Mein Wunschzettel für Windows 7: Updates für Alle
Warum meldet mir eigentlich Windows den Internet Explorer 8, nicht aber den neuen Adobe Reader, der ein kritisches Sicherheitsloch beseitigt, das bereits aktiv ausgenutzt wird?
Dass veraltete Programme mit bekannten Sicherheitslücken ein ernstes Problem darstellen, ist unstrittig. Auf fast jedem Windows-Rechner, der mir in letzter Zeit in die Finger gekommen ist, fand sich ein solches Einfallstor für Spione aller Art. Schuld daran sind nicht die faulen Anwender, sondern vor allem Windows. Denn Microsofts Betriebssystem macht es dem Anwender viel zu schwer, seine Software aktuell zu halten.
Wer schon mal ein ungepflegtes Windows nachträglich sicher machen sollte, weiß wovon ich rede. Die Microsoft-Updates sind zwar oft schon installiert oder schnell eingespielt. Doch dann geht die Arbeit erst richtig los: Adobe Reader, Java, Quicktime und am Ende hat man doch drei wichtige Programme übersehen. Ohne zusätzliche Tools ist das ein nahezu aussichtsloses Unterfangen. Noch schlimmer wird es, wenn man dafür sorgen will, dass das in Zukunft einigermaßen automatisch passiert. Da muss man dann den Update-Mechanismus jedes einzelnen Herstellers kontrollieren, so er denn einen brauchbaren hat. Sun, Apple, Mozilla - jeder kocht bei den Updates sein eigenes Süppchen; Adobe mit Reader und Flash sogar mindestens zwei.
Wenn sich das ändern soll, muss Microsoft aktiv werden. Warum meldet mir Windows zwar den Internet Explorer 8, nicht aber den neuen Adobe Reader, der ein kritisches Sicherheitsloch beseitigt, das bereits aktiv ausgenutzt wird? Von einem modernen Betriebssystem erwarte ich eine Infrastruktur, über die sich alle installierten Programme auf dem aktuellen Stand halten lassen.
Das wäre beileibe kein Hexenwerk, sondern ließe sich sogar recht einfach umsetzen: Jede anständige Anwendung registriert sich schon jetzt während der Installation beim Betriebssystem und gibt dort unter anderem das Programm für eine Deinstallation an. Was spräche dagegen, dass sie gleich noch eine URL registriert, unter der Windows nachsehen kann, ob es eine neuere Version gibt? Und zusätzlich ein Programm, das aufzurufen ist, nachdem der Background Intelligent Transfer Service die Updates ressourcenschonend im Hintergrund heruntergeladen hat. (BTW: BITS ist übrigens ein richtig cooler Systemdienst, den ich mir auch für Linux&Co wünschen würde)
Dann müssten natürlich die Software-Hersteller diese Schnittstelle tatsächlich benutzen. Ich bin jedoch recht zuversichtlich, dass sie das ziemlich schnell tun würden. Denn erstens ist der Aufwand für sie minimal. Dafür sparen sie sich die Arbeit, einen eigenen Update-Mechanismus zu implementieren, was die meisten wenn überhaupt, dann eher widerwillig tun. Und zweitens wäre "Works with Windows Update" ein leicht zu überprüfendes Qualitätsmerkmal, das die Kunden schnell zu schätzen lernen.
Von den Anwendern schließlich ist auch kaum Widerstand dagegen zu erwarten - im Gegenteil. Das aktuelle Update-Chaos wird keiner vermissen. Und man kann ja nach wie vor im Sicherheits-Center definieren, ob, wann und wie die Updates installiert werden sollen. Nur dass das dann endlich so funktionieren würde, wie man es erwartet - nämlich, dass es nicht nur Microsoft Software, sondern alle installierten Anwendungen einbezieht (und wie es im Übrigen bei Linux-Distributionen seit vielen Jahren schon der Fall ist).
Wenn ich mir aus Sicherheitssicht für Windows 7 ein Feature wünschen könnte, dann wären es integrierte, einfache Updates für alle Windows-Programme. Was wäre Ihr Wunsch für mehr Sicherheit? Diskutieren Sie mit im heise-Security-Forum Desktopsicherheit.
