative: "Liberty Alliance"

          Zum einen, weil sie dem Microsoft-Passport nicht trauen, zum anderen, um eine Alternative zum Angebot des größten Softwarekonzerns der Welt zu schaffen, haben sich inzwischen mehr als 160 Unternehmen, darunter Nokia, IBM, SAP, Vodafone, General Motors, American Express und Sun Microsystems, in der 2001 gegründeten sogenannten "Liberty Alliance" zusammengeschlossen. Diese Allianz entwickelt ein dem Passport-Dienst vergleichbares Programm, das aber nicht nur privaten Anwendern im Internet zur Verfügung stehen, sondern zum Beispiel auch zur Identifizierung von Mitarbeitern in dem Computernetz eines Unternehmens genutzt werden soll.

          Nach einem Brief des Microsoft-Mitbegründers und Verwaltungsratsvorsitzenden Bill Gates an seine rund 50.000 Mitarbeiter ist die Möglichkeit zur "vertrauenswürdigen" Nutzung eines Computers seit dem Januar des vergangenen Jahres zwar auch das oberste Unternehmensziel von Microsoft. Im folgenden Februar wurden 10.000 Programmierer von ihren laufenden Entwicklungsarbeiten freigestellt, um sich zu Themen der Datensicherheit weiterzubilden. Bisher ist der Erfolg jedoch nur gering: 2002 mußte das Unternehmen vor 72 Sicherheitslücken in seinen Programmen warnen. Im Vorjahr waren es nur 60 gewesen.

          Warnung allein genügt nicht

          Sogar nach der Veröffentlichung eines umfangreichen sogenannten "Service Pack" im vergangenen September, eines Programms, das das Betriebssystem "Windows XP" sicherer machen sollte, mußte Microsoft noch vor zehn weiteren Sicherheitslücken warnen. Doch die Warnung allein genügt nicht: In Unternehmen ebenso wie bei privaten Computernutzern wird oft vergessen, die Lücken mit den daraufhin von Microsoft zur Verfügung gestellten Programmen zu schließen. In größeren Betrieben kann die regelmäßige Programmpflege schnell viele hunderttausend Euro kosten. Eine Tatsache, auf die auch der scharfe Microsoft-Kritiker Scott McNealy, der Vorstandsvorsitzende von Sun Microsystems, immer wieder verweist.

          Weitere Themen

          Walforschung per Drohne Video-Seite öffnen

          Bahnbrechende Erkenntnisse : Walforschung per Drohne

          Nach Aussage eines Forschers der Universität von Hawaii sind auf diesem Weg neue Erkenntnisse gewonnen worden, denn die Aufnahmen lassen eine ganz neue Sicht auf das Verhalten der Meeressäuger zu.

          Topmeldungen

          Sogenannte Fußballfans in Bulgarien, einem „der tolerantesten Länder der Welt“?

          Gegen den Hass : Die Strafen müssen weh tun

          Im Fußball hat sich ein Klima entwickelt, in dem sich Rassisten und Nazis ungeniert ausleben. Sanktionen schlugen bislang fehl. Ohne Punktabzüge und Disqualifikationen wird es nicht gehen. Aber selbst das reicht nicht.
          Wer zu den Besten in der Forschung gehören möchte, muss sich den Platz hart erkämpfen. Auch in Deutschland gibt es hierfür inzwischen Graduiertenschulen, die die Promovierenden unterstützen.

          Spitzenforschung : Wo die Promotion zur Selektion wird

          Amerikas Dominanz in der Spitzenforschung hat auch die hiesige Nachwuchsförderung kräftig umgekrempelt. Wer oben mitspielen will, muss an eine Graduiertenschule und sich von dort aus die begehrten Plätze erkämpfen.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.