Dipl.-Inform. Carsten Eilers

Google hat vor der Entscheidung wohl Radion Eriwan befragt:

Damit ist eigentlich schon alles gesagt. Trotzdem noch mal der Reihe nach mit ein paar Erläuterungen:

Wenn Google statt des eigenen Browsers den der Konkurrenz einsetzt, ist das schon etwas merkwürdig. Dann aber eine Version zu nehmen, vor der der Hersteller selbst warnt, ist wohl kaum zu erklären. Mit dem Internet Explorer 6 ist eine Schädlingsinfektion quasi garantiert, sofern man damit im Web surft. Man könnte auch sagen "Wer heutzutage noch mit dem IE 6 surft, hat es nicht besser verdient." Nun gibt es in Unternehmen manchmal "gute" Gründe, den IE 6 im lokalen Netz weiterhin zu verwenden - nämlich darauf angewiesene Anwendungen, die nicht an andere Browser angepasst werden können oder sollen. Aber es gibt sehr viel bessere Gründe, ihn nicht zu verwenden, zumindest nicht im Internet. Und da zählt das Argument "Aber das geht nur mit dem IE 6" ja wohl kaum. Oder kennt irgend jemand von Ihnen eine Website, die man nur mit dem IE 6 nutzen kann? Klar gibt es immer mal wieder welche, die von sich behaupten, dass sie den IE 6 oder Netscape Navigator 3 "erfordern", aber das ist i.A. nur "Marketinggeschwätz". Und wenn es wirklich zutrifft, was extrem selten ist - wen interessieren denn heutzutage so alte Seiten noch?

Schlussfolgerungen können auch falsch sein

Aus
"IE 6 => Schädlingsinfektion"
lässt sich nicht
"kein IE 6 => keine Schädlingsinfektion"
ableiten, geschweige denn
"kein Windows => keine Schädlingsinfektion".

Vor allem nicht, wenn man Opfer eines gezielten Angriffs wird. Die Chinesen (oder wer auch immer nun hinter der Operation Aurora steckt) hatten es auf Google abgesehen. Wäre dort nicht Windows mit dem IE 6 im Einsatz gewesen, hätten sie den Google-Angestellten eben Exploits für Mac OS X oder Linux unter geschoben. Mit dem Wechsel auf ein weniger verbreitetes System sinkt die Gefahr, Opfer eines allgemeinen Angriffs zu werden - mehr aber auch nicht. Natürlich konzentrieren sich die Cyberkriminellen auf Windows-Benutzer, einfach weil es so viele gibt. Je mehr potentielle Opfer es gibt, desto größer ist die Wahrscheinlichkeit, z.B. bei einer Drive-by-Infektion auch viele tatsächliche Opfer zu finden. Irgendwann werden auch Mac OS X und Linux ins Visier der im großen Maßstab agierenden Cyberkriminellen geraten - es müssen nur genug potentielle Opfer sein, so dass sich der Aufwand, einen Exploit zu entwickeln, lohnt. Bei gezielten Angriffen gilt diese "Wirtschaftlichkeitsüberlegung" nicht: Wenn jemand es auf ein bestimmtes Unternehmen abgesehen hat, nutzt er gezielt Schwachstellen in der dort genutzten Software aus - im Fall von Google und der Operation Aurora war das nun zufällig eine Schwachstelle im IE 6. Genau so gut hätte auch eine Schwachstelle in Mac OS X das Ziel sein können. Charlie Miller hat inzwischen drei mal hintereinander den Pwn2Own-Wettbewerb auf der CanSecWest gewonnen, indem er Schwachstellen in Safari ausnutzte, und außerdem gezeigt, dass auch die Vorschau von Mac OS X reichlich Schwachstellen enthält. Solche Schwachstellen können Cyberkriminelle garantiert auch finden.

Oder wie wäre es mit einer Schwachstelle in Adobes Reader oder Flash Player? Adobe hat gerade eine 0-Day-Schwachstelle im Adobe Reader, Acrobat und Flash Player für Windows, Mac OS X, Unix und Linux gemeldet, die bereits für Angriffe ausgenutzt wird. Sozusagen "One vulnerability fits all Systems" - was will der Cyberkriminelle mehr?

Wer eine Schwachstelle in einem bestimmten System oder Programm sucht, wird auch früher oder später eine finden. Aus Sicherheitsgründen das System zu wechseln hilft im Fall gezielter (Cyber-)Angriffe überhaupt nicht - es sei denn, man wechselt rigoros zurück zu Papier und Bleistift, damit kennen sich die Cyberkriminellen wahrscheinlich nicht aus.

Microsoft haut voll rein - und daneben

Aber auch Microsoft hat bei den Argumenten pro Windows teilweise daneben gegriffen. Zum Beispiel bei folgenden Argument:

"The Financial Times article states that:

"Windows is known for being more vulnerable to attacks by hackers and more susceptible to computer viruses than other operating systems."

The facts don’t support the assertion."

Über den ersten Teil kann man streiten, aber beim zweiten... gibt es irgend ein Betriebssystem, für das es mehr Viren gibt, als Windows? Man sollte nicht mit Fakten argumentieren, wenn die gegen den eigenen Standpunkt sprechen.

Als nächstens verlinkt der Autor auf einen Artikel auf InfoWorld, der reißerisch mit "Macs under attack by high-risk spyware" betitelt ist. Diese "high-risk spyware", die in Bildschirmschonern versteckt ist, ist genau so gefährlich wie der Benutzer vor der Tastatur, da der sie mit Admin-Rechten installieren muss. Wer unbesehen Software installiert, dem ist nicht zu helfen - egal, welches System er verwendet. Noch besser (bzw. für Windows schlechter), sieht dieses Argument aus, wenn man einen Blogeintrag von Paul Ducklin von Sophos liest: 'Mac OS X OpinionSpy – same old, same old'. Die Kurzfassung: Die Spyware wird in den Lizenzbedingungen erwähnt. OK, wer liest schon Lizenzbedingungen... aber: Kann man daraus eine Unsicherheit des Systems ableiten? Zumal es das gleiche ProgrammProblem auch für Windows gibt - und das schon seit 5 Jahren?

Argumente für Windows

Aber kommen wir zu den Punkten, die für die Sicherheit von Windows sprechen (sollen):

"We ship software and security updates to our customers as soon as possible through Windows Update and Microsoft Update to keep our customers safe."

Das sollte wohl besser "as soon as a patchday comes" heißen. OK, es gab einige außerplanmäßig veröffentlichten Patches, aber nur dann, wenn die sprichwörtlichen Exkremente am Dampfen waren und man ernsthaft überlegen musste, ob man nicht einen Wechsel zu einem anderen System bzw. Programm in Erwägung ziehen sollte.

"We highly recommend our customers enable Automatic Update to ensure they are protected from attacks."

Ein ausgezeichnetes Argument für Privatanwender, aber in Unternehmen eher ein KO-Kriterium. Da wird kaum jemand auf die Idee kommen, unbesehen einfach irgend welche Updates zu installieren. Die Gefahr, dass es dabei zu Problemen im Zusammenspiel mit anderen, womöglich unternehmenskritischen Anwendungen kommt, ist einfach zu gross. Daher werden die Updates erst getestet, bevor sie allgemein frei gegeben werden. Und das kann, gerade an einem Patchday mit vielen Updates, an dem vielleicht gleichzeitig auch noch Adobe und Oracle einen Patchday haben, schon einige Zeit dauern. Außerdem ist das Argument etwas merkwürdig formuliert, Kunden etwas empfehlen tun alle Hersteller, Windows Vorteil soll ja wohl die vorhandene Auto-Update-Funktion sein, die aber bei weitem kein Alleinstellungsmerkmal ist.

"With Windows 7, we added improvements to BitLocker for disc encryption (we also introduced BitLocker-to-Go for external USB devices), and added enhancements to the built in Windows Firewall for better protection."

Prinzipiell ein Argument für eine erhöhte Sicherheit, aber keins, das Google beeindrucken dürfte. Eine Laufwerksverschlüsselung (die durchaus auch selbst zum Problem werden kann) schützt nicht vor einem Angriff, wie Google ihn zum Opfer gefallen ist, und kann auch die Folgen nicht mindern - wenn der Angreifer erst mal auf dem Rechner ist, stört ihn die Verschlüsselung nicht mehr, da greift er einfach auf die vom System auf Anforderung entschlüsselten Daten zurück. Und was die Firewall betrifft - möchte wirklich noch irgend jemand die alten Argumente gegen Personal Firewalls hören? Die sind ein "Nice to have", sofern sie nicht zu einem falschen Sicherheitsgefühl führen, im Fall von Angriffen wie im Rahmen der Operation Aurora aber ziemlich nutzlos.

"Windows 7 has Parental Controls built in that can be combined with Windows Live Family Safety to create a safer experience on the PC for children."

DAS ist natürlich ein wunderbares Argument, wenn man auf Unternehmenskunden zielt. Und an Anfang des Texts geht der Autor ja explizit auf Googles Entscheidung ein.

"Windows 7 comes with Internet Explorer 8 which includes SmartScreen Filter which has proven its success time and time again."

Ein halbwegs brauchbares Argument, zugegeben. Auch wenn man zumindest in Unternehmen i.A. mehr auf zentrale Lösungen setzt.

"And Windows 7 also uses Address Space Layout Randomization (ASLR) as well by randomizing data in memory."

Zwei gute Argumente, die sogar passen. Sehr schön. Vielleicht hätte man an dieser Stelle noch schreiben sollen, dass zumindest Mac OS X in der Hinsicht schlechter aussieht.

Weise backen kleinere Brötchen, oder so ähnlich

Microsoft steht aus Sicherheitssicht gar nicht schlecht dar, allerdings scheint man etwas dünnhäutig geworden zu sein, wenn es mal schlechte(re) Presse gibt. Google, ein Konkurrent, wechselt das Betriebssystem - na und? Wie war doch der alte Spruch mit dem Schweigen, um für Weise gehalten zu werden? Diese "Verteidigung" ist jedenfalls eher ein Schuss ins eigene Knie als ein Schlag gegen Google. Und was Google betrifft - die sind einer Schwachstelle in einem allgemein als unsicher bekannten Webbrowser zum Opfer gefallen und stellen selbst einen allgemein als sicher angesehenen Webbrowser her - eigentlich sollte man da erwarten, dass sie kleinere Brötchen backen. Das Argument "Wir brauchen den IE 6 für eine ganz wichtige, unternehmenskritische Anwendung" wird ja wohl auf Google nicht zutreffen, oder? Und damit gibt es keinen Grund, warum der IE 6 überhaupt verwendet wurde, vom Surfen im Web ganz zu schweigen. Was ich übrigens vermisse, ist ein Hinweis von Google darauf, dass Microsoft die im Rahmen der Operation Aurora ausgenutzte Schwachstelle zur Zeit der Angriffe bereits einige Zeit bekannt war - das wäre doch eigentlich ein gutes Argument gegen Microsoft. Vor allem, da man dort mit der schnellen Auslieferung der Updates argumentiert.

Google als Beispiel nehmen und folgen?

Falls Sie überlegen, Googles Beispiel zu folgen: Vor gezielten Angriffen schützt ein Wechsel des Systems nicht, aber werden Sie überhaupt mal gezielt angegriffen? Alle anderen Angriffe wie die lästigen Drive-by-Infektionen und Fake-Virenscanner sind sie nach einem Wechsel zu Mac OS X oder Linux erst mal für einige Zeit los. Bis so viele Benutzer mit Mac OS X oder Linux surfen, dass sich ein Angriff darauf für die Cyberkriminellen lohnt. Wann es soweit ist und welches System dann das sicherere ist, kann heute niemand entscheiden. Wenn Sie mit ihrem aktuellen System zufrieden sind und das nicht gerade zu Microsofts Auslaufmodellen wie Windows XP SP2 gehört, besteht zumindest aus Sicherheitssicht kein zwingender Grund zu einem Wechsel.

Carsten Eilers