Microsoft: Hört auf Betriebssystemlöcher zu sammeln!

Brad Smith, der Chefjurist und Präsident von Microsoft sieht Staaten, die Löcher im Betriebssystem sammeln um diese auszunutzen um einzubrechen und Bürger auszuspionieren als größtes Problem in der Bekämpfung von Schadsoftware.

Er vergleicht den Diebstahl der WannaCrypt Verwundbarkeiten von Windows – die durch die NSA nicht an Microsoft gemeldet wurden um in Systeme einbrechen zu können mit dem Diebstahl von Tomahawk Marschflugkörpern durch Terroristen.

Er ruft die Staaten dazu auf an der Sicherheit der Bevölkerung mitzuarbeiten – und ihre Praxis Feher in Betriebssystemen zu sammeln – zu überdenken. Die Staaten mögen die Schäden an der Zivilbevölkerung bedenken – den sie durch diese Praxis anrichten.

Zum anderen weist er darauf hin, dass der Patch für diese Lücke seit März verfügbar war, aber noch sehr viele Betriebssysteme nicht gepatched waren. Mann kann auch nicht oft genug wiederholen, dass es leichtsinnig ist – vor allem als Privatanwender – diese Patches nicht automatisch einspielen zu lassen. Was will eine Privatperson denn entscheiden daran – ob man einen Patch einspielt – oder nicht? Warum also warten?

Wir hoffen, dass aus diesem Vorfall zwei Dinge gelernt werden:

1. dass unsere Bundesregierung ihre Einstellung zu Staatstrojanern ändert. Denn diese Staatstrojaner verwenden exakt diese Art von gefährlichen Sicherheitslücken in Systemen. Ohne diese funktioniert ein Trojaner nicht. Damit hat der Staat Interesse daran solche Lücken nicht an die Hersteller zu melden.
2. Dass die Anwender sorgsamer mit ihren Systemen umgehen und verfügbare Patches so rasch als möglich einspielen. Denn ungepatchte Systeme zu verwenden gefährdet nicht nur das eigene System, sondern auch die Systeme andere – ebenso wie Sex ohne Kondome. Ich würde vermuten, dass die Hersteller – allen voran Microsoft – die Praxis überdenken werden, solche Entscheidungen den Benutzern zu überlassen. Es würde mich nicht wundern, wenn in Zukunft Patches ohne die Möglichkeit einzugreifen – vom Hersteller eingespielt werden.

Die Digital Society muss hier daran arbeiten, was wir in Österreich dazu beitragen können die Situation zu verbessern. Wir müssen davon ausgehen, dass im Zuge der Digitalisierung immer mehr solche Vorfälle (und noch viel schlimmere) auftreten werden. Diese Veränderungen lassen sich nicht aufhalten, und wir wollen das auch gar nicht. Aber es muss eine Lösung gefunden werden, wie Technologie sicher eingesetzt werden kann, und die Sicherheit als oberstes Gut betrachtet wird. Wir haben ein Sicherheitsproblem in Österreich – aber das bezieht sich nicht auf “normale” Kriminalität, sondern auf den digitalen Raum. Dorthin muss unser Augenmerk gerichtet werden. Mögliche Ansatzpunkte wären

• Die Zusammenarbeit mit Österreichischen Softwareherstellern
• globalen Herstellern von Standardsoftware,
• die Information und Weiterbildung von Anwendern zu dem Thema,
• die Einflussnahme auf die Gesetzgebung,
• die Mitarbeit bei der Normung
• u.v.a.m.

Wir rufen daher alle Interessenten auf, unsere Arbeit zu unterstützen und selbst Know How und Arbeitskraft einzubringen, damit wir gemeinsam die wirklich großen Probleme unserer Zeit lösen können. Security ist eines davon.

Ansprechpartner in der Digital Society zum Thema Security ist Dr. Manfred Wöhrl ( manfred.woehrl @ DigiSociety. ngo)

Hinweis: Bei unserem Digitalk am Mittwoch geht es auch um das Thema Staatstrojaner:

17.05.2017 18:00 – 22:00

Digitalk: Sicherheit und Überwachung (epicenter.works) Digital Society, Wien

Weitere Informationen

Blog von Brad Smith (Microsoft):
The need for urgent collective action to keep people safe online: Lessons from last week’s cyberattack