Die reiche Mutter aller Fehler sitzt in Seattle
■ Schwere Mängel im Microsoft Office '97 und im Internet-Browser. Wildfremde können mit einfachen Mitteln auf der Festplatte des heimischen Computers wildern
Das hat es in der gesamten EDV-Geschichte noch nicht gegeben: Das Datenbankprogramm „Access '97“ läßt sich nicht starten, wenn zuviel Speicher installiert ist. Und bei der Installation von „Outlook '97“ verschwindet unter bestimmten Voraussetzungen ein bereits vorhandener Internet-Zugang auf Nimmerwiedersehen.
Die Liste der Fehler ließe sich endlos fortsetzen. Bill Gates gibt sich alle Mühe, seinem Ruf als Buhmann der Computergemeinde gerecht zun werden. In den Internet-Newsgroups und den entsprechenden Foren der Online-Dienste berichten Tausende entnervter Microsoft-Kunden über die Unzulänglichkeiten des neuen Programmpakets, das schon zum „Absturz des Jahres“ gekürt wurde.
Eine Vielzahl neuer Funktionen, etwa direkter Internetzugriff direkt aus den Programmodulen, und eine über sogenannte Assistenten vereinfachte Benutzerführung, bei der allerlei Comic-Figuren über den Bildschirm huschen, sollte den Standard von „Office '95“ ablösen. Und glaubt man den Versprechungen des Marktführers, soll mit dem Betriebssystem „Memphis“, das wohl „Windows '97“ heißen wird, der Unterschied zwischen den Informationen, die auf dem eigenen PC vorhanden sind, und denen, die irgendwo im Internet liegen, langsam aber sicher verschwinden.
Daß dieser Wandel schmerzfrei vonstatten geht, darf bezweifelt werden. Schon jetzt demonstriert Microsoft seine herausragende Überlegenheit auf dem Gebiet der Sicherheitslücken: Der Internet- Explorer mußte in den letzten Monaten mehrfach aktualisiert werden, zuletzt wegen einer Schwachstelle, die der Student Paul Greene entdeckt hatte. Eigentlich wollte er ein Programm auf seiner Homepage anbieten – ein üblicher Weg, um etwa Shareware kostenlos im Web zu verteilen. Versehentlich hatte er nicht das vorgesehene Programm mit der Seite verlinkt, sondern eine sogenannte Verknüpfung, wie sie innerhalb der Betriebssysteme Windows'95 und WindowsNT üblich ist.
Verknüpfungen („Shortcuts“) sind dazu da, auf einfache Weise Programme auf dem lokalen Rechner zu starten. Mit Erstaunen stellte Greene fest, daß sich damit auch Programme über das Internet aufrufen lassen. Sofort erkannte er das Zerstörungspotential des Fehlers, mit dem es möglich ist, ohne tiefschürfende PC-Kenntnisse die Computer ahnungsloser Websurfer fernzusteuern und auf den Festplatten allerlei Schabernack oder böse Zerstörungen anzurichten.
In den Windows- und Systemverzeichnissen befinden sich Programme, die – durch einen unsichtbaren Link gestartet – Systemdaten im Bruchteil einer Sekunde löschen und den Rechner unbrauchbar machen können. Auf der Webseite „Internet Explorer Bug“ (http://www.cybersnot.com/iebug.html) kann man den Effekt in harmlosen Varianten testen. Es ist schon beeindruckend, wie ein Mausklick auf eine Homepage aus den USA dazu führt, daß auf dem eigenen PC neue Verzeichnisse angelegt und wieder gelöscht werden.
Um der Gefahr zu begegnen, stellte Microsoft sofort ein erstes Code-Update für den Explorer zur Verfügung. Seither werden die Anwender vor möglichen Gefahren durch einen Hinweis gewarnt. Dieser verhindert jedoch nicht das unter Umständen zerstörerische Laden fremder Programmauslöser. Obwohl auf der Microsoft- Website (http://microsoft.com/germany/) die Aktualisierung des Browsers allen Anwendern „unbedingt empfohlen“ wird, bemüht man sich gleichzeitig, die Gefahr herunterzuspielen. Niemand habe bisher ein Problem gemeldet. Mit gleicher Logik ließe sich behaupten, die fehlende Rückwand eines Panzerschranks stelle nur solange eine „mögliche Sicherheitslücke“ dar, solange niemand den Inhalt wirklich hat mitgehen lassen.
Jetzt stellte sich heraus, daß dieselben Gefahren auch vom integrierten Mail- und Newsprogramm drohen. Mit böser Absicht hergestellte Verknüpfungen lassen sich auch per E-Mail versenden, arglose Empfänger könnten damit schädliche Wirkungen auf ihrem Rechner auslösen.
Inzwischen meldeten Studenten des Massachussetts Institutes of Technology (MIT) bei Boston noch eine dritte Möglichkeit, per MS-Explorer fremde PCs zu manipulieren. Microsoft arbeitet nach eigenen Aussagen rund um die Uhr an der Verhinderung von Sicherheitsproblemen. Der Reparatur-Code wurde mittlerweile mehrfach erweitert (http:// www.microsoft.com/ie_intl/de/security/download.htm). Die jetzige Fassung soll gegen alle bisher bekannten Gefahrenvarianten helfen oder zumindest vor ihnen warnen.
Die jüngste Fehlerserie des Netzbrowsers, mit dem Microsoft seit 1995 den Kampf gegen den Marktführer Netscape aufgenommen hat, ist bei weitem nicht dessen einziges Problem. Ende Januar war der Explorer zuletzt wegen einer gravierenden Sicherheitslücke in den Schlagzeilen, die vom Hamburger Chaos Computerclub aufgedeckt worden war. Im ARD- Magazin „Plus Minus“ hatten Deutschlands berühmteste Hacker vorgeführt, wie sich mittels der Active-X-Technik des Internet-Explorers durch Fernsteuerung der bekannten Finanzsoftware Quicken unbemerkt Geld von einem Konto auf ein anderes überweisen läßt. ActiveX erlaubt es Anbietern im Web, kleine Schmuckprogramme (Controls) von ihren Web-Seiten auf den PC des Surfers zu übertragen – z. B. bewegliche Logos und andere Dinge, auf die manch einer ungern verzichtet. Anders als Java-Applets, die das gleiche leisten, aber knallhart gegen den Gastcomputer abgeschirmt sind, ermöglichen die Active-X-Controls Zugriffe auf dessen Innenleben, auch das Starten anderer Programme.
Einige unwahrscheinliche Bedingungen mußten allerdings zusammenkommen, damit der Chaos-Coup klappen konnte, mit spektakulären Einbrüchen ist deshalb nicht täglich zu rechnen. Gut ist es jedoch, zu wissen, daß die Sicherheitsprobleme rund um ActiveX einer Sicherheitsphilosophie zu verdanken sind, die gar nicht darauf zielt, Schäden technisch zu verunmöglichen. Statt dessen soll der User vor zweifelhaftem Programmcode gewarnt werden und selbst entscheiden, was er tun will. Sofern die höchste Sicherheitsstufe eingestellt ist, prüft der Internet- Explorer, ob der Autor des Programms, das geladen werden soll, bei einer Trustfirma registriert ist – ein umständliches Verfahren, das umgangen werden kann. Ist das Ergebnis der Prüfung negativ, wird der Anwender gewarnt – und das war es dann schon. Claudia Klinger
