Unternehmen
Fernsterln: Microsoft will Update-Geschwindigkeit erhöhen
Der Hard- und Softwaregigant aus Redmond sucht neue Wege, um Patches für bestehende Lücken schneller verteilen zu können.
Der 17.10.2003 war ein denkwürdiger Tag im Windows-Lager. Einen neuen Meilenstein der Security kündigte der US-Multi seinen Benutzern an - den Patch-Day. Fortan sollte der User einmal im Monat von allen Lücken, Lecks und Löchern erlöst werden. Der erste Patch enthielt insgesamt 22 Hotfixes, Security Updates und Patches für alle möglichen Fehler und Wehwehchen des Betriebssystems. In einem Interview sagte Bill Gates, dass Microsoft 100 Millionen US-Dollar investiert habe, um den Software-Entwicklungsprozess sicherer zu machen, und die IT-Sicherheit noch ernster nehmen will als bisher.
Knapp drei Jahre später ist der Nutzer immer noch ein störrisches Vieh und scheint die Bemühungen des Konzerns nicht verstehen zu wollen. Dieser macht es ihm aber auch nicht leicht. Erst Ende der letzten Woche machte im Lager der Windows-Benutzer eine Nachricht die Runde, wonach es einfachen Webseiten mittels einer Lücke im Internet Explorer möglich sein soll, die Systeme der Nutzer zu infizieren. Microsoft solle über das Problem informiert worden sein und an einem Patch arbeiten.
Vier Tage später zogen weitere dunkle Wolken über das helle Firmament der Redmonder, als Websense Inc. bekannt gab, dass bereits 200 Seiten aktiv die Lücke ausnutzen, um den Nutzern Schadcode unterzuschieben. Microsoft arbeitete allerdings immer noch ein einer Lösung und wird sie am kommenden Patch-Day allen Interessenten zur Verfügung stellen. Am 11. April kommt der Patch. Bis dahin sollten Anwender des Internet Explorers Active Scripting deaktivieren.
Dem Nutzer scheint es aber nicht schnell genug zu gehen und er bevorzugt andere Methoden. So hat eEye, Hersteller von Sicherheitssoftware und Sicherheitsdienstleister, bereits einen Tag nach der Bekanntgabe der Lücke einen inoffiziellen Patch herausgebracht, der Heise Online zufolge die Lücke auch schließt. Microsoft rät derweil von der Installation ab, da er vom Softwarekonzern noch nicht getestet sei. Kunden sollen genau abschätzen, ob sie das Risiko eingehen wollen, warnte der Program Manager von Microsofts Security Response Center, Stephen Toulouse.
In der Sicherheitsbranche werden indes immer mehr Stimmen laut, die Microsofts Reaktion auf Sicherheitsprobleme als zu langsam bezeichnen. Laut WinFuture kritisieren die Kunden, dass Microsoft auf den Patch-Day warte, um die Firmenkunden zufrieden zu stellen. Dabei ignoriert der Hersteller aber die gefährdeten Endkunden und lässt sie laut dem Ticker »im Regen stehen«.
Die Redmonder verteidigen indes ihre Strategie der Patchdays, räumen aber ein, dass sie nach Wegen für eine schnellere Veröffentlichung von Sicherheits-Patches suchen. Toulouse warnte die Nutzer allerdings von unüberlegten Entscheidungen. Laut Angaben des Managers gebe es eine Reihe von Faktoren, die vor einer Freigabe zu berücksichtigen sind, allen voran die Qualitätskontrolle. Es wäre keinem geholfen, wenn Patches ungetestet veröffentlicht werden. Durch unüberlegte Freigaben könnten neue Lücken entstehen. Hier will Microsoft die Qualität als Maß aller Dinge nehmen. Zudem ist es laut Toulouse schwer, zu klären, welche Sicherheitsmitteilung einen »Beta-Patch« rechtfertigen würde.
