Nach der "Liebes"-Attacke: Kritik an Microsoft

Dass sich der Internet-Wurm "ILOVEYOU" so schnell ausbreiten konnte, liegt vor allem an der Microsoft-Monokultur, die man insbesondere in Firmennetzwerken vorfindet. Eine solche Monokultur ist extrem anfällig für Attacken dieser Art. Betroffen waren bei der aktuellen Wurmattacke tatsächlich nur die Computeranwender, die voll auf die Produkte Microsofts gesetzt haben. Windows bot die Grundlage für die Schadfunktion des faulen Love-Letters. Das Microsoft-E-Mail-Programm Outlook ermöglichte, dass sich der Virus in Windeseile von Asien über Europa nach Nordamerika verbreiten konnte.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht deshalb den weltgrößten Softwarekonzern in der Pflicht: "Microsoft muss endlich etwas gegen Schwächen seines Betriebssystems sowie seines Mailprogramms Outlook machen", forderte am Freitag der beim BSI für Viren-Abwehr zuständige Experte Frank Felzmann.

"Das Microsoft-Problem ist die enge Verzahnung des Windows-Betriebssystems mit den Office-Programmen wie Word und PowerPoint sowie dem E-Mail-Programm Outlook", kommentierte der c't-Virenexperte Norbert Luckhardt in einem dpa-Interview. In der Kombination mit einfach zu beherrschenden, aber mächtigen Programmiersprachen wie im aktuellen Fall Visual Basic Script werde Viren-Programmieren eine "ideale Plattform" geboten.

In diese Kerbe schlägt auch Michael Zboray, der Technologie-Chef des renommierten Marktforschungsinstituts Gartner Group. Er warf Microsoft vor, seine Programmier-Werkzeuge mit einer "falschen Sicherheits-Einstellung" zu verbreiten. "Wir müssen davon weg kommen, dass aggressive Komponenten über Dokumente der Textverarbeitung Word, des Kalkulationsprogramms Exel oder den Internet Explorer verbreitet werden können", forderte Zboray.

Microsoft sieht sich zu Unrecht auf die Anklagebank gesetzt. "Windows und Outlook wurden nur deshalb als Angriffsziele gewählt, weil sie die populärsten Programme auf dem Markt sind", sagte Bernhard Grander von der deutschen Microsoft GmbH. "Der Virus hätte im Prinzip auch für andere Programme wie Lotus Notes von IBM geschrieben werden können." Mit dem Einschalten von Sicherheitsmerkmalen könne verhindert werden, dass Anhänge einer E-Mail in Outlook einfach per Doppelklick geöffnet werden können. "Im Prinzip haben wir es mit dem Konflikt Sicherheit gegen Bequemlichkeit zu tun."

Ein Microsoft-Sprecher in den USA wies die Kritik an den "aktiven Inhalten" in Microsoft-Programmen zurück, die im aktuellen Fall für die Virenattacke missbraucht wurden: "Wir haben die Scripttechnologie in unsere Produkte eingebaut, weil unsere Kunden uns aufgefordert haben, dies so zu tun." Offensichtlich könne diese Technologie missbraucht werden. "Deshalb stellen wir Sicherheitsfunktionen zur Verfügung. Und jeder Kunden von uns kann selbst entscheiden, ob solche Programme laufen sollen oder nicht."

Über diesen Punkt gehen die Meinungen aber ebenfalls weit auseinander. Der Karlsruher Virenexperte Christoph Fischer beschuldigte am Freitag Microsoft, "nur aus Marketinggründen" darauf zu verzichten, die vorhandenen Sicherheitsfunktionen bei der Auslieferung auch zu aktivieren, da strenge Sicherheitseinstellungen Nachfragen der Kunden verursachten. "Wenn alle Schutzmaßnahmen eingeschaltet sind, fallen Support-Anfragen an, und die kosten Geld." Deshalb liefere Microsoft seine Produkte mit einer laschen Voreinstellung aus. "Ein Otto-Normal-Anwender ist total überfordert, wenn er selbst eine angemessene Einstellung der Sicherheitsfunktionen vornehmen soll."

Das Problem beschränkt sich übrigens nicht nur auf Microsoft Outlook. Zwar benötigt "ILOVEYOU" dieses Programm, um sich zu verbreiten, aktiviert werden kann der Wurm aber auch von anderen Windows-Mail-Clients, sofern der Windows Scripting Host installiert ist. Potentiell gefährdet sind also alle, die Windows 98 einsetzen oder den Internet Explorer 5.x auf einer beliebigen Windows-Version installiert haben.

Siehe auch Warnung vor ILOVEYOU-Trittbrettfahrern

(Christoph Dernbach, dpa)/ (mst)