(Un-)Einigkeit zwischen Sun und Microsoft beim Thema Sicherheit
Während Microsoft bei Software-Problemen den Schwarzen Peter den Händlern zuschiebt, sieht Sun die Unternehmen in der Verantwortung, die den Programmcode schreiben.
Seit Anfang des Jahres wird Sicherheit -- zumindest auf dem Papier -- bei Microsoft ganz groß geschrieben. Trustworthy Computing (vertrauenswürdiger Computereinsatz) lautet das neue Motto des weltgrößten Software-Konzerns, der in der Vergangenheit immer wieder wegen gravierender Sicherheitslücken in seinen Produkten in die Schlagzeilen geraten war. Bill Gates selbst hat gefordert, dass bei der Entwicklung von MS-Software der Sicherheit künftig Vorrang gegenüber neuen Funktionen in den Programmen einzuräumen ist.
Ob dieser Sinneswandel in der Überzeugung gereift ist, dass Kunden-Sicherheit grundsätzlich höchste Priorität hat, darüber wird auch nach Äußerungen von Microsoft-CTO Craig Mundie in der Öffentlichkeit heftig gestritten. Mundie präsentierte auf der RSA-Konferenz in Paris die Trustworthy-Computing-Initiative und sprach sich dabei erneut gegen eine gesetzlich geregelte Haftung bei Sicherheitslöchern in Software-Programmen aus. "Übernehmen wir eine solche Verantwortung, müssen wir bei jedem Großauftrag Versicherungen mit gigantischen Deckungssummen abschließen", argumentierte Mundie, dessen missverständliche Äußerungen, Microsoft könne in Zukunft für Sicherheitsfunktionen Geld verlangen, Microsoft-Chef Steve Ballmer zur Klarstellung gegenüber dem Newsdienst CNet veranlassten, dabei drehe es sich nur um neue Software wie etwa Firewalls, die der Konzern entwickeln wolle.
Dass Open Source dem Anwender mehr Sicherheit bieten kann als proprietäre Software, bezeichnete Mundie als Märchen; schließlich gebe es dauernd Schwachstellen in Open-Source-Produkten, für die sich jedoch niemand verantwortlich fühle. Bei Closed-Source-Produkten hingegen könne man zu seinem Lieferanten gehen und die Probleme dort lösen lassen. Dieses Statement brachte Whitfield Diffie auf den Plan. Der Erfinder der Public-Key-Kryptographie und derzeitiger Sicherheitschef bei Sun Microsystems wies darauf hin, dass die Verantwortung für Sicherheitslücken im Programmcode nicht dem Vertreiber der Software, sondern dem Unternehmen obliege, das die Software produziert.
"Offenheit ist unerlässlich für das Gewinnen von Vertrauen", sagte Diffie. Sicherheit lasse sich weder delegieren, noch dürfe man sich dabei auf eine einzige Firma verlassen. Zudem dürfe es nie Geschäfte nach dem Motto "Benutzerfreundlichkeit gegen Sicherheit" geben. "Wenn die Risiken bekannt sind", betonte Diffie, "muss der Sicherheit immer Vorrang gegenüber der Bedienbarkeit eingeräumt werden." (pmz)
