Was in Service Pack 2 wirklich fehlt...
... ist die Umstellung von Millionen Windows-Zugängen mit Administratorrechten auf eingeschränkte Benutzer-Accounts.
... ist die Umstellung von Millionen Windows-Zugängen mit Administratorrechten auf eingeschränkte Benutzer-Accounts.
Um keine Missverständnisse aufkommen zu lassen: Service Pack 2 ist ein wichtiger Schritt in die richtige Richtung. Denn mit diesem zweiten Sammel-Update hat Microsoft eine grundsätzliche Kurskorrektur vorgenommen. Erstmals hat Microsoft erkennen lassen, dass auch im Endanwenderbereich die Leitlinien Rückwärtskompatibilität und "Sicherheit darf nicht einschränken" keine unbedingte Priorität mehr haben. Service Pack 2 verbessert die Sicherheit von Windows-XP-Systemen an einigen wichtigen Punkten, obwohl damit einige Komforteinbußen einhergehen beziehungsweise Anpassungen an existierenden Applikationen erforderlich werden.
Doch leider sind die Redmonder dabei auf halbem Weg stehen geblieben. Das lässt sich sehr gut an der Windows Firewall erkennen. Die verbesserten Firewall-Funktionen verhindern zwar Wurm-Epidemien wie Lovsan/Blaster und Sasser: Ein System, auf dem Dienste wie RPC oder lsass normalerweise von außen nicht mehr zu erreichen sind, ist nicht mehr anfällig für solche Internet-Würmer, die Schwachstellen dieser Dienste ausnutzen.
Ist ein Schädling jedoch einmal auf dem System aktiv, kann er nach wie vor fast nach Belieben schalten und walten. Denn auch mit Service Pack 2 werden die meisten Heimanwender mit Administratorrechten arbeiten. Und mit diesen kann ein Trojaner die Windows Firewall recht einfach austricksen - oder gleich ganz abschalten.
Anders als die Hersteller von Personal Firewalls versucht Microsoft erst gar nicht ernsthaft, die Windows Firewall gegen bösartige Programme auf dem lokalen Rechner abzusichern. Ein solcher Versuch wäre aber auch von vorn herein zum Scheitern verurteilt, wenn das Programm über Adminrechte verfügt. Ähnliches gilt im Übrigen auch für andere Windows-Schutzmechanismen, die erst dann wirklich effizient sind, wenn nicht jedes Programm daran nach Gutdünken herumfummeln oder sie gleich ganz außer Kraft setzen kann.
Dabei bietet Windows XP auch ohne Service Pack 2 schon die technischen Voraussetzungen für eingeschränkte Benutzer-Accounts - allein: Viel zu wenig Windows-Anwender nutzen sie. c't hat in Heft 15 gezeigt, wie man diese Rechteteilung effizient einsetzen kann, um viele der heutigen Sicherheitsprobleme von Windows-Systemen auszuschalten. Doch das war nur ein Tropfen auf den heißen Stein.
Microsoft hingegen hätte SP2 zumindest als optionales Add-on ein Migrationspaket spendieren können. Ein Umstellungsprogramm und ein paar Utilities beziehungsweise Assistenten, die den Umgang mit Problemfällen erleichtern, hätten den Verzicht auf die "Allmacht" für viele Endanwender einfacher und damit auch attraktiver gestalten können.
Außerdem hätte ein solches Migrationspaket nebenbei auch gleich den Druck auf diejenigen Hersteller erhöht, die ihre Software auch Jahre nach dem Erscheinen von Windows XP noch nicht an diese Rechteteilung angepasst haben. Doch genau diese Problemfälle ließen Microsoft vor diesem notwendigen Schritt zurückschrecken.
Dabei ist es nicht so, dass Microsoft die Probleme mit den allmächtigen Benutzerzugängen nicht bewusst wären. Die Redmonder arbeiten bereits heftig daran, Reglementierungen, wer wann was darf, praktisch umzusetzen. Doch die Mehrzahl der Windows-Anwender will man erst mit der nächsten Windows-Generation an dieses Konzept heranführen.
So bleibt Service Pack 2 ein Update, das einige wichtige Verbesserungen bringt und gute Ansätze erkennen lässt. Aber zum Meilenstein in Sachen Sicherheit hat es dann doch nicht gereicht.
